Стандартизация в сфере менеджмента информационной безопасности
Описано сучасний стан стандартизації в сфері менеджменту інформаційної безпеки. Розглянуто вимоги до стандартів, що розробляються, типи стандартів, принципи, яких слід дотримуватись під час розроблення стандартів. Робота грунтується на матеріалах, прийнятих в підкомітеті ПК 27 «Методи захисту» об’є...
Gespeichert in:
| Datum: | 2010 |
|---|---|
| 1. Verfasser: | |
| Format: | Artikel |
| Sprache: | Russian |
| Veröffentlicht: |
Інститут кібернетики ім. В.М. Глушкова НАН України
2010
|
| Schriftenreihe: | Кибернетика и системный анализ |
| Schlagworte: | |
| Online Zugang: | http://dspace.nbuv.gov.ua/handle/123456789/45209 |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Zitieren: | Стандартизация в сфере менеджмента информационной безопасности / А.М. Фаль // Кибернетика и системный анализ. — 2010. — № 3. — С. 181-184. — Бібліогр.: 2 назв. — рос. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| id |
irk-123456789-45209 |
|---|---|
| record_format |
dspace |
| spelling |
irk-123456789-452092013-06-09T03:11:23Z Стандартизация в сфере менеджмента информационной безопасности Фаль, А.М. Краткие сообщения Описано сучасний стан стандартизації в сфері менеджменту інформаційної безпеки. Розглянуто вимоги до стандартів, що розробляються, типи стандартів, принципи, яких слід дотримуватись під час розроблення стандартів. Робота грунтується на матеріалах, прийнятих в підкомітеті ПК 27 «Методи захисту» об’єднаного технічного комітету ІСО/ МЕК ОТК 1 «Інформаційні технології». The article describes state of the art of the standardization in information security area. The requirements to the standards being developed, the types of standards, the principles to which it is required to follow are discussed. The contents of the article is based on the documents adopted within subcommittee 27 ”Security techniques” of the joint technical committee ISO/IEC JTC 1 “Information technology”. 2010 Article Стандартизация в сфере менеджмента информационной безопасности / А.М. Фаль // Кибернетика и системный анализ. — 2010. — № 3. — С. 181-184. — Бібліогр.: 2 назв. — рос. 0023-1274 http://dspace.nbuv.gov.ua/handle/123456789/45209 681.3 ru Кибернетика и системный анализ Інститут кібернетики ім. В.М. Глушкова НАН України |
| institution |
Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| collection |
DSpace DC |
| language |
Russian |
| topic |
Краткие сообщения Краткие сообщения |
| spellingShingle |
Краткие сообщения Краткие сообщения Фаль, А.М. Стандартизация в сфере менеджмента информационной безопасности Кибернетика и системный анализ |
| description |
Описано сучасний стан стандартизації в сфері менеджменту інформаційної безпеки. Розглянуто вимоги до стандартів, що розробляються, типи стандартів, принципи, яких слід дотримуватись під час розроблення стандартів. Робота грунтується на матеріалах, прийнятих в підкомітеті ПК 27 «Методи захисту» об’єднаного технічного комітету ІСО/ МЕК ОТК 1 «Інформаційні технології». |
| format |
Article |
| author |
Фаль, А.М. |
| author_facet |
Фаль, А.М. |
| author_sort |
Фаль, А.М. |
| title |
Стандартизация в сфере менеджмента информационной безопасности |
| title_short |
Стандартизация в сфере менеджмента информационной безопасности |
| title_full |
Стандартизация в сфере менеджмента информационной безопасности |
| title_fullStr |
Стандартизация в сфере менеджмента информационной безопасности |
| title_full_unstemmed |
Стандартизация в сфере менеджмента информационной безопасности |
| title_sort |
стандартизация в сфере менеджмента информационной безопасности |
| publisher |
Інститут кібернетики ім. В.М. Глушкова НАН України |
| publishDate |
2010 |
| topic_facet |
Краткие сообщения |
| url |
http://dspace.nbuv.gov.ua/handle/123456789/45209 |
| citation_txt |
Стандартизация в сфере менеджмента информационной безопасности / А.М. Фаль // Кибернетика и системный анализ. — 2010. — № 3. — С. 181-184. — Бібліогр.: 2 назв. — рос. |
| series |
Кибернетика и системный анализ |
| work_keys_str_mv |
AT falʹam standartizaciâvsferemenedžmentainformacionnojbezopasnosti |
| first_indexed |
2025-07-04T03:50:27Z |
| last_indexed |
2025-07-04T03:50:27Z |
| _version_ |
1836686799982821376 |
| fulltext |
À.Ì. ÔÀËÜ
ÓÄÊ 681.3 ÑÒÀÍÄÀÐÒÈÇÀÖÈß Â ÑÔÅÐÅ ÌÅÍÅÄÆÌÅÍÒÀ
ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ
Êëþ÷åâûå ñëîâà: èíôîðìàöèîííàÿ áåçîïàñíîñòü, ìîäåëü ñèñòåì ìåíåäæìåíòà, ñòàíäàðò,
óïðàâëåíèå ðèñêàìè, ðóêîâîäÿùèå óêàçàíèÿ, ïðîöåññíàÿ ìîäåëü.
ÂÂÅÄÅÍÈÅ
 ðàáîòå [1] îïèñàíû àñèììåòðè÷íûå êðèïòîãðàôè÷åñêèå àëãîðèòìû, êîòîðûå èñïîëüçóþòñÿ
â ñîâðåìåííûõ ñèñòåìàõ ýëåêòðîííîãî äîêóìåíòîîáîðîòà; îòìå÷åíà òàêæå âàæíîñòü ðàçðàáîò-
êè è âíåäðåíèÿ ñòàíäàðòîâ, îòíîñÿùèõñÿ ê çàùèòå èíôîðìàöèè. Îäèí èç ñîàâòîðîâ ýòîé ðàáî-
òû (À.È. Êî÷óáèíñêèé) ÿâëÿåòñÿ ñîçäàòåëåì íàöèîíàëüíîãî ñòàíäàðòà ïî öèôðîâîé ïîäïèñè [2].
 äàííîé ñòàòüå îòðàæåíî ñîâðåìåííîå ñîñòîÿíèå ñòàíäàðòèçàöèè îäíîãî èç âàæíåéøèõ íà-
ïðàâëåíèé â çàùèòå èíôîðìàöèè — ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè.
Äëÿ ðàçðàáîòêè ñòàíäàðòîâ â îáëàñòè áåçîïàñíîñòè èíôîðìàöèîííûõ òåõíîëîãèé ó÷ðåæäåí ïîä-
êîìèòåò SC 27 Security techniques â ðàìêàõ îáúåäèíåííîãî òåõíè÷åñêîãî êîìèòåòà ISO/IEC JTC 1
Information technology. Óêðàèíñêèå ñïåöèàëèñòû ïðèíèìàþò ó÷àñòèå â ðàçðàáîòêå òàêèõ ñòàíäàðòîâ,
à Óêðàèíà, êàê àêòèâíûé ÷ëåí ïîäêîìèòåòà, îáÿçàíà ó÷àñòâîâàòü â ãîëîñîâàíèè ïî ïðîåêòàì ñòàíäàðòîâ.
Øèðîêèé ñïåêòð âîïðîñîâ èíôîðìàöèîííîé áåçîïàñíîñòè, ðàññìàòðèâàåìûõ ñïåöèàëèñòàìè, âîâëå÷åí-
íûìè â äåÿòåëüíîñòü SC 27, ðàñïðåäåëåí ìåæäó ïÿòüþ ðàáî÷èìè ãðóïïàìè, ñîñòàâëÿþùèìè ïîäêîìè-
òåò. Çà êàæäîé ãðóïïîé çàêðåïëåíî ñîîòâåòñòâóþùåå íàïðàâëåíèå.
Ïåðâàÿ ðàáî÷àÿ ãðóïïà (Ðà 1) Information Security Management Systems çàíèìàåòñÿ ðàçðàáîò-
êîé ñòàíäàðòîâ è ðóêîâîäÿùèõ óêàçàíèé ïî ïîñòðîåíèþ ñèñòåì ìåíåäæìåíòà èíôîðìàöèîííîé
áåçîïàñíîñòè (ISMS).
Âòîðàÿ ðàáî÷àÿ ãðóïïà (Ðà 2) Cryptography and security mechanisms îðèåíòèðîâàíà íà ñòàí-
äàðòèçàöèþ ìåòîäîâ è ìåõàíèçìîâ îáåñïå÷åíèÿ áåçîïàñíîñòè èíôîðìàöèîííûõ òåõíîëîãèé.
Òðåòüÿ ðàáî÷àÿ ãðóïïà (Ðà 3) Security evaluation criteria ðàçðàáàòûâàåò ñòàíäàðòû äëÿ îöåíè-
âàíèÿ áåçîïàñíîñòè è ñåðòèôèêàöèè èíôîðìàöèîííûõ ñèñòåì è èõ êîìïîíåíòîâ.
×åòâåðòàÿ ðàáî÷àÿ ãðóïïà (Ðà 4) Security controls and services çàíèìàåòñÿ ðàçðàáîòêîé è ïîääåð-
æêîé ñòàíäàðòîâ è ðóêîâîäÿùèõ óêàçàíèé, êàñàþùèõñÿ óñëóã è ïðèëîæåíèé, ñïîñîáñòâóþùèõ ðåàëè-
çàöèè ìåðîïðèÿòèé ïî çàùèòå èíôîðìàöèè, îïðåäåëåííûõ â ñòàíäàðòàõ ISO/IEC 27001, 27002.
Ïÿòàÿ ðàáî÷àÿ ãðóïïà (Ðà 5) Identity management and privacy technologies ðàçðàáàòûâàåò ñòàí-
äàðòû è ðóêîâîäÿùèå óêàçàíèÿ, êàñàþùèåñÿ óïðàâëåíèÿ èäåíòèôèêàöèîííûìè äàííûìè, áèîìåò-
ðèêè è çàùèòû ïåðñîíàëüíûõ äàííûõ (privacy).
 ñâîåé äåÿòåëüíîñòè ðàáî÷èå ãðóïïû ñëåäóþò ïðèíöèïàì è ïðàâèëàì, ïðèíÿòûì â ISO è IEC.
 ÷àñòíîñòè, èìè äîëæíû ðàçðàáàòûâàòüñÿ è ÷åðåç êàæäûå øåñòü ìåñÿöåâ ïåðåñìàòðèâàòüñÿ äîðîæíûå
êàðòû (road maps). Äàëåå îñòàíîâèìñÿ íà ñîäåðæàíèè äîðîæíîé êàðòû, ïðèíÿòîé â ÐÃ 1 â ìàå 2009 ãîäà.
Öåëüþ äîðîæíîé êàðòû ÿâëÿåòñÿ:
à) òî÷íàÿ èäåíòèôèêàöèÿ ñòàíäàðòîâ, êàñàþùèõñÿ Ðà 1, êàê óæå îïóáëèêîâàííûõ, òàê è ðàç-
ðàáàòûâàåìûõ èëè ãîòîâÿùèõñÿ ê ðàçðàáîòêå;
á) îïèñàíèå ëîãè÷åñêèõ ñâÿçåé ìåæäó ðàçðàáàòûâàåìûìè â Ðà 1 ñòàíäàðòàìè;
â) ôîðìóëèðîâàíèå îñíîâíûõ ïðèíöèïîâ, ñ ïîìîùüþ êîòîðûõ ðàáîòà ïî ñîçäàíèþ ñòàíäàð-
òîâ ìîæåò áûòü ñêîîðäèíèðîâàíà âî èçáåæàíèå äóáëèðîâàíèÿ;
ã) ïëàíèðîâàíèå ðàáîòû ïî ñòàíäàðòèçàöèè â ðàìêàõ ÐÃ 1;
ä) á�ëüøàÿ êîîðäèíàöèÿ ìåæäó ðàçëè÷íûìè òåõíè÷åñêèìè êîìèòåòàìè ISO è IEC.
ÒÐÅÁÎÂÀÍÈß Ê ÐÀÇÐÀÁÀÒÛÂÀÅÌÛÌ ÑÒÀÍÄÀÐÒÀÌ
Ñòàíäàðòû, ðàçðàáàòûâàåìûå â ÐÃ 1, êàñàþòñÿ çàùèòû èíôîðìàöèè, êîòîðàÿ ìîæåò ñóùåñòâî-
âàòü â ðàçëè÷íûõ âèäàõ (íàïå÷àòàííàÿ èëè íàïèñàííàÿ íà áóìàãå, õðàíèìàÿ íà ýëåêòðîííûõ
èëè ìàãíèòíûõ íîñèòåëÿõ, ïåðåäàâàåìàÿ ïî îáû÷íîé èëè ýëåêòðîííîé ïî÷òå, âèäåîèíôîðìà-
öèÿ, ðå÷åâàÿ). Òàêæå â Ðà 1 ðàçðàáàòûâàþòñÿ ñòàíäàðòû, êàñàþùèåñÿ ìåõàíèçìîâ çàùèòû,
îãðàíè÷èâàþùèõ óùåðá, íàíåñåííûé îðãàíèçàöèè èç-çà íåíàäëåæàùåé çàùèòû èíôîðìàöèè
(îøèáî÷íûå ôèíàíñîâûå îò÷åòû, íåïðàâèëüíûå äîêóìåíòû, âûäàííûå îðãàíèçàöèåé, ïîòåðÿ ðå-
ïóòàöèè è ïðåñòèæà è ò.ï.).
Äëÿ ýôôåêòèâíîãî ðåøåíèÿ âîïðîñîâ èíôîðìàöèîííîé áåçîïàñíîñòè îðãàíèçàöèè íåîáõîäèìî:
— ñèñòåìàòè÷åñêè óïðàâëÿòü äåÿòåëüíîñòüþ, ñâÿçàííîé ñ èíôîðìàöèîííîé áåçîïàñíîñòüþ;
ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2010, ¹ 3 181
� À.Ì. Ôàëü, 2010
— äåìîíñòðèðîâàòü ñïîñîáíîñòü óäîâëåòâîðèòü òðåáîâàíèÿ âíóòðåííèõ è âíåøíèõ çàèíòå-
ðåñîâàííûõ ñòîðîí.
Äëÿ òîãî ÷òîáû áûòü ïîëåçíûìè ðàçëè÷íûì îðãàíèçàöèÿì, ñòàíäàðòû, îòíîñÿùèåñÿ ê Ðà 1,
äîëæíû áûòü:
— ñîãëàñîâàííûìè (èìåòü îáùóþ ìîäåëü ñèñòåì ìåíåäæìåíòà, îáùóþ ñòðóêòóðó è îáùèå
ýëåìåíòû ñòàíäàðòà, ñîãëàñîâàííóþ òåðìèíîëîãèþ);
— âçàèìîñâÿçàííûìè ñ äðóãèìè ñòàíäàðòàìè ISO, òàêèìè êàê ISO 9000 (ñåðèÿ ñòàíäàðòîâ ïî ñèñ-
òåìàì ìåíåäæìåíòà êà÷åñòâà), ISO 14000 (ñèñòåìà ñòàíäàðòîâ ïî ìåíåäæìåíòó îêðóæàþùåé ñðåäû).
 íàñòîÿùåå âðåìÿ îáùåïðèíÿòûìè ìîäåëÿìè ÿâëÿþòñÿ:
� ìîäåëü PDCA (ïëàíèðóé – äåëàé – ïðîâåðÿé – äåéñòâóé);
� ïðîöåññíàÿ ìîäåëü.
Ñòàíäàðòû ÐÃ 1 äîëæíû ñëåäîâàòü îñíîâîïîëàãàþùèì ïðèíöèïàì, ïðèìåíÿåìûì ê ñòàíäàð-
òàì ïî ñèñòåìàì ìåíåäæìåíòà, äëÿ òîãî ÷òîáû ïîìî÷ü: ïîëüçîâàòåëÿì ðåàëèçîâàòü ñèñòåìû ìå-
íåäæìåíòà; ðàçðàáîò÷èêàì ñòàíäàðòîâ îïðåäåëèòü ñîãëàñîâàííóþ è ëîãè÷åñêóþ ñòðóêòóðó.
ÒÈÏÛ ÑÒÀÍÄÀÐÒÎÂ
Äîðîæíàÿ êàðòà Ðà 1 ïðèäåðæèâàåòñÿ ÷åòûðåõóðîâíåâîé ìîäåëè, â ðàìêàõ êîòîðîé ðàçðàáàòû-
âàþòñÿ ñòàíäàðòû, îòíîñÿùèåñÿ ê ÐÃ 1:
à) òèï À — òåðìèíîëîãè÷åñêèé ñòàíäàðò;
á) òèï Â — ñòàíäàðò, êàñàþùèéñÿ òðåáîâàíèé;
â) òèï Ñ — ñòàíäàðò, êàñàþùèéñÿ ïðåäîñòàâëåíèÿ ðóêîâîäÿùèõ óêàçàíèé (guidelines);
ã) òèï D — ñìåæíûé ñòàíäàðò.
Ðàññìîòðèì òèïû ñòàíäàðòîâ áîëåå äåòàëüíî.
Òèï À — òåðìèíîëîãè÷åñêèé ñòàíäàðò.
Ñòàíäàðò ïðåäíàçíà÷åí äëÿ ïðåäîñòàâëåíèÿ îñíîâíîé èíôîðìàöèè, âêëþ÷àþùåé îáùóþ
òåðìèíîëîãèþ, êîòîðàÿ ñîãëàñîâàííî èñïîëüçóåòñÿ âî âñåé ñåðèè ñòàíäàðòîâ ÐÃ 1.
Òèï Â — ñòàíäàðò, îïðåäåëÿþùèé òðåáîâàíèÿ ïî èíôîðìàöèîííîé áåçîïàñíîñòè.
Ñòàíäàðò ïðåäíàçíà÷åí äëÿ ôîðìóëèðîâàíèÿ ñïåöèôèêàöèé, îòíîñÿùèõñÿ ê êîíêðåòíîé äåÿ-
òåëüíîñòè è ïîçâîëÿþùèõ îðãàíèçàöèÿì äåìîíñòðèðîâàòü ñïîñîáíîñòü óäîâëåòâîðèòü âíóòðåííèå
è âíåøíèå òðåáîâàíèÿ ïî èíôîðìàöèîííîé áåçîïàñíîñòè.
Ïðèìåðàìè ñòàíäàðòîâ òèïà Â ÿâëÿþòñÿ:
Â-1: ISO/IEC 27001:2005. Ñèñòåìû ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè — Òðåáîâàíèÿ;
Â-2: ISO/IEC 27006:2007. Òðåáîâàíèÿ ê îðãàíàì, ïðîâîäÿùèì àóäèò è ñåðòèôèêàöèþ ñèñòåì
ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè.
Òèï C — ñòàíäàðò, âêëþ÷àþùèé îïðåäåëåííûå ðóêîâîäñòâà.
Ñòàíäàðò ïðåäíàçíà÷åí äëÿ ïîìîùè îðãàíèçàöèÿì â ðåàëèçàöèè ñòàíäàðòîâ òèïà Â.
Ïðèìåðàìè ñòàíäàðòîâ òèïà C ÿâëÿþòñÿ:
C-1: ñòàíäàðòû, ñîäåðæàùèå ðóêîâîäñòâà ïî óäîâëåòâîðåíèþ òðåáîâàíèé ê ISMS; ñòàíäàðòû, ñî-
äåðæàùèå ðóêîâîäñòâà ïî âûáîðó è ðåàëèçàöèè ìåðîïðèÿòèé ïî èíôîðìàöèîííîé áåçîïàñíîñòè;
C-2: ñòàíäàðòû, âêëþ÷àþùèå ðóêîâîäñòâà ïî äîñòèæåíèþ òðåáóåìûõ ðåçóëüòàòîâ ñïåöèôè-
÷åñêèõ ïðîöåññîâ, ñâÿçàííûõ ñ ìåíåäæìåíòîì èíôîðìàöèîííîé áåçîïàñíîñòè (íàïðèìåð, èçìåðå-
íèå ýôôåêòèâíîñòè ìåðîïðèÿòèé); ñòàíäàðòû, ñîäåðæàùèå ðóêîâîäñòâà ïî ðåàëèçàöèè êîíêðåò-
íûõ ìåð/ìåòîäîâ èíôîðìàöèîííîé áåçîïàñíîñòè (íàïðèìåð, ìåíåäæìåíò èíöèäåíòîâ èíôîðìàöè-
îííîé áåçîïàñíîñòè);
C-3: ñòàíäàðòû, âêëþ÷àþùèå ðóêîâîäñòâà ïî ðåàëèçàöèè òðåáîâàíèé ïî èíôîðìàöèîííîé
áåçîïàñíîñòè, ó÷èòûâàþùèõ îñîáåííîñòè îòðàñëè (áàíêîâñêîå äåëî, ðàçðàáîòêà ïðîãðàììíîãî îáåñ-
ïå÷åíèÿ, çäðàâîîõðàíåíèå, òåëåêîììóíèêàöèè).
Òèï D — ñìåæíûé ñòàíäàðò.
Ñòàíäàðò ïðåäíàçíà÷åí äëÿ ïðåäîñòàâëåíèÿ äàëüíåéøåãî ðóêîâîäñòâà, êàñàþùåãîñÿ êîí-
êðåòíûõ ñòîðîí èíôîðìàöèîííîé áåçîïàñíîñòè èëè ñìåæíûõ ìåòîäîâ ïîääåðæêè. Â îáùåì ñëó-
÷àå ýòè ñòàíäàðòû ðàçðàáàòûâàþòñÿ íà îäíîñòîðîííåé îñíîâå, áåç òî÷íûõ îïèñàíèé, êàñàþùèõñÿ
ñâÿçåé ñî ñòàíäàðòàìè òèïà D è/èëè òèïà C.
ÝËÅÌÅÍÒÛ ÑÒÀÍÄÀÐÒÎÂ
 ñòàíäàðòàõ ïî ñèñòåìàì ìåíåäæìåíòà, ðàçðàáàòûâàåìûì â ISO, ñóùåñòâóåò ðÿä îáùèõ ýëå-
ìåíòîâ. Ýòè ýëåìåíòû ìîæíî óïîðÿäî÷èòü ïî ñëåäóþùèì îñíîâíûì òåìàì: ïîëèòèêà; ïëàíè-
ðîâàíèå; ðåàëèçàöèÿ è ýêñïëóàòàöèÿ; îöåíèâàíèå; óëó÷øåíèå; ïåðåñìîòð ðóêîâîäñòâîì.
ÎÁÇÎÐ ÑÒÀÍÄÀÐÒÎÂ ÐÃ 1
Ðàññìîòðèì ñîñòîÿíèå ñòàíäàðòîâ, ðàçðàáàòûâàåìûõ ÐÃ 1.
ISO/IEC IS 27000 — Information security management systems — Overview and vocabulary
(Published). Ñèñòåìû ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè — Îáçîð è ñëîâàðü (îïóáëèêîâàí).
Äëÿ òîãî ÷òîáû îáëåã÷èòü ãàðìîíèçàöèþ ñòàíäàðòîâ, îòíîñÿùèõñÿ ê Ðà 1, è îáåñïå÷èòü
åäèíîå è ÷åòêîå èõ ïîíèìàíèå, íåîáõîäèìî äîêóìåíòèðîâàòü â îäíîì ñòàíäàðòå îñíîâíûå ïîëî-
æåíèÿ, ñèñòåìàòè÷åñêèé ñëîâàðü è íàáîð îñíîâíûõ ïîíÿòèé è òåðìèíîâ, èñïîëüçóþùèõñÿ âî âñåé
ñåðèè ýòèõ ñòàíäàðòîâ.
Äàííûé ñòàíäàðò ÿâëÿåòñÿ êëþ÷åâûì äîêóìåíòîì äëÿ äîñòèæåíèÿ ýôôåêòèâíîñòè ðàçðàáîò-
êè ñòàíäàðòîâ â ÐÃ 1.
ISO/IEC 27000:2009 îïóáëèêîâàí 30 àïðåëÿ 2009 ãîäà.
ISO/IEC IS 27001:2005 — Information security management systems — Requirements (undergoing
reviews). Ñèñòåìû ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè — Òðåáîâàíèÿ (â ñòàäèè ïåðåñìîòðà).
Äàííûé ñòàíäàðò ÿâëÿåòñÿ «ñåðäöåâèíîé» ñåìåéñòâà ISMS ñòàíäàðòîâ. Îí îïðåäåëÿåò òðåáîâà-
íèÿ äëÿ óñòàíîâëåíèÿ, ðåàëèçàöèè, ýêñïëóàòàöèè, ìîíèòîðèíãà, ïåðåñìîòðà, ïîääåðæêè äîêóìåíòèðî-
182 ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2010, ¹ 3
âàííîé ISMS â êîíòåêñòå îáùèõ äåëîâûõ ðèñêîâ îðãàíèçàöèè. Ýòîò ñòàíäàðò òàêæå îïðåäåëÿåò òðåáî-
âàíèÿ ê ðåàëèçàöèè ìåð áåçîïàñíîñòè, àäàïòèðîâàííûõ ê ïîòðåáíîñòÿì êîíêðåòíûõ îðãàíèçàöèé èëè
èõ ïîäðàçäåëåíèé. Â ñîîòâåòñòâèè ñ Ðåçîëþöèåé 11 37-ãî ïëåíàðíîãî çàñåäàíèÿ ÐÃ 1 â îêòÿáðå 2008
ãîäà ðàçðàáîòàí ïëàí ïåðåñìîòðà ñòàíäàðòîâ ISO/IEC 27001:2005 è ISO/IEC 27002:2007.
 íàñòîÿùåå âðåìÿ ñóùåñòâóåò ðàáî÷èé ïðîåêò (WD) ïåðåñìàòðèâàåìîãî ñòàíäàðòà ISO/IEC 27001.
ISO/IEC IS 27006:2007 — Requirements for bodies providing audit and certification of
information security management systems (published). Òðåáîâàíèÿ ê îðãàíàì, îñóùåñòâëÿþùèì àó-
äèò è ñåðòèôèêàöèþ ñèñòåì ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè (îïóáëèêîâàí).
Ñòàíäàðò îïðåäåëÿåò òðåáîâàíèÿ è ïðåäîñòàâëÿåò ðóêîâîäñòâî äëÿ îðãàíîâ, îñóùåñòâëÿþ-
ùèõ àóäèò è ñåðòèôèêàöèþ ñèñòåì ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè, â äîïîëíåíèå
ê òðåáîâàíèÿì, ñîäåðæàùèìñÿ â ñòàíäàðòàõ ISO/IEC 17021 è ISO/IEC 27001.
ISO/IEC IS 27006:2007 îïóáëèêîâàí 15 ôåâðàëÿ 2007 ãîäà.
ISO/IEC IS 27002:2007 — Code of practice for information security management (undergoing review).
Ïðàêòè÷åñêèå ïðàâèëà ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè (â ñòàäèè ïåðåñìîòðà).
ISO/IEC 27002 îïóáëèêîâàí êàê ñòàíäàðò, ïðåäîñòàâëÿþùèé âñåîõâàòûâàþùåå ðóêîâîäñòâî ïî ðå-
àëèçàöèè ìåð èíôîðìàöèîííîé áåçîïàñíîñòè, è íàïðÿìóþ ïîääåðæèâàåò ñòàíäàðò ISO/IEC 27001.
Èçìåíåíèå íóìåðàöèè ISO/IEC 17799 íà ISO/IEC 27002 ñîãëàñîâàíî â SC 27 â àïðåëå 2007
ãîäà â öåëÿõ èíòåãðàöèè ISO/IEC 17799 â ñåìåéñòâî ISMS ñòàíäàðòîâ. Â ñâÿçè ñ èçìåíåíèåì íóìå-
ðàöèè íèêàêèõ èçìåíåíèé â ñîäåðæàíèå ýòîãî äîêóìåíòà íå âíîñèëîñü. Â ñîîòâåòñòâèè ñ Ðåçîëþ-
öèåé 11 37-ãî ïëåíàðíîãî çàñåäàíèÿ ÐÃ 1 â îêòÿáðå 2008 ãîäà ðàçðàáîòàí ïëàí ïåðåñìîòðà ñòàí-
äàðòîâ ISO/IEC 27001 è ISO/IEC 27002.  íàñòîÿùåå âðåìÿ èìååòñÿ ðàáî÷èé ïðîåêò (WD) ïåðå-
ñìàòðèâàåìîãî ñòàíäàðòà ISO/IEC 27002.
ISO/IEC 27003 — Information security management systems implementation guidance (under
development). Ðóêîâîäñòâî ïî ðåàëèçàöèè ñèñòåì ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè
(â ñòàäèè ðàçðàáîòêè).
Ñòàíäàðò íåïîñðåäñòâåííî ïîääåðæèâàåò ñòàíäàðò ISO/IEC 27001 è ïðåäîñòàâëÿåò ìàòåðèàë
ïî ðóêîâîäñòâó, êàñàþùåìóñÿ ðåàëèçàöèè ISMS.
 íàñòîÿùåå âðåìÿ èìååòñÿ îêîí÷àòåëüíûé ïðîåêò ìåæäóíàðîäíîãî ñòàíäàðòà (FDIS)
ISO/IEC 27003.
ISO/IEC 27004 — Information security management measurements (under development). Èçìåðå-
íèÿ ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè (â ñòàäèè ðàçðàáîòêè).
ISO/IEC 27004 ïðåäëîæåí êàê ñòàíäàðò ïî ðóêîâîäñòâó, êîòîðûé ïðåäîñòàâëÿåò âîçìîæ-
íîñòü èçìåðÿòü óðîâåíü ýôôåêòèâíîñòè ðåàëèçîâàííûõ â ñîîòâåòñòâèè ñî ñòàíäàðòîì ISO/IEC
27001 ìåðîïðèÿòèé è ïðîöåññîâ.
Ñòàíäàðò ISO/IEC 27004, ÷òîáû áûòü ýôôåêòèâíûì, äîëæåí ñîäåðæàòü ðÿä åäèíèö èçìåðå-
íèé, âêëþ÷àþùèõ ðåçóëüòàòèâíîñòü ìåðîïðèÿòèé. Ýòîò ñòàíäàðò äîëæåí òàêæå ïðåäîñòàâèòü
èíñòðóìåíòàðèé, êîòîðûé ïîçâîëèë áû ýôôåêòèâíî èçìåðÿòü äåÿòåëüíîñòü ïî èíôîðìàöèîííîé
áåçîïàñíîñòè, îñóùåñòâëÿåìóþ äëÿ çàùèòû èíôîðìàöèîííûõ àêòèâîâ îðãàíèçàöèè.
 íàñòîÿùåå âðåìÿ èìååòñÿ îêîí÷àòåëüíûé ïðîåêò ìåæäóíàðîäíîãî ñòàíäàðòà (FDIS) ISO/IEC 27004.
ISO/IEC IS 27005:2008 — Information security risk management (published). Ìåíåäæìåíò ðèñ-
êîâ èíôîðìàöèîííîé áåçîïàñíîñòè (îïóáëèêîâàí).
Ñòàíäàðò ñîäåðæèò ðóêîâîäñòâî ïî ìåíåäæìåíòó ðèñêîâ èíôîðìàöèîííîé áåçîïàñíîñòè è
îïðåäåëÿåò ïðèíöèïû ìåíåäæìåíòà ðèñêîâ èíôîðìàöèîííîé áåçîïàñíîñòè, ìåòîäû îöåíèâàíèÿ
ðèñêîâ, òðàêòîâêó ðèñêîâ, ìîíèòîðèíã è ïåðåñìîòð ðèñêîâ, ïðåäîñòàâëÿÿ äîïîëíèòåëüíóþ èíôîð-
ìàöèþ îòíîñèòåëüíî âûïîëíåíèÿ òðåáîâàíèé ñòàíäàðòà ISO/IEC 27001.
ISO/IEC IS 27005:2008 îïóáëèêîâàí 15 èþíÿ 2008 ãîäà.
ISO/IEC 27007 — Guidelines for information security management systems auditing (under development).
Ðóêîâîäñòâî ïî àóäèòó ñèñòåì ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè (â ñòàäèè ðàçðàáîòêè).
Ñòàíäàðò ISO/IEC 27007 ïðåäëîæåí êàê ðóêîâîäñòâî ïî ïðîâåäåíèþ àóäèòîâ ISMS è
ðóêîâîäñòâî ïî êîìïåòåíòíîñòè àóäèòîðîâ ñèñòåì ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè
â äîïîëíåíèå ê ðóêîâîäñòâó, ñîäåðæàùåìóñÿ â ISO 19011.
Ñòàíäàðò âêëþ÷àåò òàêæå ðóêîâîäñòâî, íåîáõîäèìîå äëÿ àóäèòîâ ISMS â ïîääåðæêó ñòàí-
äàðòà ISO/IEC 27006 è îáùåãî ðóêîâîäñòâà äëÿ àóäèòîðîâ, ñîäåðæàùåãîñÿ â ISO 19011.
 íàñòîÿùåå âðåìÿ èìååòñÿ 1-é ïðîåêò êîìèòåòà (CD) ISO/IEC 27007.
ISO/IEC TR 27008 — Guidance for auditors on ISMS controls (under development). Ðóêîâîäñòâî
äëÿ àóäèòîðîâ ìåðîïðèÿòèé ISMS (â ñòàäèè ðàçðàáîòêè).
Äàííûé òåõíè÷åñêèé îò÷åò 2-ãî òèïà îðèåíòèðîâàí íà ïðåäîñòàâëåíèå ðóêîâîäñòâà ïî
ïðîâåðêå äîêàçàòåëüñòâà è êà÷åñòâà ðåàëèçîâàííûõ â ISMS ìåðîïðèÿòèé è òåì ñàìûì ïîääåðæè-
âàåò ïëàíèðîâàíèå è âûïîëíåíèå îöåíèâàíèÿ ìåðîïðèÿòèé ISMS.
 íàñòîÿùåå âðåìÿ èìååòñÿ 2-é ðàáî÷èé ïðîåêò (WD) ISO/IEC 27008.
ISO/IEC 27013 — Guidance on the integrated implementation of 20000-1 and 27001 (under
development). Ðóêîâîäñòâî ïî èíòåãðèðîâàííîé ðåàëèçàöèè ñòàíäàðòîâ ISO/IEC 20000-1 è ISO/IEC
27001 (â ñòàäèè ðàçðàáîòêè).
Ñòàíäàðò ïðåäîñòàâèò ðóêîâîäñòâî ïî ðåàëèçàöèè èíòåãðèðîâàííîé ñèñòåìû ìåíåäæìåíòà
èíôîðìàöèîííîé áåçîïàñíîñòè è ìåíåäæìåíòà óñëóã ÈT.
 íàñòîÿùåå âðåìÿ èìååòñÿ ïðåäâàðèòåëüíûé ðàáî÷èé ïðîåêò (WD) ISO/IEC 27013, ïðåäëà-
ãàþùèé ñòðóêòóðó ýòîãî ñòàíäàðòà.
ISO/IEC 27014 — Information security governance framework (under development). Îñíîâíûå
ïîëîæåíèÿ óïðàâëåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòüþ (â ñòàäèè ðàçðàáîòêè).
Ñòàíäàðò ñôîðìóëèðóåò îñíîâíûå ïîëîæåíèÿ (framework) óïðàâëåíèÿ èíôîðìàöèîííîé áå-
çîïàñíîñòüþ â ïîääåðæêó òðåáîâàíèé ê óïðàâëåíèþ êîðïîðàöèåé, êîòîðûå ïðåäïîëàãàþò ýôôåê-
òèâíûå âíóòðåííèå ìåðû ïî óïðàâëåíèþ îðãàíèçàöèåé.
ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2010, ¹ 3 183
ISO/IEC 27010 — Information security management guidelines for inter-sector communications
(under development). Ðóêîâîäñòâî ïî ìåíåäæìåíòó èíôîðìàöèîííîé áåçîïàñíîñòè äëÿ ìåæîòðàñ-
ëåâûõ ñîîáùåíèé (â ñòàäèè ðàçðàáîòêè).
Ñòàíäàðò áóäåò ñîäåðæàòü ðóêîâîäñòâî ïî ìåíåäæìåíòó èíôîðìàöèîííîé áåçîïàñíîñòè ñî-
îáùåíèé è ñîòðóäíè÷åñòâó ìåæäó îòêðûòûìè è/èëè çàêðûòûìè ñåêòîðàìè.
 íàñòîÿùåå âðåìÿ èìååòñÿ òåêñò, ïðåäîñòàâëåííûé ðåäàêòîðàìè ýòîãî ñòàíäàðòà.
ITU X.1051|ISO/IEC 27011: 2008 — Information security management guidelines for
telecommunications organizations based on ISO/IEC 27002. Ðóêîâîäñòâî ïî ìåíåäæìåíòó èíôîð-
ìàöèîííîé áåçîïàñíîñòè äëÿ òåëåêîììóíèêàöèîííûõ îðãàíèçàöèé íà îñíîâå ISO/IEC 27002.
Äàííûé ñòàíäàðò:
à) îïðåäåëÿåò ðóêîâîäÿùèå óêàçàíèÿ è îáùèå ïðèíöèïû äëÿ èíèöèèðîâàíèÿ, ðåàëèçàöèè,
ïîääåðæêè è óëó÷øåíèÿ ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè â òåëåêîììóíèêàöèîííûõ
îðãàíèçàöèÿõ íà îñíîâå ISO/IEC 27002;
á) ôîðìóëèðóåò îñíîâíûå ðåêîìåíäàöèè äëÿ ðåàëèçàöèè ìåíåäæìåíòà èíôîðìàöèîííîé áå-
çîïàñíîñòè â òåëåêîììóíèêàöèîííûõ îðãàíèçàöèÿõ äëÿ îáåñïå÷åíèÿ êîíôèäåíöèàëüíîñòè, öåëîñ-
òíîñòè è äîñòóïíîñòè òåëåêîììóíèêàöèîííûõ ñðåäñòâ è óñëóã.
ISO/IEC IS 27011 îïóáëèêîâàí 15 äåêàáðÿ 2008 ãîäà.
ISO/IEC 27015 — Information security management guidelines for financial and insurance
services (under development). Ðóêîâîäÿùèå óêàçàíèÿ ïî ìåíåäæìåíòó èíôîðìàöèîííîé áåçîïàñ-
íîñòè äëÿ ôèíàíñîâûõ óñëóã è óñëóã ñòðàõîâàíèÿ (â ñòàäèè ðàçðàáîòêè).
Ñòàíäàðò óñòàíàâëèâàåò òðåáîâàíèÿ è ðóêîâîäÿùèå óêàçàíèÿ äëÿ èíèöèèðîâàíèÿ, ðåàëèçà-
öèè, ïîääåðæêè è óëó÷øåíèÿ ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè, ñïåöèôè÷åñêèå äëÿ
îðãàíèçàöèé, ïðåäîñòàâëÿþùèõ ôèíàíñîâûå óñëóãè è óñëóãè ñòðàõîâàíèÿ. Òðåáîâàíèÿ ýòîãî ñòàí-
äàðòà äîïîëíÿþò òðåáîâàíèÿ ñòàíäàðòà ISO/IEC 27001, êîòîðûå òàêæå äîëæíû âûïîëíÿòüñÿ.
Ðóêîâîäÿùèå óêàçàíèÿ â êîíòåêñòå îêàçàíèÿ ôèíàíñîâûõ óñëóã è óñëóã ñòðàõîâàíèÿ ÿâëÿþò-
ñÿ äîïîëíÿþùèìè îáùåå ðóêîâîäñòâî ïî ðåàëèçàöèè ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñ-
òè, ïðåäîñòàâëÿåìîå ñòàíäàðòîì ISO/IEC 27002.  íàñòîÿùåå âðåìÿ èìååòñÿ ðàáî÷èé ïðîåêò (WD)
ýòîãî ñòàíäàðòà.
ISO/IEC 27031 — Guidelines for ICT readiness for business continuity (under development). Ðó-
êîâîäñòâî ïî îáåñïå÷åíèþ ãîòîâíîñòè èíôîðìàöèîííî-êîììóíèêàöèîííûõ òåõíîëîãèé (ÈÊÒ) ïî
ïîääåðæàíèþ íåïðåðûâíîñòè áèçíåñà (â ñòàäèè ðàçðàáîòêè).
Ñòàíäàðò îïèñûâàåò êîíöåïöèþ è ïðèíöèïû îáåñïå÷åíèÿ ãîòîâíîñòè ÈÊÒ ïî ïîääåðæàíèþ íå-
ïðåðûâíîñòè áèçíåñà äëÿ ëþáîé îðãàíèçàöèè íåçàâèñèìî îò åå ðàçìåðà, à òàêæå ñïåöèôèêàöèè âñåõ
àñïåêòîâ óëó÷øåíèÿ ãîòîâíîñòè ÈÊÒ ïî îáåñïå÷åíèþ íåïðåðûâíîñòè áèçíåñà. Îáëàñòü äåéñòâèÿ ýòî-
ãî ñòàíäàðòà îõâàòûâàåò âñå ñîáûòèÿ è èíöèäåíòû, êîòîðûå ìîãóò èìåòü âëèÿíèå íà ñèñòåìû è èí-
ôðàñòðóêòóðó ÈÊÒ. Îíà âêëþ÷àåò è ðàñøèðÿåò ïðàêòè÷åñêèå ïðàâèëà ðàññìîòðåíèÿ èíöèäåíòîâ, ñâÿ-
çàííûõ ñ áåçîïàñíîñòüþ, è ìåíåäæìåíò ïëàíèðîâàíèÿ ïîääåðæàíèÿ ãîòîâíîñòè ÈÊÒ.
 íàñòîÿùåå âðåìÿ èìååòñÿ ïðîåêò êîìèòåòà (CD) ýòîãî ñòàíäàðòà.
ISO/IEC 27033 — Network security (all parts) (under development). Áåçîïàñíîñòü ñåòåé (âñå
÷àñòè) (â ñòàäèè ðàçðàáîòêè).
Ñòàíäàðò ïðåäîñòàâèò äåòàëüíîå ðóêîâîäñòâî ïî àñïåêòàì áåçîïàñíîñòè, êàñàþùèìñÿ óïðàâ-
ëåíèÿ, ýêñïëóàòàöèè è èñïîëüçîâàíèÿ ñåòåé èíôîðìàöèîííûõ ñèñòåì è èõ ñâÿçåé.
ISO/IEC 27034 — Application security (all parts) (under development). Áåçîïàñíîñòü ïðèëîæå-
íèé (âñå ÷àñòè) (â ñòàäèè ðàçðàáîòêè).
Ðàçëè÷íûå ÷àñòè ýòîãî ñòàíäàðòà ïðåäîñòàâÿò ðóêîâîäÿùèå óêàçàíèÿ äëÿ ðàçðàáîò÷èêîâ ïðî-
ãðàììíîãî îáåñïå÷åíèÿ, àäìèíèñòðàòîðîâ áåçîïàñíîñòè, ïîëüçîâàòåëåé ïðîãðàììíîãî îáåñïå÷å-
íèÿ, àóäèòîðîâ, ìåíåäæåðîâ ïî îïðåäåëåíèþ, ðàçðàáîòêå â ñëó÷àå íåîáõîäèìîñòè, ðåàëèçàöèè,
ïîääåðæêå è çàìåíå ïðèëîæåíèé ñ òî÷êè çðåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè.
ISO/IEC 27035 — Information security incident management (under development). Ìåíåäæìåíò
èíöèäåíòîâ èíôîðìàöèîííîé áåçîïàñíîñòè (â ñòàäèè ðàçðàáîòêè).
Ñòàíäàðò ïðåäîñòàâèò ðóêîâîäñòâî ïî ìåíåäæìåíòó èíöèäåíòîâ èíôîðìàöèîííîé áåçîïàñ-
íîñòè äëÿ àäìèíèñòðàòîðîâ áåçîïàñíîñòè, àäìèíèñòðàòîðîâ èíôîðìàöèîííûõ ñèñòåì, ñåòåé êàê
äëÿ áîëüøèõ, òàê è äëÿ ìàëûõ îðãàíèçàöèé.
ISO/IEC 27036 — Guidelines for security of outsourcing (under development). Ðóêîâîäÿùèå óêà-
çàíèÿ ïî áåçîïàñíîñòè àóòñîðñèíãà (â ñòàäèè ðàçðàáîòêè).
Ñòàíäàðò ïðåäîñòàâèò ðóêîâîäñòâî ïî îöåíèâàíèþ ðèñêîâ, èñõîäÿùèõ îò ïðèîáðåòåíèÿ è
èñïîëüçîâàíèÿ óñëóã àóòñîðñèíãà, â ïîääåðæêó ñòàíäàðòà ISO/IEC 27001 è ìåðîïðèÿòèé, ñâÿçàí-
íûõ ñ àóòñîðñèíãîì, ñòàíäàðòà ISO/IEC 27002.
ISO/IEC 27037 — Guidelines for identification, collection and/or acquisition and preservation of
digital evidence (under development). Ðóêîâîäÿùèå óêàçàíèÿ äëÿ èäåíòèôèêàöèè, ñáîðà è/èëè ïðè-
îáðåòåíèÿ è ñîõðàíåíèÿ öèôðîâûõ äîêàçàòåëüñòâ (â ñòàäèè ðàçðàáîòêè).
Ñòàíäàðò âêëþ÷àåò äåòàëüíîå ðóêîâîäñòâî, îïèñûâàþùåå ïðîöåññ îáíàðóæåíèÿ, èäåíòèôè-
êàöèè, ñáîðà è/èëè ïðèîáðåòåíèÿ è ñîõðàíåíèÿ öèôðîâûõ äàííûõ, êîòîðûå ìîãóò ñîäåðæàòü èí-
ôîðìàöèþ, èìåþùóþ ïîòåíöèàëüíîå äîêàçàòåëüíîå çíà÷åíèå.
ÑÏÈÑÎÊ ËÈÒÅÐÀÒÓÐÛ
1. Ê î â à ë å í ê î È . Í . , Ê î ÷ ó á è í ñ ê è é À . È . Àñèììåòðè÷íûå êðèïòîãðàôè÷åñêèå àëãîðèòìû //
Êèáåðíåòèêà è ñèñòåìíûé àíàëèç. — 2003. — 39, ¹ 4. — Ñ. 95–102.
2. Ä Ñ Ò Ó 4 1 4 5 — 2002. ²íôîðìàö³éí³ òåõíîëî㳿. Êðèïòîãðàô³÷íèé çàõèñò ³íôîðìàö³¿. Öèôðîâèé
ï³äïèñ, ùî ´ðóíòóºòüñÿ íà åë³ïòè÷íèõ êðèâèõ. Ôîðìóâàííÿ òà ïåðåâ³ðÿííÿ. — Óâåä. 28.12.2002. —
Ê.: Äåðæñïîæèâñòàíäàðò Óêðà¿íè, 2002. — 37 ñ.
Ïîñòóïèëà 05.11.2009
184 ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2010, ¹ 3
|