ДСТУ ISO/IEC 27001:2015. Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги (62498)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології

МЕТОДИ ЗАХИСТУ
СИСТЕМИ УПРАВЛІННЯ
ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

Вимоги
(ISO/IEC 27001:2013; Cor 1:2014, IDT)

ДСТУ ISO/IEC 27001:2015

Видання офіційне

Київ
ДП «УкрНДНЦ»
2016ПЕРЕДМОВА

1. ВНЕСЕНО: Технічний комітет стандартизації «Інформаційні технології» (ТК 20) за участю Техніч­ного комітету стандартизації «Банківські та фінансові системи і технології (ТК 105), Міжнарод­ний науково-навчальний центр інформаційних технологій та систем НАН України та Міносвіти і науки України

ПЕРЕКЛАД І НАУКОВО-ТЁХНІЧНЕ РЕДАГУВАННЯ: І. Івченко, канд. фіз.-мат. наук; М. Карнаух; Т. Тищенко

2. НАДАНО ЧИННОСТІ: наказ ДП «УкрНДНЦ» від 18 грудня 2015 р. № 193 з 2017-01-01

З Національний стандарт відповідає ISO/IEC 27001:2013; Сог 1:2014, IDT) Information technology — Security techniques — Information security management systems — Requirements (Інформаційні тех­нології. Методи захисту. Системи управління інформаційною безпекою. Вимоги)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (еп) 4 НА ЗАМІНУ ДСТУ ISO/IEC 27001:2010

Право власності на цей національний стандарт належить державі.
Заборонено повністю чи частково видавати, відтворювати
задля розповсюдження і розповсюджувати як офіційне видання
цей національний стандарт або його частини на будь-яких носіях інформації
без дозволу ДП «УкрНДНЦ» чи уповноваженої ним особи

ДП «УкрНДНЦ», 2016

ЗМІСТ

с.

1 Національний вступ V

0 Вступ V

0.1 Загальні положення V

0.2 Сумісність з іншими стандартами систем управління VI

1. Сфера застосування 1

2. Нормативні посилання 1

3. Терміни та визначення понять 1

4. Обставини організації 2

   1. Розуміння організації та її обставин 2

   2. Розуміння потреб та очікувань зацікавлених сторін 2

   3. Визначення сфери застосування системи управління інформаційною безпекою 2

   4. Система управління інформаційною безпекою 2

5. Керівництво 2

   1. Керівництво та зобов’язання 2

   2. Політика 2

   3. Організаційні ролі, відповідальності та повноваження З

6. Планування З

   1. Дії щодо ризиків та можливостей З

   2. Цілі інформаційної безпеки та планування їх досягнення 4

7. Підтримка 4

   1. Ресурси 4

   2. Компетенція 4

   3. Обізнаність 5

   4. Комунікація 5

   5. Документована інформація 5

8. Функціонування 6

   1. Робоче планування й контроль 6

   2. Оцінювання ризиків інформаційної безпеки 6

   3. Оброблення ризиків інформаційної безпеки 6

9. Оцінювання результативності 6

   1. Моніторинг, вимірювання, аналіз та оцінювання 6

   2. Внутрішній аудит 6

   3. Перегляд з боку керівництва 7

10. Вдосконалення 7

    1. Невідповідності й корегувальні дії 7

    2. Постійне вдосконалення 7

Додаток А Цілі заходів безпеки та заходи безпеки 8

Бібліографія 21

Додаток НА Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті 21НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт є переклад ISO/IEC 27001:2015 Information technology — Security techniques — Information security management systems — Requirements (Інформаційні технології. Ме­тоди захисту. Системи управління інформаційною безпекою. Вимоги) зі зміною Сог. 1:2014.

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 105 «Банківські та фінансові системи і технології».

У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.

До цього стандарту внесено такі редакційні зміни:

• слова «цей міжнародний стандарт», «ISO/IEC 27001», «цей документ» замінено на «цей стандарт»;

• вилучено «Передмову» до ISO/IEC 27001:2014 як таку, що безпосередньо не стосується тематики цього стандарту;

• структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з ви­могами національної стандартизації України;

• у розділах 2 «Нормативні посилання» та «Бібліографія» наведено «Національні пояснен­ня», в А.7.1 та А.8.1.2 — «Національні примітки», виділені рамкою;

• долучено довідковий національний додаток НА (Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті).

У цьому стандарті є посилання на такий міжнародний стандарт:

ISO/IEC 27000, який прийнято як ДСТУ ISO/IEC 27000:2015 Системи управління інформацій­ною безпекою. Огляд і словник (IDT).

Додаток А — обов’язковий і є невід’ємною частиною цього стандарту.

Копії нормативних документів, на які є посилання в цьому стандарті, можна отримати в На­ціональному фонді нормативних документів.

0 ВСТУП

0.1 Загальні положення

Цей стандарт створений для визначення вимог для розроблення, впровадження, функціону­вання, моніторингу, перегляду, підтримування та постійного вдосконалення системи управління інформаційною безпекою (СУІБ). Прийняття системи управління інформаційною безпекою є стра­тегічним рішенням для організації. На проектування та впровадження системи управління інфор­маційною безпекою організації впливають потреби та цілі організації, вимоги щодо безпеки, за­стосовувані організаційні процеси, розмір і структура організації. Очікують, що всі ці чинники зміню­ються з часом.

Система управління інформаційною безпекою забезпечує збереження конфіденційності, цілісності й доступності інформації за допомогою запровадження процесу управління ризиками та надає впевненості зацікавленим сторонам, що ризиками належним чином управляють.

Важливо, щоб система управління інформаційною безпекою була частиною та інтегрувалася в процеси організації та загальну структуру управління, щоб інформаційну безпеку розглядали в процесах розроблення, інформаційних системах і заходах безпеки. Очікують, що впровадження сис­теми управління інформаційною безпекою буде масштабованим відповідно до потреб організації.

Цей стандарт може бути використано зацікавленими внутрішніми та зовнішніми сторонами для оцінки можливості організації відповідати власним вимогам щодо інформаційної безпеки.

Послідовність, з якою вимоги надано в цьому стандарті, не відображає їх важливості чи по­слідовності, з якою їх має бути впроваджено. Перелік пунктів понумеровано лише для цілей за­безпечення посилань.

ISO/IEC 27000 надає огляд і словник систем управління інформаційною безпекою з посиланням на сімейство стандартів щодо систем управління інформаційною безпекою (охоп­люючи ISO/IEC 27003 [2], ISO/IEC 27004 [3] та ISO/IEC 27005 [4]), з пов’язаними термінами та ви­значеннями.

0.2 Сумісність з іншими стандартами систем управління

Цей стандарт використовує високорівневу структуру, ідентичні назви підрозділів, ідентичний текст, загальні терміни та основні визначення, які надано в додатку SL ISO/IEC Directives, Part 1, Consolidated ISO Supplement, тому підтримує сумісність з іншими стандартами систем управлін­ня, які визначено в додатку SL.

Такий загальний підхід, визначений в додатку SL, буде корисним тим організаціям, що обира­ють застосування одній системі управління, яка забезпечує виконання вимог двох або більше стан­дартів систем управління.

Код УКНД 35.040

ДСТУ ISO/IEC 27001:2015 Інформаційні технології. Методи захисту системи управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2013; Cor 1:2014, IDT)

(ІПС № 10-2016)ДСТУ ISO/IEC 27001:2015

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
Вимоги

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

МЕТОДЫ ЗАЩИТЫ
СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Требования

INFORMATION TECHNOLOGY

SECURITY TECHNIQUES
INFORMATION SECURITY MANAGEMENT SYSTEMS
Requirements

Чинний від 2017-01-01

1. СФЕРА ЗАСТОСУВАННЯ

Цей стандарт визначає вимоги до проектування, впровадження, підтримки та постійного вдос­коналення системи управління інформаційною безпекою з урахуванням обставин організації. Цей стандарт також містить вимоги для оцінювання та оброблення ризиків інформаційної безпеки, по­в’язаних з потребами організації. Вимоги, наведені в цьому стандарті, є загальними та можуть бути запроваджені для всіх організацій незалежно від типу, розміру та природи. Вилучення будь-якої з вимог, наведених в розділах 4—10 неприпустимо в разі, якщо організація прагне відповідати цьому стандарту.

2. НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи в цілому або в частині необхідні для застосування цього стандарту. У разі датованих посилань застосовують лише наведені видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативних документів (разом зі змінами).

ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 27000 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Огляд та словник.

3. ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ

У цьому стандарті використовують терміни та визначення, які надано в ISO/IEC 27000.

4. Видання офіційнеОБСТАВИНИ ОРГАНІЗАЦІЇ

   1. Розуміння організації та її обставин

Організація повинна визначити внутрішні та зовнішні обставини, які важливі для її цілей та впливають на можливість досягнення наперед запланованого результату(-ів) її системи управлін­ня інформаційною безпекою.

Примітка. Визначення цих обставин стосується визначення внутрішнього та зовнішнього середовища організації, роз­глянутого в розділі 5 З ISO 31000:2009 [5].

Організація повинна визначити:

1. зацікавлені сторони, які важливі для системи управління інформаційною безпекою; та

2. вимоги цих зацікавлених сторін, важливих для інформаційної безпеки.

Примітка. Вимоги зацікавлених сторін можуть охоплювати законодавчі та регуляторні вимоги, а також контрактні зобо­в’язання.

Організація повинна визначити межі та можливість застосування системи управління інфор­маційною безпекою для встановлення її сфери застосування.

Для визначення сфери застосування організація повинна розглянути:

1. зовнішні та внутрішні обставини, зазначені в 4.1;

2. вимоги, зазначені в 4.2; та

3. інтерфейси та залежності між діями, які виконує організація, і тими, що виконують інші організації.

Сфера застосування має бути доступною як документована інформація.

Організація повинна розробити, впровадити, підтримувати та постійно вдосконалювати сис­тему інформаційної безпеки відповідно до вимог цього стандарту.

4. КЕРІВНИЦТВО

   1. Керівництво та зобов’язання

Вище керівництво повинно продемонструвати дії з управління та зобов’язання по відношен­ню до систем управління інформаційною безпекою.

1. гарантуванням, що політика інформаційної безпеки та цілі інформаційної безпеки розроб­лені та сумісні зі стратегічними планами організації;

2. гарантуванням інтеграції вимог системи інформаційної безпеки в процеси організації;

3. гарантуванням, що ресурси, потрібні для системи управління інформаційною безпекою, доступні;

4. доведенням до відома організації важливості ефективного управління інформаційною без­пекою та відповідності вимогам системи управління інформаційною безпекою;

5. гарантуванням, що система управління інформаційною безпекою досягне своїх запланова­них результатів;

6. призначенням та підтримкою осіб для досягнення ефективності системи управління інфор­маційною безпекою;

д) сприянням постійному вдосконаленню; та

h) підтримкою інших пов’язаних ролей вищого керівництва, щоб продемонструвати їх керівну роль, яку вони застосовують у сферах їх відповідальності.

5.2 Політика

Вище керівництво повинно запровадити політику інформаційної безпеки, яка:

1. відповідає цілям організації;

2. містить цілі інформаційної безпеки (див. 6.2) або зазначає основні положення для визна­чення цілей інформаційної безпеки;

3. містить зобов’язання відповідати застосованим вимогам, пов’язаним з інформаційною без­пекою; та

містить зобов’язання щодо постійного вдосконалення системи управління інформаційною безпекою.Політика інформаційної безпеки має:

4. бути доступною як документована інформація;

5. бути розповсюдженою в середині організації; і

д) бути доступною зацікавленим сторонам, за потреби.

5.3 Організаційні ролі, відповідальності та повноваження

Вище керівництво повинно гарантувати, що відповідальності та повноваження для ролей, по­в’язаних з інформаційною безпекою, призначені й доведені.

Вище керівництво повинно призначити відповідальності та повноваження для:

1. гарантування, що система управління інформаційною безпекою відповідає вимогам цього стандарту; і

2. звітування вищому керівництву щодо результативності системи управління інформаційною безпекою.