ГОСТ ISO/IEC 27014-2021 Информационные технологии (ИТ). Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности (с Поправкой).

ГОСТ ISO/IEC 27014-2021 Информационные технологии (ИТ). Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности (с Поправкой).

ГОСТ ISO/IEC 27014-2021

МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ

Информационные технологии

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, КИБЕРБЕЗОПАСНОСТЬ И ЗАЩИТА КОНФИДЕНЦИАЛЬНОСТИ

Руководство деятельностью по обеспечению информационной безопасности

Information technology. Information security, cybersecurity and privacy protection. Governance of information security

МКС 35.030

Дата введения 2021-11-30

Предисловие

Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"

Сведения о стандарте

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5

2 ВНЕСЕН Межгосударственным техническим комитетом по стандартизации МТК 022 "Информационные технологии"

3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 30 июня 2021 г. N 141-П)

За принятие проголосовали:

Краткое наименование страны по МК (ИСО 3166) 004-97	Код страны по МК (ИСО 3166) 004-97	Сокращенное наименование национального органа по стандартизации
Армения	AM	ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения
Беларусь	BY	Госстандарт Республики Беларусь
Казахстан	KZ	Госстандарт Республики Казахстан
Киргизия	KG	Кыргызстандарт
Россия	RU	Росстандарт
Узбекистан	UZ	Узстандарт

(Поправка. ИУС N 11-2021).

4 Приказом Федерального агентства по техническому регулированию и метрологии от 2 июля 2021 г. N 613-ст межгосударственный стандарт ГОСТ ISO/IEC 27014-2021 введен в действие в качестве национального стандарта Российской Федерации с 30 ноября 2021 г.

5 Настоящий стандарт идентичен международному стандарту ISO/IEC 27014:2020* "Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности" ("Information technology - Information security, cybersecurity and privacy protection - Governance of information security", IDT).

ISO/IEC 27014:2020 разработан подкомитетом SC 27 "Информационная безопасность, кибербезопасность и защита конфиденциальности" Совместного технического комитета JTC 1 "Информационные технологии" Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

6 ВВЕДЕН ВПЕРВЫЕ

Информация о введении в действие (прекращении действия) настоящего стандарта и изменений к нему на территории указанных выше государств публикуется в указателях национальных стандартов, издаваемых в этих государствах, а также в сети Интернет на сайтах соответствующих национальных органов по стандартизации.

В случае пересмотра, изменения или отмены настоящего стандарта соответствующая информация будет опубликована на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации в каталоге "Межгосударственные стандарты"

ВНЕСЕНА поправка, опубликованная в ИУС N 11, 2021 год, введенная в действие с 03.09.2021

Введение

Обеспечение информационной безопасности (ИБ) является важнейшей задачей организаций, значение которой постоянно повышается в результате непрерывного развития методов и средств проведения атак на информационные системы, а также в связи с усилением нормативных требований регуляторов.

Недостаточность мер обеспечения ИБ может иметь как для организации, так и для ее партнеров множество негативных последствий, в том числе связанных с утратой доверия.

Руководство деятельностью по обеспечению ИБ предполагает надлежащее использование ресурсов для обеспечения эффективной реализации ИБ, обеспечивающей уверенность в том, что:

- будут соблюдаться директивы по ИБ;

- руководство будет получать достоверную и актуальную отчетность о деятельности, связанной с ИБ.

Предоставленная информация об ИБ помогает руководству принимать решения относительно стратегических целей организации, что гарантирует кроме прочего и соответствие стратегии ИБ этим целям. Она также обеспечивает соответствие стратегии информационной безопасности общим целям организации.

Менеджеры и другие работники организации должны понимать следующее:

- требования к руководству деятельностью, влияющие на их работу;

- как удовлетворить требования к руководству деятельностью, требующие их действий.

1 Область применения

В настоящем стандарте представлены понятия, цели и процессы руководства деятельностью по обеспечению информационной безопасности (ИБ), с помощью которых организации могут оценивать, направлять, контролировать и передавать информацию о процессах, связанных с ИБ, внутри организации.

Целевая аудитория настоящего стандарта:

- руководящие органы и лица из состава высшего руководства;

- лица, ответственные за оценку, управление и мониторинг системы менеджмента информационной безопасности (СМИБ) на основе ISO/IEC 27001;

- лица, ответственные за менеджмент ИБ за пределами области действия СМИБ, основанной на ISO/IEC 27001, но в рамках руководства деятельностью.

Настоящий стандарт применим ко всем видам организаций с различной численностью работников (персонала).

Все ссылки на СМИБ в настоящем стандарте относятся к СМИБ, соответствующим ISO/IEC 27001.

В настоящем стандарте основное внимание уделяется организациям трех типов по отношению к СМИБ, приведенным в приложении В. Однако настоящий стандарт может также использоваться и для организаций других типов.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)

ISO/IEC 27001, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)

3 Термины и определения

В настоящем стандарте применены термины по ISO/IEC 27000, а также следующие термины с соответствующими определениями:

ISO и IEC поддерживают терминологические базы, используемые в сфере стандартизации, доступные на следующих сайтах:

- Онлайн-библиотека стандартов ISO: https://www.iso.org/obp;

- IEC Electropedia: https://www.electropedia.org/;

- термины и определения ITU-T: http://www.itu.int/go/terminology-databasehttp://www.itu.int/go/terminology-databasehttp://www.itu.int/go/terminology-database.

3.1 организационная структура (entity): Предприятие, учреждение или другой хозяйствующий субъект.

Примечание - Организационная структура может быть группой компаний, отдельной компанией, некоммерческой организацией или чем-нибудь иным. Организационная структура имеет руководящие полномочия над организацией. В отдельных случаях, например, в небольших компаниях организационная структура может быть идентична организации.

3.2 организация (organization): Часть организационной структуры, в которой эксплуатируется и контролируется система менеджмента информационной безопасности (СМИБ).

3.3 руководящий орган (governing body): Лицо или группа лиц, несущих ответственность за производительность организационной структуры (3.1) и за соблюдение применимых ею норм.

[ISO/IEC 27000:2018 (подраздел 3.24) с изменениями - вместо термина "организация" используется термин "организационная структура"]

3.4 высшее руководство (top management): Лицо или группа лиц, руководящих организацией (3.2) и контролирующих ее на высшем уровне.

Примечания

1 Высшее руководство имеет право делегировать полномочия и предоставлять ресурсы в рамках организации.

2 Если область действия системы менеджмента охватывает только часть организационной структуры, то высшее руководство относится к тем, кто руководит этой частью организационной структуры и контролирует ее. Высшее руководство подотчетно руководящему органу организационной структуры.

3 В зависимости от размера и ресурсов организации, высшее руководство может быть совмещено с руководящим органом.

4 Высшее руководство подчиняется руководящему органу.

5 В ISO 37001 также определены понятия руководящего органа и высшего руководства.

[ISO/IEC 27000:2018 (подраздел 3.75) с изменениями:

- в примечании 2 термин "организация" заменен на термин "организационная структура" и добавлено второе предложение;

- примечание 3 заменено;

- добавлены примечания 3 и 5]

4 Сокращения

В настоящем стандарте применены следующие сокращения:

СМИБ - система менеджмента информационной безопасности;

ИТ - информационные технологии.

5 Состав и структура настоящего стандарта

В настоящем стандарте описано, как осуществляется руководство деятельностью по обеспечению ИБ в рамках СМИБ, соответствующей ISO/IEC 27001, и как такие руководящие действия могут быть связаны с другими действиями управления вне области действия СМИБ. В настоящем стандарте определены четыре основных процесса: "оценка", "координация", "мониторинг" и "обмен информацией", в которых СМИБ может быть структурирована внутри организации, а также предлагаются подходы для интеграции руководства деятельностью по обеспечению ИБ в деятельность по управлению организацией для каждого из этих процессов. В приложении А описываются взаимосвязи между управлением организацией, управлением информационными технологиями и управлением деятельностью по обеспечению ИБ.

По определению организация охватывает всю организационную структуру (см. ISO/IEC 27000). Но она может охватывать как всю организационную структуру, так и его часть, как показано на рисунке В.1.

6 Руководство деятельностью и стандарты управления

6.1 Обзор

Руководство деятельностью по обеспечению ИБ - это процесс, посредством которого руководящий орган организации обеспечивает общую координацию и контроль деятельности, связанной с ИБ. Координация и контроль фокусируются на ситуациях, когда недостатки в обеспечении информационной безопасности могут негативно влиять на способность организации достигать своих основных целей. Руководящий орган обычно реализует цели своего управления деятельностью посредством:

- обеспечения координации путем определения стратегий и политик;

- мониторинга деятельности организации;

- оценки предложений и планов, разработанных руководителями.

Управление ИБ связано с обеспечением достижения целей организации, описанных в стратегиях и политиках, определенных руководящим органом. Кроме того, взаимодействие с руководящим органом может включать в себя:

- представление на рассмотрение руководящего органа предложений и планов;

- предоставление руководящему органу информации о деятельности организации.

Эффективное руководство деятельностью по обеспечению ИБ требует, чтобы как члены руководящего органа, так и менеджеры надлежащим образом выполняли соответствующие обязанности.

6.2 Руководство деятельностью в рамках системы менеджмента информационной безопасности

ISO/IEC 27001 определяет требования к созданию, внедрению, поддержке и постоянному улучшению СМИБ в контексте организации. Он также включает требования к оценке и обработке рисков ИБ с учетом потребностей организационной структуры.

В ISO/IEC 27001 не используется термин "руководство деятельностью", но в нем определен ряд требований, удовлетворение которых обеспечивается действиями управления. Далее приведены примеры таких действий. Как уже отмечалось ранее, понятия "организация" и "высшее руководство" относятся к области действия СМИБ на основе ISO/IEC 27001:

- ISO/IEC 27001:2013, 4.1, требует, чтобы организация идентифицировала то, чего она стремится достичь, - цели и задачи своей ИБ. Они должны быть связаны с общими целями и задачами организационной структуры и поддерживать их. Это относится к целям руководства деятельностью, определенным в 7.2.1, 7.2.3 и 7.2.4 настоящего стандарта;

- ISO/IEC 27001:2013, 4.2, требует, чтобы организация идентифицировала заинтересованные стороны, имеющие отношение к ее СМИБ, а также требования этих заинтересованных сторон, относящиеся к ИБ. Это относится к цели руководства деятельностью, определенной в 7.2.4 настоящего стандарта;

- ISO/IEC 27001:2013, 4.3, требует, чтобы организация определила границы и применимость СМИБ для установления ее области применения с учетом внешних и внутренних факторов, требований, интерфейсов и зависимостей. Кроме того, в своей СМИБ организация должна удовлетворять требованиям и ожиданиям заинтересованных сторон, а также учитывать внешние и внутренние факторы, такие как законы, нормативные акты и контракты. Это относится к цели руководства деятельностью, определенной в 7.2.1 настоящего стандарта;

- ISO/IEC 27001:2013, раздел 5, определяет, что организация должна установить политику и цели, а также интегрировать ИБ в свои процессы (которые можно рассматривать как включающие в себя процессы руководства деятельностью). Это потребует от организации предоставления надлежащих ресурсов и информирования о важности управления информационной безопасностью. Очень важно, что в этом разделе также указано, что организация должна направлять и стимулировать людей, чтобы они вносили свой вклад в эффективность СМИБ, а также должна поддерживать другие соответствующие роли менеджмента в их областях ответственности. ISO/IEC 27001:2013, раздел 5, содержит инструкции по настройке политики и назначению ролей для менеджмента информационной безопасности и отчетности. Это относится к целям руководства деятельностью, определенным в 7.2.1 и 7.2.3 настоящего стандарта;

- ISO/IEC 27001:2013, раздел 6, рассматривает разработку подхода к менеджменту рисков для организации, указывая, что организация должна идентифицировать риски и возможности, которые необходимо учитывать, чтобы гарантировать эффективность ее СМИБ. Он вводит понятие владельцев рисков и помещает их обязанности в контекст деятельности организации по управлению рисками и утверждению действий по обработке рисков. При этом также требуется, чтобы организация установила цели информационной безопасности. Это относится к цели руководства деятельностью, определенной в 7.2.2 настоящего стандарта;

- ISO/IEC 27001:2013, раздел 7, представляет требования к коммуникациям организации и определяет, что в выполнении своих обязательств по ИБ сотрудники должны иметь соответствующий уровень компетентности. Это относится к цели руководства деятельностью, определенной в 7.2.5 настоящего стандарта;

- ISO/IEC 27001:2013, раздел 8, требует, чтобы организационная структура планировала, внедряла и контролировала свою СМИБ, даже если она передана в аутсорсинг. Это относится к целям руководства деятельностью, определенным в 7.2.4 и 7.2.6 настоящего стандарта;

- ISO/IEC 27001:2013, раздел 9, требует мониторинга и отчетности по всем соответствующим аспектам СМИБ, внутреннего аудита, а также анализа и решений высшего руководства и руководящего органа по операционной эффективности СМИБ, включая любые требуемые изменения. Это относится к цели руководства деятельностью, определенной в 7.2.6 настоящего стандарта;

Полная версия документа доступна с 20.00 до 24.00 по московскому времени.

Для получения доступа к полной версии без ограничений вы можете выбрать подходящий тариф или активировать демо-доступ.