ISO/IEC 27002
ISO/IEC 27002 — это международный стандарт, разработанный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC), который содержит свод практических правил и рекомендаций по управлению информационной безопасностью. Стандарт входит в семейство стандартов ISO/IEC 27000, посвящённых системам менеджмента информационной безопасности (СМИБ). Он не является обязательным для сертификации, но служит руководством для выбора и внедрения мер контроля безопасности, соответствующих требованиям ISO/IEC 27001.
История и развитие
Первая версия стандарта была опубликована в 2005 году как ISO/IEC 17799:2005, которая заменила более ранний британский стандарт BS 7799-1:2000. В 2007 году он был переименован в ISO/IEC 27002:2005, чтобы войти в единую серию стандартов по информационной безопасности. В 2013 году вышла вторая редакция (ISO/IEC 27002:2013), которая была адаптирована к изменениям в технологиях и угрозам. В 2022 году была принята третья редакция (ISO/IEC 27002:2022), которая внесла значительные структурные изменения, сократив количество категорий контроля и обновив их содержание.
Цель и область применения
Основная цель ISO/IEC 27002 — предоставить организациям любого типа, размера и отрасли практические рекомендации по установлению, внедрению, эксплуатации, мониторингу, пересмотру, поддержанию и улучшению СМИБ. Стандарт не является сертификационным, но его использование помогает организациям соответствовать требованиям ISO/IEC 27001, который является обязательным для сертификации. Область применения включает все аспекты информационной безопасности: конфиденциальность, целостность и доступность информации, а также защиту от угроз, связанных с человеческим фактором, техническими сбоями, природными катастрофами и злонамеренными атаками.
Структура стандарта (версия 2022 года)
В редакции 2022 года стандарт состоит из четырёх основных разделов, которые описывают меры контроля (controls) и их группы. Всего в стандарте содержится 93 меры контроля, сгруппированных в 4 тематических раздела (вместо 14 разделов в версии 2013 года). Каждый контроль имеет уникальный идентификатор, описание цели и рекомендации по реализации.
Раздел 1: Организационные меры (Organizational controls)
Этот раздел включает 37 мер контроля, направленных на управление политиками, ролями, ответственностью, а также на взаимодействие с третьими сторонами. Ключевые темы:
- Политика информационной безопасности и её пересмотр.
- Распределение ролей и обязанностей (например, назначение ответственного за информационную безопасность).
- Управление доступом и идентификацией (включая многофакторную аутентификацию).
- Управление инцидентами и реагирование на них.
- Безопасность при работе с поставщиками и подрядчиками.
- Соответствие законодательным и нормативным требованиям (включая требования РФ, такие как Федеральный закон «О персональных данных» № 152-ФЗ).
Раздел 2: Меры, связанные с персоналом (People controls)
Раздел содержит 8 мер контроля, касающихся человеческого фактора:
- Проверка благонадёжности сотрудников при приёме на работу.
- Обучение и повышение осведомлённости в области информационной безопасности.
- Дисциплинарные меры за нарушения политик безопасности.
- Завершение трудовых отношений (отзыв доступа, возврат активов).
Раздел 3: Физические меры (Physical controls)
14 мер контроля, направленных на защиту физической среды:
- Периметральная безопасность (ограждения, замки, системы видеонаблюдения).
- Контроль доступа в помещения (включая серверные и архивы).
- Защита от стихийных бедствий (пожары, наводнения).
- Утилизация и уничтожение носителей информации (например, шредеры для бумаг, стирание данных с жёстких дисков).
Раздел 4: Технологические меры (Technological controls)
34 меры контроля, охватывающие технические аспекты:
- Управление криптографическими средствами (шифрование данных, управление ключами).
- Защита сетей (межсетевые экраны, системы обнаружения вторжений).
- Управление уязвимостями и обновлениями программного обеспечения.
- Резервное копирование и восстановление данных.
- Мониторинг и аудит систем (логирование событий, анализ аномалий).
Отличия от ISO/IEC 27001
ISO/IEC 27002 и ISO/IEC 27001 тесно связаны, но имеют разные цели:
- ISO/IEC 27001 — это стандарт, который устанавливает требования к системе менеджмента информационной безопасности (СМИБ). Он является сертификационным и содержит обязательные элементы: политику, оценку рисков, внутренние аудиты, анализ со стороны руководства.
- ISO/IEC 27002 — это руководство по выбору и реализации мер контроля. Он не содержит требований, а только рекомендации. Организация, внедряющая ISO/IEC 27001, может использовать ISO/IEC 27002 как справочник для выбора подходящих мер контроля, но не обязана следовать ему дословно.
Применение в России
В Российской Федерации стандарт ISO/IEC 27002 используется как основа для разработки национальных стандартов в области информационной безопасности. В частности, на его основе был разработан ГОСТ Р ИСО/МЭК 27002-2021 (аутентичный перевод версии 2013 года). В 2023 году начата работа по адаптации версии 2022 года. Стандарт применяется в коммерческих организациях, государственных учреждениях и банковском секторе, где требуется соответствие требованиям регуляторов (например, Банка России, ФСТЭК России, Роскомнадзора). При этом в России существуют дополнительные требования к защите информации, установленные законодательством (например, требования к защите персональных данных, государственной тайны, критической информационной инфраструктуры), которые могут выходить за рамки рекомендаций ISO/IEC 27002.
Критика и ограничения
Стандарт подвергается критике за несколько аспектов:
- Сложность и объём — версия 2013 года содержала 114 мер контроля, что делало внедрение трудоёмким для малых организаций. Версия 2022 года сократила их количество до 93, но критики отмечают, что стандарт всё ещё остаётся громоздким.
- Отсутствие конкретных метрик — стандарт даёт общие рекомендации, но не предлагает количественных показателей для оценки эффективности мер контроля (например, допустимого времени простоя или уровня риска).
- Ориентация на крупные предприятия — многие рекомендации (например, выделение отдельного отдела безопасности, проведение регулярных аудитов) сложно реализовать в малом бизнесе с ограниченными ресурсами.
- Запаздывание в обновлении — версия 2022 года вышла через 9 лет после предыдущей, что для быстро меняющейся сферы кибербезопасности считается большим сроком. Некоторые современные угрозы (например, атаки на цепочки поставок, использование искусственного интеллекта) отражены в стандарте лишь частично.
Интересные факты
- Стандарт ISO/IEC 27002 является одним из самых популярных в мире в области информационной безопасности: по данным ISO, его используют более 40 000 организаций в 170 странах.
- В 2022 году в стандарт были добавлены новые меры контроля, связанные с облачными вычислениями, удалённой работой и защитой от программ-вымогателей.
- Стандарт не содержит требований к сертификации, но его внедрение часто является обязательным условием для заключения контрактов с крупными западными корпорациями (например, в сфере IT-аутсорсинга).
Источники
- ISO/IEC 27002:2022 «Information security, cybersecurity and privacy protection — Information security controls».
- ГОСТ Р ИСО/МЭК 27002-2021 «Информационная технология. Методы и средства обеспечения безопасности. Свод правил по управлению защитой информации».
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Методические рекомендации ФСТЭК России по внедрению стандартов ISO/IEC 27000 (2021).
- «Information Security Management: A Practical Guide» — M. E. Whitman, H. J. Mattord (2022).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →