Вы находитесь на странице: 1из 31

/

27001
2006

ISO/IEC 27001: 2005


Information technology Security techniques Information security
management systems Requirements
(IDT)

12007/380

/ 270012006


27 2002 . 184- ,
1.02004 .


1
( )
- ( ) , 4
2

3
27 2006 . 375-
4 / 27001:2005 . . . (ISO/IEC 27001:2005 Information technology Security techniques Information security management systems Requirements).
,
D
5


, .
()
. ,

, 2008
,
II

/ 270012006

0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV
1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
4.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
4.2 .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
4.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
5.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
5.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
6 . . . . . . . . . . . . . . . . 8
7 . . . . . . . . 8
7.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
7.2 . . . . . . 8
7.3 . . . . . . . . 8
8 . . . . . . . . . . . . . . . . . . . . . 9
8.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
8.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
8.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
() . . . . . . . . . . . . . . . . . . . . . . . . . . 10
B ()
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
C () 9001:2000, 14001:2004 . . . . . . . . . . . . . . . . . 23
D ()
. . . . . . . . . . . . . . . . . . . . 25
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

III

/ 270012006

0
0.1
, , , , , (). .
, ,
, . ,
. , , . . .
, .
0.2
, ,
, , , .

. ,
, .
.
,
.
()
:
) ;
b) - ;
) ;
d) , .
(Plan) (Do)
(Check) (Act) (PDCA),
. 1 , ,
,
, . 1
, 4, 5, 6, 7 8.
PDCA , () [1].
, ,
, .

1 ,
/ .
2
,
, (
) - , .

IV

/ 270012006

, 4, 5, 6, 7 8, 1.
1
( )

, , ,
, ,

( )

, ,

(
)

, , , , ,

(
)

, ,

0.3
9001:2000 . [2] 14001:2004 . [3] .
, .
.1 ,
9001:2000 14001:2004.
.

/ 270012006

Information technology. Security techniques. Information security management systems.


Requirements

20080201

1
1.1

(, , ). , , , , ,

() - . ,
,
().
,

.
, ,
, .

1.2
, ,
, . , 4, 5, 6, 7 8, ,
.
, , . , .
-
, , / , ,
.
-
(, 9001 [2] 14001 [3]), .

/ 270012006

2
:
/ 17799:2005 . .

3
:
3.1 (asset): , .
[/ 13335-1:2004] [4]
3.2 (availability): .
[/ 13335-1:2004] [4]
3.3 (confidentiality):
, .
[/ 13335-1:2004] [4]
3.4 ; (information security):
, .
, , , .

[/ 17799:2005]
3.5 (information security event):
, ,
, , , .
[/ 18044:2004] [5]
3.6 (information security incident): ,
.
:
- , ;
- ;
- ;
- ;
- ;
- ;
- ;
- .

[/ 18044:2004] [5]
3.7 ; (information security management system; ISMS): ,
- , , , , , .
, , , , , , .

3.8 (integrity): .
[/ 13335-1:2004] [4]
3.9 (residual risk): , .
[ / 73:2002] [6]
3.10 (risk acceptance): .
[ / 73:2002] [6]
3.11 (risk analysis):
.
[ / 73:2002] [6]
2

/ 270012006
3.12 (risk assessment): .
[ / 73:2002] [6]
3.13 (risk evaluation):
.
[ / 73:2002] [6]
3.14 (risk management):
.
, ,
.

[ / 73:2002] [6]
3.15 (risk treatment):
.
[ / 73:2002] [6]

1 , , .
2 (control)
(measure).

3.16 (statement of applicability): ,


,
.

, , - .

4
4.1
, , , ,
,
, . PDCA,
1.
4.2 .
4.2.1
:
) , ,
, ,
(. 1.2);
b) , , ,
, :
1) , ,
;
2) , - , ;
3) , ;
4) [. 4.2.1, )];
5) .
.
;

) , :
1) , , -
;
3

/ 270012006
2) [. 5.1, f)].

.
.
/ 13335-3:1998 . 3. [7];

d) , :
1) 1) ;
2) ;
3) , ;
4) , ;
e) , :
1) ,
, , ;
2)
, , ,
;
3) ;
4) , , 4.2.1, );
f) .
:
1) ;
2) ,
[. 4.2.1, , ), 2)];
3) ;
4) , ;
g) .
, , .
[. 4.2.1, ), 2)], -
.

.
, , ,
.
, . , ;

h) ;
i) ;
j) , :
1) , 4.2.1, g), ;
2) , [. 4.2.1 , e), 2)];
3) , ,
.
1)

, , , , . , -
.
4

/ 270012006
, . , , .

4.2.2
:
a) , ,
, (. 5);
b) , , ;
c) , 4.2.1, g),
;
d)

[. 4.2.3, )].

, ;

e) (. 5.2.2);
f) ;
g) (. 5.2);
h) , , [. 4.2.3, a)].
4.2.3
:
) ,
:
1) ;
2) ;
3)
, , ;
4) , ,
;
5) , , ;
b) (
)
, , , ;
c) ;
d) , , :
1) ;
2) ;
3) ;
4) ;
5) ;
6) , - ,
, ;
e) (. 6).
, ,
( ) ;

f) (. 7.1);
g) ;
5

/ 270012006
h) , , 4.3.3.
4.2.4
:
a) ;
b)
8.2 8.3, , , ;
c)
, , , ;
d) .
4.3
4.3.1
,
, .
, .
:
a) [. 4.2.1, b)] ;
b) [. 4.2.1, )];
c) , ;
d) [. 4.2.1, c)];
e) [. 4.2.1, c)g)];
f) ;
g) ,
, ,
[. 4.2.3, )];
h) (. 4.3.3);
i) .

1 , , , .
2 :
- ;
- .
3 .

4.3.2
, , , , ,
:
a) ;
b) , , , ;
c) ;
d) ;
e) ;
f) , , , ;
g) , ;
h) ;
i) ;
j) .
6

/ 270012006
4.3.3
.
. - , . ,
. , ,
, , ,
.
, , 4.2,
, .
: , , .

5
5.1

, , , , , :
a) ;
b) ;
c) ;
d)
, ,
;
e) , ,
, , , (. 5.2.1);
f) ;
g) (. 6);
h) (. 7).
5.2
5.2.1
, :
a) , , , , ,
;
b) ;
c) ,
, ;
d)
;
e) , , ;
f) , , .
5.2.2 ,
,
:
a) , ,
;
b) (, ) ;
c) ;
d) , , ,
(. 4.3.3).
,
.
7

/ 270012006


, , , ,
:
a) ;
b) ;
c) ;
d) .
, , . , , .
.
.
, , ,
(. 4.3.3), .
, , .
(. 8) [8].

7

7.1
(
) , .

. , (. 4.3.3).
7.2

:
a) ;
b) ;
c) , , ;
d) ;
e) ,
;
f) ;
g) , ;
h) , ;
i) .
7.3

, :
) ;
b) ;
c) , ,
, , :
1) -;
8

/ 270012006
2) ;
3) -, -;
4) ;
5) ;
6) / ;
d) ;
e) .

8
8.1
, , , , ,
(. 7).
8.2

. :
a) ;
b) ;
c) ;
d) ;
e) (. 4.3.3);
f) .
8.3
,
, . .

:
a) ;
b) ;
c) ;
d) (. 4.3.3);
e) .
, .

.

, .

/ 270012006

()


, .1,
, / 17799:2005, 515, .
, , ,
. ,
, 4.
515 / 17799:2005
, A.5A.15.
.1
.5
A.5.1
: , (),

A.5.1.1

,
,

A.5.1.2

A.6
A.6.1
:

10

A.6.1.1

A.6.1.2

A.6.1.3

A.6.1.4

A.6.1.5

A.6.1.6

A.6.1.7


,
() ()

/ 270012006
.1
A.6.1.8

()

(, , , ) ()

A.6.2

:

A.6.2.1

A.6.2.2

A.6.2.3


,
,
,

A.7
A.7.1
:
A.7.1.1
A.7.1.2

A.7.1.3



,
, 1)
, , ,

A.7.2
: ,
A.7.2.1


, ,

A.7.2.2

1)

(owner) ,
, , ,
. , .
11

/ 270012006
.1
A.8 ,
A.8.1 1)
: , ,

, ,
A.8.1.1

A.8.1.2

,

, ,
, , ,

A.8.1.3

,
,

A.8.2
: , ,
, ,

A.8.2.1

, ,

A.8.2.2

, ,


,

A.8.2.3

, , ,

A.8.3
: , ,

A.8.3.1

A.8.3.2

,
, (),
()

A.8.3.3


,

()

1)

(employment) : ( ), , - .
12

/ 270012006
.1
A.9
A.9.1
: ,

A.9.1.1

,
,
(, , ,
, , , )

A.9.1.2


, ,

A.9.1.3

A.9.1.4

,
, , , ,

A.9.1.5

A.9.1.6

, ,
, , , ,

A.9.2
: , ,
A.9.2.1

A.9.2.2

A.9.2.3

,
,

A.9.2.4

A.9.2.5

,
,
,

A.9.2.6

, ,
,

()

A.9.2.7

,

13

/ 270012006
.1
A.10
A.10.1
:
A.10.1.1

A.10.1.2

A.10.1.3

A.10.1.4

A.10.2 /
:
( / )
A.10.2.1

,
,
, ,

A.10.2.2

,
, ,

A.10.2.3

,
,
,

,

A.10.3
:
A.10.3.1

A.10.3.2

,
,

A.10.4
:

14

A.10.4.1

, ,

A.10.4.2

, , , ,

/ 270012006
.1
A.10.5
:
A.10.5.1

A.10.6
:
A.10.6.1


, , ,

A.10.6.2

,

,

A.10.7
: , ,
-
A.10.7.1

A.10.7.2

, ,

A.10.7.3

A.10.7.4

A.10.8
:
A.10.8.1

,
,

A.10.8.2

A.10.8.3

A.10.8.4

, ,

A.10.8.5


, -

A.10.9
:
A.10.9.1

, ,
, ,
,
15

/ 270012006
.1
A.10.9.2


(on-line)

,
(on-line),
, , , ,

A.10.9.3

, ,

A.10.10
: ,
A.10.10.1

, ,
,

A.10.10.2

A.10.10.3

A.10.10.4

A.10.10.5

A.10.10.6

A.11
A.11.1 -
:
A.11.1.1

A.11.2
:
A.11.2.1

A.11.2.2

A.11.2.3

A.11.2.4

A.11.3
: ,

A.11.3.1

16

/ 270012006
.1
A.11.3.2

A.11.3.3

A.11.4
:
A.11.4.1

A.11.4.2

A.11.4.3

A.11.4.4

A.11.4.5

A.11.4.6

,
, ,
- (. .11.1)

A.11.4.7

-,

A.11.5
:
A.11.5.1

A.11.5.2

(ID)
,

A.11.5.3

A.11.5.4

,
,

A.11.5.5

A.11.5.6

A.11.6
:
A.11.6.1



17

/ 270012006
.1
A.11.6.2

, ,
()

A.11.7
: ,

A.11.7.1

A.11.7.2

A.12 ,
A.12.1
: ,
,

A.12.1.1

A.12.2
: , ,
A.12.2.1

A.12.2.2

( )

A.12.2.3

A.12.2.4

, , , ,

A.12.3
: ,

A.12.3.1

A.12.3.2

A.12.4
:

18

A.12.4.1

A.12.4.2

A.12.4.3

/ 270012006
.1
A.12.5
:

A.12.5.1

A.12.5.2

A.12.5.3

A.12.5.4

A.12.5.5

A.12.6
: ,
A.12.6.1

A.13
A.13.1
: ,
,
A.13.1.1

A.13.1.2

, , ,

A.13.2
:

A.13.2.1

, ,

A.13.2.2

,
,

A.13.2.3

,
( ) ,
,
,
19

/ 270012006
.1
A.14
A.14.1
: , ( ) , ,
,

, ,
,

A.14.1.3

A.14.1.4

A.14.1.5

A.14.1.1

A.14.1.2

A.15
A.15.1
: , ,
- , ,

20

A.15.1.1

,
, ,

A.15.1.2

,

, ,

A.15.1.3


, , , ,

A.15.1.4

, , ,

/ 270012006
.1
A.15.1.5

A.15.1.6

A.15.2
:
A.15.2.1

A.15.2.2

A.15.3
: ,
A.15.3.1

,
, ,

A.15.3.2

21

/ 270012006
B
()


,
[1], , . PDCA ,
4, 5, 6 8. PDCA .1.
.1 PDCA


, ,









, , ,

22

PDCA

(. 4.2.2 5.2)

(. 4.2.2 5.1)


(. 4.2.3, 6 7.3)
(. 4.2.4, 8.1, 8.2 8.3).

(. 4.2.1), ()
(. 4.2.3, 6
7.3)
(. 4.2.1). (. 4.2.2
5.2)
, ,
, , .
, ,
( ) (. 4.2.3,
6 7.3),

, (. 4.2.4, 8.1,
8.2 8.3)

/ 270012006

()


9001:2000, 14001:2004
.1 9001:2000, 14001:2004 .
.1 9001:2000, 14001:2004

9001: 2000


9004 [9]

14001:2004

1.1

1.1

1.2

1.2

4
4.1
4.2

4
4.1

4

4.1

4.2.1
4.2.2
4.2.3

4.2.4

4.4
8.2.3

8.2.4

4.5.1

4.3

4.2

4.3.1

4.2.1
4.2.2

4.3.2

4.3.2

4.4.5

4.3.3

4.2.4

4.5.4

5.1

5.1
5.2
5.3
5.4
5.5 ,

4.2
4.3

23

/ 270012006
.1

9001: 2000

5.2

5.2.1

6.1
6.2

5.2.2 ,

6
7
7.1

6.2.2 ,
6.3
6.4
8.2.2 ()
5.6
5.6.2

7.3

5.6.3

8.1

4.4.2 ,

4.5.5
4.6

5.6.1

7.2

14001:2004

8.5
8.5.2

8.2

8.5.3

8.3

8.5.4

4.5.3 ,


9001:2000, 14001:2004
D

24


9001:2000 14001:2004


14001:2004
9001:2000

/ 270012006
D
()



D.1

/ 17799:2005

/ 177992005
.

[1] . .
. : , 2002
OECD, Guidelines for the Security of Information Systems and Networks Towards a Culture of Security. Paris:
OECD, July 2002. www.oecd.org
[2] 90012000
. (Quality management systems
Requirements)
[3] 14001:2004
. (Environmental management systems Requirements with guidance
for use)
[4] / 13335-1:2004
. . .
1.
(Information technology Security techniques Management of information and communications technology security
Part 1: Concepts and models for information and communications technology
security management)
[5] / 18044:2004
. . (Information technology
Security techniques Information security incident management)
[6]
. .
/ 73:2002
(Risk management Vocabulary Guidelines for use in standards)
[7] / 13335-3:1998
.
. 3.
(Information technology Guidelines for the
management of IT Security Part 3: Techniques for the management of IT
security)
[8] 19011:2002
/
(Guidelines for quality and/or environmental management systems auditing)
[9] 9004:2000
.
(Quality management systems Guidelines for performance improvements)

25

/ 270012006

001.4:025.4:006.354

35.040
01.040.01

00

: ,
,

..
..
..
..
27.11.2007.

10.01.2008.

60