Взаимосвязь международных и национальных стандартов
Британский стандарт
|
Международный стандарт
|
Российский
стандарт
|
Украинский стандарт
|
BS 7799-1:2005
|
ISO/IEC 27002:2013
(ISO/IEC 17799:2005)
|
ГОСТ Р ИСО/МЭК 27002:2012
|
–
|
BS 7799-2:2005
|
ISO/IEC 27001:2013
|
ГОСТ Р ИСО/МЭК 27001:2006
|
ДСТУ ISO/IEC 27001:2010
|
BS 7799-3:2006
|
ISO/IEC 27005:2008
(ISO/IEC TR 13335-4,5)
|
ГОСТ Р ИСО/МЭК 27005:2010
|
ДСТУ ISO/IEC TR 13335-4,5:2005
|
–
|
ISO/IEC 27000:2014
|
ГОСТ Р ИСО/МЭК 27000:2012
|
–
|
BS ISO/IEC TR 18044:2004
|
ISO/IEC 27035:2011
|
–
|
–
|
Сравнительный анализ разделов ISO/IEC 17799 и 27002 (правила)
ISO/IEC 17799:2000 (ВS 7799-1)
|
ISO/IEC 27002:2005
|
|
4. Оценка и обработка рисков
|
3. Политика безопасности
|
5. Политика безопасности
|
4. Организационные вопросы безопасности
|
6. Организация ИБ
|
5. Классификация и управление активами
|
7. Управление активами
|
6. Вопросы безопасности, связанные с персоналом
|
8. Безопасность, связанная с персоналом
|
7. Физическая защита и защита от воздействий окружающей среды
|
9. Физическая безопасность и защита от окружающей среды
|
8. Управление передачей данных и операционной деятельностью
|
10. Управление средствами коммуникаций и их функционированием
|
9. Контроль доступа
|
11. Контроль доступа
|
10. Разработка и обслуживание систем
|
12. Разработка, внедрение и обслуживание информационных систем
|
|
13. Управление инцидентами ИБ
|
11. Управление непрерывностью бизнеса
|
14. Управление непрерывностью бизнеса
|
12. Соответствие требованиям
|
15. Соответствие требованиям
|
Сравнительный анализ разделов ISO/IEC 27001 (требования)
2005
|
2013
|
0. Введение
|
0. Введение
|
1. Область применения
|
1. Область применения
|
2. Нормативные ссылки
|
2. Нормативные ссылки
|
3. Термины и определения
|
3. Термины и определения
|
4. Система ИБ
|
4. Установление контекста
|
5. Обязательства руководства
|
5. Ответственность руководства
|
|
6. Планирование
|
|
7. Поддержка
|
|
8. Эксплуатация
|
6. Внутренние аудиты
7. Анализ системы менеджмента
|
9. Измерение результативности
|
8. Совершенствование
|
10. Улучшение
|
Приложение А
|
5. Политика безопасности
|
5. Политики ИБ
|
6. Организация ИБ
|
6. Организация ИБ
|
8. Безопасность, связанная с персоналом
|
7. Безопасность, связанная с персоналом
|
7. Управление активами
|
8. Управление активами
|
9. Физическая безопасность и защита от окружающей среды
|
11. Физическая безопасность и защита от окружающей среды
|
10. Управление средствами коммуникаций и их функционированием
|
12. Безопасность при обработке информации
13. Безопасность связи
15. Взаимоотношения с поставщиками
|
11. Контроль доступа
|
9. Управление доступом
|
12. Разработка, внедрение и обслуживание информационных систем
|
14. Приобретение, разработка и поддержка информационных систем
10. Криптография
|
13. Управление инцидентами ИБ
|
16. Управление инцидентами ИБ
|
14. Управление непрерывностью бизнеса
|
17. Аспекты ИБ при управлении непрерывностью бизнеса
|
15. Соответствие требованиям
|
18. Соответствие требованиям
|
В Украине внедрением международных стандартов в национальные стандарты, обобщением мирового опыта в отрасли стандартизации и внедрением международных стандартов в Украине занимется Технический комитет по стандартизации ТК-20 «Информационные технологии», который функционирует на базе Международного научно-учебного центра ИТ и систем Национальной академии наук и Министерства образования и науки Украины.
ТК-20 является активным участником подкомитетов Международной организации из стандартизации и Международной электротехнической комиссии (ISO/IEC), Европейской организации по стандартизации (СEN), а также Европейского комитета по стандартизации в отрасли электротехники (CENELEC). ТК-20 также осуществляет формирование направлений развития научно-технической политики Украины в сфере международной стандартизации в отрасли ИТ и ЭЦП.
Официальный сайт Центра: http://www.irtc.org.ua.
В настоящее время в Украине в качестве национальных внедрены такие международные стандарты:
1) утверджены приказом Госпотребстандарта от 31.10.2003 № 189:
- ДСТУ ISO/IEC TR 13335-1:2003 Iнформацiйнi технологiї. Настанови з керування безпекою інформацiйних технологiй. Частина 1. Концепцiї та моделi безпеки інформацiйних технологiй (ISO/IEC TR 13335-1:1996, IDT);
- ДСТУ ISO/IEC TR 13335-2:2003 Iнформацiйнi технологiї. Настанови з керування безпекою інформацiйних технологiй. Частина 2. Керування та планування безпеки інформацiйних технологiй (ISO/IEC TR 13335-2:1997, IDT);
- ДСТУ ISO/IEC TR 13335-3:2003 Iнформацiйнi технологiї. Настанови з керування безпекою інформацiйних технологiй. Частина 3. Методи керування захистом інформацiйних технологiй (ISO/IEC TR 13335-3:1998, IDT)
2) утверджены приказом Госпотребстандарта от 03.03.2005 № 57:
- ДСТУ ISO/IEC TR 13335-4:2005 Iнформацiйнi технологiї. Настанови з управлiння безпекою інформацiйних технологiй. Частина 4. Вибирання засобiв захисту (ISO/IEC TR 13335-4:2000, IDT);
- ДСТУ ISO/IEC TR 13335-5:2005 Iнформацiйнi технологiї. Настанови з управлiння безпекою інформацiйних технологiй. Частина 5. Настанова з управлiння мережною безпекою (ISO/IEC TR 13335-5:2001, IDT);
3) утверджены приказом Госпотребстандарта от 28.12.2010 № 631:
- ДСТУ ISO/IEC 27001:2010 Iнформацiйнi технологiї. Методи та засоби досягнення інформаційної безпеки. Системи керування інформаційною безпекою. Вимоги (ISO/IEC 27001:2005, IDT).
28 октября 2010 года постановлением Правления Национального банка Украины № 474 вступили в силу такие стандарты по управлению информационной безопасностью в банковской системе Украины:
- СОУ Н НБУ 65.1 СУІБ 1.0:2010 Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги (ISO/IEС 27001:2005, MOD);
- СОУ Н НБУ 65.1 СУІБ 2.0:2010 Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою (ISO/IEС 27002:2005, MOD).
Кроме того, 5 декабря 2013 года совместным приказом Администрации Госспецсвязи и Министерства юстиции Украины № 2563/5/645 утверджены перечни международных стандартов в сфере электронной цифровой подписи для их дальнейшего внедрения в Украине:
1. Перелік стандартів у сфері електронного цифрового підпису для гармонізації з європейськими та міжнародними стандартами:
60. ISO/IEC 17799:2005 IT - Security techniques - Code of practice for information security management
71. ISO/IEC 27002:2005 IT - Security techniques - Code of practice for information security management
72. ISO/IEC 27004:2009 IT - Security techniques - Information security management - Measurement
73. ISO/IEC 27005:2008 IT - Security techniques - Information security risk management"
74. ISO/IEC 27006:2007 IT - Security techniques - Requirements for bodies providing audit and certification of information security management systems
75. ISO/IEC 27011:2008 IT - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
2. Перелік стандартів у сфері електронного цифрового підпису, що підлягають перегляду:
60. ДСТУ ISO/IEC 27000 Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Overview and vocabulary
61. ДСТУ ISO/IEC 27001 Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Вимоги
62. ДСТУ ISO/IEC TR 13335-1:2003 IT. Настанови з управління безпекою IT. Частина 1. Концепції та моделі безпеки ІТ
63. ДСТУ ISO/IEC TR 13335-2:2003 IT. Настанови з управління безпекою інформаційних технологій. Частина 2. Управління та планування безпекою ІТ
64. ДСТУ ISO/IEC TR 13335-3:2003 IT. Настанови з управління безпекою IT. Частина 3. Методи керування захистом IT
3.2. Семейство стандартов ISO/IEC 27k
Международные стандарты системы управления представляют модель для налаживания и функционирования системы управления. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области.
При использовании семейства стандартов СУИБ организации могут реализовывать и совершенствовать СУИБ и подготовиться к ее независимой оценке, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной.
Семейство стандартов СУИБ предназначено для помощи организациям любого типа и величины в реализации и функционировании СУИБ. Семейство стандартов СУИБ состоит из следующих международных стандартов под общим названием «Information technology - Security techniques» - ИТ - Методы и средства обеспечения безопасности:
- ISO/IEC 27000 СУИБ. Общий обзор и терминология;
- ISO/IЕС 27001 СУИБ. Требования;
- ISO/IEC 27002 Свод правил по управлению ИБ;
- ISO/IEC 27003 Руководство по реализации СУИБ;
- ISO/IEC 27004 УИБ. Измерения;
- ISO/IEC 27005 Управление рисками ИБ;
- ISO/IЕС 27006 Требования для органов, обеспечивающих аудит и сертификацию СУИБ;
- ISO/IEС 27007 Руководство для проведения аудита СУИБ;
- ISO/IEС TR 27008 Руководство для аудита механизмов контроля ИБ;
- ISO/IEС 27010 УИБ для межсекторных и межорганизационных коммуникаций;
- ISO/IЕС 27011 Руководство пo УИБ организаций, предлагающих телекоммуникационные услуги, на основе ISО/IEC 27002;
- ISO/IEС 27013 Руководство пo интегрированной реализации стандартов ISO/IEC 27001 и ISO/IEC 20000-1;
- ISO/IEС 27014 Управление ИБ высшим руководством;
- ISO/IEС TR 27015 Руководство пo УИБ для финансовых сервисов;
- ISO/IEС TR 27016 УИБ. Организационная экономика;
- ISO/IEС 27035 Управление инцидентами ИБ.
Международный стандарт, не имеющие этого общего названия:
- ISO 27799 Информатика в здравоохранении. УИБ по стандарту ISO/IEC 27002.
Семейство стандартов СУИБ содержит стандарты, которые:
- определяют требования к СУИБ и к сертификации таких систем;
- содержат прямую поддержку, детальное руководство и интерпретацию полных процессов «План (Plan) - Осуществление (Do) - Проверка (Check) -Действие (Act)» (PDCA) и требования;
- включают в себя специальные руководящие принципы для СУИБ;
- руководят проведением оценки соответствия СУИБ.
 |
