Jump to content

Серия ISO/IEC 27000

Серия ISO/IEC 27000 (также известная как «Семейство стандартов ISMS» или сокращенно «ISO27K») включает стандарты информационной безопасности, опубликованные совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). [1]

В этой серии представлены рекомендации по передовому опыту управления информационной безопасностью — управления информационными рисками с помощью средств контроля информационной безопасности — в контексте общей системы управления информационной безопасностью (СУИБ), аналогичной по конструкции системам управления для обеспечения качества (серия ISO 9000). , охрана окружающей среды (серия ISO 14000) и другие системы менеджмента. [2] [3]

Серия намеренно широка по своему охвату и охватывает не только вопросы конфиденциальности, ИТ, технических вопросов и кибербезопасности. Он применим к организациям всех форм и размеров. Всем организациям рекомендуется оценивать свои информационные риски, а затем обращаться с ними (обычно с использованием средств управления информационной безопасностью) в соответствии со своими потребностями, используя руководства и предложения, где это уместно. Учитывая динамичный характер информационных рисков и безопасности, концепция СМИБ включает в себя постоянную обратную связь и действия по улучшению для реагирования на изменения угроз, уязвимостей или последствий инцидентов.

Стандарты являются продуктом ISO/IEC JTC 1 (Объединенный технический комитет 1) SC 27 (Подкомитет 27) , международного органа, который собирается лично (лично или виртуально) два раза в год.

Стандарты ISO/IEC продаются напрямую ISO, в основном на английском, французском и китайском языках. Торговые точки, связанные с различными национальными органами по стандартизации, также продают версии, переведенные напрямую на несколько языков.

Ранняя история [ править ]

Многие люди и организации участвуют в разработке и поддержании стандартов ISO27K. Первым стандартом этой серии был ISO/IEC 17799:2000; это было ускоренное развитие существующего британского стандарта BS 7799, часть 1:1999. Первоначальная версия BS 7799 была частично основана на руководстве по политике информационной безопасности, разработанном Royal Dutch/Shell Group в конце 1980-х - начале 1990-х годов. В 1993 году тогдашнее Министерство торговли и промышленности (Соединенное Королевство) собрало группу для анализа существующей практики в области информационной безопасности с целью разработки стандартного документа. В 1995 году BSI Group опубликовала первую версию BS 7799 . [4] Один из основных авторов BS 7799 вспоминает, что в начале 1993 года «DTI решило быстро собрать группу представителей отрасли из семи различных секторов: Shell ([Дэвид Лейси] и Лес Райли), BOC Group (Нил Твист) ), BT (Деннис Уиллетс), Marks & Spencer (Стив Джонс), Midland Bank (Ричард Хакворт), Nationwide (Джон Боулз) и Unilever (Рольф Моултон)». [5] Дэвид Лэйси считает, что покойному Донну Б. Паркеру принадлежит «оригинальная идея создания набора средств контроля информационной безопасности» и он к концу 1980-х годов подготовил документ, содержащий «коллекцию из примерно сотни базовых средств контроля» для «я- 4 кружок информационной безопасности [6] который он задумал и основал.

Опубликованные стандарты [ править ]

Опубликованные стандарты ISO27K, относящиеся к «информационной безопасности, кибербезопасности и защите конфиденциальности», следующие:

  1. ISO/IEC 27000 — Системы менеджмента информационной безопасности. Обзор и словарь [7]
  2. ISO/IEC 27001 — Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы управления информационной безопасностью. Требования. [8] - определяет требования к системе менеджмента информационной безопасности в том же формализованном, структурированном и кратком виде, как другие стандарты ISO определяют другие виды систем менеджмента.
  3. ISO/IEC 27002 — Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью — по сути, подробный каталог мер информационной безопасности, которыми можно управлять через СМИБ.
  4. ISO/IEC 27003 — Руководство по внедрению системы менеджмента информационной безопасности
  5. ISO/IEC 27004 — Менеджмент информационной безопасности. Мониторинг, измерение, анализ и оценка [9]
  6. ISO/IEC 27005 — Руководство по управлению рисками информационной безопасности [10]
  7. ISO/IEC 27006 — Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности.
  8. ISO/IEC 27007 — Руководящие указания по аудиту систем менеджмента информационной безопасности (с упором на аудит системы менеджмента)
  9. ISO/IEC TR 27008 — Руководство для аудиторов по средствам управления СМИБ (сфокусировано на аудите средств управления информационной безопасностью)
  10. ISO/IEC 27009 — Информационные технологии. Методы обеспечения безопасности. Отраслевое применение ISO/IEC 27001 — Требования.
  11. ISO/IEC 27010 — Менеджмент информационной безопасности для межотраслевых и межорганизационных коммуникаций
  12. ISO/IEC 27011 — Руководство по управлению информационной безопасностью для телекоммуникационных организаций на основе ISO/IEC 27002.
  13. ISO/IEC 27013 — Руководство по комплексному внедрению ISO/IEC 27001 и ISO/IEC 20000-1.
  14. ISO/IEC 27014 — Управление информационной безопасностью. [11] (Манкке оценил этот стандарт в контексте австралийского электронного здравоохранения.) [12]
  15. ISO/IEC TR 27015 — Руководство по управлению информационной безопасностью для финансовых услуг (сейчас отозвано) [13]
  16. ISO/IEC TR 27016 — Экономика информационной безопасности
  17. ISO/IEC 27017 — Кодекс практики управления информационной безопасностью на основе ISO/IEC 27002 для облачных сервисов.
  18. ISO/IEC 27018 — Кодекс практики защиты личной информации (PII) в общедоступных облаках, выступающих в качестве обработчиков PII
  19. ISO/IEC 27019 — Информационная безопасность для управления процессами в энергетической отрасли.
  20. ISO/IEC 27021 — Требования к компетентности специалистов по системам управления информационной безопасностью
  21. ISO/IEC TS 27022 — Руководство по процессам системы менеджмента информационной безопасности — в разработке [14]
  22. ISO/IEC TR 27023. Сопоставление пересмотренных редакций ISO/IEC 27001 и ISO/IEC 27002.
  23. ISO/IEC 27028. Руководство по атрибутам ISO/IEC 27002.
  24. ISO/IEC 27031 — Руководство по готовности информационных и коммуникационных технологий к обеспечению непрерывности бизнеса
  25. ISO/IEC 27032 — Руководство по кибербезопасности
  26. ISO/IEC 27033-1 — Сетевая безопасность. Часть 1. Обзор и концепции
  27. ISO/IEC 27033-2 — Сетевая безопасность. Часть 2. Руководящие указания по проектированию и реализации сетевой безопасности.
  28. ISO/IEC 27033-3 — Сетевая безопасность. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и проблемы контроля
  29. ISO/IEC 27033-4 — Сетевая безопасность. Часть 4. Защита связи между сетями с использованием шлюзов безопасности.
  30. ISO/IEC 27033-5 — Сетевая безопасность. Часть 5. Защита связи между сетями с использованием виртуальных частных сетей (VPN).
  31. ISO/IEC 27033-6 — Сетевая безопасность. Часть 6. Защита доступа к беспроводной IP-сети.
  32. ISO/IEC 27033-7 — Сетевая безопасность. Часть 7. Рекомендации по безопасности виртуализации сети.
  33. ISO/IEC 27034-1 — Безопасность приложений. Часть 1. Руководство по безопасности приложений.
  34. ISO/IEC 27034-2 — Безопасность приложений. Часть 2. Нормативная база организации
  35. ISO/IEC 27034-3 — Безопасность приложений. Часть 3. Процесс управления безопасностью приложений.
  36. ISO/IEC 27034-4 — Безопасность приложений. Часть 4. Валидация и верификация (в разработке) [15]
  37. ISO/IEC 27034-5 — Безопасность приложений. Часть 5. Протоколы и структура данных средств управления безопасностью приложений.
  38. ISO/IEC 27034-5-1 — Безопасность приложений. Часть 5-1. Протоколы и средства управления безопасностью приложений. Структура данных, XML-схемы.
  39. ISO/IEC 27034-6 — Безопасность приложений. Часть 6. Тематические исследования
  40. ISO/IEC 27034-7 — Безопасность приложений. Часть 7. Структура прогнозирования достоверности
  41. ISO/IEC 27035-1 — Управление инцидентами информационной безопасности. Часть 1. Принципы управления инцидентами
  42. ISO/IEC 27035-2 — Управление инцидентами информационной безопасности. Часть 2. Руководящие указания по планированию и подготовке к реагированию на инциденты.
  43. ISO/IEC 27035-3 — Управление инцидентами информационной безопасности. Часть 3. Руководящие указания по реагированию на инциденты ИКТ.
  44. ISO/IEC 27035-4 — Управление инцидентами информационной безопасности. Часть 4. Координация (в разработке). [16]
  45. ISO/IEC 27036-1 — Информационная безопасность в отношениях с поставщиками. Часть 1. Обзор и концепции.
  46. ISO/IEC 27036-2 — Информационная безопасность в отношениях с поставщиками. Часть 2: Требования.
  47. ISO/IEC 27036-3 — Информационная безопасность в отношениях с поставщиками. Часть 3. Руководящие указания по безопасности цепочки поставок информационных и коммуникационных технологий.
  48. ISO/IEC 27036-4 — Информационная безопасность в отношениях с поставщиками. Часть 4. Руководящие указания по безопасности облачных сервисов.
  49. ISO/IEC 27037 — Руководящие указания по идентификации, сбору, получению и сохранению цифровых доказательств
  50. ISO/IEC 27038 — Спецификация цифрового редактирования цифровых документов
  51. ISO/IEC 27039 — Предотвращение вторжений
  52. ISO/IEC 27040 — Безопасность хранения данных [17]
  53. ISO/IEC 27041 — Обеспечение проведения расследований
  54. ISO/IEC 27042 — Анализ цифровых доказательств
  55. ISO/IEC 27043 — Расследование инцидентов
  56. ISO/IEC 27050-1 — Электронное открытие. Часть 1. Обзор и концепции
  57. ISO/IEC 27050-2 — Электронное обнаружение. Часть 2. Руководство по руководству и управлению электронным обнаружением
  58. ISO/IEC 27050-3 — Электронное открытие. Часть 3. Кодекс практики электронного открытия.
  59. ИСО/МЭК 27050-4 — Электронное открытие. Часть 4. Техническая готовность
  60. ISO/IEC TS 27110 — Информационные технологии, кибербезопасность и защита конфиденциальности. Рекомендации по разработке структуры кибербезопасности [18]
  61. ISO/IEC 27557 — Информационная безопасность, кибербезопасность и защита конфиденциальности. Применение ISO 31000:2018 для управления рисками конфиденциальности в организациях. [19]
  62. ISO/IEC 27701 — Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Система управления конфиденциальной информацией (PIMS).
  63. ISO 27799 — Управление информационной безопасностью в здравоохранении с использованием ISO/IEC 27002 (рекомендует организациям здравоохранения, как защитить личную медицинскую информацию с использованием ISO/IEC 27002)

В стадии подготовки [ править ]

  • В стадии подготовки находятся дополнительные стандарты ISO27K, охватывающие такие аспекты, как цифровая криминалистика, безопасность AI/ML и безопасность Интернета вещей, в то время как выпущенные стандарты ISO27K регулярно пересматриваются и, при необходимости, обновляются примерно каждые пять лет.

См. также [ править ]

Ссылки [ править ]

  1. ^ Свободно доступные стандарты ISO - см. ISO / IEC 27000: 2018.
  2. ^ «ISO/IEC 27001:2022 – Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы управления информационной безопасностью. Требования» . Международная организация по стандартизации . Проверено 13 февраля 2023 г.
  3. ^ «ISO/IEC JTC 1/SC 27 – Информационная безопасность, кибербезопасность и защита конфиденциальности» . Международная организация по стандартизации . Проверено 13 февраля 2023 г.
  4. ^ Джейк Коунс, Дэниел Миноли (2011). Управление рисками информационных технологий в корпоративной среде: обзор отраслевой практики и практическое руководство для групп по управлению рисками . Сомерсет: Уайли.
  5. ^ «Дэвид Лейси о происхождении ISO27K» . Tripwire.com. 18 октября 2013 г.
  6. ^ «Дом «И-4» . I4online.com . Проверено 15 апреля 2017 г.
  7. ^ Международная организация по стандартизации. «ИСО – Международная организация по стандартизации» . Standards.iso.org . Проверено 13 февраля 2023 г.
  8. ^ «ИСО/МЭК 27001:2022» . ИСО . Проверено 8 ноября 2022 г.
  9. ^ Гасиоровски, Элизабет (16 декабря 2016 г.). «ISO/IEC 27004:2016 – Информационные технологии. Методы обеспечения безопасности. Управление информационной безопасностью. Мониторинг, измерение, анализ и оценка» . Международная организация по стандартизации . Проверено 15 апреля 2017 г.
  10. ^ «ISO/IEC 27005:2022 — Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство по управлению рисками информационной безопасности» . Международная организация по стандартизации . Проверено 8 ноября 2022 г.
  11. ^ «ИСО/МЭК 27014» . Международная организация по стандартизации.
  12. ^ Манке, Р.Дж. (2013). «Применимость ISO/IEC27014:2013 для использования в общей медицинской практике» . Материалы 2-й Австралийской конференции по информатике и безопасности электронного здравоохранения . пройдет 2-4 декабря. дои : 10.4225/75/5798124731b3f .
  13. ^ «ISO/IEC TR 27015:2012 – Информационные технологии. Методы обеспечения безопасности. Руководство по управлению информационной безопасностью для финансовых услуг» . Международная организация по стандартизации. 23 апреля 2013 года . Проверено 03 апреля 2018 г.
  14. ^ «ISO/IEC PRF TS 27022 – Информационные технологии. Руководство по процессам системы менеджмента информационной безопасности» . Международная организация по стандартизации . Проверено 21 января 2021 г.
  15. ^ «ISO/IEC DIS 27034-4 – Информационные технологии – Методы обеспечения безопасности – Безопасность приложений – Часть 4: Валидация и верификация» . Международная организация по стандартизации . Проверено 21 января 2021 г.
  16. ^ «ISO/IEC WD 27035-4 – Информационные технологии – Управление инцидентами информационной безопасности – Часть 4: Координация» . Международная организация по стандартизации . Проверено 21 января 2021 г.
  17. ^ «ИСО/МЭК 27040» . Каталог стандартов ISO . Международная организация по стандартизации . Проверено 15 июня 2014 г.
  18. ^ «ИСО/МЭК ТС 27110:2021» . Международная организация по стандартизации. 16 февраля 2021 г. Проверено 4 июня 2021 г.
  19. ^ «ИСО/МЭК 27557:2022» . ИСО . Проверено 9 февраля 2023 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=ISO/IEC_27000-series&oldid=1213279403"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: dedb5780e594dc88ef5cc57058b99d1e__1710198420
URL1:https://arc.ask3.ru/arc/aa/de/1e/dedb5780e594dc88ef5cc57058b99d1e.html
Заголовок, (Title) документа по адресу, URL1:
ISO/IEC 27000-series - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)