ИСО/МЭК 27002

ISO/IEC 27002 — это информационной безопасности, стандарт опубликованный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) под названием « Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью» .

Стандарты серии ISO/IEC 27000 произошли от стандарта корпоративной безопасности, подаренного Shell по инициативе правительства Великобритании в начале 1990-х годов. [1] Стандарт Shell был преобразован в британский стандарт BS 7799 в середине 1990-х годов и принят как ISO/IEC 17799 в 2000 году. Стандарт ISO/IEC был пересмотрен в 2005 году, а в 2007 году ему был присвоен новый номер ISO/IEC 27002, чтобы привести его в соответствие с другими стандартами. Стандарты серии ISO/IEC 27000 . Он снова пересматривался в 2013 и 2022 годах. [2] Позже в 2015 году на основе этого стандарта был создан ISO/IEC 27017 , чтобы предложить дополнительные меры безопасности для облака, которые не были полностью определены в ISO/IEC 27002.

ISO/IEC 27002 предоставляет рекомендации по передовому опыту в отношении средств управления информационной безопасностью для использования лицами, ответственными за запуск, внедрение или поддержание систем управления информационной безопасностью (СУИБ). Информационная безопасность определяется в стандарте в контексте триады ЦРУ :

сохранение конфиденциальности (гарантирование того, что информация доступна только тем, у кого есть разрешение на доступ), целостности (обеспечение точности и полноты информации и методов обработки) и доступности (гарантирование того, что авторизованные пользователи имеют доступ к информации и связанным с ней активам, когда это необходимо) . [3]

Схема [ править ]

Схема ISO/IEC 27002:2022 [ править ]

Стандарт начинается с 4 вводных глав:

  1. Объем
  2. Нормативная ссылка
  3. Термины, определения и сокращенные термины
  4. Структура этого документа

За ними следуют 4 основные главы:

  1. Организационный контроль
  2. Люди контролируют
  3. Физический контроль
  4. Технологический контроль

Схема ISO/IEC 27002:2013 [ править ]

Стандарт начинается с 5 вводных глав:

  1. Введение
  2. Объем
  3. Нормативные ссылки
  4. Термины и определения
  5. Структура настоящего стандарта

За ними следуют 14 основных глав:

  1. Политика информационной безопасности
  2. Организация информационной безопасности
  3. Безопасность человеческих ресурсов
  4. Управление активами
  5. Контроль доступа
  6. Криптография
  7. Физическая и экологическая безопасность
  8. Операционная безопасность - процедуры и обязанности, защита от вредоносного ПО, резервное копирование, ведение журнала и мониторинг, контроль рабочего программного обеспечения, управление техническими уязвимостями и координация аудита информационных систем.
  9. Безопасность связи - Управление сетевой безопасностью и передача информации
  10. Приобретение, разработка и обслуживание систем. Требования безопасности информационных систем. Безопасность процессов разработки и поддержки. Тестовые данные.
  11. Отношения с поставщиками - Информационная безопасность в отношениях с поставщиками и управление предоставлением услуг поставщикам.
  12. Управление инцидентами информационной безопасности - Управление инцидентами информационной безопасности и улучшениями.
  13. Аспекты информационной безопасности управления непрерывностью бизнеса. Непрерывность информационной безопасности и резервирование.
  14. Соответствие - Соблюдение юридических и договорных требований и проверки информационной безопасности.

Управление [ править ]

В каждой главе средства управления информационной безопасностью определены и изложены и их цели. Меры контроля информационной безопасности обычно считаются лучшими средствами достижения этих целей. Для каждого из средств контроля предоставляются рекомендации по реализации.

Специальные меры контроля не обязательны, поскольку:

  1. Ожидается, что каждая организация проведет структурированный процесс оценки рисков информационной безопасности, чтобы определить свои конкретные требования, прежде чем выбирать средства контроля, соответствующие ее конкретным обстоятельствам. Во вводном разделе описывается процесс оценки рисков, хотя существуют более конкретные стандарты, охватывающие эту область, такие как ISO/IEC 27005 . Использование анализа рисков информационной безопасности для выбора и реализации мер информационной безопасности является важной особенностью стандартов серии ISO/IEC 27000 : это означает, что общие рекомендации по передовой практике в этом стандарте адаптированы к конкретному контексту каждого конкретного случая. организации пользователей, а не заучивать наизусть. Например, не все из 39 целей контроля обязательно актуальны для каждой организации, поэтому целые категории контроля могут не считаться необходимыми. Стандарты также являются открытыми в том смысле, что меры контроля информационной безопасности являются «предлагаемыми», оставляя пользователям возможность принять альтернативные меры контроля, если они того пожелают, при условии, что ключевые цели контроля, относящиеся к снижению рисков информационной безопасности, удовлетворены. Это помогает поддерживать актуальность стандарта, несмотря на меняющийся характер угроз информационной безопасности, уязвимостей и воздействий, а также тенденций в использовании определенных средств управления информационной безопасностью.
  2. Практически невозможно перечислить все мыслимые средства управления в стандарте общего назначения. Отраслевые руководства по внедрению стандартов ISO/IEC 27001:2013 и ISO/IEC 27002 предлагают рекомендации, адаптированные для организаций телекоммуникационной отрасли (см. ISO/IEC 27011 ) и здравоохранения (см. ISO 27799 ).

Большинство организаций реализуют широкий спектр мер, связанных с информационной безопасностью, многие из которых в общих чертах рекомендованы ISO/IEC 27002. Структурирование инфраструктуры мер информационной безопасности в соответствии с ISO/IEC 27002 может быть выгодным, поскольку оно:

  • Связан с уважаемым международным стандартом
  • Помогает избежать пробелов в покрытии и дублирования
  • Вероятно, будет признан теми, кто знаком со стандартом ISO/IEC.

Пример реализации ISO/IEC 27002 [ править ]

Вот несколько примеров типичных политик информационной безопасности и других мер контроля, относящихся к трем частям ISO/IEC 27002. (Примечание: это всего лишь иллюстрация. Список примеров мер контроля неполный и не является универсально применимым.)

и Физическая безопасность экологическая

  • Физический доступ к помещениям и вспомогательной инфраструктуре (связь, электроснабжение, кондиционирование воздуха и т. д.) должен контролироваться и ограничиваться для предотвращения, обнаружения и минимизации последствий несанкционированного и ненадлежащего доступа, взлома, вандализма, преступного ущерба, кражи и т. д.
  • Список лиц, имеющих право доступа в охраняемые зоны, должен периодически пересматриваться и утверждаться (не реже одного раза в год) администрацией или отделом физической безопасности, а также перепроверяться руководителями подразделений.
  • Фото- и видеосъемка запрещены внутри Зон ограниченного доступа без предварительного разрешения уполномоченного органа.
  • Подходящие камеры видеонаблюдения должны быть расположены на всех входах и выходах в помещения и других стратегических точках, таких как зоны ограниченного доступа, записываться и храниться не менее одного месяца и круглосуточно контролироваться обученным персоналом.
  • Карты доступа, разрешающие ограниченный по времени доступ к общим и/или конкретным областям, могут быть предоставлены стажерам, продавцам, консультантам, третьим лицам и другому персоналу, который был идентифицирован, аутентифицирован и уполномочен на доступ к этим областям.
  • За исключением общественных зон, таких как холл со стойкой регистрации, и частных зон, таких как туалеты, посетители должны всегда сопровождаться сотрудником, пока они находятся на территории.
  • Дата и время входа и ухода посетителей, а также цель посещения должны быть записаны в журнале, который ведется и контролируется службой безопасности объекта или стойкой регистрации.
  • Все находящиеся на объекте (сотрудники и посетители) должны постоянно носить и показывать действительный выданный пропуск и предъявлять его для проверки по требованию менеджера, охранника или заинтересованного сотрудника.
  • Системы контроля доступа сами по себе должны быть адекватно защищены от несанкционированного/несанкционированного доступа и других угроз.
  • Учения по пожарной безопасности/эвакуации должны проводиться периодически (не реже одного раза в год).
  • Курение запрещено внутри помещений, кроме специально отведенных для этого зон для курения.

Безопасность кадров [ править ]

  • Все сотрудники должны пройти проверку перед приемом на работу, включая проверку личности с использованием паспорта или аналогичного удостоверения личности с фотографией и как минимум двух удовлетворительных профессиональных рекомендаций. Дополнительные проверки обязательны для сотрудников, занимающих доверенные должности.
  • Все сотрудники должны официально принять обязывающее соглашение о конфиденциальности или неразглашении личной и служебной информации, предоставленной им или полученной ими в ходе работы.
  • Отдел кадров должен информировать администрацию, финансы и операции, когда сотрудника принимают на работу, переводят, увольняют, отстраняют от работы или отпускают в долгосрочный отпуск, а также о прекращении его работы.
  • При получении уведомления от отдела кадров об изменении статуса сотрудника Администрация должна обновить его права физического доступа, а Администрация ИТ-безопасности должна соответствующим образом обновить его логические права доступа.
  • Руководитель сотрудника должен обеспечить, чтобы все карты доступа, ключи, ИТ-оборудование, носители данных и другие ценные корпоративные активы были возвращены сотрудником в последний день его работы или ранее.

Контроль доступа [ править ]

  • Доступ пользователей к корпоративным ИТ-системам, сетям, приложениям и информации должен контролироваться в соответствии с требованиями доступа, указанными соответствующими владельцами информационных активов, обычно в соответствии с ролью пользователя.
  • Универсальные или тестовые идентификаторы нельзя создавать или включать в производственных системах, если это специально не разрешено соответствующими владельцами информационных активов.
  • После заранее определенного количества неудачных попыток входа в систему должны быть созданы записи журнала безопасности и (при необходимости) предупреждения системы безопасности, а учетные записи пользователей должны быть заблокированы в соответствии с требованиями соответствующих владельцев информационных активов.
  • Пароли или парольные фразы должны быть длинными и сложными и состоять из букв, цифр и специальных символов, которые трудно угадать.
  • Пароли или парольные фразы нельзя записывать или хранить в читаемом формате.
  • Информация аутентификации, такая как пароли, журналы безопасности, конфигурации безопасности и т. д., должна быть надлежащим образом защищена от несанкционированного или неправомерного доступа, изменения, повреждения или потери.
  • Права привилегированного доступа, обычно необходимые для администрирования, настройки, управления, защиты и мониторинга ИТ-систем, должны периодически (не реже двух раз в год) проверяться отделом информационной безопасности и перепроверяться руководителями соответствующих отделов.
  • Пользователи должны либо выйти из системы, либо заблокировать паролем свои сеансы, прежде чем оставлять их без присмотра.
  • На всех рабочих станциях/ПК должны быть включены заставки, защищенные паролем, с таймаутом неактивности не более 10 минут.
  • Доступ для записи на съемные носители (USB-накопители, устройства записи CD/DVD и т. д.) должен быть отключен на всех настольных компьютерах, если это специально не разрешено по законным деловым причинам.

История [ править ]

Год Описание
2005 ИСО/МЭК 27002 (1-е издание)
2013 ИСО/МЭК 27002 (2-е издание)
2022 ИСО/МЭК 27002 (3-е издание)


Национальные эквивалентные стандарты

ISO/IEC 27002 имеет прямо эквивалентные национальные стандарты в нескольких странах. Перевод и местная публикация часто приводят к задержке в несколько месяцев после пересмотра и выпуска основного стандарта ISO/IEC, но национальные органы по стандартизации делают все возможное, чтобы гарантировать, что переведенный контент точно и полностью отражает ISO/IEC 27002.

Страны Эквивалентный стандарт
 Аргентина ИРАМ-ИСО-МЭК 27002:2008
 Австралия

 Новая Зеландия

АС/НЗС ИСО/МЭК 27002:2006
 Бразилия ИСО/МЭК НБР 17799/2007 – 27002.
 Индонезия СНи ИСО/МЭК 27002:2014
 Чили НЧ2777 ИСО/МЭК 17799/2000
 Китай ГБ/Т 22081-2008
 Чешская Республика ЧСН ИСО/МЭК 27002:2006.
 Хорватия ГРН ИСО/МЭК 27002:2013
 Дания DS/ISO27002:2022 (ДК)
 Эстония EVS-ISO/IEC 17799:2003, версия 2005 в переводе
 Франция НФ ИСО/ЦЕИ 27002:2014
 Германия ИЗ ИСО/МЭК 27002:2008
 Япония JIS Q 27002
 Литва LST ISO/IEC 27002:2009 (принят ISO/IEC 27002:2005, ISO/IEC 17799:2005)
 Мексика NMX-I-27002-NYCE-2015
 Нидерланды См. ИСО/МЭК 27002:2013.
 Перу НТП-ИСО/МЭК 17799:2007
 Польша PN-ISO/IEC 17799:2007, на основе ISO/IEC 17799:2005.
 Россия ГОСТ Р ИСО/МЭК 27002-2012 на основе ИСО/МЭК 27002:2005.
 Словакия СТН ИСО/МЭК 27002:2006
 ЮАР САНС 27002:2014/ИСО/МЭК 27002:2013 [4]
 Испания УНЕ 71501
 Швеция СС-ИСО/МЭК 27002:2014
 Турция ТС ИСО/МЭК 27002
 Таиланд ЕДИНИЦА/ИСО
 Украина ДСТУ ISO/IEC 27002:2015
 Великобритания БС ИСО/МЭК 27002:2005
 Уругвай БЛОК/ИСО 17799:2005

Сертификация [ править ]

ISO/IEC 27002 — это рекомендательный стандарт, который предназначен для интерпретации и применения ко всем типам и размерам организаций в соответствии с конкретными рисками информационной безопасности, с которыми они сталкиваются. На практике такая гибкость дает пользователям большую свободу в принятии средств управления информационной безопасностью, которые имеют для них смысл, но делает ее непригодной для относительно простого тестирования на соответствие, подразумеваемого в большинстве формальных схем сертификации.

ISO/IEC 27001:2013 ( Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования ) является широко признанным сертифицируемым стандартом. ISO/IEC 27001 определяет ряд жестких требований к созданию, внедрению, поддержанию и совершенствованию СМИБ, а в Приложении А представлен набор мер по обеспечению информационной безопасности, которые организациям рекомендуется применять в случае необходимости в своих СМИБ. Средства контроля в Приложении А основаны на стандарте ISO/IEC 27002 и соответствуют ему.

Постоянное развитие [ править ]

И ISO/IEC 27001 , и ISO/IEC 27002 пересматриваются ISO/IEC JTC1/SC27 каждые несколько лет, чтобы поддерживать их актуальность и актуальность. Пересмотр включает, например, включение ссылок на другие выпущенные стандарты безопасности (такие как ISO/IEC 27000 , ISO/IEC 27004 и ISO/IEC 27005 ) и различные передовые методы обеспечения безопасности, которые появились в этой области с момента их последней публикации. Из-за значительной «установленной базы» организаций, уже использующих ISO/IEC 27002, особенно в отношении мер информационной безопасности, поддерживающих СМИБ, соответствующую ISO/IEC 27001 , любые изменения должны быть обоснованы и, где это возможно, носить эволюционный, а не эволюционный характер. революционный характер.

См. также [ править ]

Ссылки [ править ]

  1. ^ «Хронология ISO27k» . ISO27001security.com . ООО "ИСЭКТ" . Проверено 9 марта 2016 г.
  2. ^ «Важный стандарт информационной безопасности был пересмотрен» . www.bsigroup.com . Группа компаний БСИ . Проверено 13 декабря 2022 г.
  3. ^ Официальное учебное пособие ISC CISSP . СИБЕКС. 15 сентября 2015 г. ISBN  978-1119042716 . Проверено 1 ноября 2016 г.
  4. ^ «САНС 27002:2014 (Ред. 2.00)» . Интернет-магазин SABS . Проверено 25 мая 2015 г.

Внешние ссылки [ править ]