Документ предоставляет обширный обзор стандартов ISO 27k, включая ссылки на полные тексты и описания различных норм, связанных с управлением информационной безопасностью. Приведены ключевые версии стандартов, их назначение и актуальность, а также их перевод в форме Гостов для применения в России. Отмечается существенное обновление базовых стандартов ISO 27001 и 27002, в отличие от устаревших версий российских аналогов.

1. Серия стандартов ISO 27k
Прозоров Андрей
2014-04

3. Где искать стандарты?
• ISO:
– iso.org/iso/home.html
• ГОСТы:
– gost.ru/wps/portal/pages.CatalogOfStandarts
– gostexpert.ru
– gostinfo.ru/PRI (здесь можно посмотреть текст документов)

4. По запросу «Security» - 435
По запросу
«Security techniques» - 182

5. Сокращения в названиях (ISO)
• Under development («в разработке»)
PWI-> NP or NWIP-> AWI-> WD-> CD-> FCD-> DIS-> FDIS-> PRF-> IS
– WD - Working Draft
– CD - Committee Draft
– DIS - Draft International Standard
– …
– IS - International Standard
• TR - Technical Report

6. ISO 27k (Базовые)
• ISO/IEC 27000:2014 «Information technology --
Security techniques. Information security
management systems. Overview and vocabulary»
• ISO/IEC 27001:2013 «Information technology.
Security techniques. Information security
management systems. Requirements»
• ISO/IEC 27002:2013 «Information technology.
Security techniques. Code of practice for information
security controls»

7. ISO 27k (Рекомендации)
• ISO/IEC 27003:2010 «Information technology.
Security techniques. Information security
management system implementation guidance»
• ISO/IEC 27004:2009 «Information technology.
Security techniques. Information security
management. Measurement»
• ISO/IEC 27005:2011 «Information technology.
Security techniques. Information security risk
management»

8. ISO 27k (Аудит)
• ISO/IEC 27006:2011 «Information technology. Security
techniques. Requirements for bodies providing audit and
certification of information security management systems»
• ISO/IEC 27007:2011 «Information technology. Security
techniques. Guidelines for information security management
systems auditing»
• ISO/IEC TR 27008:2011 «Information technology. Security
techniques. Guidelines for auditors on information security
controls»
• ISO/IEC WD 27009 «The Use and Application of ISO/IEC 27001
for Sector/Service-Specific Third-Party Accredited
Certifications»

9. ISO 2701k (1)
• ISO/IEC 27010:2012 «Information technology. Security
techniques. Information security management for inter-sector
and inter-organizational communications»
• ISO/IEC 27011:2008 «Information technology. Security
techniques. Information security management guidelines for
telecommunications organizations based on ISO/IEC 27002»
• ISO/IEC 27012 – отсутствует
• ISO/IEC 27013:2012 «Information technology. Security
techniques. Guidance on the integrated implementation of
ISO/IEC 27001 and ISO/IEC 20000-1»
• ISO/IEC 27014:2013 «Information technology. Security
techniques. Governance of information security»

10. ISO 2701k (2)
• ISO/IEC TR 27015:2012 «Information technology. Security techniques.
Information security management guidelines for financial services»
• ISO/IEC TR 27016:2014 «Information technology. Security techniques.
Information security management. Organizational economics»
• ISO/IEC CD 27017 «Information technology. Security techniques. Code
of practice for information security controls for cloud computing
services based on ISO/IEC 27002»
• ISO/IEC DIS 27018 «Information technology. Security techniques. Code
of practice for PII protection in public cloud acting as PII processors»
• ISO/IEC TR 27019:2013 «Information technology. Security techniques.
Information security management guidelines based on ISO/IEC 27002
for process control systems specific to the energy utility industry»

11. Смотрим далее…
• ISO 27020 не про ИТ («Dentistry - Brackets
and tubes for use in orthodontics»)
• ISO 27021 – ISO 27030 отсутствуют

12. ISO 27031 - 27032
• ISO/IEC 27031:2011 «Information technology. Security
techniques. Guidelines for information and communication
technology readiness for business continuity»
• ISO/IEC 27032:2012 «Information technology. Security
techniques. Guidelines for cybersecurity»

13. ISO 27033 (Network security)
• ISO/IEC 27033-1:2009 «Information technology. Security
techniques. Network security. Part 1: Overview and concepts»
• ISO/IEC CD (draft) 27033-1 – проект обновленной версии
• ISO/IEC 27033-2:2012 «Information technology. Security
techniques. Network security. Part 2: Guidelines for the design and
implementation of network security»
• ISO/IEC 27033-3:2010 «Information technology. Security
techniques. Network security. Part 3: Reference networking
scenarios. Threats, design techniques and control issues»
• ISO/IEC 27033-4:2014 «Information technology. Security
techniques. Network security. Part 4: Securing communications
between networks using security gateways»
• ISO/IEC 27033-5:2013 «Information technology. Security
techniques. Network security. Part 5: Securing communications
across networks using Virtual Private Networks (VPNs)»
• ISO/IEC CD 27033-6 «Information technology. Security techniques.
Network security. Part 6: Securing wireless IP network access»

14. ISO 27034 (Application security)
• ISO/IEC 27034-1:2011 «Information technology . Security techniques.
Application security . Part 1: Overview and concepts»
• ISO/IEC CD 27034-2 «Information technology. Security techniques.
Application security. Part 2: Organization normative framework»
• ISO/IEC NP 27034-3 «Information technology. Security techniques --
Application security. Part 3: Application security management process»
• ISO/IEC NP 27034-4 «Information technology. Security techniques.
Application security. Part 4: Application security validation»
• ISO/IEC WD 27034-5 «Information technology. Security techniques.
Application security. Part 5: Protocols and application security controls
data structure»
• ISO/IEC WD 27034-6 «Information technology. Security techniques.
Application security. Part 6: Security guidance for specific applications»
• ISO/IEC NP 27034-7 «Information technology. Security techniques.
Application security. Part 7: Application security control attribute
predictability»

15. ISO 27035 (Incident management)
• ISO/IEC 27035:2011 «Information technology. Security
techniques. Information security incident management»
• ISO/IEC WD 27035-1 «Information technology. Security
techniques. Information security incident management. Part
1: Principles of incident management»
• ISO/IEC WD 27035-2 «Information technology. Security
techniques. Information security incident management. Part
2: Guidelines to plan and prepare for incident response»
• ISO/IEC WD 27035-3 «Information technology. Security
techniques. Information security incident management. Part
3: Guidelines for CSIRT operations»

16. ISO 27036 (Suppliers)
• ISO/IEC 27036-1:2014 «Information technology. Security
techniques. Information security for supplier relationships.
Part 1: Overview and concepts»
• ISO/IEC FDIS 27036-2 «Information technology. Security
techniques. Information security for supplier relationships.
Part 2: Requirements»
• ISO/IEC 27036-3:2013 «Information technology. Security
techniques. Information security for supplier relationships.
Part 3: Guidelines for information and communication
technology supply chain security»
• ISO/IEC WD 27036-4 «Information technology. Information
security for supplier relationships. Part 4: Guidelines for
security of Cloud services»

17. ISO 27036 - 27039
• ISO/IEC 27037:2012 «Information technology. Security
techniques. Guidelines for identification, collection,
acquisition and preservation of digital evidence»
• ISO/IEC 27038:2014 «Information technology. Security
techniques. Specification for digital redaction»
• ISO/IEC DIS 27039 «Information technology. Security
techniques. Selection, deployment and operations of
intrusion detection systems (IDPS)»

18. ISO 27040 - 27049
• ISO/IEC DIS 27040 «Information technology. Security
techniques. Storage security»
• ISO/IEC DIS 27041 «Information technology. Security
techniques. Guidance on assuring suitability and adequacy of
incident investigative methods»
• ISO/IEC DIS 27042 «Information technology. Security
techniques. Guidelines for the analysis and interpretation of
digital evidence»
• ISO/IEC DIS 27043 «Information technology. Security
techniques. Incident investigation principles and processes»
• ISO/IEC WD 27044 «Guidelines for Security Information and
Event Management (SIEM)»
• ISO 27045 – 27049 отсутствуют (27048 не про ИТ/ИБ)

19. ISO 27050
• ISO/IEC WD 27050-1 «Information technology. Security
techniques. Electronic discovery»
• ISO/IEC NP 27050-2 «Information technology. Security
techniques. Electronic discovery»
• ISO/IEC NP 27050-3 «Information technology. Security
techniques. Electronic discovery. Part 3: Code of Practice for
electronic discovery»
• ISO/IEC NP 27050-4 «Information technology. Security
techniques. Electronic discovery. Part 4: ICT readiness for
electronic discovery»

20. Прочие
• ISO 27799:2008 «Health informatics. Information security
management in health using ISO/IEC 27002»
• ISO/IEC 29100:2011 «Information technology. Security
techniques Privacy framework»
• ISO 19011:2011 «Guidelines for auditing management
systems»

21. Многие стандарты ISO
переведены в России и
используются в качестве ГОСТ

22. ГОСТы (1)
• ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология.
Методы и средства обеспечения безопасности. Системы
менеджмента информационной безопасности. Общий обзор
и терминология», введен в действие с 01.12.2013
• ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология.
Методы и средства обеспечения безопасности. Системы
менеджмента информационной безопасности. Требования»,
введен в действие 01.02.2008
• ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология.
Методы и средства обеспечения безопасности. Свод норм и
правил менеджмента информационной безопасности»,
введен в действие с 01.01.2014

23. ГОСТы (2)
• ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и
средства обеспечения безопасности. Системы менеджмента
информационной безопасности. Руководство по реализации системы
менеджмента информационной безопасности», введен в действие с
01.12.2013
• ГОСТ Р ИСО/МЭК 27004-2011 «Информационная технология. Методы и
средства обеспечения безопасности. Менеджмент информационной
безопасности. Измерения», введен в действие с 01.01.2012
• ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и
средства обеспечения безопасности. Менеджмент риска
информационной безопасности», введен в действие с 01.12.2011
• ГОСТ Р ИСО/МЭК 27006-2008 «Информационная технология. Методы и
средства обеспечения безопасности. Требования к органам,
осуществляющим аудит и сертификацию систем менеджмента
информационной безопасности», введен в действие с 01.10.2009

24. ГОСТы (3)
• ГОСТ Р ИСО/МЭК 27011-2012 «Информационная технология. Методы и
средства обеспечения безопасности. Руководства по менеджменту
информационной безопасности для телекоммуникационных организаций
на основе ИСО/МЭК 27002», введен в действие с 01.01.2014
• ГОСТ Р ИСО/МЭК 27031-2012 «Информационная технология. Методы и
средства обеспечения безопасности. Руководство по готовности
информационно-коммуникационных технологий к обеспечению
непрерывности бизнеса», введен в действие с 01.01.2014
• ГОСТ Р ИСО/МЭК 27033-1-2011 «Информационная технология. Методы и
средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и
концепции», введен в действие с 01.01.2012

25. «Базовые стандарты» ISO 27001 и 27002
были обновлены в 2013 году.
Структура и содержание мер
существенно изменились по сравнению
со старой версией

26. Стандарты ISO обновлены!!!
ГОСТ 27000-2012 ≠ ISO 27000-2014
ГОСТ 27001-2006 ≠ ISO 27001-2013
ГОСТ 27002-2012 ≠ ISO 27002-2013
ГОСТы 27к являются
переводами устаревших
версий ISO 27к