ISO/IEC 27001:2013 Информационная Безопасность

ISO/IEC 27001:2013 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединенного технического комитета JTC 1. Стандарт содержит требования в области ИБ для создания, развития и поддержания Системы Управления Информационной Безопасности (СУИБ).

Первым документом по информационной безопасности, является принятый на государственном уровне в 1995 году и разработанный Британским институтом стандартов (BSI) BS 7799 - Part 1. В 1999 году эта версия была переработана и передана в Международную Организацию по Сертификации, а в 2000 году утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией, принятой в 2005 году, является ISO/IEC 17799:2005. В сентябре 2002 года в силу вступила его вторая часть BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью).

Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования»

В 2013 году Международной организацией по сертификации была разработана и принята новая версия стандарта ISO/IEC 27001:2013.

Изменения коснулись как структуры документа, так и требований.

Назначение стандарта

В ISO/IEC 27001:2013 собраны описания лучших мировых практик в области управления ИБ. Стандарт устанавливает требования к СУИБ для демонстрации способности организации защищать свои информационные ресурсы и подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения СУИБ.

Цель стандарта

Цель СУИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Основные понятия

Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

  • Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
  • Целостность - обеспечение точности и полноты информации, а также методов её обработки.
  • Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Само понятие «защиты информации» трактуется как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ISO/IEC 27001:2013 — система управления рисками, связанными с информационными активами.