Открыть сервис

ISO/IEC 27002

ISO/IEC 27002 — это международный стандарт, разработанный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC), который содержит свод практических правил и рекомендаций по управлению информационной безопасностью. Стандарт входит в семейство стандартов ISO/IEC 27000, посвящённых системам менеджмента информационной безопасности (СМИБ). Он не является обязательным для сертификации, но служит руководством для выбора и внедрения мер контроля безопасности, соответствующих требованиям ISO/IEC 27001.

История и развитие

Первая версия стандарта была опубликована в 2005 году как ISO/IEC 17799:2005, которая заменила более ранний британский стандарт BS 7799-1:2000. В 2007 году он был переименован в ISO/IEC 27002:2005, чтобы войти в единую серию стандартов по информационной безопасности. В 2013 году вышла вторая редакция (ISO/IEC 27002:2013), которая была адаптирована к изменениям в технологиях и угрозам. В 2022 году была принята третья редакция (ISO/IEC 27002:2022), которая внесла значительные структурные изменения, сократив количество категорий контроля и обновив их содержание.

Цель и область применения

Основная цель ISO/IEC 27002 — предоставить организациям любого типа, размера и отрасли практические рекомендации по установлению, внедрению, эксплуатации, мониторингу, пересмотру, поддержанию и улучшению СМИБ. Стандарт не является сертификационным, но его использование помогает организациям соответствовать требованиям ISO/IEC 27001, который является обязательным для сертификации. Область применения включает все аспекты информационной безопасности: конфиденциальность, целостность и доступность информации, а также защиту от угроз, связанных с человеческим фактором, техническими сбоями, природными катастрофами и злонамеренными атаками.

Структура стандарта (версия 2022 года)

В редакции 2022 года стандарт состоит из четырёх основных разделов, которые описывают меры контроля (controls) и их группы. Всего в стандарте содержится 93 меры контроля, сгруппированных в 4 тематических раздела (вместо 14 разделов в версии 2013 года). Каждый контроль имеет уникальный идентификатор, описание цели и рекомендации по реализации.

Раздел 1: Организационные меры (Organizational controls)

Этот раздел включает 37 мер контроля, направленных на управление политиками, ролями, ответственностью, а также на взаимодействие с третьими сторонами. Ключевые темы:

Раздел 2: Меры, связанные с персоналом (People controls)

Раздел содержит 8 мер контроля, касающихся человеческого фактора:

Раздел 3: Физические меры (Physical controls)

14 мер контроля, направленных на защиту физической среды:

Раздел 4: Технологические меры (Technological controls)

34 меры контроля, охватывающие технические аспекты:

Отличия от ISO/IEC 27001

ISO/IEC 27002 и ISO/IEC 27001 тесно связаны, но имеют разные цели:

Применение в России

В Российской Федерации стандарт ISO/IEC 27002 используется как основа для разработки национальных стандартов в области информационной безопасности. В частности, на его основе был разработан ГОСТ Р ИСО/МЭК 27002-2021 (аутентичный перевод версии 2013 года). В 2023 году начата работа по адаптации версии 2022 года. Стандарт применяется в коммерческих организациях, государственных учреждениях и банковском секторе, где требуется соответствие требованиям регуляторов (например, Банка России, ФСТЭК России, Роскомнадзора). При этом в России существуют дополнительные требования к защите информации, установленные законодательством (например, требования к защите персональных данных, государственной тайны, критической информационной инфраструктуры), которые могут выходить за рамки рекомендаций ISO/IEC 27002.

Критика и ограничения

Стандарт подвергается критике за несколько аспектов:

Интересные факты

Источники

  1. ISO/IEC 27002:2022 «Information security, cybersecurity and privacy protection — Information security controls».
  2. ГОСТ Р ИСО/МЭК 27002-2021 «Информационная технология. Методы и средства обеспечения безопасности. Свод правил по управлению защитой информации».
  3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  4. Методические рекомендации ФСТЭК России по внедрению стандартов ISO/IEC 27000 (2021).
  5. «Information Security Management: A Practical Guide» — M. E. Whitman, H. J. Mattord (2022).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →