ГОСТ Р ИСО/МЭК 27000—2012
Введение
Международные стандарты системы менеджмента представляют модель для налаживания и
функционирования системы менеджмента. Эта модель включает в себя функции, по которым эксперты
достигли согласия на основании международного опыта, накопленного в этой области. Подкомитет
SC 27 Совместного технического комитета ISO/IEC JTC 1 имеет в своем составе комиссию экспертов,
которая работает в области создания системы международных стандартов по информационной безо
пасности. известной как семейство стандартов системы менеджмента информационной безопасности
(СМИБ).
При использовании семейства стандартов СМИБ организации могут реализовывать и соверше
нствовать систему управления защитой информации и подготовиться к независимой оценке их СМИБ.
применяемой для защиты информации, такой как финансовая информация, интеллектуальная
собственность, информация о персонале, а также информация, доверенная клиентами или третьей
стороной.
Семейство стандартов СМИБ’1предназначенодля помощиорганизациям любого типаи величины
в реализации ифункционировании СМИБ. Семейство стандартов СМИБ состоит из следующих между
народных стандартов под общим названием Information technology — Security techniques (Информаци
онныетехнологии. Методы и средства обеспечениябезопасности):
• ISO/IEC 27000:2009, Information security management systems — Overview and vocabulary (Сис
тема менеджмента информационнойбезопасности. Общий обзор итерминология);
- ISO/IEC 27001:2005. Information security management systems — Requirements (Система
менеджмента информационной безопасности. Требования);
- ISO/IEC 27002:2005. Codeofpracticeforinformation securitymanagement(Сводправилпоуправле
нию защитой информации);
- ISO/IEC 27003. Information securitymanagementsystem implementation guidance (Ру
к
оводство no
реализации системы менеджмента информационной безопасности);
- ISO/IEC 27004. Information security management— Measurement (Менеджмент информацион
ной безопасности. Измерения):
- ISO/IEC 27005:2008, Informationsecurityriskmanagement(Управлениерис
к
ами информационной
безопасности);
- ISO/IEC 27006:2007. Requirements forbodiesproviding audit and certification ofinformation security
management systems (Требования для органов, обеспечивающих аудит и сертифи
к
ацию систем
менеджмента информационнойбезопасности):
- ISO/IEC 27007, Guidelines forinformation securitymanagementsystemsauditing (Ру
к
оводство для
аудитора СМИБ);
- ISO/IEC 27011. Information security management guidelines for telecommunications organizations
based on ISO/IEC 27002 (Ру
к
оводящие у
к
азания no управлению защитой информации организаций,
предлагающихтеле
к
оммуни
к
ационныеуслуги, на основе ISO/IEC 27002).
П р и м е ч а н и е — Общее название «Информационные технологии. Методы и средства обеспечения бе
зопасности» означает, что эти стандарты были подготовлены подкомитетом «Методы защиты ИТ» Совместного
технического комитета ISO/IEC JTC 1 «Информационные технологии».
Международныестандарты, не имеющие этого общегоназвания:
- ISO 27799:2008. Health informatics — Information security management in health using
ISO/IEC 27002 (Информатика в здравоохранении. Менеджментинформационнойбезопасности постан
дарту ISO/IEC 27002);
- ISO/IEC 27000:2009 представляет обзор систем менеджмента информационной безопасности,
которые составляют семейство стандартов СМИБ. а такжедаетопределения терминов.
П р и м е ч а н и е — Приложение А разъясняет, как должны интерпретироваться словесные выражения по
ложений стандартов семейства СМИБ. выражающих требования и рекомендации.
Семейство стандартовСМИБ содержитстандарты, которые:
- определяют требования к СМИБ и к сертификации таких систем;
- содержат прямую поддержку, детальное руководство и (или) интерпретацию полных процессов
«План (Plan) — Осуществление (Do) — Проверка (Check) — Действие (Act)» (PDCA) и требования:
" Перечисленные во введении стандарты, не имеющие в обозначении года выпуска, находятся в разра
ботке.
IV