пр серия стандартов Iso 27k

10,551 views

Published on

Published in: Technology
2 Comments
5 Likes
Statistics
Notes
No Downloads
Views
Total views
10,551
On SlideShare
0
From Embeds
0
Number of Embeds
8,559
Actions
Shares
0
Downloads
166
Comments
2
Likes
5
Embeds 0
No embeds

No notes for slide

пр серия стандартов Iso 27k

  1. 1. Серия стандартов ISO 27k Прозоров Андрей 2014-04
  2. 2. Где искать стандарты? • ISO: – iso.org/iso/home.html • ГОСТы: – gost.ru/wps/portal/pages.CatalogOfStandarts – gostexpert.ru – gostinfo.ru/PRI (здесь можно посмотреть текст документов)
  3. 3. По запросу «Security» - 435 По запросу «Security techniques» - 182
  4. 4. Сокращения в названиях (ISO) • Under development («в разработке») PWI-> NP or NWIP-> AWI-> WD-> CD-> FCD-> DIS-> FDIS-> PRF-> IS – WD - Working Draft – CD - Committee Draft – DIS - Draft International Standard – … – IS - International Standard • TR - Technical Report
  5. 5. ISO 27k (Базовые) • ISO/IEC 27000:2014 «Information technology -- Security techniques. Information security management systems. Overview and vocabulary» • ISO/IEC 27001:2013 «Information technology. Security techniques. Information security management systems. Requirements» • ISO/IEC 27002:2013 «Information technology. Security techniques. Code of practice for information security controls»
  6. 6. ISO 27k (Рекомендации) • ISO/IEC 27003:2010 «Information technology. Security techniques. Information security management system implementation guidance» • ISO/IEC 27004:2009 «Information technology. Security techniques. Information security management. Measurement» • ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management»
  7. 7. ISO 27k (Аудит) • ISO/IEC 27006:2011 «Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems» • ISO/IEC 27007:2011 «Information technology. Security techniques. Guidelines for information security management systems auditing» • ISO/IEC TR 27008:2011 «Information technology. Security techniques. Guidelines for auditors on information security controls» • ISO/IEC WD 27009 «The Use and Application of ISO/IEC 27001 for Sector/Service-Specific Third-Party Accredited Certifications»
  8. 8. ISO 2701k (1) • ISO/IEC 27010:2012 «Information technology. Security techniques. Information security management for inter-sector and inter-organizational communications» • ISO/IEC 27011:2008 «Information technology. Security techniques. Information security management guidelines for telecommunications organizations based on ISO/IEC 27002» • ISO/IEC 27012 – отсутствует • ISO/IEC 27013:2012 «Information technology. Security techniques. Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1» • ISO/IEC 27014:2013 «Information technology. Security techniques. Governance of information security»
  9. 9. ISO 2701k (2) • ISO/IEC TR 27015:2012 «Information technology. Security techniques. Information security management guidelines for financial services» • ISO/IEC TR 27016:2014 «Information technology. Security techniques. Information security management. Organizational economics» • ISO/IEC CD 27017 «Information technology. Security techniques. Code of practice for information security controls for cloud computing services based on ISO/IEC 27002» • ISO/IEC DIS 27018 «Information technology. Security techniques. Code of practice for PII protection in public cloud acting as PII processors» • ISO/IEC TR 27019:2013 «Information technology. Security techniques. Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry»
  10. 10. Смотрим далее… • ISO 27020 не про ИТ («Dentistry - Brackets and tubes for use in orthodontics») • ISO 27021 – ISO 27030 отсутствуют
  11. 11. ISO 27031 - 27032 • ISO/IEC 27031:2011 «Information technology. Security techniques. Guidelines for information and communication technology readiness for business continuity» • ISO/IEC 27032:2012 «Information technology. Security techniques. Guidelines for cybersecurity»
  12. 12. ISO 27033 (Network security) • ISO/IEC 27033-1:2009 «Information technology. Security techniques. Network security. Part 1: Overview and concepts» • ISO/IEC CD (draft) 27033-1 – проект обновленной версии • ISO/IEC 27033-2:2012 «Information technology. Security techniques. Network security. Part 2: Guidelines for the design and implementation of network security» • ISO/IEC 27033-3:2010 «Information technology. Security techniques. Network security. Part 3: Reference networking scenarios. Threats, design techniques and control issues» • ISO/IEC 27033-4:2014 «Information technology. Security techniques. Network security. Part 4: Securing communications between networks using security gateways» • ISO/IEC 27033-5:2013 «Information technology. Security techniques. Network security. Part 5: Securing communications across networks using Virtual Private Networks (VPNs)» • ISO/IEC CD 27033-6 «Information technology. Security techniques. Network security. Part 6: Securing wireless IP network access»
  13. 13. ISO 27034 (Application security) • ISO/IEC 27034-1:2011 «Information technology . Security techniques. Application security . Part 1: Overview and concepts» • ISO/IEC CD 27034-2 «Information technology. Security techniques. Application security. Part 2: Organization normative framework» • ISO/IEC NP 27034-3 «Information technology. Security techniques -- Application security. Part 3: Application security management process» • ISO/IEC NP 27034-4 «Information technology. Security techniques. Application security. Part 4: Application security validation» • ISO/IEC WD 27034-5 «Information technology. Security techniques. Application security. Part 5: Protocols and application security controls data structure» • ISO/IEC WD 27034-6 «Information technology. Security techniques. Application security. Part 6: Security guidance for specific applications» • ISO/IEC NP 27034-7 «Information technology. Security techniques. Application security. Part 7: Application security control attribute predictability»
  14. 14. ISO 27035 (Incident management) • ISO/IEC 27035:2011 «Information technology. Security techniques. Information security incident management» • ISO/IEC WD 27035-1 «Information technology. Security techniques. Information security incident management. Part 1: Principles of incident management» • ISO/IEC WD 27035-2 «Information technology. Security techniques. Information security incident management. Part 2: Guidelines to plan and prepare for incident response» • ISO/IEC WD 27035-3 «Information technology. Security techniques. Information security incident management. Part 3: Guidelines for CSIRT operations»
  15. 15. ISO 27036 (Suppliers) • ISO/IEC 27036-1:2014 «Information technology. Security techniques. Information security for supplier relationships. Part 1: Overview and concepts» • ISO/IEC FDIS 27036-2 «Information technology. Security techniques. Information security for supplier relationships. Part 2: Requirements» • ISO/IEC 27036-3:2013 «Information technology. Security techniques. Information security for supplier relationships. Part 3: Guidelines for information and communication technology supply chain security» • ISO/IEC WD 27036-4 «Information technology. Information security for supplier relationships. Part 4: Guidelines for security of Cloud services»
  16. 16. ISO 27036 - 27039 • ISO/IEC 27037:2012 «Information technology. Security techniques. Guidelines for identification, collection, acquisition and preservation of digital evidence» • ISO/IEC 27038:2014 «Information technology. Security techniques. Specification for digital redaction» • ISO/IEC DIS 27039 «Information technology. Security techniques. Selection, deployment and operations of intrusion detection systems (IDPS)»
  17. 17. ISO 27040 - 27049 • ISO/IEC DIS 27040 «Information technology. Security techniques. Storage security» • ISO/IEC DIS 27041 «Information technology. Security techniques. Guidance on assuring suitability and adequacy of incident investigative methods» • ISO/IEC DIS 27042 «Information technology. Security techniques. Guidelines for the analysis and interpretation of digital evidence» • ISO/IEC DIS 27043 «Information technology. Security techniques. Incident investigation principles and processes» • ISO/IEC WD 27044 «Guidelines for Security Information and Event Management (SIEM)» • ISO 27045 – 27049 отсутствуют (27048 не про ИТ/ИБ)
  18. 18. ISO 27050 • ISO/IEC WD 27050-1 «Information technology. Security techniques. Electronic discovery» • ISO/IEC NP 27050-2 «Information technology. Security techniques. Electronic discovery» • ISO/IEC NP 27050-3 «Information technology. Security techniques. Electronic discovery. Part 3: Code of Practice for electronic discovery» • ISO/IEC NP 27050-4 «Information technology. Security techniques. Electronic discovery. Part 4: ICT readiness for electronic discovery»
  19. 19. Прочие • ISO 27799:2008 «Health informatics. Information security management in health using ISO/IEC 27002» • ISO/IEC 29100:2011 «Information technology. Security techniques Privacy framework» • ISO 19011:2011 «Guidelines for auditing management systems»
  20. 20. Многие стандарты ISO переведены в России и используются в качестве ГОСТ
  21. 21. ГОСТы (1) • ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология», введен в действие с 01.12.2013 • ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», введен в действие 01.02.2008 • ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности», введен в действие с 01.01.2014
  22. 22. ГОСТы (2) • ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности», введен в действие с 01.12.2013 • ГОСТ Р ИСО/МЭК 27004-2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения», введен в действие с 01.01.2012 • ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», введен в действие с 01.12.2011 • ГОСТ Р ИСО/МЭК 27006-2008 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности», введен в действие с 01.10.2009
  23. 23. ГОСТы (3) • ГОСТ Р ИСО/МЭК 27011-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002», введен в действие с 01.01.2014 • ГОСТ Р ИСО/МЭК 27031-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса», введен в действие с 01.01.2014 • ГОСТ Р ИСО/МЭК 27033-1-2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции», введен в действие с 01.01.2012
  24. 24. «Базовые стандарты» ISO 27001 и 27002 были обновлены в 2013 году. Структура и содержание мер существенно изменились по сравнению со старой версией
  25. 25. Стандарты ISO обновлены!!! ГОСТ 27000-2012 ≠ ISO 27000-2014 ГОСТ 27001-2006 ≠ ISO 27001-2013 ГОСТ 27002-2012 ≠ ISO 27002-2013 ГОСТы 27к являются переводами устаревших версий ISO 27к

×