ГОСТ Р ИСО/МЭК 27001-2021. Национальный стандарт РФ: "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30.11.2021 N 1653-ст)

Information technology. Security techniques. Information security management systems. Requirements

УДК 006.035:004.056.5:004.057.2:006.354
ОКС 35.040

Дата введения - 1 января 2022 г.
Взамен ГОСТ Р ИСО/МЭК 27001-2006

ГАРАНТ:

Курсив в тексте не приводится

Предисловие

1 Подготовлен Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Открытым акционерным обществом "Информационные технологии и коммуникационные системы" (ОАО "ИнфоТеКС") и Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России") на основе официального перевода на русский язык англоязычной версии указанного в пункте 4 стандарта, который выполнен ФГБУ "РСТ"

2 Внесен Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2021 г. N 1653-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27001:2013 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (ISO/IEC 27001:2013 "Information technology - Security techniques - Information security management systems - Requirements", IDT), включая технические поправки: Cor. 1:2014; Cor. 2:2015.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.

Дополнительные сноски в тексте стандарта, выделенные курсивом, приведены для пояснения текста оригинала

5 Взамен ГОСТ Р ИСО/МЭК 27001-2006

Введение

Настоящий стандарт подготовлен с целью установления требований по созданию, внедрению, поддержке и постоянному улучшению системы менеджмента информационной безопасности. Решение о внедрении системы менеджмента информационной безопасности является стратегическим решением организации. На то, в каком виде в организации будет создана и внедрена система менеджмента информационной безопасности, влияют потребности и цели деятельности организации, требования безопасности, реализуемые организацией процессы деятельности, а также размеры и структура организации. Предполагается, что все указанные факторы влияния изменяются со временем.

Система менеджмента информационной безопасности сохраняет конфиденциальность, целостность и доступность информации за счет применения процесса управления рисками и дает заинтересованным сторонам ¹⁾ уверенность в том, что риски надлежащим образом управляются.

------------------------------

¹⁾_{Заинтересованная сторона (interested party) - лицо или организация, которые могут воздействовать на осуществление деятельности или принятие решения, быть подверженными их воздействию или воспринимать себя в качестве последних (см. ГОСТ Р ИСО 9000-2015, пункт 3.2.3).}

------------------------------

Важно, чтобы система менеджмента информационной безопасности организации составляла часть процессов и структуры управления организации и была интегрирована с ними. Также важно, чтобы информационная безопасность учитывалась при проектировании процессов, информационных систем и средств управления. Предполагается, что система менеджмента информационной безопасности будет адаптироваться к потребностям организации.

Настоящий стандарт может быть использован заинтересованными сторонами для оценки способности организации соответствовать собственным требованиям к информационной безопасности.

Порядок представления требований в настоящем стандарте не отражает их значимость и последовательность, в соответствии с которыми они должны быть реализованы. Нумерация требований приведена только для ссылочных целей.

Обзор и терминология систем менеджмента информационной безопасности со ссылками на семейство стандартов системы менеджмента информационной безопасности (включая ИСО/МЭК 27003 [2], ИСО/МЭК 27004 [3] и ИСО/МЭК 27005 [4]), содержащих соответствующие термины и определения, представлены в ИСО/МЭК 27000.

Настоящий стандарт использует высокоуровневую структуру, идентичные названия подразделов, идентичный текст, общие термины и основные определения, приведенные в приложении SL документа "Директивы ИСО/МЭК, часть 1" [6], и соответственно поддерживает совместимость с другими стандартами по системам менеджмента, соответствующим приложению SL.

Общий подход, определенный в приложении SL, будет полезен для тех организаций, которые решили использовать единую систему менеджмента, отвечающую требованиям двух и более стандартов по системам менеджмента.

1 Область применения

Настоящий стандарт устанавливает общие требования по созданию, внедрению, поддержке и постоянному улучшению системы менеджмента информационной безопасности в контексте деятельности организации. Настоящий стандарт также содержит требования по оценке и обработке рисков информационной безопасности с учетом потребностей организации. Изложенные в настоящем стандарте требования являются обобщенными и предназначены для применения во всех организациях независимо от их типа, размера, структуры и сферы деятельности. Исключение любого из требований, указанных в разделах 4-10, не допускается, если организация заявляет о соответствии данному стандарту.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология)

3 Термины и определения

В настоящем стандарте применяются термины и определения, приведенные в ИСО/МЭК 27000.

4 Контекст деятельности организации

4.1 Понимание внутренних и внешних факторов деятельности организации

В организации должны быть определены внешние и внутренние факторы, имеющие отношение к деятельности организации и оказывающие влияние на ее способность достигать ожидаемого(ых) результата(ов) от системы менеджмента информационной безопасности.

Примечание - Определение этих факторов относится к установлению внутреннего и внешнего контекста организации, рассматриваемого в ИСО 31000:2009 [5] (подраздел 5.3).

4.2 Понимание потребностей и ожиданий заинтересованных сторон

Организация должна определить:

a) заинтересованные стороны, имеющие отношение к системе менеджмента информационной безопасности;

b) требования этих заинтересованных сторон к информационной безопасности.

Примечание - Требования заинтересованных сторон могут включать правовые и нормативные требования и договорные обязательства.

4.3 Определение области действия системы менеджмента информационной безопасности

Для установления области действия системы менеджмента информационной безопасности организация должна определить применимость системы менеджмента информационной безопасности и ее границы.

При определении области действия системы менеджмента информационной безопасности необходимо учитывать:

a) внутренние и внешние факторы, указанные в 4.1;

b) требования, приведенные в 4.2;

c) порядок взаимодействия и зависимости между деятельностью данной организации и деятельностью других организаций.

Область действия системы менеджмента информационной безопасности должна быть доступна в виде документированной информации.

4.4 Система менеджмента информационной безопасности

Создание, внедрение, поддержку и постоянное улучшение системы менеджмента информационной безопасности организация должна проводить в соответствии с требованиями настоящего стандарта.

5 Руководство

5.1 Лидерство и приверженность

Высшее руководство организации должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента информационной безопасности:

a) установлением политики и целей информационной безопасности, совместимых со стратегическим направлением развития организации;

b) интеграцией требований системы менеджмента информационной безопасности в процессы организации;

c) доступностью ресурсов, необходимых для системы менеджмента информационной безопасности;

d) декларированием важности обеспечения эффективного менеджмента информационной безопасностью и соответствия требованиям системы менеджмента информационной безопасности;

e) достижением системой менеджмента информационной безопасности ожидаемых результатов;

f) направляя и поддерживая лиц, способствующих повышению результативности системы менеджмента информационной безопасности;

g) постоянным улучшением системы менеджмента информационной безопасности;

h) поддержкой других руководителей в реализации их ведущих ролей в рамках зон их ответственности.

5.2 Политика

Высшее руководство организации должно установить политику информационной безопасности, которая:

a) соответствует целям деятельности организации;

b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления;

c) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности;

d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.

Политика информационной безопасности должна быть:

e) доступна в виде документированной информации;

f) доведена до сведения работников организации;

g) доступна заинтересованным сторонам.

5.3 Роли, обязанности и полномочия в организации

Высшее руководство организации должно обеспечить назначение обязанностей и полномочий для ролей, имеющих отношение к обеспечению информационной безопасности, и доведение этих обязанностей и полномочий до всех заинтересованных сторон.

Высшее руководство должно назначать обязанности и полномочия:

a) для обеспечения уверенности в соответствии системы менеджмента информационной безопасности организации требованиям настоящего стандарта;

b) представления отчетности о функционировании системы менеджмента информационной безопасности высшему руководству.

Примечание - Высшее руководство также может устанавливать обязанности и полномочия для представления отчетности о функционировании системы менеджмента информационной безопасности в рамках организации.

6 Планирование

6.1 Действия по рассмотрению рисков и возможностей

6.1.1 Общие положения

При планировании системы менеджмента информационной безопасности организация должна учитывать факторы, указанные в 4.1, и требования, приведенные в 4.2, а также определять подлежащие рассмотрению риски информационной безопасности и возможности организации для:

a) обеспечения уверенности в том, что система менеджмента информационной безопасности способна достичь намеченных результатов;

b) предотвращения или уменьшения нежелательных последствий ¹⁾;

------------------------------

¹⁾_{Например, реализации рисков информационной безопасности.}

------------------------------

c) обеспечения постоянного улучшения ²⁾.

------------------------------

²⁾_{Например, уровня информационной безопасности.}

------------------------------

Организация должна планировать:

d) действия по рассмотрению данных рисков и возможностей;

е) каким образом:

1) интегрировать и внедрять эти действия в процессы системы менеджмента информационной безопасности;

2) оценивать результативность этих действий.

6.1.2 Оценка рисков информационной безопасности

Организация должна определить и внедрить процесс оценки рисков информационной безопасности, который позволяет:

a) устанавливать и поддерживать критерии рисков информационной безопасности, включая:

1) критерии принятия рисков информационной безопасности;

2) критерии для проведения оценки рисков информационной безопасности;

b) обеспечивать уверенность в том, что повторные оценки рисков информационной безопасности дают непротиворечивые, достоверные и сопоставимые результаты;

c) идентифицировать риски информационной безопасности, т.е.:

1) применять процесс оценки рисков информационной безопасности для идентификации рисков, связанных с нарушением конфиденциальности, целостности и доступности информации в рамках области действия системы менеджмента информационной безопасности;

2) идентифицировать владельцев рисков информационной безопасности;

d) проводить анализ рисков информационной безопасности, т.е.:

1) оценивать потенциальные последствия, которые могут произойти в результате реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1);

2) оценивать реальную вероятность реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1);

3) определять уровни рисков информационной безопасности;

e) оценивать риски информационной безопасности, т.е.:

1) сравнивать результаты анализа рисков информационной безопасности с критериями рисков, установленными в соответствии с 6.1.2 а);

2) определять приоритетность обработки проанализированных рисков информационной безопасности.

Организация должна хранить документированную информацию о процессе оценки рисков информационной безопасности.

6.1.3 Обработка рисков информационной безопасности

Организация должна определить и применять процесс обработки рисков информационной безопасности:

a) для выбора подходящих вариантов обработки рисков информационной безопасности, учитывая результаты оценки рисков информационной безопасности;

b) определения всех мер и средств информационной безопасности, необходимых для реализации выбранного(ых) варианта(ов) обработки рисков информационной безопасности.

Примечание - При необходимости организация может разрабатывать меры обеспечения информационной безопасности или взять их из любого источника;

c) сравнения мер и средств информационной безопасности, определенных в соответствии с 6.1.3 b), с указанными в приложении А для проверки того, что никакие необходимые меры обеспечения информационной безопасности не были упущены.

Примечание 1 - Приложение А содержит базовый перечень мер и средств информационной безопасности и целей их применения. Пользователям настоящего стандарта следует обращаться к приложению А для обеспечения уверенности в том, что никакие необходимые меры обеспечения информационной безопасности не были упущены.

Примечание 2 - Цели применения мер и средств информационной безопасности неявным образом включены в выбранные меры обеспечения информационной безопасности. Приведенные в приложении А меры обеспечения информационной безопасности и цели их применения не являются исчерпывающими, и организация может рассматривать необходимость дополнительных мер и средств информационной безопасности и целей их применения;

d) подготовки ведомости применимости мер и средств информационной безопасности, которая содержит ¹⁾:

------------------------------

¹⁾_{Пункт 6.1.3 d) приведен с учетом технической правки к ISO/IEC 27001:2013.}

------------------------------

- необходимые меры обеспечения информационной безопасности [см. 6.1.3 b) и с)];

- обоснования их применения;

- информацию о том, реализованы или нет необходимые меры обеспечения информационной безопасности;

- обоснования неприменения мер и средств информационной безопасности, представленных в приложении А;

e) разработки плана обработки рисков информационной безопасности;

f) согласования и (или) утверждения плана обработки рисков информационной безопасности и принятия остаточных рисков информационной безопасности владельцами рисков.

Организация должна хранить документированную информацию о процессе обработки рисков информационной безопасности.

Примечание - Процесс оценки и обработки рисков информационной безопасности в настоящем стандарте согласуется с принципами и общими рекомендациями, представленными в ИСО 31000 [5].

6.2 Цели информационной безопасности и планы по их достижению

В организации должны быть установлены цели обеспечения информационной безопасности применительно к соответствующим функциям и уровням управления организацией.

Цели информационной безопасности должны:

a) быть согласованы с политикой информационной безопасности;

b) быть измеримыми (если это практически возможно);

c) учитывать применимые требования информационной безопасности и результаты оценки и обработки рисков информационной безопасности;

d) быть доведены до сведения всех заинтересованных сторон;

e) обновляться по мере необходимости.

Организация должна хранить документированную информацию о целях информационной безопасности.

При планировании способов достижения своих целей информационной безопасности организация должна определить:

f) что должно быть сделано;

g) какие ресурсы потребуются;

h) кто будет нести ответственность;

i) когда планируемое мероприятие будет завершено;

j) как будут оцениваться результаты.

7 Обеспечение и поддержка

7.1 Ресурсы

Организация должна определить и обеспечить наличие ресурсов, необходимых для создания, внедрения, поддержки и постоянного улучшения системы менеджмента информационной безопасности.

7.2 Квалификация

Организация должна:

a) определить необходимую квалификацию для лиц(а), выполняющих(его) работу под ее контролем, которая влияет на обеспечение ее информационной безопасности;

b) убедиться, что квалификация этих лиц базируется на их приемлемом образовании, профессиональной подготовке (стажировке) или опыте работы;

c) при необходимости принимать меры по получению необходимой квалификации и проводить оценивание результативности принятых мер;

d) сохранять соответствующую документированную информацию в качестве свидетельств наличия необходимой квалификации.

Примечание - Применяемые меры могут включать, например, проведение тренинга, наставничество или перераспределение обязанностей среди имеющихся работников, а также наем или привлечение к работам по контракту лиц, имеющих необходимую квалификацию.

7.3 Осведомленность

Лица, выполняющие работу под контролем организации, должны быть осведомлены:

a) о политике информационной безопасности организации;

b) их вкладе в обеспечение результативности системы менеджмента информационной безопасности, включая пользу от улучшения деятельности по обеспечению информационной безопасности;

c) последствиях несоблюдения требований системы менеджмента информационной безопасности.

7.4 Взаимодействие

В организации должна быть определена необходимость во взаимодействии внутри организации и с внешними сторонами по вопросам, имеющим отношение к системе менеджмента информационной безопасности, включая следующие:

a) предмет взаимодействия;

b) когда взаимодействовать;

c) с кем взаимодействовать;

d) кто должен взаимодействовать;

е) процедуры осуществления взаимодействия.

7.5 Документированная информация

7.5.1 Общие положения

Система менеджмента информационной безопасности организации должна включать:

a) документированную информацию, требуемую в соответствии с настоящим стандартом;

b) документированную информацию, определяемую организацией как необходимую для обеспечения результативности системы менеджмента информационной безопасности.

Примечание - Объем документированной информации, относящейся к системе менеджмента информационной безопасности, в разных организациях может быть различным, в зависимости:

a) от размеров организации и вида ее деятельности, процессов, продуктов и услуг;

b) сложности процессов и их взаимодействия;

c) квалификации персонала.

7.5.2 Создание и обновление документированной информации

При создании и обновлении документированной информации организация должна обеспечить надлежащие:

a) идентификацию и описание (например, наименование, дата, автор или номер для ссылок);

b) формат (например, язык, версия программного обеспечения, графика) и носитель информации (например, бумажный, электронный);

c) проверку и подтверждение ее пригодности и адекватности.

7.5.3 Управление документированной информацией

Требуется осуществлять управление документированной информацией, необходимой для системы менеджмента информационной безопасности и указанной в настоящем стандарте, с целью обеспечения ее:

a) доступности и пригодности для использования, когда и где это необходимо;