ISO/IEC 27001

ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединённого технического комитета JTC 1. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).

В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель СМИБ — выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Информационная безопасность — сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

• Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
• Целостность — обеспечение точности и полноты информации, а также методов её обработки.
• Доступность — обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Само понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ИСО 27001 — система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:

• на каком направлении информационной безопасности требуется сосредоточить внимание;
• сколько времени и средств можно потратить на данное техническое решение для защиты информации.

Первым стандартом по информационной безопасности, является принятый на государственном уровне в 1995 году и разработанный Британским институтом стандартов BS 7799 — Part 1. В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации, а в 2000 году утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005. В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью). Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».^[1]

Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах и процессном подходе. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001, то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем.^[2] Также основными принципами стандарта ISO 27001 являются:

• Конфиденциальность информации
• Целостность информации
• Доступность информации

• Предисловие
• Введение
• Область приложения
• Нормативные ссылки
• Термины и определения
• Система менеджмента защиты информации
• Ответственность руководства
• Внутренние аудиты СМИБ
• Анализ СМИБ со стороны руководства
• Улучшение СМИБ
• Приложение А (обязательное) цели управления и средства управления
• Приложение В (информационное) принципы OECD и этот международный стандарт
• Приложение С (информационное) соответствие между ISO 9001:2000, ISO 14001:2004 и этим международным стандартом
• Библиография

В 2013 году Международной организацией по сертификации была разработана и принята новая версия стандарта ISO/IEC 27001:2013. Изменения коснулись как структуры стандарта, так и требований.

Структура основных требований стандарта ISO/IEC 27001:2013 приведена в соответствии с Директивами ISO/IEC (то есть все стандарты международной организации будут иметь идентичную структуру разделов). На русский язык данная версия стандарта ещё не переведена, но английский вариант текстового содержания нового стандарта таков:

• Introduction
• Scope
• Normative references
• Terms and definitions
• Context of organization
• Leadership
• Planning
• Support
• Operation
• Performance evaluation
• Improvement

Также произошли изменения в структуре Приложения «А» стандарта. Появились три новых раздела:

• «A.10 Криптография»,
• «A.13 Безопасность коммуникаций»,
• «A.15 Взаимоотношения с поставщиками».

Раздел «А.10 Криптография» не является новым, его требования повторяют отдельные пункты раздела А.12 старой версии стандарта. Разделы «A.13 Безопасность коммуникаций» и «A.15 Взаимоотношения с поставщиками» собрали отдельные пункты по разделам Приложения «А» версии 2005, а также включили некоторые новые требования.

Изменения в основной части новой версии стандарта ISO/IEC 27001:2013:

• четко сформулированы требования к целям системы менеджмента информационной безопасности.
• упрощены требования к текстовому описанию рисков
• исключена обязательность выпуска «Положения о принятии остаточных рисков» со стороны высшего руководства.
• установлена четкая связка «Положения о применимости — SoA».
• введено понятие и требование по определению «Владельца риска» вместо «Владельца актива».
• четко сформулированы и дополнены требования по мониторингу СМИБ.
• упрощены требования к управлению документацией и записями системы менеджмента информационной безопасности.
• четко определены требования по коммуникациям в рамках системы менеджмента информационной безопасности.

Наиболее существенным изменением в основной части является требование по определению «Владельцев рисков».

Новые требования в рамках Приложения «А» ISO/IEC 27001:2013:

• A.6.1.4 Information security in project management
• A.12.6.2 Restrictions on software installation
• A.14.2.1 Secure development policy
• A.14.2.5 System development procedures
• A.14.2.6 Secure development environment
• A.14.2.8 System security testing
• A.15.1.1 Information security policy for supplier relationships
• A.15.1.3 Information and communication technology supply chain
• A.16.1.4 Assessment and decision of information security events
• A.17.1.2 Implementing information security continuity
• A.17.2.1 Availability of information processing facilities

В приложении «А» количество требований (контролей) уменьшилось со 133 до 113. Приложение «А» ISO/IEC 27001 содержит перечень целей и средств управления, которые совпадают с аналогичными целями и средствами управления в ISO 27002, но не столь детализированы. Приложение «B» содержит таблицу, в которой показано соответствие процедур СМИБ и этапов PDCA принципам Организации по экономическому сотрудничеству и развитию (OECD). Если компания уже внедрила ISO 9001 или ISO 14001, то ей понадобится Приложение «С», которое содержит таблицу соответствия требований стандартов ISO 9001, 14001 и 27001.^[3]

Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:

• стадия 1 — изучение аудитором ключевых документов системы менеджмента информационной безопасности — положение о применимости (SoA), план обработки рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору;
• стадия 2 — детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
• стадия 3 — выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.

Процедура сертификации системы менеджмента по любому из международных стандартов или их комбинации подразделяется на 4 этапа:

• 1 этап. Подготовка к сертификации;
• 2 этап. Аудит 1-й ступени (проверка готовности к сертификации);
• 3 этап. Аудит 2-й ступени (сертификационный аудит);
• 4-й этап. Выдача сертификата и надзор.

• Серия ISO 27000

• Оригинал ISO 27001 Британского института стандартов Архивная копия от 27 ноября 2007 на Wayback Machine
• ISO 17799 и ISO 27001 Wiki Архивная копия от 24 июля 2020 на Wayback Machine
• Авторский блог Дорлова
• История стандартов информационной безопасности
• «Международный стандарт ISO/IEC 27001:2013: Взгляд в будущее индустрии ИБ»
• Новый ИСО 27001
• Блог Жизнь 80/20: Про обновление ISO 27001:2013
• Стандарты Банка России в области информационной безопасности
• How to get ISO 27001 certification. Блог.