Стандарт ISO/IEC 27001разработанный в 2005 году, берущий начало из британского стандарта BS 7799 1995 года, устанавливает обязательные требования к созданию, внедрению и поддержанию системы управления информационной безопасностью (СУИБ) для любых организаций, независимо от их размера или сферы деятельности.
ISO/IEC 27001:2022 "Информационная безопасность, кибербезопасность и
защита персональных данных - Системы менеджмента
информационной безопасности - Требования"
1. Область применения
- Требования обязательны для всех организаций, заявляющих о соответствии стандарту.
- Исключения из разделов 4–10 не допускаются.
- Включает оценку и управление рисками ИБ с учётом специфики организации.
2. Нормативные ссылки
- Используются стандарты ISO/IEC 27000 (термины, определения).
- Датированные ссылки применяются в указанной версии, недатированные - в актуальной редакции.
3. Термины и определения
- Основаны на ISO/IEC 27000.
- Актуальные термины доступны на платформах ISO Online и IEC Electropedia.
4. Среда организации
4.1. Понимание организации и среды
Организация обязана выявлять внутренние и внешние факторы, влияющие на достижение целей системы менеджмента информационной безопасности (СМИБ).
Рекомендуется использовать раздел 5.4.1 ISO 31000:2018 для анализа среды.
4.2. Потребности заинтересованных сторон
Определение ключевых заинтересованных сторон, их требований (включая законодательные, нормативные и договорные обязательства) и выбор тех, которые будут учтены в СМИБ.
4.3. Область применения СМИБ
- Установление границ системы с учетом факторов из раздела 4.1, требований из 4.2 и взаимодействий с другими организациями.
- Область применения должна быть документирована.
4.4. Реализация СМИБ
Внедрение, поддержание и постоянное улучшение системы, включая процессы и их взаимосвязи, в соответствии с требованиями стандарта.
5. Лидерство
5.1. Лидерство и обязательства
Высшее руководство обязано:
- Согласовывать политику и цели ИБ со стратегией организации.
- Интегрировать требования СМИБ в бизнес-процессы.
- Обеспечивать ресурсы для СМИБ и информировать о важности ИБ.
- Поддерживать сотрудников, стимулировать улучшения и лидерство на всех уровнях.
5.2. Политика информационной безопасности
Политика должна:
- Соответствовать целям организации.
- Включать цели ИБ и обязательства по соответствию требованиям и улучшению СМИБ.
- Быть документирована, доведена до сотрудников и доступна заинтересованным сторонам.
5.3. Ответственность и полномочия
Высшее руководство обязано:
- Четко распределить роли и ответственность за ИБ.
- Установить полномочия для обеспечения соответствия СМИБ стандарту и отчётности о её функционировании.
6. Планирование
6.1. Обработка рисков и возможностей
6.1.1. Общие положения:
- Учёт факторов из раздела 4.1 и требований из 4.2.
- Определение рисков и возможностей для достижения целей СМИБ, предотвращения негативных эффектов и улучшения системы.
- Планирование действий по управлению рисками и их интеграция в процессы СМИБ.
6.1.2. Оценка рисков:
- Процесс включает: критерии приемлемости рисков, идентификацию угроз конфиденциальности, целостности и доступности информации, анализ последствий и вероятности, определение уровня риска, приоритезацию.
- Результаты оценки документируются.
6.1.3. Обработка рисков:
- Выбор методов обработки рисков, определение средств управления (включая сравнение с Приложением A).
- Формирование заявления о применимости (список средств управления, обоснование их выбора/исключения).
- Разработка и согласование плана обработки рисков с владельцами.
- Документирование процесса.
6.2. Цели в области ИБ и их достижение
Цели должны быть:
- Согласованы с политикой ИБ, измеримы (где возможно), основаны на оценке рисков.
- Отслеживаемы, доведены до сотрудников, обновляемы и документированы.
- План достижения целей включает: действия, ресурсы, ответственных, сроки, критерии оценки.
6.3. Планирование изменений
Любые изменения в СМИБ должны осуществляться планово, с учётом структуры и процессов системы.
7. Обеспечение
7.1. Ресурсы
Организация обязана выделять и поддерживать ресурсы (кадровые, технические, финансовые) для разработки, внедрения и улучшения СМИБ.
7.2. Компетентность
- Определение необходимых навыков для сотрудников, влияющих на ИБ.
- Обеспечение компетентности через обучение, опыт или привлечение специалистов.
- Документирование подтверждений компетентности (сертификаты, записи о тренингах).
7.3. Осведомленность
Персонал должен знать:
- Политику ИБ.
- Свой вклад в эффективность СМИБ.
- Последствия несоблюдения требований (утечки данных, штрафы).
7.4. Коммуникация
Установление правил внутреннего/внешнего обмена информацией:
Темы, сроки, аудитория, каналы (отчеты, совещания).
7.5. Документированная информация
7.5.1. Общие требования:
- Обязательная документация (политики, процедуры) + дополнительные материалы для эффективности СМИБ.
- Объём зависит от размера организации, сложности процессов и уровня подготовки сотрудников.
7.5.2. Создание/обновление:
- Метаданные (название, дата, автор).
- Выбор форматов (электронный/бумажный).
- Регулярный пересмотр.
7.5.3. Управление:
- Защита документов (конфиденциальность, целостность), контроль версий, сроков хранения/уничтожения.
- Управление внешними документами (стандарты ISO и др.).
8. Функционирование
8.1. Оперативное планирование и управление
Планирование и контроль процессов для выполнения требований СМИБ, включая:
- Установление критериев для процессов.
- Управление изменениями (плановыми и анализ последствий непреднамеренных).
- Контроль внешних процессов и поставщиков, влияющих на СМИБ.
- Документирование процессов для подтверждения их выполнения.
8.2. Оценка рисков ИБ
- Проведение регулярных оценок рисков (по графику или при значимых изменениях).
- Использование критериев из раздела 6.1.2.
- Сохранение результатов оценки в документации.
8.3. Обработка рисков ИБ
- Реализация плана обработки рисков (разработанного в разделе 6.1.3).
- Фиксация результатов обработки в документированной форме.
9. Оценка результатов функционирования
9.1. Мониторинг, измерение, анализ и оценка
Организация обязана:
- Определить объекты мониторинга (процессы, средства управления ИБ), методы, сроки и ответственных.
- Использовать методы, дающие сопоставимые и воспроизводимые результаты.
- Анализировать показатели ИБ и результативность СМИБ.
- Сохранять документированные данные о результатах.
9.2. Внутренний аудит
9.2.1. Общие положения:
Регулярные аудиты для проверки:
- Соответствия СМИБ требованиям организации и стандарта.
- Эффективности внедрения и функционирования системы.
9.2.2. Программа аудита:
- Планирование аудитов с учётом значимости процессов и прошлых результатов.
- Критерии аудита, выбор объективных аудиторов, передача результатов руководству.
- Документирование программы и итогов аудитов.
9.3. Анализ системы руководством
9.3.1. Общие положения:
Высшее руководство анализирует СМИБ на пригодность, соответствие и эффективность через установленные интервалы.
9.3.2. Исходные данные:
Учитываются:
- Изменения внешней/внутренней среды, требования заинтересованных сторон.
- Данные мониторинга, аудитов, достижение целей ИБ, обратная связь.
- Результаты оценки рисков и статус их обработки.
9.3.3. Результаты анализа:
- Решения по улучшениям и изменениям в СМИБ.
- Документирование выводов руководства.
10. Улучшение
10.1. Постоянное улучшение
Организация обязана непрерывно повышать пригодность, соответствие и результативность СМИБ, адаптируя её к изменениям внутренней и внешней среды.
10.2. Несоответствия и корректирующие действия
При выявлении несоответствий:
Реагирование: Устранение несоответствия и его последствий (например, восстановление данных после утечки).
Анализ причин:
- Определение коренных причин (например, недостаток контроля доступа).
- Проверка на наличие аналогичных рисков в других процессах.
Корректирующие действия:
- Внедрение мер для предотвращения повторения (например, обновление политик доступа).
- Оценка эффективности принятых мер.
Документирование: Фиксация несоответствий, предпринятых действий и их результатов.
Приложение A (нормативное). Средства управления информационной безопасностью
Организационные средства управления
Политики информационной безопасности
Политика информационной безопасности и иные политики должны быть:
- Определены, утверждены руководством, опубликованы.
- Доведены до сведения персонала и заинтересованных сторон.
- Регулярно пересматриваться (по плану или при значительных изменениях).
Роли и обязанности, связанные с информационной безопасностью
Все роли и обязанности в сфере ИБ должны быть четко определены и назначены в соответствии с потребностями организации.
Разделение обязанностей
Противоречащие друг другу обязанности и зоны ответственности должны быть разделены.
Обязанности руководства
Руководство обязано требовать от сотрудников соблюдения:
- Политики ИБ.
- Внутренних политик и процедур организации.
Контакты с полномочными органами
Организация должна поддерживать контакты с уполномоченными органами (регуляторами, правоохранительными структурами).
Контакты с профессиональными сообществами
Установление и поддержание связей с профессиональными сообществами ИБ, ассоциациями и форумами.
Изучение угроз
Сбор и анализ информации об угрозах ИБ для их своевременного изучения.
Информационная безопасность в управлении проектами
Интеграция требований ИБ в процессы управления проектами.
Инвентаризация информации и связанных активов
Создание и актуализация реестров:
- Информационных активов.
- Связанных с ними ресурсов (с указанием владельцев).
Надлежащее применение активов
Разработка и внедрение:
- Правил и процедур использования информационных активов.
- Норм обращения с ними.
Возврат активов
Персонал и контрагенты обязаны возвращать активы организации при изменении или прекращении трудовых отношений, контрактов.
Классификация информации
Классификация информации на основе:
- Требований к конфиденциальности, целостности, доступности.
- Потребностей заинтересованных сторон.
Маркировка информации
Внедрение процедур маркировки информации в соответствии с принятой классификацией.
Передача информации
Установление правил, процедур и соглашений для передачи информации:
- Внутри организации.
- С внешними сторонами.
Управление доступом
Разработка и внедрение правил:
- Физического и логического доступа к активам.
- На основе бизнес-требований и требований ИБ.
Управление идентификацией
Контроль жизненного цикла идентификаторов (создание, изменение, удаление).
Информация для аутентификации
Управление данными для аутентификации, включая:
- Контроль назначения.
- Обучение сотрудников правилам обращения с ними.
Права доступа
Предоставление, пересмотр, изменение и отзыв прав доступа в соответствии с политиками организации и правилами контроля.
Информационная безопасность в отношениях с поставщиками
Внедрение процессов управления рисками ИБ, связанными с использованием продуктов/услуг поставщиков.
Обеспечение ИБ в соглашениях с поставщиками
Согласование требований к ИБ с каждым поставщиком с учетом специфики отношений.
Управление ИБ в цепочках поставок ИКТ
Разработка процессов управления рисками ИБ в цепочках поставок ИКТ-продуктов и услуг.
Мониторинг и управление изменениями услуг поставщиков
Регулярный мониторинг, анализ и управление изменениями в деятельности поставщиков в части ИБ и качества услуг.
Информационная безопасность при использовании облачных сервисов
Установление процессов для:
- Запроса, использования, управления и прекращения работы с облачными сервисами.
- Соответствия требованиям ИБ организации.
Планирование и подготовка в части управления инцидентами ИБ
Планирование и подготовка к управлению инцидентами ИБ:
- Определение процессов, ролей и обязанностей.
- Информирование о них заинтересованным сторонам.
Оценка событий ИБ и принятие решений
Оценка событий ИБ для определения:
- Является ли событие инцидентом.
- Необходимости дальнейших действий.
Ответные меры по инцидентам ИБ
Реагирование на инциденты ИБ должно осуществляться в соответствии с документированными процедурами.
Извлечение уроков из инцидентов ИБ
Использование знаний, полученных из инцидентов ИБ, для усиления и улучшения средств управления ИБ.
Сбор свидетельств
Внедрение процедур для идентификации, сбора, накопления и сохранения свидетельств, связанных с событиями ИБ.
Информационная безопасность при сбое
Планирование мер по обеспечению ИБ на соответствующем уровне в случае сбоев.
Готовность ИКТ к обеспечению непрерывности бизнеса
Планирование, внедрение и тестирование мер готовности ИКТ с учетом целей непрерывности бизнеса и требований к функционированию ИКТ.
Законодательные, нормативные и контрактные требования
Определение, документирование и актуализация:
- Требований, значимых для ИБ.
- Подходов организации к их выполнению.
Права интеллектуальной собственности
Внедрение процедур для защиты прав интеллектуальной собственности.
Защита записей
Обеспечение защиты записей от потери, повреждения, фальсификации, несанкционированного доступа и публикации.
Приватность и защита персональных данных
Выполнение требований по сохранению приватности и защите ПД в соответствии с законодательством, нормами и контрактами.
Независимый анализ информационной безопасности
Проведение независимого анализа:
- Подходов к управлению ИБ (люди, процессы, технологии).
- По плану или при существенных изменениях.
Соответствие политикам, правилам и стандартам ИБ
Регулярный анализ соответствия политикам ИБ, внутренним правилам и стандартам.
Документированные операционные процедуры
Документирование операционных процедур для устройств обработки информации, обеспечение их доступности для персонала.
Средства управления, связанные с персоналом
Предварительная проверка
Проверка кандидатов при приеме на работу должна:
- Соответствовать законодательству, этическим нормам.
- Учитывать бизнес-требования, классификацию информации и риски.
Условия трудового соглашения
Трудовые соглашения должны включать ответственность сотрудников и организации в сфере ИБ.
Осведомленность, образование и подготовка в сфере ИБ
Персонал и заинтересованные стороны должны:
- Получать обучение и регулярные обновления по политикам ИБ.
- Быть информированы о изменениях, влияющих на их обязанности.
Дисциплинарные меры
Разработка и доведение до сведения процедур, применения мер к нарушителям требований ИБ.
Обязанности после прекращения или изменения трудовых отношений
Определение и обеспечение выполнения остаточных обязательств по ИБ после увольнения или изменения должности.
Соглашения о конфиденциальности или неразглашении
Соглашения должны:
- Соответствовать потребностям организации в защите информации.
- Регулярно пересматриваться и подписываться персоналом.
Удаленная работа
Внедрение мер безопасности для защиты информации, обрабатываемой или хранимой вне офиса.
Отчетность о событиях информационной безопасности
Наличие процедуры для своевременного информирования о событиях ИБ через установленные каналы.
Средства управления, связанные с физическим доступом
Физические периметры безопасности
Определение и использование защитных периметров для защиты зон, где расположены информационные активы.
Физический вход
Защита зон безопасности:
- Через выделенные точки доступа.
- С применением средств контроля (например, карты доступа, биометрия).
Защита офисов, помещений и устройств
Разработка и применение мер физической защиты для офисов, помещений, оборудования.
Мониторинг физической защиты
Обеспечение постоянного контроля для предотвращения несанкционированного доступа в помещения.
Защита от физических и природных угроз
Внедрение мер защиты от:
- Стихийных бедствий (пожары, наводнения).
- Умышленных или случайных физических угроз (вандализм, аварии).
Работа в защищенных зонах
Разработка и применение процедур для работы в зонах с повышенными требованиями к безопасности.
Чистый стол и чистый экран
Внедрение правил:
Чистый стол: Безопасное хранение бумажных документов и устройств.
Чистый экран: Блокировка устройств при отсутствии пользователя.
Размещение и защита оборудования
Оборудование должно:
- Размещаться в безопасных зонах.
- Быть защищено от повреждений и несанкционированного доступа.
Защита активов вне территории
Обеспечение защиты активов находящихся за пределами организации (например, мобильные устройства, удаленные серверы).
Устройства хранения
Управление устройствами хранения на всех этапах жизненного цикла: Приобретение, использование, транспортировка, уничтожение. В соответствии с классификацией данных и требованиями организации.
Службы обеспечения
Защита устройств обработки информации от:
- Перебоев в электроснабжении.
- Сбоев, вызванных неполадками в работе служб (например, вентиляция, охлаждение).
Защита кабельных сетей
Обеспечение защиты кабелей (электропитание, передача данных) от перехвата, помех, повреждений.
Обслуживание оборудования
Регулярное обслуживание оборудования для гарантии конфиденциальности, целостности и доступности информации.
Безопасная утилизация или повторное использование оборудования
Проверка оборудования перед утилизацией/повторным использованием:
- Удаление или безопасное уничтожение данных.
- Ликвидация лицензионного ПО.
Технологические средства управления
Оконечные устройства пользователя
Защита информации, хранимой, обрабатываемой или доступной через оконечные устройства (ПК, смартфоны, планшеты).
Привилегированные права доступа
Ограничение и контроль предоставления привилегированных прав (административных, root-доступ).
Ограничение доступа к информации
Ограничение доступа к активам в соответствии с политиками контроля доступа.
Доступ к исходному коду
Управление доступом (чтение/запись) к исходному коду, инструментам разработки и библиотекам.
Безопасная аутентификация
Внедрение технологий и процедур аутентификации, соответствующих политикам контроля доступа (например, MFA).
Управление производительностью
Контроль использования ресурсов и их настройка в соответствии с текущими и будущими требованиями.
Защита от вредоносного ПО
Внедрение антивирусных решений и обучение пользователей по противодействию угрозам.
Управление техническими уязвимостями
Мониторинг, оценка и устранение уязвимостей в информационных системах.
Менеджмент конфигураций
Документирование, внедрение и мониторинг конфигураций оборудования, ПО, сетей и сервисов.
Удаление информации
Своевременное удаление данных, которые больше не требуются, с носителей и систем.
Маскирование данных
Применение маскирования данных в соответствии с политиками доступа, бизнес-требованиями и законодательством.
Предупреждение утечки данных
Внедрение мер для предотвращения утечек конфиденциальной информации (DLP-системы, шифрование).
Резервное копирование информации
Регулярное резервное копирование данных, ПО и систем с последующим тестированием восстановления.
Избыточность устройств обработки информации
Обеспечение избыточности инфраструктуры для выполнения требований по доступности (например, кластеризация).
Ведение журналов (логов)
Фиксация, защита и анализ логов действий, ошибок, исключений и значимых событий.
Мониторинг действий
Постоянный мониторинг сетей, систем и приложений для выявления аномалий и потенциальных инцидентов.
Синхронизация часов
Синхронизация времени всех систем с одобренными источниками точного времени (например, NTP-серверы).
Использование утилит с привилегированными правами
Ограничение и строгий контроль применения утилит, способных обходить системные и прикладные средства контроля.
Установка приложений в операционной системы
Внедрение процедур и мер для безопасного управления установкой ПО в ОС.
Безопасность сетей
Защита, управление и мониторинг сетей и сетевых устройств для обеспечения безопасности информации в системах и приложениях.
Безопасность сетевых сервисов
Определение, внедрение и контроль механизмов безопасности, уровней сервиса и требований к обслуживанию сетевых служб.
Разделение сетей
Разделение в сетях групп информационных сервисов, пользователей и систем для минимизации рисков.
Веб-фильтрация
Управление доступом к внешним веб-ресурсам для снижения рисков, связанных с вредоносным контентом.
Использование криптографии
Внедрение правил эффективного применения криптографии, включая управление криптографическими ключами.
Жизненный цикл разработки безопасного ПО
Установление и применение правил разработки безопасного ПО и систем на всех этапах жизненного цикла.
Применение требований по безопасности
Выявление, установление и утверждение требований ИБ при разработке или приобретении приложений.
Безопасная архитектура систем и принципы разработки
Документирование и применение принципов безопасной разработки систем, включая их актуализацию.
Безопасное кодирование
Применение принципов безопасного написания кода в процессе разработки ПО.
Тестирование безопасности при разработке и приемке
Внедрение процессов тестирования безопасности на этапах разработки и приемки ПО.
Разработка, переданная на аутсорсинг
Управление, мониторинг и анализ аутсорсинговой разработки систем.
Разделение среды разработки, тестирования и эксплуатации
Физическое и логическое разделение сред разработки, тестирования и эксплуатации с обеспечением их безопасности.
Управление изменениями
Внедрение процедур управления изменениями в информационных системах и средствах обработки данных.
Данные для тестирования
Защита, управление и корректный подбор тестовых данных.
Защита информационных систем в ходе аудита
Планирование и согласование аудитов, включая оценку операционных систем, с руководством и ответственными лицами.