ИСО / МЭК: О третьей редакции стандарта ISO/IEC 27002:2022 «Меры и средства обеспечения информационной безопасности»

В марте 2022 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации очередной, третьей редакции популярного стандарта ISO/IEC 27002:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Меры и средства обеспечения информационной безопасности» (Information security, cybersecurity and privacy protection - Information security controls) объёмом 164 страницы, см. https://www.iso.org/standard/75652.html и https://www.iso.org/obp/ui/#!iso:std:75652:en .

О подготовке этого стандарта я уже рассказывала на блоге здесь: http://rusrim.blogspot.com/2021/07/isoiec-27002.html .

Документ подготовлен техническим подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».

В России стандарт адаптирован как ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230363 , на основе редакции международного стандарта ISO/IEC 27002, выпущенной в 2013 году.

В аннотации на документ отмечается:

«Настоящий документ адресован организациям любого типа и размера. Он может использоваться в качестве основы при выборе и внедрении мер и средств обработки рисков информационной безопасности в рамках Системы менеджмента информационной безопасностью (СМИБ) на основе стандарта ISO/IEC 27001.

Он также может использоваться в качестве руководства организациями, выбирающими и внедряющими общепринятые меры обеспечения информационной безопасности. Данный документ также предназначен для использования при разработке руководств по менеджменту информационной безопасностью для конкретных отраслей и организаций с учетом их специфической среды рисков информационной безопасности. Специфические для организаций или для условий их работы меры и средства обеспечения информационной безопасности, отличные от включённых в данный документ, могут быть при необходимости определены посредством проведения оценки рисков.

Настоящий документ предоставляет эталонный набор типовых мер и средств обеспечения информационной безопасности, и также включает рекомендации по реализации. Настоящий документ предназначен для использования организациями:

• В контексте СМИБ на основе ISO/IEC 27001;
  
  
• Для реализации мер и средств контроля и управления информационной безопасностью на основе признаваемых в международном масштабе передовых практик;
  
  
• Для разработки специфических для организаций руководств по менеджменту информационной безопасности.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Структура настоящего документа
5. Организационные меры контроля и управления
6. Кадровые меры контроля и управления
7. Физические меры контроля и управления
8. Технологические меры контроля и управления
Приложение A; использование атрибутов
Приложение B: Сопоставление ISO/IEC 27002:2022 (настоящий документ) с ISO/IEC 27002:2013
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/75652.html
https://www.iso.org/obp/ui/#!iso:std:75652:en