Embed Size (px)
Citation preview
Серия стандартов ISO 27k
Прозоров Андрей 2014-04
Где искать стандарты?
• ISO: – iso.org/iso/home.html
• ГОСТы: – gost.ru/wps/portal/pages.CatalogOfStandarts
– gostexpert.ru
– gostinfo.ru/PRI (здесь можно посмотреть текст документов)
По запросу «Security» - 435 По запросу «Security techniques» - 182
Сокращения в названиях (ISO)
• Under development («в разработке») PWI-> NP or NWIP-> AWI-> WD-> CD-> FCD-> DIS-> FDIS-> PRF-> IS
– WD - Working Draft
– CD - Committee Draft
– DIS - Draft International Standard
– …
– IS - International Standard
• TR - Technical Report
ISO 27k (Базовые)
• ISO/IEC 27000:2014 «Information technology -- Security techniques. Information security management systems. Overview and vocabulary»
• ISO/IEC 27001:2013 «Information technology. Security techniques. Information security management systems. Requirements»
• ISO/IEC 27002:2013 «Information technology. Security techniques. Code of practice for information security controls»
ISO 27k (Рекомендации)
• ISO/IEC 27003:2010 «Information technology. Security techniques. Information security management system implementation guidance»
• ISO/IEC 27004:2009 «Information technology. Security techniques. Information security management. Measurement»
• ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management»
ISO 27k (Аудит)
• ISO/IEC 27006:2011 «Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems»
• ISO/IEC 27007:2011 «Information technology. Security techniques. Guidelines for information security management systems auditing»
• ISO/IEC TR 27008:2011 «Information technology. Security techniques. Guidelines for auditors on information security controls»
• ISO/IEC WD 27009 «The Use and Application of ISO/IEC 27001 for Sector/Service-Specific Third-Party Accredited Certifications»
ISO 2701k (1)
• ISO/IEC 27010:2012 «Information technology. Security techniques. Information security management for inter-sector and inter-organizational communications»
• ISO/IEC 27011:2008 «Information technology. Security techniques. Information security management guidelines for telecommunications organizations based on ISO/IEC 27002»
• ISO/IEC 27012 – отсутствует
• ISO/IEC 27013:2012 «Information technology. Security techniques. Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1»
• ISO/IEC 27014:2013 «Information technology. Security techniques. Governance of information security»
ISO 2701k (2)
• ISO/IEC TR 27015:2012 «Information technology. Security techniques. Information security management guidelines for financial services»
• ISO/IEC TR 27016:2014 «Information technology. Security techniques. Information security management. Organizational economics»
• ISO/IEC CD 27017 «Information technology. Security techniques. Code of practice for information security controls for cloud computing services based on ISO/IEC 27002»
• ISO/IEC DIS 27018 «Information technology. Security techniques. Code of practice for PII protection in public cloud acting as PII processors»
• ISO/IEC TR 27019:2013 «Information technology. Security techniques. Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry»
Смотрим далее…
• ISO 27020 не про ИТ («Dentistry - Brackets and tubes for use in orthodontics»)
• ISO 27021 – ISO 27030 отсутствуют
ISO 27031 - 27032
• ISO/IEC 27031:2011 «Information technology. Security techniques. Guidelines for information and communication technology readiness for business continuity»
• ISO/IEC 27032:2012 «Information technology. Security techniques. Guidelines for cybersecurity»
ISO 27033 (Network security)
• ISO/IEC 27033-1:2009 «Information technology. Security techniques. Network security. Part 1: Overview and concepts»
• ISO/IEC CD (draft) 27033-1 – проект обновленной версии • ISO/IEC 27033-2:2012 «Information technology. Security
techniques. Network security. Part 2: Guidelines for the design and implementation of network security»
• ISO/IEC 27033-3:2010 «Information technology. Security techniques. Network security. Part 3: Reference networking scenarios. Threats, design techniques and control issues»
• ISO/IEC 27033-4:2014 «Information technology. Security techniques. Network security. Part 4: Securing communications between networks using security gateways»
• ISO/IEC 27033-5:2013 «Information technology. Security techniques. Network security. Part 5: Securing communications across networks using Virtual Private Networks (VPNs)»
• ISO/IEC CD 27033-6 «Information technology. Security techniques. Network security. Part 6: Securing wireless IP network access»
ISO 27034 (Application security)
• ISO/IEC 27034-1:2011 «Information technology . Security techniques. Application security . Part 1: Overview and concepts»
• ISO/IEC CD 27034-2 «Information technology. Security techniques. Application security. Part 2: Organization normative framework»
• ISO/IEC NP 27034-3 «Information technology. Security techniques -- Application security. Part 3: Application security management process»
• ISO/IEC NP 27034-4 «Information technology. Security techniques. Application security. Part 4: Application security validation»
• ISO/IEC WD 27034-5 «Information technology. Security techniques. Application security. Part 5: Protocols and application security controls data structure»
• ISO/IEC WD 27034-6 «Information technology. Security techniques. Application security. Part 6: Security guidance for specific applications»
• ISO/IEC NP 27034-7 «Information technology. Security techniques. Application security. Part 7: Application security control attribute predictability»
ISO 27035 (Incident management)
• ISO/IEC 27035:2011 «Information technology. Security techniques. Information security incident management»
• ISO/IEC WD 27035-1 «Information technology. Security techniques. Information security incident management. Part 1: Principles of incident management»
• ISO/IEC WD 27035-2 «Information technology. Security techniques. Information security incident management. Part 2: Guidelines to plan and prepare for incident response»
• ISO/IEC WD 27035-3 «Information technology. Security techniques. Information security incident management. Part 3: Guidelines for CSIRT operations»
ISO 27036 (Suppliers)
• ISO/IEC 27036-1:2014 «Information technology. Security techniques. Information security for supplier relationships. Part 1: Overview and concepts»
• ISO/IEC FDIS 27036-2 «Information technology. Security techniques. Information security for supplier relationships. Part 2: Requirements»
• ISO/IEC 27036-3:2013 «Information technology. Security techniques. Information security for supplier relationships. Part 3: Guidelines for information and communication technology supply chain security»
• ISO/IEC WD 27036-4 «Information technology. Information security for supplier relationships. Part 4: Guidelines for security of Cloud services»
ISO 27036 - 27039
• ISO/IEC 27037:2012 «Information technology. Security techniques. Guidelines for identification, collection, acquisition and preservation of digital evidence»
• ISO/IEC 27038:2014 «Information technology. Security techniques. Specification for digital redaction»
• ISO/IEC DIS 27039 «Information technology. Security techniques. Selection, deployment and operations of intrusion detection systems (IDPS)»
ISO 27040 - 27049
• ISO/IEC DIS 27040 «Information technology. Security techniques. Storage security»
• ISO/IEC DIS 27041 «Information technology. Security techniques. Guidance on assuring suitability and adequacy of incident investigative methods»
• ISO/IEC DIS 27042 «Information technology. Security techniques. Guidelines for the analysis and interpretation of digital evidence»
• ISO/IEC DIS 27043 «Information technology. Security techniques. Incident investigation principles and processes»
• ISO/IEC WD 27044 «Guidelines for Security Information and Event Management (SIEM)»
• ISO 27045 – 27049 отсутствуют (27048 не про ИТ/ИБ)
ISO 27050
• ISO/IEC WD 27050-1 «Information technology. Security techniques. Electronic discovery»
• ISO/IEC NP 27050-2 «Information technology. Security techniques. Electronic discovery»
• ISO/IEC NP 27050-3 «Information technology. Security techniques. Electronic discovery. Part 3: Code of Practice for electronic discovery»
• ISO/IEC NP 27050-4 «Information technology. Security techniques. Electronic discovery. Part 4: ICT readiness for electronic discovery»
Прочие
• ISO 27799:2008 «Health informatics. Information security management in health using ISO/IEC 27002»
• ISO/IEC 29100:2011 «Information technology. Security techniques Privacy framework»
• ISO 19011:2011 «Guidelines for auditing management systems»
Многие стандарты ISO переведены в России и
используются в качестве ГОСТ
ГОСТы (1)
• ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология», введен в действие с 01.12.2013
• ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», введен в действие 01.02.2008
• ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности», введен в действие с 01.01.2014
ГОСТы (2)
• ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности», введен в действие с 01.12.2013
• ГОСТ Р ИСО/МЭК 27004-2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения», введен в действие с 01.01.2012
• ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», введен в действие с 01.12.2011
• ГОСТ Р ИСО/МЭК 27006-2008 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности», введен в действие с 01.10.2009
ГОСТы (3)
• ГОСТ Р ИСО/МЭК 27011-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002», введен в действие с 01.01.2014
• ГОСТ Р ИСО/МЭК 27031-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса», введен в действие с 01.01.2014
• ГОСТ Р ИСО/МЭК 27033-1-2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции», введен в действие с 01.01.2012
«Базовые стандарты» ISO 27001 и 27002 были обновлены в 2013 году. Структура и содержание мер
существенно изменились по сравнению со старой версией
Стандарты ISO обновлены!!!
ГОСТ 27000-2012 ≠ ISO 27000-2014
ГОСТ 27001-2006 ≠ ISO 27001-2013
ГОСТ 27002-2012 ≠ ISO 27002-2013
ГОСТы 27к являются переводами устаревших
версий ISO 27к
