Введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 2 июля 2021 г. N 613-ст
Отправить по почте
Межгосударственный стандарт Информационные технологии информационная безопасность, кибербезопасность и защита конфиденциальности руководство деятельностью по обеспечению информационной безопасности ГОСТ ISO/IEC 27014-2021
Information technology. Information security, cybersecurity and privacy protection. Governance of information security (ISO/IEC 27014:2020, IDT)
Данный стандарт не введен на территории РК
Введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 2 июля 2021 г. N 613-ст
примечание.
В официальном тексте документа, видимо, допущена опечатка: имеется в виду код 35.040 МКС, а не 35.030.
МКС 35.030
Дата введения 30 ноября 2021 года
Предисловие
Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5
2 ВНЕСЕН Межгосударственным техническим комитетом по стандартизации МТК 022 "Информационные технологии"
3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 30 июня 2021 г. N 141-П)
За принятие проголосовали:
Краткое наименование страны по МК (ИСО 3166) 004-97 |
Код страны по МК (ИСО 3166) 004-97 |
Сокращенное наименование национального органа по стандартизации |
Армения |
AM |
ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения |
Беларусь |
BY |
Госстандарт Республики Беларусь |
Казахстан |
KZ |
Госстандарт Республики Казахстан |
Киргизия |
KG |
Кыргызстандарт |
Россия |
RU |
Росстандарт |
Узбекистан |
UZ |
Узстандарт |
4 Приказом Федерального агентства по техническому регулированию и метрологии от 2 июля 2021 г. N 613-ст межгосударственный стандарт ГОСТ ISO/IEC 27014-2021 введен в действие в качестве национального стандарта Российской Федерации с 30 ноября 2021 г.
5 Настоящий стандарт идентичен международному стандарту ISO/IEC 27014:2020 "Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности" ("Information technology - Information security, cybersecurity and privacy protection - Governance of information security", IDT).
ISO/IEC 27014:2020 разработан подкомитетом SC 27 "Информационная безопасность, кибербезопасность и защита конфиденциальности" Совместного технического комитета JTC 1 "Информационные технологии" Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА
6 ВВЕДЕН ВПЕРВЫЕ
Информация о введении в действие (прекращении действия) настоящего стандарта и изменений к нему на территории указанных выше государств публикуется в указателях национальных стандартов, издаваемых в этих государствах, а также в сети Интернет на сайтах соответствующих национальных органов по стандартизации.
В случае пересмотра, изменения или отмены настоящего стандарта соответствующая информация будет опубликована на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации в каталоге "Межгосударственные стандарты"
Введение
Обеспечение информационной безопасности (ИБ) является важнейшей задачей организаций, значение которой постоянно повышается в результате непрерывного развития методов и средств проведения атак на информационные системы, а также в связи с усилением нормативных требований регуляторов.
Недостаточность мер обеспечения ИБ может иметь как для организации, так и для ее партнеров множество негативных последствий, в том числе связанных с утратой доверия.
Руководство деятельностью по обеспечению ИБ предполагает надлежащее использование ресурсов для обеспечения эффективной реализации ИБ, обеспечивающей уверенность в том, что:
- будут соблюдаться директивы по ИБ;
- руководство будет получать достоверную и актуальную отчетность о деятельности, связанной с ИБ.
Предоставленная информация об ИБ помогает руководству принимать решения относительно стратегических целей организации, что гарантирует кроме прочего и соответствие стратегии ИБ этим целям. Она также обеспечивает соответствие стратегии информационной безопасности общим целям организации.
Менеджеры и другие работники организации должны понимать следующее:
- требования к руководству деятельностью, влияющие на их работу;
- как удовлетворить требования к руководству деятельностью, требующие их действий.
1 Область применения
В настоящем стандарте представлены понятия, цели и процессы руководства деятельностью по обеспечению информационной безопасности (ИБ), с помощью которых организации могут оценивать, направлять, контролировать и передавать информацию о процессах, связанных с ИБ, внутри организации.
Целевая аудитория настоящего стандарта:
- руководящие органы и лица из состава высшего руководства;
- лица, ответственные за оценку, управление и мониторинг системы менеджмента информационной безопасности (СМИБ) на основе ISO/IEC 27001;
- лица, ответственные за менеджмент ИБ за пределами области действия СМИБ, основанной на ISO/IEC 27001, но в рамках руководства деятельностью.
Настоящий стандарт применим ко всем видам организаций с различной численностью работников (персонала).
Все ссылки на СМИБ в настоящем стандарте относятся к СМИБ, соответствующим ISO/IEC 27001.
В настоящем стандарте основное внимание уделяется организациям трех типов по отношению к СМИБ, приведенным в приложении B. Однако настоящий стандарт может также использоваться и для организаций других типов.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).
ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)
ISO/IEC 27001, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)
3 Термины и определения
В настоящем стандарте применены термины по ISO/IEC 27000, а также следующие термины с соответствующими определениями:
ISO и IEC поддерживают терминологические базы, используемые в сфере стандартизации, доступные на следующих сайтах:
- Онлайн-библиотека стандартов ISO: https://www.iso.org/obp;
- IEC Electropedia: https://www.electropedia.org/;
Эта возможность доступна только для зарегистрированных пользователей. Пожалуйста, войдите или зарегистрируйтесь. |
|
Регистрация |