Стандарт разработан Федеральным исследовательским центром «Информатика и управление» Российской академии наук (ФИЦ ИУ РАН), ООО «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) и акционерным обществом «Эксперт» (АО «Эксперт») на основе одноимённого свободно распространяемого международного стандарта ISO/IEC 27000:2018 «Information technology - Security techniques - Information security management systems - Overview and vocabulary», см. https://www.iso.org/standard/73906.html и https://www.iso.org/obp/ui/#!iso:std:73906:en (этот стандарт можно скачать по адресу https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip ).
«Настоящий стандарт содержит общий обзор систем менеджмента информационной безопасности (СМИБ). В нем приведены термины и определения, используемые в семействе стандартов СМИБ. Настоящий стандарт применим к организациям любого типа и размера (например, коммерческим предприятиям. правительственным учреждениям, некоммерческим организациям).
Термины и определения, представленные в настоящем стандарте:
- охватывают общие термины и определения, используемые в семействе стандартов СМИБ;
- не охватывают все термины и определения, применяемые в семействе стандартов СМИБ:
- не ограничивают применение новых терминов в семействе стандартов СМИБ.»
Содержание документа следующее:
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Системы менеджмента информационной безопасности (СМИБ)
5. Семейство стандартов СМИБ.
Библиография
Также опубликованы:
ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности» объёмом 74 страницы, вступающий в силу 30.11.2021 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230363
Стандарт разработан Федеральным исследовательским центром «Информатика и управление» Российской академии наук (ФИЦ ИУ РАН), ООО «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) и акционерным обществом «Эшелон - Северо-Запад» (АО «Эшелон-СЗ») на основе одноимённого международного стандарта ISO/IEC 27002:2013 «Информационная технология - Методы и средства обеспечения безопасности - Свод норм и правил применения мер обеспечения информационной безопасности» (Information technology - Security techniques - Code of practice for information security controls), см. https://www.iso.org/standard/54533.html и https://www.iso.org/obp/ui/#!iso:std:54533:en .
«В настоящем стандарте содержатся рекомендации по созданию и практическому использованию в организации системы менеджмента информационной безопасности (СМИБ), включая вопросы выбора. внедрения и применения полноценного набора мер обеспечения ИБ. соответствующих совокупности имеющихся в данной организации рисков ИБ.
Настоящий стандарт предназначен для использования организациями, которые намерены:
a) выбрать меры обеспечения ИБ в процессе внедрения системы менеджмента информационной безопасности на основе ИСО/МЭК 27001;
b) внедрить общепринятые меры обеспечения ИБ;
c) разработать свои собственные руководства по менеджменту ИБ.»
Содержание документа следующее:
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Структура стандарта
5. Политики информационной безопасности
6. Организация деятельности по информационной безопасности
7. Безопасность, связанная с персоналом
8. Менеджмент активов
9. Управление доступом
10. Криптография
11. Физическая безопасность и защита от воздействия окружающей среды
12. Безопасность при эксплуатации
13. Безопасность коммуникаций
14. Приобретение, разработка и поддержка систем
15. Взаимоотношения с поставщиками
16. Менеджмент инцидентов информационной безопасности
17. Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации
18. Соответствие
Библиография
ГОСТ Р ИСО/МЭК 27003-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации» объёмом 46 станиц, вступающий в силу 30.11.2021 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230306
Стандарт разработан Федеральным исследовательским центром «Информатика и управление» Российской академии наук (ФИЦ ИУ РАН), акционерным обществом «Эшелон - Северо-Запад» (АО «Эшелон-СЗ») и ООО «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе одноимённого международного стандарта ISO/IEC 27003:2017 «Information technology - Security techniques - Information security management systems - Guidance», см. https://www.iso.org/standard/63417.html и https://www.iso.org/obp/ui/#!iso:std:63417:en .
«Настоящий стандарт содержит руководство по реализации требований к системе менеджмента информационной безопасности (СМИБ). приведенных в ИСО/МЭК 27001, и предоставляет рекомендации (используя вспомогательный глагол «должен»), возможности (используя вспомогательный глагол «следует») и допустимое действие (используя вспомогательный глагол «может») в отношении этих требований. Настоящий стандарт не ставит целью предоставление общего руководства по всем аспектам информационной безопасности (ИБ)1).
Настоящий стандарт носит общий характер и предназначен для применения во всех организациях. независимо от их типа, размера или характера. Организация определяет, какая часть этого руководства применяется к ней в соответствии с конкретным контекстом организации (см. ИСО/МЭК 27001, раздел 4).»
Содержание документа следующее:
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Контекст организации
5. Руководство
6. Планирование
7. Поддержка
8. Эксплуатация.
9. Оценка эффективности.
ГОСТ Р ИСО/МЭК 27004-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание» объёмом 50 страниц, вступает в силу 30.11.2021 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230358
Стандарт разработан Федеральным исследовательским центром «Информатика и управление» Российской академии наук (ФИЦ ИУ РАН) и ООО «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе одноимённого международного стандарта ISO/IEC 27004:2016 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание» (Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation), см. https://www.iso.org/standard/64120.html и https://www.iso.org/obp/ui/#!iso:std:64120:en .
«Настоящий стандарт представляет руководящие принципы, предназначенные для оказания помощи организациям в оценке деятельности по обеспечению информационной безопасности (ИВ) и результативности системы менеджмента информационной безопасности (СМИБ) в целях выполнения требований, изложенных в подразделе 9.1 ИСО/МЭК 27001.
Настоящий стандарт охватывает:
- мониторинг и оценку деятельности по обеспечению ИБ;
- мониторинг и оценку результативности системы менеджмента информационной безопасности (СМИБ), включая ее процессы и средства контроля и управления:
- анализ и оценку результатов мониторинга и оценки защищенности.
Настоящий стандарт применим для всех организаций, независимо от типа или размера.»
Содержание документа следующее:
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Структура и обзор стандарта
5. Основные принципы
6. Показатели
7. Типы показателей
8. Процессы
Приложение А (справочное): Модель оценки защищенности информационной безопасности
Приложение В (справочное): Примеры спецификаций конструкций оценки защищенности
Приложение С (справочное): Пример спецификации конструкции оценки эффективности в форме произвольного текста
Библиография
Источник: сайт Росстандарта
http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230305
http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230306
Комментариев нет:
Отправить комментарий