Дата введения 2017-01-01
Отправить по почте
Национальный стандарт Республики Казахстан Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасностью. Требования СТ РК ISO/IEC 27001-2015
Действие Приказа будет отменено с 31 октября 2025 года в соответствии с Приказом Председателя Комитета технического регулирования и метрологии Министерства торговли и интеграции РК от 14.11.2023 г. № 440-НҚ
(ISO/IEC 27001:2013 «Information technology - Security techniques - Information security management systems - Requirements», IDT)
Данный стандарт действует на территории РК в соответствии с Приказом Председателя Комитета технического регулирования и метрологии Министерства по инвестициям и развитию Республики Казахстан от 24 ноября 2015 г. № 236-од
Дата введения 2017-01-01
Предисловие
1. ПОДГОТОВЛЕН И ВНЕСЕН Республиканским государственным предприятием «Казахстанский институт стандартизации и сертификации»
2. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Председателя Комитета технического регулирования и метрологии Министерства по инвестициям и развитию Республики Казахстан от 24 ноября 2015 г. № 236-од
3. Настоящий стандарт идентичен международному стандарту ISO/IEC 27001:2013/ Cor.1:2014 «Information technology - Security techniques - Information security management systems - Requirements» (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасностью. Требования), включая технические поправки № 1 (ISO/IEC 27001:2013/ Cor.1:2014) и № 2 (ISO/IEC 27001:2013/Cor.2:2015).
Международный стандарт ISO/IEC 27001 подготовлен подкомитетом SC 27 Методы обеспечения безопасности в ИТ Объединенного технического комитета ISO/IEC JTC 1 Информационные технологии.
Перевод с английского языка (en)
Официальные экземпляры международных стандартов, на основе которых подготовлен (разработан) настоящий стандарт, и на которые даны ссылки, имеются в Едином государственном фонде нормативных технических документов
Сведения о соответствии стандартов (межгосударственных) ссылочным международным стандартам приведены в дополнительном приложении В.А.
В разделе «Нормативные ссылки» и тексте стандарта ссылочные международные стандарты актуализированы
Степень соответствия - идентичная, IDT
4. СРОК ПЕРВОЙ ПРОВЕРКИ 2020 год ПЕРИОДИЧНОСТЬ ПРОВЕРКИ 5 лет
5. ВВЕДЕН ВЗАМЕН СТ РК ИСО/МЭК 27001-2008
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Комитета по техническому регулированию и метрологии Министерства по инвестициям и развитию Республики Казахстан.
Введение
0 Введение
0.1 Общие сведения
Настоящий стандарт был подготовлен с целью установления требований к разработке, внедрению, поддержанию в рабочем состоянии и непрерывному совершенствованию системы менеджмента информационной безопасностью (СМИБ). Внедрение СМИБ должно быть стратегическим решением организации. На проектирование и внедрение СМИБ организации оказывают влияние ее потребности и цели, требования безопасности, применяемые процессы, а также размер и структура организации. Все эти факторы влияния, как ожидается, будут изменяться во времени.
Система менеджмента информационной безопасностью позволяет сохранять конфиденциальность, целостность и доступность информации благодаря использованию адекватной технологии управления рисками, придающей уверенность в успехе всем заинтересованным сторонам.
Важно то, что СМИБ является частью процессов, происходящих внутри самой организации, и представляет собой неотъемлемую часть ее общей управленческой структуры, а вопросы защиты информации рассматриваются организацией уже на стадии проектирования технологических процессов, информационных систем и средств управления. Предполагается также, что СМИБ будет в дальнейшем расширяться в соответствии с конкретными потребностями организации.
Настоящий стандарт может использоваться всеми внутренними и внешними заинтересованными сторонами для объективной оценки способности организации к удовлетворению собственных требований по защите информации.
Порядок, в котором эти требования представлены в данном стандарте, не отражает ни степень их важности, ни последовательность, в которой они должны реализовываться в каждом конкретном случае. Приведенный перечень требований носит только справочный характер.
Общий обзор и словарь терминов СМИБ можно найти в стандарте СТ РК ISO/IEC 27000, содержащем также ссылки на семейство стандартов по обеспечению информационной безопасностью [2], [3] и [4], в которых приводятся термины и определения по соответствующим предметным областям.
0.2 Совместимость с другими стандартами по системам менеджмента.
В настоящем стандарте используются высокоуровневая структура, заголовки подразделов, текстовые описания, общие термины и ключевые определения, идентичные тем, что предложены в Приложении SL части 1 Директив ISO/IEC «Консолидированное дополнение ISO» (ISO/IEC Directives, Part 1, Consolidated ISO Supplement). Благодаря этому обеспечивается совместимость настоящего стандарта со всеми другими стандартами по системам менеджмента, построенными на основе вышеуказанного Приложения SL.
Такая общность подходов должна быть полезной для тех организаций, которые предпочитают создание единой системы управления, удовлетворяющей требованиям двух и более стандартов, касающихся систем обеспечения безопасности.
1. Область применения
Настоящий стандарт устанавливает требования к разработке, внедрению, поддержанию в рабочем состоянии и непрерывному совершенствованию системы менеджмента информационной безопасностью организации в контексте существующих бизнес рисков организации.
Стандарт также устанавливает основные требования к процедурам оценки и обработки рисков информационной безопасности, адаптируемые к нуждам организации независимо от ее типа, масштаба и сферы деятельности.
Исключение любого из требований, указанных в Разделах с 4-го по 10-й недопустимо, если организация заявляет о соответствии настоящему стандарту.
2. Нормативные ссылки
Для применения настоящего стандарта необходимы следующие ссылочные нормативные документы. Для датированных ссылок применяют только указанное издание ссылочного нормативного документа, для недатированных ссылок применяют последнее издание ссылочного документа (включая все его изменения):
ISO/IEC 27000 Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и словарь)
3. Термины и определения
В настоящем стандарте применяются (используются) термины по ISO/IEC 27000.
4. Организационная среда
4.1 Анализ деятельности организации и ее рабочей среды
Организация должна установить внешние и внутренние факторы, влияющие на достижение установленных целей ее деятельности, а также влияющие на результативность системы менеджмента информационной безопасностью.
Примечание - Установление таких факторов влияния заключается в установлении соответствующих внешних и внутренних условий деятельности организации, которые приведены в [5] Раздел 5.3.
4.2 Анализ потребностей и ожиданий заинтересованных сторон
Организация должна определить:
a) стороны, заинтересованные в создании системы менеджмента информационной безопасности (СМИБ), и
b) требования всех заинтересованных сторон к функциям защиты информации.
Примечание - Требования заинтересованных сторон могут включать в себя требования нормативных правовых и нормативных технических документов, а также требования, установленные в официальных соглашениях (договор, контракт и др.).
4.3 Определение области распространения СМИБ
Организация должна определить границы и охватываемую ею деятельность СМИБ, чтобы установить область распространения СМИБ.
При установлении области распространения СМИБ организация должна учитывать:
a) внешние и внутренние факторы (см. 4.1);
