7 Сентября, 2011

Перечень стандартов ISO 27k

Andrey Prozorov
Добрый день, сегодня я хочу написать про стандарты по ИБ, входящие в серию ISO 27к. Постараюсь дать максимально актуальную информацию по статусам стандартов на текущий момент. В последствии планирую обновлять/добавлять информацию.

[upd.2012-06-04] Проверены статусы стандартов, внесены правки, расширен перечень


1. Самые известные (основные)

ISO/IEC 27000:2009"Information technology. Security techniques. Information security management systems. Overview and vocabulary". По сути краткий обзор и словарь. На русском языке есть проект ГОСТ .

ISO/IEC 27001:2005 (BS 7799-2:2005) "Information technology. Security techniques. Information
security management systems. Requirements"
. Требования СУИБ. Основной стандарт по СУИБ, в соответствие ему проводится сертификация СУИБ. Стандарт содержит текстовые требования (п.4-п.8) на построению и функционированию СУИБ, а так же 133 контроля (рекомендуемых меры по ИБ) в приложении (А5-А15). Есть перевод на русский язык (ГОСТ) .
Я ожидаю в 2012 году новую версию стандарта, сейчас он находится в стадии разработки (CD).

ISO/IEC 27002:2005 (BS 7799-1:2005,BS ISO/IEC 17799:2005) "Information technology. Security techniques. Code of practice for information security management". Практические правила управления ИБ. По сути более детально описывают рекомендации по внедрению 133 контролей, определенных в ISO 27001, так же упоминаются риски ИБ. Есть перевод на русский язык (ГОСТ !!!старая версия стандарта)
 
ISO/IEC 27003:2010 "Information Technology. Security Techniques. Information Security Management Systems Implementation Guidance". Руководство по внедрению СУИБ. Очень интересный стандарт, описывающий все этапы внедрения СУИБ. Крайне рекомендую к изучению. На русском языке я видел проект ГОСТ .

ISO/IEC 27004:2009 "Information technology. Security techniques. Information security management. Measurement". Измерение эффективности СУИБ. Достаточно "тяжелый" для использования и понимания, для работ по построению СУИБ в России практически не интересен (уровень зрелости процессов СУИБ обычно небольшой).  Есть вариант ГОСТ .

ISO/IEC 27005:2011"Information technology. Security techniques. Information security risk management". Управление рисками ИБ. Хороший стандарт по управлению рисками ИБ. Описывает и процедуры и основы методологии. На русском языке я данный стандарт не видел, изучал по предидущей версии 2008 года (правки не значительные: сути термины приведены в соответствие с 27000, их перечень расширен). Стандарт 2008 года есть в переводе на русский язык.

ISO/IEC 27006:2011"Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems". Требования по проведению аудита и сертификации СУИБ. Версию 2011 года я не видел пока, а версию 2007 изучал достаточно детально. Это был неплохой и полезный стандарт для тех, кто хочет сертифицировать свой СУИБ, а так же "усилить" процесс внутреннго аудита СУИБ и/или внешнего аудита (если Вы консультант). Версия 2007 года содержит много интересных моделей и процессов. Радует таблица контроля соответствия 133 контролей. Есть перевод на русский язык версии 2007 года (ГОСТ) .
 
ISO/IEC 27007:2011 "Information technology. Security techniques. Guidelines for Information Security Management Systems auditing".Руководство по аудиту СУИБ. Мне пока не попадался для изучения.

ISO 27008 (draft 2011-TR) "Information technology. Security techniques. Guidance for auditors on ISMS controls". Руководство по аудиту механизмов контроля СУИБ. Документ в стадии разработки и согласования, мне пока не попадался для изучения. Краткое описание есть тут .

ISO 27009 нет, ранее предполагался стандарт, который в последствии переименовали в ISO 27013 (см.ниже).

name='more'>

2. Стандарты серии ISO 2701x.Данные стандарты рассматривают СУИБ в различных отраслях. Напомню, что сами стандарты ISO 27001 и ISO 27002 "не привязаны" ни к отрасли, ни к размеру организации, ни к конкретным разработчикам средств защиты.

ISO/IEC 27010:2012 "Information technology. Security techniques. Information security management for inter-sector communications"

ISO/IEC 27011:2008 "Information technology. Security techniques. Information security management guidelines for telecommunications organizations based on ISO/IEC 27002"

ISO 27012 нет, первоначально хотели писать про eGovernment services.

ISO/IEC 27013 (draft-DIS) "IT Security. Security techniques. Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001"

ISO/IEC 27014 (draft-DIS) "Information technology. Security techniques. Information security governance framework"

ISO/IEC 27015 (draft) "Information technology. Security techniques. Information security management systems guidelines for financial and insurance sectors"

ISO/IEC 27016 (draft) "Information technology. Security techniques. Information security management systems guidelines for financial and insurance sectors"

3. Прочие стандарты серии ISO 27x.

ISO/IEC 27031 (draft) "Information technology. Security techniques. Guidelines for information and communications technology readiness for business continuity"

ISO/IEC 27032 (draft) "Information technology. Security techniques. Guidelines for cybersecurity"

ISO/IEC 27033-1:2009 "Information technology. Security techniques. Network security. Overview and concept"

ISO/IEC 27033-2 (draft) "Guidelines for the design and implementation of network security"
 
ISO/IEC 27033-3 (draft) "Reference networking scenarios - threats, design techniques and control issues"

ISO/IEC 27033-4 (draft) "Securing communications between networks using security gateways - threats, design techniques and control issues"

ISO/IEC 27033-5 (draft) "Securing Virtual Private Networks - threats, design techniques and control issues"

ISO/IEC 27033-6 (draft) "IP convergence"

ISO/IEC 27033-7 (draft) "Guidelines for securing wireless networking - Risks, design techniques and control issues"

ISO/IEC 27034-1 (draft) "Information technology. Security techniques. Application security overview and concepts"

ISO/IEC 27034-2 (draft) "Organization Normative Framework"

ISO/IEC 27034-3 (draft) "Application Security Management Process"

ISO/IEC 27034-4 (draft) "Application security validation"

ISO/IEC 27034-5 (draft) "Protocols and application security control data structure"

ISO/IEC 27034-6 (draft) "Security guidance for specific applications"

ISO/IEC 27035:2011 "Information technology. Security techniques. Security incident management"

ISO/IEC 27036 (draft) "IT Security. Security techniques. Guidelines for security of outsourcing"


ISO/IEC 27037 (draft) "IT Security. Security techniques. Guidelines for identification, collection and/or acquisition and preservation of digital evidence"


ISO 27038 (draft) "Information technology — Security techniques — Specification for Digital Redaction" 


ISO 27039 (draft) "Information technology — Security techniques — Selection, deployment and operations of Intrusion Detection [and Prevention] Systems (IDPS)" 


ISO 27040 (draft) "Information technology — Security techniques — Storage security"


ISO 27041 (draft) "Guidance on assuring suitability and adequacy of investigation methods" 


ISO 27042 (draft) "Guidelines for the analysis and interpretation of digital evidence"


ISO 27043 (draft) "Information technology — Security techniques —  Digital evidence investigation principles and processes"


ISO 27799:2008 "Health informatics. Information security management in health using ISO/IEC 27002"



P.S. при разработке и согласовании стандартов ISO используются следующие обозначения версий документа:

  1. PWI = Preliminary Work Item - initial feasibility and scoping activities
  2. NP = New Proposal (or study period) - formal scoping phase
  3. WD = Working Draft (1st WD, 2nd WD etc.) - development phase
  4. CD = Committee Draft (1st CD, 2nd CD etc.)- quality control phase
  5. FCD = Final Committee Draft - ready for final approval
  6. DIS = Draft International Standard - nearly there
  7. FDIS = Final Draft or Distribution International Standard - just about ready to publish
  8. IS = International Standard - published
В данном обзоре я намерено не публиковал данные статусы, а использовал слово "draft" для обозначения проекта документа.


P.S.S. При построении СУИБ будет полезно еще ориентироваться на вот эти стандарты:
  • ISO 19011:2011 "Guidelines for auditing management systems"
  • ISO 30300:2011 "Information and documentation - Management systems for records – Fundamentals and vocabulary"
  • ISO 30301:2011 "Information and documentation - Management systems for records – Requirements"
  • ISO 22301:2012 "Societal security - Business continuity management systems - Requirements" 

P.S.S.S.
Проверка статусов документов ISO тут .