Купить ГОСТ Р 57640-2017 — бумажный документ с голограммой и синими печатями. подробнее
Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"
Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.
В стандарте определена эталонная модель процесса (ЭМП) для управления информационной безопасностью. Архитектура модели определяет архитектуру процесса для области применения и включает ряд процессов, каждый из которых описан в терминах цели и результатов процесса.
Идентичен ISO/IEC TS 33052:2016
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Краткий обзор ЭМП
5 Описания процесса
5.1 Введение
5.2 ORG.1 Управление активами
5.3 TEC.01 Управление возможностями
5.4 TEC.02 Управление изменениями
5.5 COM.01 Управление связью
5.6 TEC.03 Управление конфигурацией
5.7 COM.02 Управление документацией
5.8 ORG.2 Управление оборудованием
5.9 ORG.3 Управление персоналом в период занятости
5.10 COM.03 Управление человеческими ресурсами
5.11 COM.04 Улучшения
5.12 TEC.04 Управление инцидентами
5.13 ORG.4 Инфраструктура и рабочая среда
5.14 COM.05 Внутренний аудит
5.15 TOR.1 Лидерство
5.16 COM.06 Анализ управления
5.17 COM.07 Управление несоответствиями
5.18 COM.09 Функциональная реализация и управление
5.19 COM.08 Эксплуатационное планирование
5.20 COM.10 Оценка функционирования
5.21 TEC.05 Производство продукции/оказание услуг
5.22 TEC.08 Продукция/услуги/системные требования
5.23 COM.11 Управление рисками и возможностями
5.24 TEC.06 Управление готовностью услуг
5.25 TEC.07 Управление непрерывностью услуг
5.26 ORG.5 Управление поставщиками
5.27 TEC.09 Сохранение и восстановление технических данных
Приложение А (справочное) Отношения между требованиями к системе управления и эталонной моделью процесса
Приложение В (справочное) Положения по соответствию ИСО/МЭК 33004
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам
Библиография
Дата введения | 01.09.2018 |
---|---|
Добавлен в базу | 01.01.2018 |
Актуализация | 01.01.2021 |
05.09.2017 | Утвержден | Федеральное агентство по техническому регулированию и метрологии | 115-ст |
---|---|---|---|
Разработан | ООО ИАВЦ | ||
Издан | Стандартинформ | 2017 г. |
Чтобы бесплатно скачать этот документ в формате PDF, поддержите наш сайт и нажмите кнопку:
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ
(ISO/IEC TS 33052:2016, IDT)
Издание официальное
Москва
Стандартинформ
2017
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 сентября 2017 г. № 1015-ст
4 Настоящий стандарт идентичен международному документу ISO/IEC TS 33052:2016 «Информационные технологии. Эталонная модель процесса (ЭМП) для управления информационной безопасностью» (ISO/IEC TS 33052:2016 «Infonnation technology — Process reference model (PRM) for information security management», IDT).
ISO/IEC TS 33052 разработан подкомитетом ПК 7 «Системная и программная инженерия» Совместного технического комитета СТК 1 «Информационные технологии» Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информащюнном указателе «Национальные стандарты» В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
©Стандартинформ. 2017
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
II
27001 2ED 07.5.2 |
Создание и обновление [2. 5] |
27001 2ED 07 5 3 |
Контроль зарегистрированной информации [2—4. 6. 7] |
27001 2ED 08 1 |
Эксплуатационное планирование и контроль [7] |
27001 2ED 08 3 |
Реакция на риски нарушения информационной безопас-ности [1. 5) |
27001 2ED 09 1 |
Контроль, измерения, анализ и оценка (1) |
27001 2ED 09 2 |
Внутренний аудит (1) |
27001 2ED09 3 |
Анализ управления (1] |
27001 2ED 101 |
Несоответствия и корректирующие действия (1) |
27001 2EDA05 1 1 |
Политика обеспечения информационной безопасности (5. 6] |
27001 2EDA081.3 |
Надлежащее использование активов [1] |
27001 2EDA09 1 1 |
Политика контроля доступа (1) |
27001 2EDA121 1 |
Зарегистрированные рабочие процедуры [1, 6) |
27001 2EDA12 4 1 |
Регистрация событий [1] |
27001 2EDA13 2 4 |
Соглашения о конфиденциальности или неразглашении [1] |
27001 2EDA14 2.5 |
Принципы безопасной системной инженерии (1. 3] |
27001 2EDA151.1 |
Политика информационной безопасности в отношениях с поставщиками [1. 3] |
27001 2EDA16 1 5 |
Реагирование на инциденты нарушения информационной безопасности[1] |
27001 2EDA16 1 7 |
Сбор свидетельств (1) |
27001 2EDA17 1 2 |
Обеспечение непрерывности информационной безопасности [1, 3) |
27001 2EDA18 1.1.01 |
Применяемые законодательные и нормативные требования [1.3] |
27001 2EDA18 1.1.02 |
Применяемые контрактные требования [1, 3] |
27001 2EDA18 1 3 |
Защита записей [4] |
5.8 ORG.2 Управление оборудованием | ||||||||||
| ||||||||||
6 |
| ||||
5.9 ORG.3 Управление персоналом в период занятости |
| ||||||||||||
7 |
27001 2ED 07.2.3 Дисциплинарные меры (6) 27001 2ED 07.3.1 Освобождение от обязанностей или их изменение [7) 27001 2ED 08 1 4 Возврат активов [8] 27001 2ED 09.2.6 Отмена или изменение прав доступа [9] 27001 2ED 09.3.1 Использование секретной информации по аутентификации (3] |
5.10 COM.03 Управление человеческими ресурсами | ||||||||||||
|
5.11 СОМ.04 Улучшения | ||||||||||||
|
5.12 ТЕС.04 Управление инцидентами | ||||||||||||
|
5.13 ORG.4 Инфраструктура и рабочая среда | ||||||||||||
|
27001 2ED А 09 4 2 |
Безопасные процедуры входа в систему [6] |
27001 2EDA09 4 3 |
Система управления паролями (6) |
27001 2ED А 09 4 4 |
Использование утилит с привилегированными правами [7] |
27001 2EDA 09 4 5 |
Контроль доступа к исходным кодам [6J |
27001 2EDA11.1 1 |
Физический периметр безопасности (1. 5] |
27001 2EDA11.1 2 |
Контроль физического прохода [1] |
27001 2EDA 11.1.3 |
Защита офисов, помещений и устройств [1, 5) |
27001 2EDA11.1 4 |
Защита от внешних угроз и угроз природного характера [1, 5] |
27001 2EDA11.1 6 |
Зоны доставки и отгрузки (5] |
27001 2EDA11.2 8 |
Оборудование пользователя, находящееся без присмотра [5] |
27001 2EDA12 1 4 |
Разделение среды разработки, тестирования и эксплуатации (2) |
27001 2EDA12 4 1 |
Регистрация событий (7) |
27001 2EDA12 4 2 |
Защита регистрируемой информации [7] |
27001 2EDA12 4 3 |
Журналы действий администратора и оператора (6) |
27001 2EDA12 4 4 |
Синхронизация времени [1] |
27001 2EDA12 6 1 |
Управление техническими уязвимостями (7] |
27001 2EDA13 1 2 |
Безопасность сетевых услуг [1] |
27001 2EDA13 1 3 |
Разделение в сетях (2) |
27001 2EDA13 2 3 |
Электронные сообщения [7J |
27001 2EDA14 1 3 |
Защита транзакций прикладных услуг [7] |
27001 2EDA14 2 6 |
Безопасная среда разработки (1) |
27001 2EDA.18 1 4 |
Конфиденциальность и защита персональных данных [7] |
27001 2EDA18 1 5 |
Регламентация применения криптографических методов [7J |
5.14 СОМ.05 Внутренний аудит | ||||||||||
|
ГОСТ P 57640—2017 | ||||||||||||||
|
5.15 ТОР.1 Лидерство | |||||||||||||||||||||||||||||||||||||||||||||||||||
|
5.16 COM.06 Анализ управления | ||||||
|
11
ГОСТ P 57640—2017
1 Область применения.................................................................1
2 Нормативные ссылки.................................................................1
3 Термины и определения...............................................................1
4 Краткий обзор ЭМП..................................................................1
5 Описания процесса..................................................................2
5.1 Введение.......................................................................2
5.2 0RG.1 Управление активами.......................................................3
5.3 ТЕС.01 Управление возможностями.................................................3
5.4 ТЕС.02 Управление изменениями...................................................4
5.5 СОМ.01 Управление связью........................................................4
5.6 ТЕС.03 Управление конфигурацией..................................................5
5.7 СОМ.02 Управление документацией.................................................5
5.8 ORG.2 Управление оборудованием..................................................6
5.9 ORG.3 Управление персоналом в период занятости....................................7
5.10 СОМ.03 Управление человеческими ресурсами.......................................8
5.11 СОМ.04 Улучшения..............................................................8
5.12ТЕС.04 Управление инцидентами..................................................9
5.13 ORG.4 Инфраструктура и рабочая среда............................................9
5.14 СОМ.05 Внутренний аудит.......................................................10
5.15ТОР.1 Лидерство...............................................................11
5.16 СОМ.06 Анализ управления......................................................11
5.17 СОМ.07 Управление несоответствиями............................................12
5.18 СОМ.09 Функциональная реализация и управление..................................12
5.19 СОМ.08 Эксплуатационное планирование..........................................14
5.20 СОМ. 10 Оценка функционирования...............................................16
5.21 ТЕС.05 Производство продукции/оказание услуг.....................................17
5.22 ТЕС.08 Продукция/услуги/системные требования....................................17
5.23 СОМ.11 Управление рисками и возможностями......................................18
5.24 ТЕС.06 Управление готовностью услуг.............................................18
5.25 ТЕС.07 Управление непрерывностью услуг.........................................19
5.26 ORG.5 Управление поставщиками ................................................19
5.27 ТЕС.09 Сохранение и восстановление технических данных............................20
Приложение А (справочное) Отношения между требованиями к системе управления
и эталонной моделью процесса............................................21
Приложение В (справочное) Положения по соответствию ИСО/МЭК 33004 ..................... 61
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов
национальным стандартам...............................................63
Библиография.......................................................................63
III
Цель настоящего стандарта состоит в том, чтобы облегчить разработку модели оценки процесса (МОП), приведенной в ИСО/МЭК 33072.
ИСО/МЭК 33002 устанавливает требования для осуществления оценки процесса. ИСО/МЭК 33020 описывает шкалу измерений для оценки характеристик качества с точки зрения возможностей процесса. ИСО/МЭК 33001 определяет понятия и терминологию, используемые для оценки процесса.
Эталонная модель процесса (ЭМП) является моделью, включающей в себя определения процессов, описанных в терминах цели и результатов, совместно с архитектурой, определяющей отношения между процессами. При использовании ЭМП на практике могут потребоваться дополнительные элементы. отвечающие окружающей среде и обстоятельствам.
ЭМП, определенная в настоящем стандарте, описывает ряд процессов, включая процессы системы управления информационной безопасностью (СУИБ). приведенные в ИСО/МЭК 27001. Каждый процесс ЭМП описан в терминах цели и результатов и обеспечивает прослеживаемость требований. ЭМП не пытается разместить процессы в заданной среде и не предопределяет уровень возможностей процесса, необходимых для выполнения требований ИСО/МЭК 27001. ЭМП не предназначена для аудита оценки соответствия или использования в качестве эталонного руководства по реализации процесса.
Соотношение между стандартами ИСО/МЭК 24774, ИСО/МЭК 27001, ИСО/МЭК 33002, ИСО/МЭК 33004, ИСО/МЭК 33020, ИСО/МЭК TS 33052 и ИСО/МЭК TS 33072 приведено на рисунке 1.
| ||||||||||||||||||
Обеспечивает описание процессов оцениваемых с помощью |
1
ИСО/МЭК 33002 Требования к проведению оценки процесса
ИСО/МЭК ТТ 33072 Модель оценки процесса для управления информационной безопасностью
ИСО/МЭК 33020 Система измерения процесса для оценки возможностей процесса
Рисунок 1 — Соотношение между соответствующими стандартами
IV
ГОСТ P 57640—2017
Любая организация может определить процессы с какими-либо дополнительными элементами, адаптируясь к определенной среде и обстоятельствам. Некоторые процессы охватывают общие аспекты управления в организации. Эти процессы должны быть определены так. чтобы соответствовать требованиям ИСО/МЭК 27001.
ЭМП не обеспечивает предоставление свидетельств, требуемых ИСО/МЭК 27001. ЭМП не определяет взаимодействие между процессами.
Описания процессов в рамках ЭМП для управления информационной безопасностью приведены в разделе 5. Приложение А обеспечивает положения в соответствии с ИСО/МЭК 33002.
V
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
ЭТАЛОННАЯ МОДЕЛЬ ПРОЦЕССА (ЭМП)
ДЛЯ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Information technology Process reference model (PRM) for information security management
Дата введения — 2018—09—01
В настоящем стандарте определена эталонная модель процесса (ЭМП) для управления информационной безопасностью. Архитектура модели определяет архитектуру процесса для области применения и включает ряд процессов, каждый из которых описан в терминах цели и результатов процесса.
В настоящем стандарте применены следующие нормативные ссылки. Для датированных документов используются только указанные издания. Для недатированных документов используются последние издания с учетом внесенных в них изменений.
ISO/IEC 27001:2013. Information technology — Security techniques—Information security management systems — Requirements (Информационные технологии. Методы безопасности. Системы управления информационной безопасностью. Требования)
ISO/IEC 33001, Information technology — Process assessment — Concepts and terminology (Информационные технологии. Оценка процесса. Понятия и терминология)
В настоящем стандарте применены термины и соответствующие определения по ИСО/МЭК 27001 и ИСО/МЭК 33001.
Структура ЭМП. применяемая для поддержки управления информационной безопасностью, приведена в настоящем разделе. ЭМП включает процессы, которые могут существовать 8 контексте системы управления у поставщика услуг.
Процессы, определенные согласно требованиям ИСО/МЭК 27001. приведены на рисунке 2.
Издание официальное
Общие интегрированные процессы управления
СОМ 01 Управление связью
СОМ 02 Управление документацией
СОМ 03 Управление челоеечесхими ресурсами
СОМ 04 Улучшения
СОМ 05 Внутренний аудит
СОМ 06 Анализ управления
СОМ 07 Управление несоответствиями
СОМ 08 Эксплуатационное планированию
СОМ 09 Функциональная реализация и управление
СОМ 10 Оценка функционирования
СОМ 11 Управление рисками и возможностями
Организационные процессы
ORG 1 Управление активами
ORG 2 Управление оборудованием
ORG 3 Управление персоналом в период занятости
ORG 4 Инс^раструктура и рабочая среда
ORG 5 Управление поставоцками
Технические процессы
ТЕС 01 Управление возможностями ТЕС 02 Управление изменениями
ТЕС 03 Управление конфигурацией ТЕС 04 Управление инцидентами
ТЕС 05 Производство продукции/окаэание услуг ТЕС 06 Управление готовностью услуг
ТЕС 07 Управление непрерывностью услуг ТЕС 08 Продукцилуслуги/систвмнье требовании
ТЕС 09 Сохранение и восстановление технических данных
Рисунок 2 — Процессы в ЭМП
5.1 Введение
Каждый процесс в ЭМП может быть описан с помощью следующих элементов:
a) идентификатора процесса: каждый процесс, принадлежащий группе, идентифицируется с использованием идентификатора процесса, состоящего из сокращенного названия группы и последующего номера процесса в этой группе:
b) названия: название процесса — короткая фраза, описывающая область процесса, идентифицируя основной интерес процесса, и отличающая его от других процессов в рамках ЭМП;
c) контекста: краткий обзор для каждого процесса, описывающий намеченный контекст применения процесса;
d) цели процесса: некий высокий уровень достижений в результате выполнения процесса:
e) выходов (выходных результатов): наблюдаемый результат успешного достижения цели процесса. Результаты являются оцениваемыми, материальными, техническими или деловыми, достигаемыми с помощью процесса. Выходы являются наблюдаемыми и подлежат оценке;
О прослеживаемости требований: результаты основаны на требованиях ИСО/МЭК 27001. Ссылки идентифицируют применимые подразделы ИСО/МЭК 27001, заголовок подраздела и поддерживаемые результаты.
Все записи в ряду прослеживаемых требований в подразделах с 5.2 по 5.27 заканчиваются числами 8 квадратных скобках, т. е. (л). Каждое число в квадратных скобках — это ссылка на пронумерованный результат. Эти результаты непосредственно связаны с требованиями ИСО/МЭК 27001.
2
Некоторые выходные результаты отражаются в квадратных скобках. Они только косвенно связаны с требованиями ИСО/МЭК 27001. Ни одна из записей в ряду прослеживаемых требований не ссылается на результаты в квадратных скобках. Эти дополнительные результаты были включены постольку, поскольку считаются необходимыми для данного типа ЭМП как основы МОП (ИСО/МЭК TS 33072). С этими дополнительными результатами процесс является полным, и цель процесса может быть достигнута.
5.2 ORG.1 Управление активами
| ||||||||||||
5.3 ТЕС.01 Управление возможностями |
| ||||||||||||
3 |
5.4 TEC.02 Управление изменениями | ||||||||||||
|
5.5 СОМ.01 Управление связью | ||||||||||||
|
5.6 TEC.03 Управление конфигурацией | ||||||||||||
| ||||||||||||
5.7 СОМ.02 Управление документацией |
| ||||||||||||
5 |