ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединённого технического комитета JTC 1. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).

В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель СМИБ — выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Информационная безопасность — сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

• Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
• Целостность — обеспечение точности и полноты информации, а также методов её обработки.
• Доступность — обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Само понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ИСО 27001 — система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:

• на каком направлении информационной безопасности требуется сосредоточить внимание;
• сколько времени и средств можно потратить на данное техническое решение для защиты информации.

Первым стандартом по информационной безопасности, является принятый на государственном уровне в 1995 году и разработанный Британским институтом стандартов BS 7799 — Part 1. В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации, а в 2000 году утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005. В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью). Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».^[1]

Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах и процессном подходе. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001, то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем.^[2] Также основными принципами стандарта ISO 27001 являются:

• Конфиденциальность информации
• Целостность информации
• Доступность информации

• Предисловие
• Введение
• Область приложения
• Нормативные ссылки
• Термины и определения
• Система менеджмента защиты информации
• Ответственность руководства
• Внутренние аудиты СМИБ
• Анализ СМИБ со стороны руководства
• Улучшение СМИБ
• Приложение А (обязательное) цели управления и средства управления
• Приложение В (информационное) принципы OECD и этот международный стандарт
• Приложение С (информационное) соответствие между ISO 9001:2000, ISO 14001:2004 и этим международным стандартом
• Библиография

В 2013 году Международной организацией по сертификации была разработана и принята новая версия стандарта ISO/IEC 27001:2013. Изменения коснулись как структуры стандарта, так и требований.

Структура основных требований стандарта ISO/IEC 27001:2013 приведена в соответствии с Директивами ISO/IEC (то есть все стандарты международной организации будут иметь идентичную структуру разделов). На русский язык данная версия стандарта ещё не переведена, но английский вариант текстового содержания нового стандарта таков:

• Introduction
• Scope
• Normative references
• Terms and definitions
• Context of organization
• Leadership
• Planning
• Support
• Operation
• Performance evaluation
• Improvement

Также произошли изменения в структуре Приложения «А» стандарта. Появились три новых раздела:

• «A.10 Криптография»,
• «A.13 Безопасность коммуникаций»,
• «A.15 Взаимоотношения с поставщиками».

Раздел «А.10 Криптография» не является новым, его требования повторяют отдельные пункты раздела А.12 старой версии стандарта. Разделы «A.13 Безопасность коммуникаций» и «A.15 Взаимоотношения с поставщиками» собрали отдельные пункты по разделам Приложения «А» версии 2005, а также включили некоторые новые требования.

Изменения в основной части новой версии стандарта ISO/IEC 27001:2013:

• четко сформулированы требования к целям системы менеджмента информационной безопасности.
• упрощены требования к текстовому описанию рисков
• исключена обязательность выпуска «Положения о принятии остаточных рисков» со стороны высшего руководства.
• установлена четкая связка «Положения о применимости — SoA».
• введено понятие и требование по определению «Владельца риска» вместо «Владельца актива».
• четко сформулированы и дополнены требования по мониторингу СМИБ.
• упрощены требования к управлению документацией и записями системы менеджмента информационной безопасности.
• четко определены требования по коммуникациям в рамках системы менеджмента информационной безопасности.

Наиболее существенным изменением в основной части является требование по определению «Владельцев рисков».

Новые требования в рамках Приложения «А» ISO/IEC 27001:2013:

• A.6.1.4 Information security in project management
• A.12.6.2 Restrictions on software installation
• A.14.2.1 Secure development policy
• A.14.2.5 System development procedures
• A.14.2.6 Secure development environment
• A.14.2.8 System security testing
• A.15.1.1 Information security policy for supplier relationships
• A.15.1.3 Information and communication technology supply chain
• A.16.1.4 Assessment and decision of information security events
• A.17.1.2 Implementing information security continuity
• A.17.2.1 Availability of information processing facilities

В приложении «А» количество требований (контролей) уменьшилось со 133 до 113. Приложение «А» ISO/IEC 27001 содержит перечень целей и средств управления, которые совпадают с аналогичными целями и средствами управления в ISO 27002, но не столь детализированы. Приложение «B» содержит таблицу, в которой показано соответствие процедур СМИБ и этапов PDCA принципам Организации по экономическому сотрудничеству и развитию (OECD). Если компания уже внедрила ISO 9001 или ISO 14001, то ей понадобится Приложение «С», которое содержит таблицу соответствия требований стандартов ISO 9001, 14001 и 27001.^[3]

Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:

• стадия 1 — изучение аудитором ключевых документов системы менеджмента информационной безопасности — положение о применимости (SoA), план обработки рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору;
• стадия 2 — детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
• стадия 3 — выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.

Процедура сертификации системы менеджмента по любому из международных стандартов или их комбинации подразделяется на 4 этапа:

• 1 этап. Подготовка к сертификации;
• 2 этап. Аудит 1-й ступени (проверка готовности к сертификации);
• 3 этап. Аудит 2-й ступени (сертификационный аудит);
• 4-й этап. Выдача сертификата и надзор.

• Серия ISO 27000

• Оригинал ISO 27001 Британского института стандартов Архивная копия от 27 ноября 2007 на Wayback Machine
• ISO 17799 и ISO 27001 Wiki Архивная копия от 24 июля 2020 на Wayback Machine
• Авторский блог Дорлова
• История стандартов информационной безопасности
• «Международный стандарт ISO/IEC 27001:2013: Взгляд в будущее индустрии ИБ»
• Новый ИСО 27001
• Блог Жизнь 80/20: Про обновление ISO 27001:2013
• Стандарты Банка России в области информационной безопасности
• How to get ISO 27001 certification. Блог.

Стандарты ISO
Категории:  Категория:Стандарты ISO Категория:Протоколы OSI
1 по 9999	1 2 3 4 6 7 9 16 31 -0 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 128 216 217 226 228 233 259 269 296 302 306 428 639 -1 646 668 690 732 764 796 843 898 1000 1004 1007 1073-1 1413 1538 1745 2014 2015 2022 2108 2145 2146 2281 2709 2711 2788 3029 3103 3166 -1 -2 -3 3297 3307 3602 3864 3901 3977 4031 4157 4217 5218 5775 5776 5964 6166 6344 6346 6425 6429 6438 6523 6709 7001 7002 7098 7185 7388 7498 7736 7810 7811 7812 7813 7816 8000 8217 8571 8583 8601 8632 8652 8691 8807 8820-5 8859 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 -14 -15 -16) 8879 9000 9075 9126 9241 9362 9407 9506 9529 9564 9594 9660 9897 9945 9984 9985 9995
10000 по 19999	10006 10118-3 10160 10161 10165 10179 10206 10303 10303-11 10303-21 10303-22 10303-238 10303-28 10383 10487 10585 10589 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11544 11783 11784 11785 11801 11898 11940 11941 11941 (TR) 11992 12006 12164 12182:1998 12207:1995 12207:2008 12234-2 13211 -1 -2 13216 13250 13399 13406-2 13407 13450 13485 13490 13567 13568 13584 13616 14000 14031 14396 14443 14496-10 14496-14 ISO 14575 14644 -1 -2 -3 -4 -5 -6 -7 -8 -9 14649 14651 14698 14698-2 14750 14882 14971 15022 15189 15288 15291 15292 15408 15444 15445 15438 15504 15511 15686 15693 15706 15706-2 15707 15897 15919 15924 15926 15926 WIP 15930 16023 16262 16750 17024 17025 17369 17799 17987 18000 18004 18014 18245 18629 18916 19005 19011 19092-1 19092-2 19114 19115 19439 19501:2005 19752 19757 19770 19775-1 19794-5
20000+	20000 20022 20121 21000 21047 21500 21827:2002 22000 23008-2 23270 23360 24613 24707 25964-1 25178 26000 26300 26324 27000 series 27000 27001 27002 27003 27004 27005 27006 27007 27729 27799 29199-2 29500 31000 32000 38500 42010 50001 80000
См. также: Список статей, названия которых начинаются с «ISO»