Межгосударственный стандарт Информационные технологии информационная безопасность, кибербезопасность и защита конфиденциальности руководство деятельностью по обеспечению информационной безопасности ГОСТ ISO/IEC 27014-2021

Введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 2 июля 2021 г. N 613-ст 

примечание.

В официальном тексте документа, видимо, допущена опечатка: имеется в виду код 35.040 МКС, а не 35.030.

МКС 35.030

Дата введения 30 ноября 2021 года

Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5

2 ВНЕСЕН Межгосударственным техническим комитетом по стандартизации МТК 022 "Информационные технологии"

3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 30 июня 2021 г. N 141-П)

За принятие проголосовали:

	
		
		
		
	
	

		

			

			
Краткое наименование страны по МК (ИСО 3166) 004-97  
			
			

			
Код страны по МК (ИСО 3166) 004-97  
			
			

			
Сокращенное наименование национального органа по стандартизации  
			
		
	
	

		

			

			
Армения  
			
			

			
AM  
			
			

			
ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения  
			
		
		

			

			
Беларусь  
			
			

			
BY  
			
			

			
Госстандарт Республики Беларусь  
			
		
		

			

			
Казахстан  
			
			

			
KZ  
			
			

			
Госстандарт Республики Казахстан  
			
		
		

			

			
Киргизия  
			
			

			
KG  
			
			

			
Кыргызстандарт  
			
		
		

			

			
Россия  
			
			

			
RU  
			
			

			
Росстандарт  
			
		
		

			

			
Узбекистан  
			
			

			
UZ  
			
			

			
Узстандарт  
			
		
	

4 Приказом Федерального агентства по техническому регулированию и метрологии от 2 июля 2021 г. N 613-ст межгосударственный стандарт ГОСТ ISO/IEC 27014-2021 введен в действие в качестве национального стандарта Российской Федерации с 30 ноября 2021 г.

5 Настоящий стандарт идентичен международному стандарту ISO/IEC 27014:2020 "Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности" ("Information technology - Information security, cybersecurity and privacy protection - Governance of information security", IDT).

ISO/IEC 27014:2020 разработан подкомитетом SC 27 "Информационная безопасность, кибербезопасность и защита конфиденциальности" Совместного технического комитета JTC 1 "Информационные технологии" Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

6 ВВЕДЕН ВПЕРВЫЕ

Информация о введении в действие (прекращении действия) настоящего стандарта и изменений к нему на территории указанных выше государств публикуется в указателях национальных стандартов, издаваемых в этих государствах, а также в сети Интернет на сайтах соответствующих национальных органов по стандартизации. 

В случае пересмотра, изменения или отмены настоящего стандарта соответствующая информация будет опубликована на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации в каталоге "Межгосударственные стандарты" 

Обеспечение информационной безопасности (ИБ) является важнейшей задачей организаций, значение которой постоянно повышается в результате непрерывного развития методов и средств проведения атак на информационные системы, а также в связи с усилением нормативных требований регуляторов.

Недостаточность мер обеспечения ИБ может иметь как для организации, так и для ее партнеров множество негативных последствий, в том числе связанных с утратой доверия.

Руководство деятельностью по обеспечению ИБ предполагает надлежащее использование ресурсов для обеспечения эффективной реализации ИБ, обеспечивающей уверенность в том, что:

- будут соблюдаться директивы по ИБ;

- руководство будет получать достоверную и актуальную отчетность о деятельности, связанной с ИБ.

Предоставленная информация об ИБ помогает руководству принимать решения относительно стратегических целей организации, что гарантирует кроме прочего и соответствие стратегии ИБ этим целям. Она также обеспечивает соответствие стратегии информационной безопасности общим целям организации.

Менеджеры и другие работники организации должны понимать следующее:

- требования к руководству деятельностью, влияющие на их работу;

- как удовлетворить требования к руководству деятельностью, требующие их действий.

В настоящем стандарте представлены понятия, цели и процессы руководства деятельностью по обеспечению информационной безопасности (ИБ), с помощью которых организации могут оценивать, направлять, контролировать и передавать информацию о процессах, связанных с ИБ, внутри организации.

Целевая аудитория настоящего стандарта:

- руководящие органы и лица из состава высшего руководства;

- лица, ответственные за оценку, управление и мониторинг системы менеджмента информационной безопасности (СМИБ) на основе ISO/IEC 27001;

- лица, ответственные за менеджмент ИБ за пределами области действия СМИБ, основанной на ISO/IEC 27001, но в рамках руководства деятельностью.

Настоящий стандарт применим ко всем видам организаций с различной численностью работников (персонала).

Все ссылки на СМИБ в настоящем стандарте относятся к СМИБ, соответствующим ISO/IEC 27001.

В настоящем стандарте основное внимание уделяется организациям трех типов по отношению к СМИБ, приведенным в приложении B. Однако настоящий стандарт может также использоваться и для организаций других типов.

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)

ISO/IEC 27001, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)

В настоящем стандарте применены термины по ISO/IEC 27000, а также следующие термины с соответствующими определениями:

ISO и IEC поддерживают терминологические базы, используемые в сфере стандартизации, доступные на следующих сайтах:

- Онлайн-библиотека стандартов ISO: https://www.iso.org/obp;

- IEC Electropedia: https://www.electropedia.org/;