Стандарти інформаційної безпеки - огляд

CONTENT

• Стандарти інформаційної безпеки - оглядовий список
• Сертифікація є конкурентною перевагою
• Десять стандартів інформаційної безпеки ISO, з якими ви повинні бути знайомі
• Інші теми в сімействі стандартів ISO 2700x
• DQS - Що ми можемо зробити для вас
   

Стандарти інформаційної безпеки: Сімейство стандартів ISO 2700X

Індивідуальні стандарти інформаційної безпеки серії ISO 2700x стосуються різноманітних тем у сфері інформаційної безпеки. Наприклад, міжнародний стандарт визначає ISO 27001 – система управління інформаційною безпекою (ISMS), ISO 27701 – систему управління захистом даних, ISO 27017 містить рекомендації щодо заходів інформаційної безпеки для хмарних обчислень, а ISO 27005 – рекомендації щодо управління ризиками інформаційної безпеки.

Компанії в усіх галузях можуть отримати вигоду від систематично структурованого підходу цих стандартів до інформаційної безпеки. Це дозволяє захистити конфіденційні дані від втрати та неправильного використання, а також допомагає надійно ідентифікувати та зменшити (потенційні) загрози. Такий підхід допомагає забезпечити доступність корпоративних ІТ-систем, сприяючи таким чином оптимізації бізнес-процесів, витрат на ІТ та процеси, а також мінімізації ризиків бізнесу та відповідальності.

Сертифікація є конкурентною перевагою

Сертифікація за стандартом ISO 27001, наприклад, DQS, вимагає певної підготовки та зусиль. Однак компанія надає документовані підтвердження того, що вона відповідає вимогам інформаційної безпеки та вживає заходів для захисту конфіденційних даних компанії. Це явна конкурентна перевага.

Десять стандартів ISO щодо інформаційної безпеки, з якими ви повинні знати

Нижче наведено інформативний огляд поточного стану стандартів серії ISO 2700x з інформаційної безпеки. Усі стандарти доступні для придбання на веб-сайті ISO.

ISO 27001 - Вимоги до систем управління інформаційною безпекою

У часи, коли даними та інформацією торгують як рідкісними товарами, їх захист дуже важливий. Оптимальною основою для ефективної реалізації цілісної стратегії безпеки є добре структурована система управління інформаційною безпекою (СУІБ) відповідно до стандарту ISO 27001. Це міжнародно визнаний стандарт інформаційної безпеки в приватних, державних або не- прибуткових організацій, яка не тільки охоплює аспекти ІТ-безпеки.

ISO 27001 ISMS визначає вимоги, правила та методи для забезпечення безпеки інформації, яка потребує захисту в організаціях. Стандарт ISO надає модель для встановлення, впровадження, моніторингу та підвищення рівня захисту. Мета полягає в тому, щоб визначити потенційні ризики для компанії, проаналізувати їх та зробити їх контрольованими за допомогою відповідних заходів. ISO 27001 формулює вимоги до такої системи управління, які перевіряються як частина зовнішнього процесу сертифікації.

Ви можете досягти цього за допомогою стандарту:

• Перетворення безпеки конфіденційної інформації в невід'ємну частину корпоративних процесів.
• Превентивне забезпечення цілей захисту конфіденційності, доступності та цілісності інформації
• Підтримка безперервності бізнесу шляхом постійного підвищення рівня безпеки
• Розвиток сенсибілізації співробітників та суттєве підвищення обізнаності з питань безпеки на всіх рівнях компанії
• Побудова довіри з зацікавленими сторонами
• Створення ефективного процесу управління ризиками

ISO 27019 - Заходи інформаційної безпеки для енергопостачання.

Стандарт інформаційної безпеки ISO 27019 формулює додаткові заходи для енергетичного сектора.

Це допоможе вам захистити ваші електронні системи керування процесами, які використовуються для контролю та моніторингу виробництва, передачі, зберігання та розподілу електричної енергії, газу, нафти та тепла, а також для керування відповідними допоміжними процесами.

Що можна зробити зі стандартом:

• Систематично забезпечувати захист цілей конфіденційності, доступності, цілісності інформації.
• Постійно покращуйте рівень безпеки та стійкість до несанкціонованого доступу
• Досягти більшої безпеки дій і правової визначеності, покращити дотримання відповідних вимог щодо відповідності
• Підвищити обізнаність співробітників і керівників з питань безпеки
• Досягти високого рівня довіри та лояльності серед усіх зацікавлених сторін
• Продемонструйте визнаний доказ ефективності ваших заходів безпеки органам влади, таким як Німецьке федеральне мережеве агентство (BNetzA)

ISO 27006 - Вимоги до органів сертифікації

ISO 27006 спрямований на такі органи, як DQS, які здійснюють сертифікацію систем управління інформаційною безпекою. Стандарт акредитації ISO 27006 описує вимоги, яких органи сертифікації повинні дотримуватися при оцінці систем менеджменту своїх клієнтів відповідно до ISO 27001 для сертифікації.

Це включає, напр. підтвердження певних заходів з аудиту або специфікації щодо кваліфікації аудиторів. Процеси акредитації, викладені в стандарті, гарантують, що сертифікати ISO 27001, видані акредитованими органами сертифікації, мають міжнародну дію.

Чого можна досягти за допомогою цього стандарту:

• Єдині критерії для процедур аудиту сертифікації, нагляду та ресертифікації
• Забезпечити дійсність сертифікатів ISO 27001
• Забезпечити мінімальні вимоги до аудиту та кваліфікації персоналу, який розраховує та виконує процедури сертифікації

ISO 27002 - Керівництво з контролю інформаційної безпеки

Система управління інформаційною безпекою (СУІБ) відповідно до стандарту ISO 27001 містить нормативний додаток А: Довідкові цілі та засоби контролю.

Цей додаток містить конкретні заходи, які мають бути впроваджені як частина системи менеджменту, відповідно до організації. ISO 27002 – це посібник із рекомендаціями щодо впровадження заходів із ISO 27001.

Що ви можете зробити за допомогою цього стандарту:

• Підтримка впровадження ISO 27001
• Виконання рекомендацій щодо заходів, наведених у Додатку А ISO 27001

ISO 27000 - Огляд та словник систем управління інформаційною безпекою

ISO 27000 містить терміни та визначення, які використовуються в стандартах серії ISO 2700X. ISO 27000 надає огляд систем управління інформаційною безпекою та стандартів серії ISO 2700x з їхніми стандартами інформаційної безпеки.

У глосарії (технічні) терміни визначені явно і формально.

Що ви можете зробити за допомогою цього стандарту:

• Глосарій: охоплення більшості технічних термінів, що використовуються в стандартах серії ISO2700x у сфері інформаційної безпеки.
• Ясність термінології
• Чітке розуміння лексики серед експертів та експертів ("загальна мова")
• Огляд систем управління інформаційною безпекою: впровадження систем інформаційної безпеки, управління ризиками та безпекою, а також систем управління

ISO 27701 - Керівництво з управління захистом даних

Стандарт інформаційної безпеки, спеціально пов'язаний з конфіденційністю даних ISO 27701, визначає систему управління захистом даних на основі ISO 27001, ISO 27002 (контроль інформаційної безпеки) і ISO 29100 (система конфіденційності даних), щоб належним чином працювати як з обробкою персональних даних, так і з інформацією. безпеки. Це стосується як розпорядників, так і обробників персональних даних.

Як ви можете досягти успіху з цим стандартом:

• Краще керування особистими даними та безпекою інформації
• Простіше застосування загальних принципів управління інформаційними ризиками до персональних даних
• Вирівняйте та розширте елементи керування в межах ISO 27001, а також відповідного ISO 27002

ISO 27017 – Керівництво із заходів інформаційної безпеки в хмарних сервісах

Стандарт ISO 27017 надає рекомендації щодо заходів інформаційної безпеки в хмарних обчисленнях у рамках стандартів інформаційної безпеки.

Він рекомендує, підтримує та надає додаткові заходи для впровадження спеціальних засобів управління інформаційною безпекою.

Чого можна досягти за допомогою цього стандарту:

• Розуміння аспектів інформаційної безпеки хмарних обчислень.
• Розробити та впровадити спеціальні засоби управління інформаційною безпекою для хмар
• Контроль над параметрами вибору, впровадження та керування інформаційною безпекою для хмарних обчислень

ISO 27018 – Керівництво із захисту даних у хмарних сервісах.

Стандарт ISO 27018 надає рекомендації щодо того, щоб постачальники хмарних послуг пропонували відповідні засоби контролю інформаційної безпеки для захисту конфіденційності клієнтів своїх клієнтів шляхом захисту довірених їм персональних даних.

За цим стандартом слідує ISO 27017 (Заходи інформаційної безпеки в хмарних сервісах), який охоплює інші аспекти інформаційної безпеки хмарних обчислень, ніж просто захист даних.

Ось що ви можете зробити зі стандартом:

• Виберіть засоби захисту PII як частину впровадження системи управління інформаційною безпекою хмарних обчислень на основі ISO 27001.
• Впровадити загальноприйняті засоби захисту ідентифікаційної інформації.
• Поглибити знання, оскільки стандарт базується на ISO 27002 і розширює його загальні поради в деяких областях
• Пов’язування принципів конфіденційності ОЕСР, втілених у кількох законах та нормативних актах про захист даних

ISO 27005 - Керівництво з управління ризиками інформаційної безпеки.

Стандарт ISO 27005 надає рекомендації щодо управління ризиками інформаційної безпеки та підтримує загальні концепції щодо цього, викладені в ISO 27001.

ISO 27005 також призначений для підтримки впровадження інформаційної безпеки на основі концепції управління ризиками.

Ви можете зробити це за допомогою стандарту:

• Впровадити інформаційну безпеку на основі підходу до управління ризиками.
• Визначення контексту управління ризиками
• Кількісна або якісна оцінка (тобто виявлення, аналіз та оцінка) відповідних інформаційних ризиків
• Постійний моніторинг та перегляд ризиків, методів обробки ризиків, вимог та критеріїв
• Відповідне поводження з ризиками
• Постійна комунікація всіх зацікавлених сторін

ISO 27007 - Керівництво з аудиту СУІБ

ISO 27007 є керівництвом для проведення аудитів і призначений для внутрішніх і зовнішніх аудиторів, які оцінюють СУІБ відповідно до ISO/IEC 27001.

Посібник значною мірою базується на Посібнику з аудиту систем управління (ISO 19011) і містить додаткові вказівки щодо системи управління інформаційною безпекою (СУІБ).

Ось як ви можете досягти успіху зі стандартом:

• Керівництво спеціально для аудиту ISO 27001 СУІБ
• Керівництво з планування та проведення аудитів інтегровано з ISO 19011
• Важлива інформація про компетенції аудиторів СУІБ
• Розуміння та виконання аудитів СУІБ

DQS - що ми можемо зробити для вас

DQS є провідним фахівцем із сертифікації систем і процесів менеджменту з 1985 року. Відтоді історія DQS тісно пов’язана з історією ISO 9001. Ми пропонуємо нашим клієнтам наше всесвітнє ноу-хау та глибоке розуміння стандартів. приблизно 30 000 днів аудиту на рік. Тож ви можете побачити, які у вас є варіанти.

Довіра та досвід

Наші тексти та технічні документи написані виключно нашими експертами зі стандартів або давніми аудиторами. Так само й огляд стандартів інформаційної безпеки. Якщо у вас виникли запитання щодо текстового вмісту чи наших послуг для нашого автора, будь ласка, зв’яжіться з нами.

Стандарти інформаційної безпеки: інші теми сімейства стандартів ISO 2700X

ISO 27003 - Керівництво з розробки та впровадження СУІБ

ISO/IEC 27003:2017

Інформаційні технології - Методи безпеки - Системи управління інформаційною безпекою - Керівництво.

ISO 27004 - Керівництво щодо методів вимірювання управління інформаційною безпекою

ISO/IEC 27004:2016

Інформаційні технології - Методи безпеки - Управління інформаційною безпекою - Моніторинг, вимірювання, аналіз та оцінка.

ISO 27008 - Керівництво з оцінки заходів інформаційної безпеки

ISO/IEC TS 27008:2019

Інформаційні технології. Методи безпеки. Керівництво для оцінки засобів контролю інформаційної безпеки

ISO 27009 - Керівництво по галузевому застосуванню системи управління інформацією

ISO/IEC 27009:2020

Інформаційна безпека, кібербезпека та захист конфіденційності — Застосування ISO/IEC 27001 для окремих секторів — Вимоги

ISO 27010 - Керівництво з управління інформаційною безпекою для міжгалузевих та міжорганізаційних комунікацій

ISO/IEC 27010:2015

Інформаційні технології - Методи безпеки - Управління інформаційною безпекою для міжгалузевих та міжорганізаційних комунікацій

ISO 27011 - Керівництво з управління інформаційною безпекою в телекомунікаційному секторі

ISO/IEC 27011:2016

Інформаційні технології. Техніки безпеки. Кодекс практики контролю інформаційної безпеки на основі ISO/IEC 27002 для телекомунікаційних організацій

ISO 27013 - Керівництво щодо інтегрованого впровадження СУІБ та управління ІТ-послугами

ISO/IEC 27013:2021

Інформаційна безпека, кібербезпека та захист конфіденційності — Керівництво щодо інтегрованого впровадження ISO/IEC 27001 і ISO/IEC 20000-1

ISO 27014 - «Управління» інформаційною безпекою

ISO/IEC DIS 27014:2020

Інформаційна безпека, кібербезпека та захист конфіденційності - Управління інформаційною безпекою

ISO 27016 - Економіка управління інформаційною безпекою

ISO/IEC TR 27016:2014

Інформаційні технології - Методи безпеки - Управління інформаційною безпекою - Організаційна економіка

ISO 27021 - Вимоги до компетенції фахівців з СУІБ

ISO/IEC 27021:2017/AMD 1:2021

методи — Вимоги до компетенції спеціалістів із систем управління інформаційною безпекою — Поправка 1: Додавання положень і підпунктів ISO/IEC 27001:2013 до вимог до компетенції

ISO 27031 - Інструкція щодо безперервності бізнесу

ISO/IEC 27031:2011

Інформаційні технології. Методи безпеки — Рекомендації щодо готовності інформаційно-комунікаційних технологій до безперервності бізнесу

ПОРАДА: Прочитайте нашу публікацію в блозі про управління безперервністю бізнесу, щоб дізнатися, що рекомендує стандарт ISO 22301 для забезпечення тривалого існування компанії у виняткових ситуаціях.

ISO 27032 - Посібник з кібербезпеки

ISO/IEC 27032:2012

Інформаційні технології - Методи безпеки - Рекомендації з кібербезпеки

ISO 27033 - Інструкція з безпеки мережі

ISO/IEC 27033

Інформаційні технології - Методи безпеки - Безпека мережі
Частина 1: Огляд та концепції, Частина 2: Інструкції з розробки та впровадження мережевої безпеки, Частина 3: Довідкові мережеві сценарії - Загрози, методи проектування та проблеми контролю, Частина 4: Захист зв'язку між мережами за допомогою шлюзів безпеки, Частина 5: Захист комунікації між мережами за допомогою віртуальних приватних мереж (VPN), Частина 6: Захист доступу до бездротової IP-мережі

ISO 27034 - Інструкція з безпеки програми

ISO/IEC 27034

Інформаційні технології - Методи безпеки - Безпека додатків
Частина 1: Огляд та концепції, Частина 2: Нормативна база організації, Частина 3: Процес керування безпекою додатків, Частина 4: Перевірка та перевірка, Частина 5: Протоколи та структура даних контролю безпеки додатків, Частина 6: Дослідження Cast, Частина 7: Гарантія рамка прогнозування

ISO 27035 - Керівництво з управління інцидентами інцидентів інформаційної безпеки

ISO/IEC 27035

Інформаційні технології - Практика безпеки ІТ - Управління інцидентами інформаційної безпеки
Частина 1: Основи управління інцидентами, Частина 2: Інструкції з планування та підготовки реагування на інциденти, Частина 3: Інструкції з реагування на інциденти інформаційно-комунікаційних технологій (проект)

ISO 27036 - Інструкція щодо відносин з постачальниками

ISO/IEC 27036

Інформаційні технології - Методи безпеки - Інформаційна безпека відносин з постачальниками
Частина 1: Огляд та концепції, Частина 2: Вимоги, Частина 3: Рекомендації щодо безпеки ланцюга поставок інформаційно-комунікаційних технологій, Частина 4: Рекомендації щодо безпеки хмарних послуг

ISO 27037 - Інструкції щодо роботи з цифровими доказами.

ISO/IEC 27037:2012

Інформаційні технології - Методи безпеки - Інструкції з ідентифікації, збору, отримання та збереження цифрових доказів

ISO 27038 - Специфікація цифрового редагування

ISO/IEC 27038:2014

Інформаційні технології - Методи безпеки - Специфікація цифрової редакції

ISO 27039 - Інструкція щодо систем виявлення вторгнень (IDPS)

ISO/IEC 27039:2015

Інформаційні технології - Методи безпеки - Вибір, розгортання та функціонування систем виявлення та запобігання вторгненням (IDPS)

ISO 27040 - Інструкція з безпеки зберігання

ISO/IEC 27040:2015

Інформаційні технології - Методи безпеки - Безпека зберігання

ISO 27041 - Інструкція щодо методів розслідування інциденту

ISO/IEC 27041:2015

Інформаційні технології - Методи безпеки - Керівництво щодо забезпечення придатності та адекватності методу розслідування інцидентів

ISO 27042 - Керівництво з аналізу та інтерпретації цифрових доказів.

ISO/IEC 27042:2015

Інформаційні технології. Методи безпеки. Рекомендації щодо аналізу та інтерпретації цифрових доказів

ISO 27043 - Керівництво щодо процесів розслідування інцидентів.

ISO/IEC 27043:2015

Інформаційні технології - Методи безпеки - Принципи та процеси розслідування інцидентів

ISO 27050 - Інструкція з електронного виявлення

ISO/IEC 27050

Інформаційні технології - Електронні відкриття
Частина 1: Огляд та концепції, Частина 2: Керівництво з управління та керування електронним відкриттям, Частина 3: Кодекс практики електронного виявлення

ISO 27102 - Інструкція з кіберстрахування

ISO/IEC 27102:2019

Information security management — Guidelines for cyber-insurance

ISO 27103 - Керівництво з кібербезпеки та стандартів ISO/IEC

ISO/IEC TR 27103:2018

Інформаційні технології - Методи безпеки - Кібербезпека та стандарти ISO та IEC

ISO 27550 - Розробка конфіденційності для процесів життєвого циклу системи

ISO/IEC TR 27550:2019-09

Інформаційні технології – Методи безпеки – Інженерія конфіденційності для процесів життєвого циклу системи

ISO 27799 - Управління інформаційною безпекою в галузі охорони здоров'я

ISO 27799:2016

Інформатика охорони здоров’я — Управління інформаційною безпекою в охороні здоров’я з використанням ISO/IEC 27002