Открыть сервис

ГОСТ Р ИСО/МЭК 27002-2021

ГОСТ Р ИСО/МЭК 27002-2021 — это национальный стандарт Российской Федерации, идентичный международному стандарту ISO/IEC 27002:2022, который устанавливает свод правил и практических рекомендаций по управлению мерами безопасности информации. Стандарт входит в семейство стандартов серии ISO/IEC 27000, посвящённых системам менеджмента информационной безопасности (СМИБ). Он предназначен для использования в качестве руководства по выбору, внедрению и управлению мерами защиты информации, а также для документирования обоснований выбора конкретных мер.

История разработки и принятия

Международный стандарт ISO/IEC 27002 впервые был опубликован в 2005 году как переработанная версия ISO/IEC 17799:2005, который, в свою очередь, происходил из британского стандарта BS 7799. В 2013 году вышла вторая редакция (ISO/IEC 27002:2013), а в 2022 году — третья (ISO/IEC 27002:2022). В России гармонизация международных стандартов в области информационной безопасности осуществляется через принятие идентичных национальных стандартов (ГОСТ Р).

ГОСТ Р ИСО/МЭК 27002-2021 был утверждён и введён в действие Приказом Федерального агентства по техническому регулированию и метрологии (Росстандарт) от 1 декабря 2021 года № 1670-ст. Дата введения в действие — 1 января 2022 года. Стандарт заменил предыдущую версию — ГОСТ Р ИСО/МЭК 27002-2012, которая была основана на ISO/IEC 27002:2013. Таким образом, российская версия на момент выхода опережала международную (ISO/IEC 27002:2022 был опубликован в феврале 2022 года), однако по содержанию она полностью соответствует проекту международного стандарта, принятому в 2021 году.

Структура и содержание

ГОСТ Р ИСО/МЭК 27002-2021 состоит из введения, основной части, приложений и библиографии. Основная часть включает разделы, посвящённые общим принципам, структуре мер и их описанию.

Классификация мер

Ключевое нововведение версии 2021 года — переход от классификации мер по 14 доменам (как в версии 2013 года) к четырём категориям, основанным на типе управления:

  1. Организационные меры (Organizational controls) — меры, связанные с политиками, процедурами, распределением ответственности, управлением рисками, управлением инцидентами и непрерывностью бизнеса.
  2. Кадровые меры (People controls) — меры, касающиеся персонала: проверка благонадёжности, обучение, осведомлённость, дисциплинарные процедуры, а также работа с удалёнными сотрудниками.
  3. Физические меры (Physical controls) — меры, направленные на защиту физической среды: контролируемые зоны, защита от угроз окружающей среды, безопасность рабочих мест, утилизация оборудования.
  4. Технологические меры (Technological controls) — меры, связанные с программным и аппаратным обеспечением: управление доступом, криптография, защита от вредоносного кода, резервное копирование, мониторинг и аудит.

Перечень мер

Стандарт содержит 93 меры (в версии 2013 года их было 114). Каждая мера описывается по единой схеме:

  • Атрибут (Attribute) — метка, позволяющая группировать меры по различным признакам (например, тип управления, область применения, этап жизненного цикла).
  • Описание (Description) — краткое изложение сути меры.
  • Цель (Purpose) — что должна обеспечить данная мера.
  • Руководство по внедрению (Guidance) — практические рекомендации по реализации меры, включая примеры.
  • Дополнительная информация (Other information) — ссылки на смежные стандарты или уточнения.

Приложения

Стандарт включает два приложения:

  • Приложение А — таблица соответствия между мерами версии 2021 года и версии 2013 года. Это облегчает миграцию для организаций, ранее внедривших старую версию.
  • Приложение B — таблица соответствия между мерами и атрибутами, позволяющая фильтровать меры по различным критериям.

Применение в Российской Федерации

ГОСТ Р ИСО/МЭК 27002-2021 является добровольным для применения, если иное не установлено законодательством. Однако он широко используется в качестве методической основы при построении систем менеджмента информационной безопасности в коммерческих и государственных организациях. Стандарт применяется:

  • При внедрении СМИБ — в качестве руководства по выбору мер для достижения целей, установленных в политике информационной безопасности.
  • При проведении аудитов — как эталон для оценки соответствия практик организации лучшим мировым образцам.
  • При сертификации — организации, проходящие сертификацию на соответствие ГОСТ Р ИСО/МЭК 27001-2021 (аналог ISO/IEC 27001), используют данный стандарт для выбора и обоснования мер.
  • При разработке внутренних нормативных документов — политик, регламентов, инструкций.

Связь с другими стандартами

ГОСТ Р ИСО/МЭК 27002-2021 является частью семейства стандартов, регламентирующих информационную безопасность:

  • ГОСТ Р ИСО/МЭК 27000-2021 — содержит термины и определения.
  • ГОСТ Р ИСО/МЭК 27001-2021 — устанавливает требования к системе менеджмента информационной безопасности. Меры из 27002 являются рекомендуемыми для выполнения требований 27001.
  • ГОСТ Р ИСО/МЭК 27003-2021 — содержит руководство по внедрению СМИБ.
  • ГОСТ Р ИСО/МЭК 27005-2023 — посвящён управлению рисками информационной безопасности.

Критика и особенности

Основные замечания к стандарту связаны с его обобщённым характером. Он не содержит конкретных технических требований (например, длины ключа шифрования или версий протоколов), а лишь описывает, что должно быть сделано, но не как. Это делает его гибким, но требует от специалистов высокой квалификации для правильной интерпретации. Кроме того, стандарт не учитывает специфику отраслевых требований (например, в финансовом секторе или в сфере государственной тайны), поэтому организации часто дополняют его отраслевыми стандартами (например, ГОСТ Р 57580.1-2017 для банковской сферы).

Источники

  • ГОСТ Р ИСО/МЭК 27002-2021. Информационная технология. Методы и средства обеспечения безопасности. Свод правил по мерам обеспечения информационной безопасности. — М.: Стандартинформ, 2021.
  • ISO/IEC 27002:2022. Information security, cybersecurity and privacy protection — Information security controls. — ISO, 2022.
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  • Приказ Росстандарта от 01.12.2021 № 1670-ст «Об утверждении национального стандарта».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →