ГОСТ Р ИСО/МЭК 27000—2012
Семейство стандартов СМИБ поддерживает взаимосвязь со многими другими стандартами ISO и
ISO/IEC. Стандарты СМИБ классифицируются по следующим признакам:
- стандарты, содержащие общий обзор итерминологию (см. 4.2);
- стандарты, задающие требования (см. 4.3);
- стандарты, содержащиеобщие рекомендации (см. 4.4);
- стандарты, содержащиеспециальные рекомендации (см. 4.5).
4.2 Стандарты, содержащие общий обзор и терминологию
4.2.1 ISO/IEC 27000 настоящий стандарт
Информационная технология. Методы и средства обеспечения безопасности. Системы
менеджмента информационной безопасности. Общий обзор итерминология
Область применения. Этот международный стандарт содержит:
- обзор семейства стандартовСМИБ;
- введение в систему менеджмента информационной безопасности (СМИБ);
-краткое описание процесса «План (Plan) — Осуществление (Do)— Проверка (Check) —
Действие (Act)» (РОСА);
- термины и определениядля использования всемействе стандартов СМИБ.
Назначение: ISO/IEC 27000 описывает основы системы менеджмента информационной безопас
ности, которая составляет предмет семейства стандартов СМИБ. и определяет относящиеся к ней
термины.
4.3 Стандарты, задающие требования
4.3.1 ISO/IEC 27001
Информационная технология. Средства обеспечения безопасности. Системы менеджмента
информационной безопасности. Требования
Область применения: этот международный стандартопределяет требованиядля создания, внед
рения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения
документированной СМИБ в контексте общихделовых рисковорганизации. Он определяеттребования
для реализации средств управления защитой, приспособленных к потребностям отдельных организа
ций или их подразделений. Этот международный стандарт применим ко всем типам организаций
(например, коммерческие, государственные, некоммерческиеорганизации).
Назначение: ISO/1EC27001 содержит нормативные требованиядля развертывания ифункциони
рования СМИБ. включаянаборсредствуправлениядля управления и уменьшениярисков, относящихся к
информационным активам, которые организация стремится защитить. Организации, использующие
СМИБ. могут проводить ее аудиторскую проверку и сертификацию соответствия. Цели управления и
мера исредства контроля иуправления из приложения А стандарта ISO/IEC 27001 должны быть выбра
ны какчастьэтого СМИБ-процессадля того, чтобы удовлетворять определенные требования.
Цели управления, меры исредства контроля иуправления, перечисленныев таблицеА. 1стандар
та ISO/IEC27001, получены непосредственноизперечня целейуправленияи средствуправления, пере
численных в разделах5—15 ISO/IEC 17799:2005. исогласованы с ними.
4.3.2 ISO/1EC 27006
Информационная технология. Средства обеспечения безопасности. Требования для органов,
обеспечивающихаудит исертифи
к
ацию систем менеджмента информационнойбезопасности
Область применения: этот международный стандартзадает требования и является руководством
для органов, проводящихаудит и сертификацию СМИБ на соответствие ISO/IEC 27001 вдополнение к
требованиям, содержащимся в ISO/IEC 17021. Этот стандарт предназначен главным образом для про
ведения аккредитации органов, проводящихсертификацию СМИБ на соответствие ISO/IEC 27001.
Назначение: ISO/IEC 27006дополняетстандарт ISO/IEC 17021 в частитребованийдля аккредита
ции органов сертификации, проводящих сертификацию соответствия требованиям, изложенным в
стандарте ISO/IEC 27001.
4.4 Стандарты, содержащие общие рекомендации
4.4.1 ISO/IEC 27002
Информационная технология. Средства обеспечения безопасности. Свод правил по управле
нию защитой информации
Область применения: этот международный стандарт содержит перечень общепринятых целей
управления и лучшие методы реализации средств управления для использования в качестве руковод
ства при выборе и внедрении средств управлениядлядостижения информационной безопасности.
ю