Взаимосвязь международных и национальных стандартов
Британский стандарт
| Международный стандарт
| Российский
стандарт
| Украинский стандарт
| BS 7799-1:2005
| ISO/IEC 27002:2013
(ISO/IEC 17799:2005)
| ГОСТ Р ИСО/МЭК 27002:2012
| –
| BS 7799-2:2005
| ISO/IEC 27001:2013
| ГОСТ Р ИСО/МЭК 27001:2006
| ДСТУ ISO/IEC 27001:2010
| BS 7799-3:2006
| ISO/IEC 27005:2008
(ISO/IEC TR 13335-4,5)
| ГОСТ Р ИСО/МЭК 27005:2010
| ДСТУ ISO/IEC TR 13335-4,5:2005
| –
| ISO/IEC 27000:2014
| ГОСТ Р ИСО/МЭК 27000:2012
| –
| BS ISO/IEC TR 18044:2004
| ISO/IEC 27035:2011
| –
| –
|
Сравнительный анализ разделов ISO/IEC 17799 и 27002 (правила)
ISO/IEC 17799:2000 (ВS 7799-1)
| ISO/IEC 27002:2005
|
| 4. Оценка и обработка рисков
| 3. Политика безопасности
| 5. Политика безопасности
| 4. Организационные вопросы безопасности
| 6. Организация ИБ
| 5. Классификация и управление активами
| 7. Управление активами
| 6. Вопросы безопасности, связанные с персоналом
| 8. Безопасность, связанная с персоналом
| 7. Физическая защита и защита от воздействий окружающей среды
| 9. Физическая безопасность и защита от окружающей среды
| 8. Управление передачей данных и операционной деятельностью
| 10. Управление средствами коммуникаций и их функционированием
| 9. Контроль доступа
| 11. Контроль доступа
| 10. Разработка и обслуживание систем
| 12. Разработка, внедрение и обслуживание информационных систем
|
| 13. Управление инцидентами ИБ
| 11. Управление непрерывностью бизнеса
| 14. Управление непрерывностью бизнеса
| 12. Соответствие требованиям
| 15. Соответствие требованиям
|
Сравнительный анализ разделов ISO/IEC 27001 (требования)
2005
| 2013
| 0. Введение
| 0. Введение
| 1. Область применения
| 1. Область применения
| 2. Нормативные ссылки
| 2. Нормативные ссылки
| 3. Термины и определения
| 3. Термины и определения
| 4. Система ИБ
| 4. Установление контекста
| 5. Обязательства руководства
| 5. Ответственность руководства
|
| 6. Планирование
|
| 7. Поддержка
|
| 8. Эксплуатация
| 6. Внутренние аудиты
7. Анализ системы менеджмента
| 9. Измерение результативности
| 8. Совершенствование
| 10. Улучшение
| Приложение А
| 5. Политика безопасности
| 5. Политики ИБ
| 6. Организация ИБ
| 6. Организация ИБ
| 8. Безопасность, связанная с персоналом
| 7. Безопасность, связанная с персоналом
| 7. Управление активами
| 8. Управление активами
| 9. Физическая безопасность и защита от окружающей среды
| 11. Физическая безопасность и защита от окружающей среды
| 10. Управление средствами коммуникаций и их функционированием
| 12. Безопасность при обработке информации
13. Безопасность связи
15. Взаимоотношения с поставщиками
| 11. Контроль доступа
| 9. Управление доступом
| 12. Разработка, внедрение и обслуживание информационных систем
| 14. Приобретение, разработка и поддержка информационных систем
10. Криптография
| 13. Управление инцидентами ИБ
| 16. Управление инцидентами ИБ
| 14. Управление непрерывностью бизнеса
| 17. Аспекты ИБ при управлении непрерывностью бизнеса
| 15. Соответствие требованиям
| 18. Соответствие требованиям
|
В Украине внедрением международных стандартов в национальные стандарты, обобщением мирового опыта в отрасли стандартизации и внедрением международных стандартов в Украине занимется Технический комитет по стандартизации ТК-20 «Информационные технологии», который функционирует на базе Международного научно-учебного центра ИТ и систем Национальной академии наук и Министерства образования и науки Украины.
ТК-20 является активным участником подкомитетов Международной организации из стандартизации и Международной электротехнической комиссии (ISO/IEC), Европейской организации по стандартизации (СEN), а также Европейского комитета по стандартизации в отрасли электротехники (CENELEC). ТК-20 также осуществляет формирование направлений развития научно-технической политики Украины в сфере международной стандартизации в отрасли ИТ и ЭЦП.
Официальный сайт Центра: http://www.irtc.org.ua.
В настоящее время в Украине в качестве национальных внедрены такие международные стандарты:
1) утверджены приказом Госпотребстандарта от 31.10.2003 № 189:
- ДСТУ ISO/IEC TR 13335-1:2003 Iнформацiйнi технологiї. Настанови з керування безпекою інформацiйних технологiй. Частина 1. Концепцiї та моделi безпеки інформацiйних технологiй (ISO/IEC TR 13335-1:1996, IDT);
- ДСТУ ISO/IEC TR 13335-2:2003 Iнформацiйнi технологiї. Настанови з керування безпекою інформацiйних технологiй. Частина 2. Керування та планування безпеки інформацiйних технологiй (ISO/IEC TR 13335-2:1997, IDT);
- ДСТУ ISO/IEC TR 13335-3:2003 Iнформацiйнi технологiї. Настанови з керування безпекою інформацiйних технологiй. Частина 3. Методи керування захистом інформацiйних технологiй (ISO/IEC TR 13335-3:1998, IDT)
2) утверджены приказом Госпотребстандарта от 03.03.2005 № 57:
- ДСТУ ISO/IEC TR 13335-4:2005 Iнформацiйнi технологiї. Настанови з управлiння безпекою інформацiйних технологiй. Частина 4. Вибирання засобiв захисту (ISO/IEC TR 13335-4:2000, IDT);
- ДСТУ ISO/IEC TR 13335-5:2005 Iнформацiйнi технологiї. Настанови з управлiння безпекою інформацiйних технологiй. Частина 5. Настанова з управлiння мережною безпекою (ISO/IEC TR 13335-5:2001, IDT);
3) утверджены приказом Госпотребстандарта от 28.12.2010 № 631:
- ДСТУ ISO/IEC 27001:2010 Iнформацiйнi технологiї. Методи та засоби досягнення інформаційної безпеки. Системи керування інформаційною безпекою. Вимоги (ISO/IEC 27001:2005, IDT).
28 октября 2010 года постановлением Правления Национального банка Украины № 474 вступили в силу такие стандарты по управлению информационной безопасностью в банковской системе Украины:
- СОУ Н НБУ 65.1 СУІБ 1.0:2010 Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги (ISO/IEС 27001:2005, MOD);
- СОУ Н НБУ 65.1 СУІБ 2.0:2010 Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою (ISO/IEС 27002:2005, MOD). Кроме того, 5 декабря 2013 года совместным приказом Администрации Госспецсвязи и Министерства юстиции Украины № 2563/5/645 утверджены перечни международных стандартов в сфере электронной цифровой подписи для их дальнейшего внедрения в Украине:
1. Перелік стандартів у сфері електронного цифрового підпису для гармонізації з європейськими та міжнародними стандартами:
60. ISO/IEC 17799:2005 IT - Security techniques - Code of practice for information security management
71. ISO/IEC 27002:2005 IT - Security techniques - Code of practice for information security management
72. ISO/IEC 27004:2009 IT - Security techniques - Information security management - Measurement
73. ISO/IEC 27005:2008 IT - Security techniques - Information security risk management"
74. ISO/IEC 27006:2007 IT - Security techniques - Requirements for bodies providing audit and certification of information security management systems
75. ISO/IEC 27011:2008 IT - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
2. Перелік стандартів у сфері електронного цифрового підпису, що підлягають перегляду:
60. ДСТУ ISO/IEC 27000 Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Overview and vocabulary
61. ДСТУ ISO/IEC 27001 Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Вимоги
62. ДСТУ ISO/IEC TR 13335-1:2003 IT. Настанови з управління безпекою IT. Частина 1. Концепції та моделі безпеки ІТ
63. ДСТУ ISO/IEC TR 13335-2:2003 IT. Настанови з управління безпекою інформаційних технологій. Частина 2. Управління та планування безпекою ІТ
64. ДСТУ ISO/IEC TR 13335-3:2003 IT. Настанови з управління безпекою IT. Частина 3. Методи керування захистом IT
3.2. Семейство стандартов ISO/IEC 27k
Международные стандарты системы управления представляют модель для налаживания и функционирования системы управления. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области.
При использовании семейства стандартов СУИБ организации могут реализовывать и совершенствовать СУИБ и подготовиться к ее независимой оценке, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной.
Семейство стандартов СУИБ предназначено для помощи организациям любого типа и величины в реализации и функционировании СУИБ. Семейство стандартов СУИБ состоит из следующих международных стандартов под общим названием «Information technology - Security techniques» - ИТ - Методы и средства обеспечения безопасности:
- ISO/IEC 27000 СУИБ. Общий обзор и терминология;
- ISO/IЕС 27001 СУИБ. Требования;
- ISO/IEC 27002 Свод правил по управлению ИБ;
- ISO/IEC 27003 Руководство по реализации СУИБ;
- ISO/IEC 27004 УИБ. Измерения;
- ISO/IEC 27005 Управление рисками ИБ;
- ISO/IЕС 27006 Требования для органов, обеспечивающих аудит и сертификацию СУИБ;
- ISO/IEС 27007 Руководство для проведения аудита СУИБ;
- ISO/IEС TR 27008 Руководство для аудита механизмов контроля ИБ;
- ISO/IEС 27010 УИБ для межсекторных и межорганизационных коммуникаций;
- ISO/IЕС 27011 Руководство пo УИБ организаций, предлагающих телекоммуникационные услуги, на основе ISО/IEC 27002;
- ISO/IEС 27013 Руководство пo интегрированной реализации стандартов ISO/IEC 27001 и ISO/IEC 20000-1;
- ISO/IEС 27014 Управление ИБ высшим руководством;
- ISO/IEС TR 27015 Руководство пo УИБ для финансовых сервисов;
- ISO/IEС TR 27016 УИБ. Организационная экономика;
- ISO/IEС 27035 Управление инцидентами ИБ.
Международный стандарт, не имеющие этого общего названия:
- ISO 27799 Информатика в здравоохранении. УИБ по стандарту ISO/IEC 27002.
Семейство стандартов СУИБ содержит стандарты, которые:
- определяют требования к СУИБ и к сертификации таких систем;
- содержат прямую поддержку, детальное руководство и интерпретацию полных процессов «План (Plan) - Осуществление (Do) - Проверка (Check) -Действие (Act)» (PDCA) и требования;
- включают в себя специальные руководящие принципы для СУИБ;
- руководят проведением оценки соответствия СУИБ.
|