ISO/IEC 27001:2013 / Авторский перевод

МЕЖДУНАРОДНЫЙ ISO/IEC
СТАНДАРТ 27001:2013

Вторая редакция

2013-10-01

Информационные технологии — Методы обеспечения

безопасности — Системы менеджмента информационной
безопасности — Требования

Information technology — Security techniques — Information security management systems —

Requirements

Technologies de l’information — Techniques de sécurité — Systèmes de management de la

sécurité de l’information — Exigences

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 1 of 27

 ISO/IEC 27001:2013 / Авторский перевод

Правило использования файлов в формате .PDF

Данный .PDF файл может содержать подгруженные гарнитуры. В соответствии с

лицензионной политикой Adobe, данный файл может быть распечатан или
просматриваться, но его не разрешается редактировать за исключением тех
случаев, когда на компьютере, где осуществляется подобное редактирование,
установлены и лицензированы подобные неотъемлемые гарнитуры. Загружая этот
файл, стороны тем самым принимают обязательства не нарушать лицензионную
политику Adobe. Центральный секретариат ISO не несет никакой дальнейшей
ответственности в этой области.

Наименование Adobe является зарегистрированной торговой маркой компании

Adobe Systems Incorporated.

Детальная информация программных продуктов, использованных для создания

данного .PDF файла, приведены на закладке файла Общая информация;
параметры при создании этого .PDF файла были оптимизированы для целей
печати. Было предпринято все возможное, чтобы обеспечить его использование
членами ISO. В случае маловероятного события возникновения каких-либо
проблем, связанных с данным файлом, пожалуйста, свяжитесь с Центральным
секретариатом по адресу, указанному ниже.

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 2 of 27

 ISO/IEC 27001:2013 / Авторский перевод

Содержание

Предисловие
0 Введение
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Контекст организации
4.1 Понимание организации и ее контекста
4.2 Понимание потребностей и ожиданий заинтересованных сторон
4.3 Определение области применения системы менеджмента
информационной безопасности
4.4 Система менеджмента информационной безопасности
5 Лидерство
5.1 Лидерство и приверженность
5.2 Политика
5.3 Организационные роли, обязанности и полномочия
6 Планирование
6.1 Действия по обработке рисков и возможностей
6.2 Цели информационной безопасности и планирование их достижения
7 Поддержка
7.1 Ресурсы
7.2 Компетенции
7.3 Осведомленность
7.4 Коммуникации
7.5 Документированная информация
8 Эксплуатация
8.1 Оперативное планирование и контроль
8.2 Оценка рисков информационной безопасности
8.3 Обработка рисков информационной безопасности
9 Оценка результативности
9.1 Мониторинг, измерение, анализ и оценка
9.2 Внутренний аудит
9.3 Анализ со стороны руководства
10 Улучшение
10.1 Несоответствие и корректирующие действия
10.2 Постоянное улучшение

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 3 of 27

 ISO/IEC 27001:2013 / Авторский перевод

Предисловие
ISO (Международная организация по стандартизации) и IEC (Международная электротехническая
комиссия) образуют специализированную систему всемирной стандартизации. Национальные
органы, являющиеся членами ISO или IEC, участвуют в разработке международных стандартов через
технические комитеты, созданные соответствующей организацией для решения задач в
определенных областях технической деятельности. Технические комитеты ISO и IEC сотрудничают в
областях, представляющих взаимный интерес. Другие международные организации,
правительственные и неправительственные, связанные с ISO и IEC, также принимают участие в
работе. В области информационных технологий, ISO и IEC создали Объединенный технический
комитет, ISO/IEC JTC 1.

Международные стандарты разрабатываются в соответствии с правилами, приведенными в

Директивах ISO/IEC, Часть 2.

Основной задачей Объединенного технического комитета является подготовка международных

стандартов. Проекты международных стандартов, принятые Объединенным техническим комитетом,
рассылаются национальным органам для голосования. Для публикации в качестве международного
стандарта требуется одобрение не менее 75% национальных органов, участвующих в голосовании.

Следует обратить внимание на то, что некоторые элементы этого документа могут быть объектом
патентных прав. ISO и IEC не несет ответственность за идентификацию какого-либо или всех таких
патентных прав.

ISO/IEC 27001 был подготовлен Объединенным техническим комитетом ISO/IEC JTC 1,

Информационные технологии, подкомитет SC 27, методов обеспечения безопасности.

Это второе издание отменяет и заменяет первое издание (ISO/IEC 27001:2005), которое было
технически пересмотрено.

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 4 of 27

 ISO/IEC 27001:2013 / Авторский перевод

0 Введение

0.1 Общие положения

Настоящий Международный стандарт был подготовлен для реализации требований по созданию,

внедрению, поддержанию и постоянному улучшению системы менеджмента информационной
безопасности. Принятие системы менеджмента информационной безопасности является
стратегическим решением для организации. Разработка и внедрение системы менеджмента
информационной безопасности организации зависит от потребностей и целей организации,
требований по безопасности, существующих процессов организации, размера и структуры
организации. Все эти факторы влияния, как ожидается, со временем изменяются.

Система менеджмента информационной безопасности обеспечивает конфиденциальность,

целостность и доступность информации за счет применения процесса менеджмента рисков и
придает уверенность заинтересованным сторонам в том, что риски адекватно управляются.

Важно, чтобы система менеджмента информационной безопасности являлась частью и была

интегрирована с процессами организации и общей структурой менеджмента, а также
информационная безопасность была применена при разработке процессов, информационных
систем и элементов управления. Ожидается, что внедрение системы менеджмента информационной
безопасности будет масштабироваться в соответствии с потребностями организации.

Настоящий Международный стандарт может использоваться внутренними и внешними сторонами

для оценки способности организации выполнять собственные требования организации по
обеспечению информационной безопасности.

Порядок, в котором требования представлены в настоящем стандарте, не отражает их важности и не

подразумевает то, что они должны быть реализованы в таком порядке. Элементы стандарта
нумеруются только в справочных целях.

ISO/IEC 27000 представляет собой общие положения и словарь для систем менеджмента
информационной безопасности, ссылаясь на серию стандартов для систем менеджмента
информационной безопасности (в том числе ISO/IEC 27003[2], ISO/IEC 27004[3] и ISO/IEC 27005 [4]), в
которых используются соответствующие термины и определения

0.2 Совместимость с другими стандартами для систем менеджмента

Настоящий Международный стандарт применяет высокоуровневую структуру, идентичные

наименования разделов, идентичный текст, общие термины и базовые термины, определенные в
Приложении SL Директив ISO/IEC, Часть 1, Консолидированные дополнения ISO, и, следовательно,
поддерживает совместимость с другими стандартами для систем менеджмента, которые базируются
на Приложение SL.

Общий подход, определенный в Приложении SL, будет полезен для тех организаций, которые
предпочитают управлять единой системой менеджмента, отвечающей требованиям двух или более
стандартов для систем менеджмента.

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 5 of 27

 ISO/IEC 27001:2013 / Авторский перевод

Информационные технологии - Методы обеспечения

безопасности - Системы менеджмента информационной
безопасности - Требования

1 Область применения
Настоящий стандарт устанавливает требования к разработке, внедрению, поддержке и постоянному
улучшению системы менеджмента информационной безопасности в контексте организации.
Настоящий Международный стандарт также включает требования по оценке и обработке рисков
информационной безопасности в соответствии с потребностями организации. Требования,
изложенные в настоящем стандарте, носят общий характер и предназначены для применения всеми
организациями, независимо от типа, размеров или характера. Исключение любого из требований,
указанных в Разделах с 4 до 10, не является приемлемым, если организация заявляет о соответствии
настоящему международному стандарту.

2 Нормативные ссылки
Следующие документы, полностью или частично, определяются нормативными ссылками и являются
необходимыми для применения стандарта. Для датированных ссылок применяют только указанное
издание. Для плавающих ссылок применяют последнее издание ссылочного документа (включая все
его изменения).

ISO/IEC 27000, Информационные технологии - Методы обеспечения безопасности - Системы

менеджмента информационной безопасности - Введение и словарь

3 Термины и определения
Для целей настоящего документа применяются термины и определения, приведенные в ISO/IEC
27000.

4 Контекст организации
4.1 Понимание организации и ее контекста
Организация должна определить внешние и внутренние аспекты, которые имеют отношение к ее
цели и влияют на ее способность к достижению ожидаемых результатов от системы менеджмента
информационной безопасности.
ПРИМЕЧАНИЕ Определение этих аспектов относится к установлению внешнего и внутреннего
контекста организации в соответствии с Разделом 5.3 ISO 31000:2009 [5].

4.2 Понимание потребностей и ожиданий заинтересованных сторон

Организация должна определить:
a) заинтересованные стороны, которые имеют отношение к системе менеджмента
информационной безопасности, а также

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 6 of 27

 ISO/IEC 27001:2013 / Авторский перевод

b) требования этих заинтересованных сторон, имеющих отношение к информационной

безопасности.
ПРИМЕЧАНИЕ Требования заинтересованных сторон могут включать в себя законодательные,
нормативные требования и договорные обязательства.

4.3 Определение области применения системы менеджмента информационной

безопасности
Организация для определения области применения СМИБ должна определить границы и
возможность применения системы менеджмента информационной безопасности.

При определении этой области применения организация должна рассмотреть следующие вопросы:
a) внешние и внутренние аспекты, упомянутые в п.4.1;
b) требования, указанные в п.4.2;
c) интерфейсы и зависимости между деятельностью, выполняемой организацией, и
деятельностью, которую выполняют другие организации.
Область применения должна быть доступна в виде документированной информации.

4.4 Система менеджмента информационной безопасности

Организация должна разработать, внедрить, поддерживать и постоянно совершенствовать систему
менеджмента информационной безопасности в соответствии с требованиями настоящего стандарта.

5 Лидерство

5.1 Лидерство и приверженность

Высшее руководство должно продемонстрировать лидерство и приверженность по отношению к
системе менеджмента информационной безопасности путем:
a) обеспечения политики информационной безопасности и целей информационной
безопасности, которые разработаны и совместимы со стратегическими задачами
организации;
b) обеспечения интеграции требований системы менеджмента информационной безопасности
в процессы организации;
c) обеспечения того, чтобы ресурсы, необходимые для системы менеджмента информационной
безопасности, были доступны;
d) информирования о важности достижения результативности менеджмента информационной
безопасности и о соответствии требованиям системы менеджмента информационной
безопасности;
e) обеспечения того, что система менеджмента информационной безопасности позволяет
достигать желаемых результатов;
f) поддержки и управления персоналом, способствующим повышению результативности
системы менеджмента информационной безопасности;
g) содействия постоянному улучшению;
h) поддержки других соответствующих ролей управления с целью демонстрации ими лидерских
качеств в применении к сфере их ответственности.

5.2 Политика
Высшее руководство должно разработать политику информационной безопасности, которая:
a) соответствует целям организации;
b) включает в себя цели информационной безопасности (см. п.6.2) или обеспечивает основу для
постановки целей информационной безопасности;
c) включает в себя обязательства по удовлетворению применимых требований, относящихся к
информационной безопасности;

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 7 of 27

 ISO/IEC 27001:2013 / Авторский перевод

d) включает в себя обязательства по постоянному улучшению системы менеджмента

информационной безопасности.

Политика информационной безопасности должна:

e) быть доступна в виде документированной информации;
f) быть доведена до сведения персонала организации;
g) быть доступны всем заинтересованным сторонам, в случае необходимости.

5.3 Организационные роли, обязанности и полномочия

Высшее руководство должно обеспечить, чтобы ответственность и полномочия ролей, имеющих
отношение к информационной безопасности, были определены и делегированы.
Высшее руководство должно распределить ответственность и делегировать полномочия для:
a) обеспечения того, чтобы система менеджмента информационной безопасности соответствует
требованиям настоящего Международного Стандарта;
b) постоянного информирования высшего руководства о результативности системы
менеджмента информационной безопасности.

ПРИМЕЧАНИЕ Высшее руководство может распределить ответственность и делегировать

полномочия для постоянного информирования о результативности СМИБ нескольким
ответственным лицам

6 Планирование

6.1 Действия по обработке рисков и возможностей

6.1.1 Общие требования

При планировании системы менеджмента информационной безопасности организация должна
учитывать аспекты, упомянутые в п.4.1, требования, указанные в п.4.2, и определить риски и
возможности, которые должны быть направлены на:
a) обеспечение того, чтобы система менеджмента информационной безопасности позволяет
достигать желаемых результатов;
b) предотвращение или уменьшение нежелательных эффектов;
c) обеспечение непрерывного совершенствования.
Организация должна планировать:
d) меры по обработке этих рисков и возможностей;
e) действия
1) по интеграции и осуществлению работ в процессах системы менеджмента
информационной безопасности;
2) по оценке результативности этих работ.

6.1.2 Оценка рисков информационной безопасности

Организация должна определить и внедрить процесс оценки рисков информационной безопасности,
на основании которого:
a) установить и поддерживать критерии для рисков информационной безопасности, которые
включают в себя:
1) критерии принятия рисков;
2) критерии для проведения оценки рисков информационной безопасности;
b) гарантировать, что повторная оценка рисков информационной безопасности позволит
получить логичные, обоснованные и сопоставимые результаты;
c) определить риски информационной безопасности:

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 8 of 27

 ISO/IEC 27001:2013 / Авторский перевод

1) применить процесс оценки рисков информационной безопасности для выявления рисков,

связанных с потерей конфиденциальности, целостности и доступности информации в
рамках системы менеджмента информационной безопасности;
2) определить владельцев рисков;
d) проанализировать риски информационной безопасности:
1) определить потенциальные последствия, которые могут возникнуть в случае
возникновения рисков, указанных в п.6.1.2 c) 1);
2) определить реалистичную вероятность возникновения рисков, указанных в п.6.1.2 c) 1);
3) определить уровни риска;
e) оценить риски информационной безопасности:
1) сравнить результаты анализа рисков с критериями для рисков, установленными в п.6.1.2 a);
2) установить приоритеты по обработке рисков для проанализированных рисков.
Организация должна сохранять документированную информацию о процессе оценки рисков
информационной безопасности.

6.1.3 Обработка рисков информационной безопасности

Организация должна определить и внедрить процесс обработки рисков информационной
безопасности, на основании которого:
a) выбрать подходящий вариант по обработке рисков информационной безопасности,
принимая во внимание результаты оценки рисков;
b) определить все элементы управления, которые необходимы для реализации выбранного
варианта по обработке рисков информационной безопасности;

ПРИМЕЧАНИЕ Организации при необходимости могут разработать элементы управления либо

определить их из любого источника.

c) сравнить элементы управления, определенные в п.6.1.3 b), с теми, которые приведены в

Приложении А и убедиться в том, что не были упущены необходимые элементы управления;

ПРИМЕЧАНИЕ 1 Приложение А содержит обширный список целей управления и элементов

управления. Пользователям настоящего Международного Стандарта необходимо обратиться к
Приложению А с целью не упустить из виду необходимые элементы управления.
ПРИМЕЧАНИЕ 2 Цели управления напрямую включены в выбранные элементы управления. Цели
управления и элементы управления, приведенные в Приложении А, не являются исчерпывающими
и могут понадобиться дополнительные цели управления и элементы управления.

d) разработать Положение о Применимости (SoA), которое содержит необходимые элементы

управления (см. пп.6.1.3 b) и c)) и обоснования их включения (независимо от того,
реализованы они или нет), а также обоснования исключений элементов управления из
Приложения А;
e) сформулировать план по обработке рисков информационной безопасности;
f) согласовать с владельцами рисков план по обработке рисков информационной безопасности
и получить (от владельцев рисков) согласие на принятие остаточных рисков информационной
безопасности.
Организация должна сохранять документированную информацию о процессе обработки рисков
информационной безопасности.

ПРИМЕЧАНИЕ Процессы оценки и обработки рисков информационной безопасности, описанные в

данном Международном стандарте, базируются на принципах и общих рекомендациях,
приведенных в ISO 31000 [5].

6.2 Цели информационной безопасности и планирование их достижения

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 9 of 27

 ISO/IEC 27001:2013 / Авторский перевод

Организация должна установить цели информационной безопасности для соответствующих функций

и на соответствующих уровнях.
Цели информационной безопасности должны:
a) находиться в соответствии с политикой информационной безопасности;
b) быть измеримыми (если это возможно);
c) принимать во внимание действующие требования информационной безопасности,
результаты оценки и обработки рисков;
d) быть известны соответствующему персоналу организации;
e) обновляться по мере необходимости.
Организация должна сохранять документированную информацию о целях информационной
безопасности.
При планировании мер по достижению своих целей информационной безопасности организация
должна определить:
f) что будет сделано;
g) какие ресурсы потребуются;
h) кто будет нести ответственность;
i) когда меры будут реализованы;
j) как будут оцениваться результаты.

7 Поддержка

7.1 Ресурсы
Организация должна определить и предоставить ресурсы, необходимые для разработки, внедрения,
поддержки и постоянного улучшения системы менеджмента информационной безопасности.

7.2 Компетенции
Организация должна:
a) определять необходимую компетентность персонала, который самостоятельно выполняет
работу, что влияет на результативность информационной безопасности;
b) обеспечить то, что этот персонал обладает необходимыми компетенциями на основе
соответствующего обучения, тренингов или опыта;
c) при необходимости принять меры для получения необходимых компетенций и оценить
эффективность принятых мер;
d) сохранять соответствующую документированную информацию в качестве доказательств
наличия компетенций.
ПРИМЕЧАНИЕ Соответствующие меры могут включать, например: проведение тренинга,
наставничество или переаттестацию действующих сотрудников; или наем/привлечение по
контракту компетентных лиц.

7.3 Осведомленность
Персонал, выполняющий работы в рамках организации, должен быть осведомлен:
a) о политике информационной безопасности;
b) о вкладе в повышение результативности системы менеджмента информационной
безопасности, включая выгоды от улучшения состояния информационной безопасности;
c) о последствиях в результате не выполнения требований системы менеджмента
информационной безопасности.

7.4 Коммуникации
Организация должна определить необходимые внутренние и внешние коммуникации, относящиеся
к системе менеджмента информационной безопасности, включая:
a) о чем коммуницировать;

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 10 of 27

 ISO/IEC 27001:2013 / Авторский перевод

b) когда коммуницировать;
c) с кем коммуницировать;
d) кто должен участвовать в коммуникациях;
e) процессы, посредством которых должны осуществляется коммуникации.

7.5 Документированная информация

7.5.1 Общие требования

Система менеджмента информационной безопасности организации должна включать:
a) документированную информацию, требуемую настоящим Международным Стандартом;
b) документированную информацию, определенную организацией в качестве необходимой для
обеспечения результативности системы менеджмента информационной безопасности.

ПРИМЕЧАНИЕ Степень (детализация) документированной информации для системы

менеджмента информационной безопасности одной организации может отличаться от другой в
зависимости от:
1) размера организации и ее вида деятельности, процессов, продуктов и услуг;
2 ) сложности процессов и их взаимодействия;
3) компетенции персонала.

7.5.2 Создание и обновление

При создании и обновлении документированной информации организация должна обеспечить
соответствующее:
a) идентификацию и описание (например: название, дата, автор или ссылочный номер);
b) оформление (например: язык, версию программного обеспечения, рисунки) и тип носителя
(например: электронный, бумажный);
c) рассмотрение и утверждение на предмет пригодности для применения и адекватности.

7.5.3 Управление документированной информацией

Документированная информация, требуемая системой менеджмента информационной
безопасности и настоящим Международным стандартом, должна управляться с целью обеспечения:
a) доступности и пригодности для использования в местах, где она необходима;
b) адекватной защиты (например: от потери конфиденциальности, неправильного
использования или потери целостности).
Для управления документированной информацией организация должна рассмотреть следующие
мероприятия (где применимо):
c) распространение информации, доступ, восстановление и использование;
d) хранение и сохранность, в том числе сохранение удобочитаемости;
e) контроль изменений (например: управление версиями);
f) архивирование и уничтожение.
Документированная информация внешнего происхождения, определенная организацией в качестве
необходимой для планирования и функционирования системы менеджмента информационной
безопасности, должна быть определена соответствующим образом и должна управляться.

ПРИМЕЧАНИЕ Доступ предполагает принятия решения о доступе только на просмотр

документированной информации или предоставлении полномочий для просмотра и внесения
изменений в документированной информации и т.д.

8 Эксплуатация

8.1 Оперативное планирование и контроль

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 11 of 27

 ISO/IEC 27001:2013 / Авторский перевод

Организация должна планировать, внедрять и контролировать процессы, необходимые для

выполнения требований информационной безопасности и реализации действий, определенных в
п.6.1. Организация также должна выполнять планы по достижению целей информационной
безопасности, как определено в п.6.2.
Организация должна сохранять документированную информацию в объеме, необходимом для
получения уверенности в том, что процессы осуществляются так, как запланировано.
Организация должна управлять планируемыми изменениями и рассматривать последствия
случайных изменений, принимать меры по смягчению неблагоприятных последствий при
необходимости.
Организация должна обеспечить, что переданные на аутсорсинг процессы определены и
управляются.

8.2 Оценка рисков информационной безопасности

Организация должна выполнять оценку рисков информационной безопасности через
запланированные интервалы времени, либо в случае предполагающихся или уже происходящих
существенных изменений, с учетом критериев, установленных в п.6.1.2 a) .
Организация должна сохранять документированную информацию о результатах оценки рисков
информационной безопасности.

8.3 Обработка рисков информационной безопасности

Организация должна реализовать план обработки рисков информационной безопасности.
Организация должна сохранять документированную информацию о результатах обработки рисков
информационной безопасности.

9 Оценка результативности

9.1 Мониторинг, измерение, анализ и оценка

Организация должна оценивать состояние информационной безопасности и результативность
системы менеджмента информационной безопасности.
Организация должна определить:
a) что необходимо отслеживать и измерять, в том числе процессы информационной
безопасности и элементы управления;
b) методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в целях
обеспечения достоверных результатов;
ПРИМЕЧАНИЕ Выбранные методы должны производить сопоставимые и воспроизводимые
результаты, которые будут достоверными.
c) когда должны проводиться действия по мониторингу и измерениям;
d) кто должен осуществлять мониторинг и измерения;
e) когда результаты мониторинга и измерений должны быть проанализированы и оценены;
f) кто должен анализировать и оценивать эти результаты.
Организация должна сохранять соответствующую документированную информацию в качестве
подтверждения результатов мониторинга и измерений.

9.2 Внутренний аудит

Организация должна проводить внутренние аудиты через запланированные промежутки времени
для получения информации о состоянии системы менеджмента информационной безопасности:

a) на предмет соответствия
1) собственным требованиям организации для своей системы менеджмента
информационной безопасности;
2) требованиям настоящего стандарта;
b) с целью оценки результативности внедрения и поддержки.

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 12 of 27

 ISO/IEC 27001:2013 / Авторский перевод

Организация должна:
c) планировать, разработать, внедрить и поддерживать программу(ы) аудита, включая методы,
распределение ответственности, требования к планированию и отчетности. Программа(ы)
аудита должна учитывать важность процессов и результаты предыдущих аудитов;
d) определить критерии аудита и область применения для каждого аудита;
e) определять аудиторов и проводить аудиты, обеспечивая объективность и беспристрастность
процесса аудита ;
f) обеспечить, чтобы результаты аудитов направлялись руководству соответствующего уровня;
g) сохранять документированную информацию в качестве свидетельства о программе(ах)
аудита и результатах аудита.

9.3 Анализ со стороны руководства

Высшее руководство должно анализировать систему менеджмента информационной безопасности
организации через запланированные интервалы времени для обеспечения ее постоянной
пригодности, адекватности и результативности.

Анализ со стороны руководства должен включать следующее:

a) статус действий по результатам предыдущих анализов со стороны руководства;
b) изменения внешних и внутренних аспектов, которые имеют отношение к системе
менеджмента информационной безопасности;
c) обратную связь о состоянии информационной безопасности, включая:
1) несоответствия и корректирующие действия;
2) результаты мониторинга и измерений;
3) результаты аудита;
4) результат достижения целей информационной безопасности;
d) обратную связь от заинтересованных сторон;
e) результаты оценки рисков и статус выполнения плана по обработке рисков;
f) возможности для постоянного улучшения.

Выводы анализа со стороны руководства должны включать решения, связанные с реализацией

возможностей постоянного улучшения, и любые необходимые изменения в системе менеджмента
информационной безопасности.
Организация должна сохранять документированную информацию в качестве свидетельства о
результатах анализа со стороны руководства.

10 Улучшение
10.1 Несоответствие и корректирующие действия
При появлении несоответствия организация должна:
a) реагировать на несоответствия, и в зависимости от обстоятельств:
1) принять меры по его управлению и исправлению;
2) проработать последствия;
b) оценить необходимость принятия действий для устранения причин несоответствия с целью
предотвращения его повторения или появления в другом месте, для этого:
1) изучить несоответствие;
2) определить причину несоответствия;
3) определить, существуют ли подобные несоответствия или потенциальные возможности их
возникновения;
c) реализовать любые необходимые корректирующие действия;
d) проанализировать результативность выполненных корректирующих действий;
e) при необходимости внести изменения в систему менеджмента информационной
безопасности.

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 13 of 27

 ISO/IEC 27001:2013 / Авторский перевод

Корректирующие действия должны быть адекватными последствиям выявленных несоответствий.

Организация должна сохранять документированную информацию в качестве свидетельства о:
f) характере несоответствий и любых последующих предпринятых действиях;
g) результатах любых корректирующих действий.

10.2 Постоянное улучшение

Организация должна постоянно улучшать пригодность, адекватность и результативность системы
менеджмента информационной безопасности.

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 14 of 27

 ISO/IEC 27001:2013 / Авторский перевод

Приложение A
(обязательное)

Каталог целей управления и элементов управления

Цели управления и элементы управления, приведенные в Таблице А.1 принимаются
непосредственно на основе тех, которые приведены в ISO/IEC 27002:2013[1] (разделы с 5 по 18) и
должны быть использованы в контексте пункта 6.1.3.

Таблица A.1 — Цели управления и элементы управления

А.5 Политики информационной безопасности

А.5.1 Наставления менеджмента для информационной безопасности
Цель: Реализовать наставления менеджмента и обеспечить поддержку для информационной
безопасности в соответствии с требованиями бизнеса и соответствующими законами и
нормами.
A.5.1.1 Политики Политики информационной безопасности
информационной должны быть определены, утверждены
безопасности руководством, опубликованы и доведены до
сотрудников организации и соответствующих
внешних сторон.
A.5.1.2 Пересмотр политик Политики информационной безопасности
информационной должны быть пересмотрены через
безопасности запланированные промежутки времени или в
случае значительных изменений с целью
обеспечения их постоянной пригодности,
адекватности и эффективности.
А.6 Организации информационной безопасности
A.6.1 Внутренняя организация
Цель: Создать структуру управления с целью инициировать и управлять внедрением и
обеспечением информационной безопасности в организации.
A.6.1.1 Роли и ответственность в Все ответственности в поле информационной
рамках информационной безопасности должны быть определены и
безопасности закреплены.
A.6.1.2 Разделение обязанностей Противоречивые обязанности и зоны
ответственности должны быть разделены с
целью снижения возможностей для
несанкционированного, случайного изменения
или неправильного использования активов
организации.
A.6.1.3 Контакты с Властями Должны поддерживаться подходящие контакты с
соответствующими органами
A.6.1.4 Контакты со специальными Должны поддерживаться надлежащие контакты
группами со специальными группами или другими
форумами специалистов по безопасности, а
также профессиональными ассоциациями
A.6.1.5 Информационная Информационная безопасность должна
безопасность при обеспечиваться при управлении проектами,
ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 15 of 27
 ISO/IEC 27001:2013 / Авторский перевод

управлении проектами независимо от типа проекта.

A.6.2 Мобильные устройства и дистанционная работа
Цель: Обеспечить безопасность удаленной работы и использования мобильных устройств.
A.6.2.1 Политика для мобильных Должна быть принята политика и меры по
устройств обеспечению безопасности с целью управления
рисками, связанными с использованием
мобильных устройств.
A.6.2.2 Дистанционная работа Должна быть принята политика и меры по
обеспечению безопасности с целью защиты
доступа к информации, ее обработки или
хранения при дистанционной работе.
A.7 Безопасность, связанная с персоналом
A.7.1 Перед наймом на работу
Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и
подходят для должностей, на которые они рассматриваются.
A.7.1.1 Проверка Должна проводиться проверка информации по
благонадежности всем кандидатам на должности в организации в
соответствии с имеющими отношение к делу
законами, нормами и этикой, в соответствии с
деловыми требованиями, классификации
информации, которая будет доступной, и
предполагаемыми рисками
A.7.1.2 Условия трудоустройства Договорными соглашениями с работниками, и
подрядчиками должны определять их
ответственность в поле информационной
безопасности.
A.7.2 Во время работы
Цель: Гарантировать, что все сотрудники организации и подрядчики осведомлены о своей
ответственности и корректно выполняют свои обязательства в поле информационной
безопасности
A.7.2.1 Ответственность Менеджмент должен требовать от всего
руководства персонала и подрядчиков соблюдения правил
информационной безопасности в соответствии с
установленными политиками и процедурами
организации.
A.7.2.2 Осведомленность в поле Все сотрудники организации и, где применимо,
информационной подрядчики должны принимать участие в
безопасности, обучение и соответствующих обучениях по повышению
инструктажи осведомленности и тренингах, а также на
постоянной основе знакомиться с политиками и
процедурами организации, применимыми к их
функциям.
A.7.2.3 Дисциплинарный процесс Должен существовать формализованный
дисциплинарный процесс, известный персоналу,
на основании которого предпринимаются меры в
отношении сотрудников, совершивших
нарушение в поле информационной
безопасности.
А.7.3 Увольнение или изменение должности
Цель: Защищать интересы организации при увольнении или изменении должности сотрудника
A.7.3.1 Увольнение или Ответственность и обязанности в поле
изменение информационной безопасности, которые
профессиональных остаются в силе после увольнения или изменения
ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ

Page 16 of 27
 ISO/IEC 27001:2013 / Авторский перевод

обязанностей профессиональных обязанностей, должны быть

определены, доведены до сведения сотрудника
или подрядчика, а также должны быть
реализованы меры по их выполнению.
А.8 Управление активами
А.8.1 Ответственность за активы
Цель: Определить активы организации и определить соответствующие ответственности по
защите.
A.8.1.1 Инвентаризация активов Активы, связанные с информацией и средствами
для обработки информации, должны быть
определены и реестр этих активов должен быть
составлен и поддерживаться в рабочем виде.
A.8.1.2 Владельцы активов Активам, приведенным в реестре активов,
должны быть определены владельцы
A.8.1.3 Допустимое Правила допустимого использования
использование активов информации и активов, связанных с
информацией и средствами для обработки
информации, должны быть определены,
документированы и внедрены.
A.8.1.4 Возврат активов Все сотрудники организации и представители
внешних организаций обязаны возвратить все
активы организации, которые они имеют, после
прекращения работы или окончания контракта.
A.8.2 Классификация информации
Цель: Обеспечить, чтобы различные типы информации были надлежащим образом защищены в
соответствии с их значением для организации
A.8.2.1 Классификация Информация должна быть классифицированы с
информации точки зрения правовых требований, ценности,
критичности и чувствительности к нарушению
конфиденциальности или изменению.
A.8.2.2 Маркировка информации Соответствующий набор правил для маркировки
информации должен быть разработан и внедрен
в соответствии со схемой классификации
информации, принятой в организации.
A.8.2.3 Приемлемое Процедуры по приемлемому использованию
использование активов активов должны быть разработаны и внедрены в
соответствии со схемой классификации
информации, принятой в организации.
A.8.3 Приемлемое использование носителей информации
Цель: Предотвратить несанкционированное раскрытие, модификацию, удаление или
уничтожение информации, хранящейся на носителях информации.
A.8.3.1 Управление съемными Должны быть внедрены процедуры для
носителями информации управления съемными носителями информации
в соответствии со схемой классификации,
принятой в организации.
A.8.3.2 Уничтожение носителей Если носитель информации больше не требуется,
информации то он должен быть надежно уничтожен, в
соответствии с формализованной процедурой.
A.8.3.3 Физическая Носители, содержащие информацию, должны
транспортировка быть защищены от несанкционированного
носителей информации доступа, неправильного использования или
повреждения во время транспортировки.

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ

Page 17 of 27
 ISO/IEC 27001:2013 / Авторский перевод

A.9 Управление доступом

A.9.1 Требования бизнеса по управлению доступом
Цель: Ограничить доступ к информации и средствам обработки информации.
A.9.1.1 Политика управления Политика управления доступом должна быть
доступом разработана, документально оформлена и
пересматриваться на основе требований бизнеса
и требований информационной безопасности.
A.9.1.2 Доступ к сетям и сетевым Пользователям должен предоставляться доступ к
сервисам сетям и сетевым сервисам только в том случае,
когда они имеют официальные полномочия на
это.
A.9.2 Управление доступом пользователей
Цель: Обеспечить авторизованный доступ пользователей и предотвратить
несанкционированный доступ к системам и сервисам.
A.9.2.1 Регистрация пользователя Формализованный процесс регистрации
и отмена регистрации пользователя и отмены регистрации
пользователя пользователя должен быть внедрен для того,
чтобы управлять правами доступа.
A.9.2.2 Инициализация доступа Формализованный процесс инициализации
пользователя доступа должен быть внедрен для назначения
или отмены прав доступа для всех типов
пользователей во всех системах и услугах.
A.9.2.3 Управление правами Распределение и использование прав
привилегированного привилегированного доступа должно быть
доступа ограничено и контролироваться.
A.9.2.4 Управление Аутентификация пользователей для доступа к
аутентификацией конфиденциальной информации должна
пользователей управляться через формализованный процесс
конфиденциальной управления.
информации
A.9.2.5 Пересмотр прав доступа Владельцы активов должны пересматривать
пользователей права доступа пользователей на регулярной
основе.
A.9.2.6 Удаление или изменение Права доступа к информации и средствам
прав доступа обработки информации всех сотрудников и
представителей сторонних организаций должны
быть удалены или изменены по окончании их
трудовых, контрактных, договорных отношений.
A.9.3 Ответственность пользователя
Цель: Обеспечить ответственность и выполнение пользователями выполнение процедуры
аутентификации
A.9.3.1 Пользование Пользователи должны выполнять процедуры
конфиденциальной организации по использованию
информацией конфиденциальной информации
A.9.4 Управление доступом к системе и приложениям
Цель: Предотвратить неавторизованный доступ к системам и приложениям
A.9.4.1 Ограничение доступа к Доступ к информации и функциям прикладных
информации систем должен быть ограничен в соответствии с
политикой управления доступом
A.9.4.2 Процедуры защищенного При необходимости, в соответствии с политикой
входа управления доступом, доступ к системам и
приложениям должен управляться с помощью

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ

Page 18 of 27
 ISO/IEC 27001:2013 / Авторский перевод

процедуры защищенного входа.

A.9.4.3 Система управления Система управления паролями должна быть
паролями интерактивной и обеспечивать качество паролей.
A.9.4.4 Использование системных Использование утилит, которые могут быть
утилит способны управлять системой и приложениями,
должно быть ограничено и строго
контролироваться.
A.9.4.5 Управление доступом к Доступ к исходным кодам программ должен быть
исходным кодам программ ограничен.
A.10 Криптография
A.10.1 Управление средствами криптографии
Цель: Обеспечить корректное и эффективное использование средств криптографии для
защиты конфиденциальности, подлинности и / или целостности информации
A.10.1.1 Политика использования Политика использования средств криптографии
средств криптографии для защиты информации должна быть
разработана и внедрена
A.10.1.2 Управление ключами Политика по использованию, защите и
использованию криптографических ключей
должна быть разработана и внедрена в рамках
всего их жизненного цикла.
A.11 Физическая безопасность и защита от окружающей среды
A.11.1 Зоны безопасности
Цель: Предотвращение несанкционированного физического доступа, повреждения и
вмешательства в информацию организации и в средства обработки информации.
A.11.1.1 Периметр физической Периметры физической безопасности должны
безопасности быть определены и должна быть применена
защита зон, которые содержат чувствительную,
критическую информацию или средства
обработки информации.
A.11.1.2 Управление физическим Зоны безопасности должны быть защищены
доступом соответствующими средствами управления для
обеспечения того, чтобы доступ был разрешен
только уполномоченному персоналу.
A.11.1.3 Безопасность офисов, Физическая безопасность для офисов,
помещений и помещений и оборудования должна быть
оборудования спроектирована и внедрена.
A.11.1.4 Защита от внешних угроз и Физическая защита от стихийных бедствий,
угроз окружающей среды умышленных атак или несчастных случаев
должна быть спроектирована и внедрена.
A.11.1.5 Работа в зонах Процедуры для работы в зонах безопасности
безопасности должны быть разработаны и внедрены.
A.11.1.6 Зоны доставки и Места доступа, такие как зоны доставки,
погрузки/разгрузки погрузки/разгрузки, и другие места, где
посторонние лица могут находиться, должны
контролироваться и, при возможности,
изолироваться от средств обработки информации
во избежание неавторизованного доступа.

A.11.2 Безопасность оборудования

Цель: Предупредить потерю, порчу, хищение или компрометацию активов и прерывание
деятельности организации.
A.11.2.1 Размещение оборудования и его Оборудование должно быть расположено и

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ

Page 19 of 27
 ISO/IEC 27001:2013 / Авторский перевод

защита защищено так, чтобы уменьшить риски от угроз

окружающей среды и опасностей, а также от
возможности несанкционированного доступа.
A.11.2.2 Вспомогательное оборудование Оборудование должно быть защищено от сбоев
питания и других нарушений, вызванных
отказами в работе вспомогательного
оборудования.
A.11.2.3 Кабельная безопасность Энергетические и телекоммуникационные
кабели, переносящие данные или необходимые
для поддержки информационных сервисов,
должны быть защищены от перехвата,
вмешательства или повреждения.
A.11.2.4 Техническое обслуживание Оборудование должно поддерживаться в
оборудования надлежащем состоянии для обеспечения его
доступности и целостности.
A.11.2.5 Перемещение активов Оборудование, информация или программное
обеспечение не должны перемещаться за
пределы разрешенного места без
предварительного разрешения.
A.11.2.6 Безопасность оборудования и Безопасность должна быть обеспечена,
активов вне территории принимая во внимание различные риски,
организации связанные с эксплуатацией за пределами
помещений и территории организации.
A.11.2.7 Безопасное уничтожение или Все единицы оборудования, содержащие
повторное использование носители информации, должны быть проверены
оборудования с целью гарантировать, что любые
чувствительные данные и лицензионное
программное обеспечение было удалено или
надежно перезаписано перед ликвидацией.
A.11.2.8 Оборудование пользователя, Пользователи должны гарантировать, что
находящееся без присмотра оборудование, находящееся без присмотра,
защищено подходящим образом.
A.11.2.9 Политика чистого рабочего стола и Должна быть внедрена Политика чистого
экрана рабочего стола для бумажных активов и съемных
носителей информации, а также Политика
чистого экрана для средств обработки
информации.
А.12 Безопасность при обработке информации
А.12.1 Операционные процедуры и ответственность
Цель: Обеспечить правильную и безопасную обработку объектов обрабатывающих
информацию.
А.12.1.1 Документированные операционные Операционные процедуры должны быть
процедуры документированы и доступны для всех
пользователей, кто в них нуждается
А.12.1.2 Управление изменениями Изменения в организации, бизнес-процессах,
средствах и системах обработки информации,
влияющих на информационную безопасность,
должны контролироваться.
А.12.1.3 Управление мощностями Использование ресурсов должно быть
контролируемым, приведенным к соответствию с
текущими требованиями и выполнены прогнозы
для обеспечения требуемой производительности
системы в будущем.
ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ

Page 20 of 27
 ISO/IEC 27001:2013 / Авторский перевод

А.12.1.4 Разделение средств разработки, Среды разработки, тестирования и эксплуатации

тестирования и эксплуатации должны быть разделены для снижения рисков
неавторизованного доступа или внесения
изменений в среде эксплуатации.
А.12.2 Защита от вредоносного ПО
Цель: Обеспечить, что информация и средства обработки информации защищены от
вредоносного ПО.
А.12.2.1 Меры защиты от вредоносного ПО Должны быть внедрены меры обнаружения,
предупреждения и восстановления защиты от
вредоностного ПО совместно с
осведомленностью пользователей.
А.12.3 Резервное копирование
Цель: Защита от потери данных.
А.12.3.1 Резервируемая информация Должно выполняться резервное копирование
информации, ПО и образов систем, резервные
копии должны регулярно тестироваться в
соответствии с утвержденной политикой
резервного копирования.
А.12.4 Логи и мониторинг
Цель: Записывать события и получать фактические данные.
А.12.4.1 Ведение журнала событий (логов) Журналы событий, которые записывают действия
пользователей, исключения, ошибки и события
информационной безопасности, должны вестить,
сохраняться и регулярно пересматриваться
А.12.4.2 Защита информации в логах Средства ведения логов и информация в них
должна быть защищена от повреждения и
неавторизованного доступа.
А.12.4.3 Логи администратора и оператора Деятельность системного администратора и
оператора должна регистрироваться, логи
должны быть защищены и регулярно
пересматриваться.
А.12.4.4 Синхронизация часов Часы всех систем обработки информации в
организации или в домене безопасности должны
быть синхронизированы с единым источником
точного времени.
А.12.5 Контроль системного программного обеспечения (ПО)
Цель: Обеспечить целостность операционных систем (ОС).
А.12.5.1 Установка ПО на ОС Должны быть внедрены процедуры контроля
установки ПО на ОС
А.12.6 Управление техническими уязвимостями
Цель: Предотвратить использование технических уязвимостей.
А.12.6.1 Управление техническими Информация о технических уязвимостях
уязвимостями используемых информационных систем должна
быть получена своевременно. Незащищенность
организации к таким уязвимостям должна быть
оценена и приняты соответствующие меры для
решения связанного риска.
А.12.6.2 Ограничение на установку ПО Правила, регулирующие установку программного
обеспечения пользователями должны быть
разработаны и внедрены.
А.12.7 Проведение аудита информационных систем
Цель: Минимизировать воздействие аудиторской деятельности на действующие системы.

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ

Page 21 of 27
 ISO/IEC 27001:2013 / Авторский перевод

А.12.7.1 Аудит информационный систем Требования к аудиту и деятельность, которая

включена в проверку действующих систем,
должны быть тщательно спланированы и
согласованы, чтобы минимизировать сбои в
бизнес-процессах.
А.13 Безопасность связи
А.13.1 Управление сетевой безопасностью
Цель: Обеспечить защиту информации в сетях и поддерживающих средствах обработки
информации.
А.13.1.1 Сетевые элементы управления Для защиты информации в системах и
приложениях сети должны управляться и
контролироваться
А.13.1.2 Безопасность сетевых сервисов Механизмы безопасности, уровень сервисов и
требования к управлению всеми сетевыми
сервисами должны быть определены и включены
в соглашения сетевых сервисов, как внутри
организации, так и для аутсорсинга
А.13.1.3 Разделение в сетях Группы информационных услуг, пользователей и
информационных систем должны быть
разделены в сетях.
А.13.2 Передача информации
Цель: Поддерживать безопасность информации, передаваемой в рамках организации и с любым
внешним объектом.
А.13.2.1 Политика и процедуры передачи Политики, процедуры и элементы управления
информации должны быть определены, чтобы защитить
информацию передаваемую посредством всех
видов средств связи.
А.13.2.2 Соглашения о передачи Соглашения должны решать безопасную
информации передачу деловой информации между
организацией и внешними сторонами.
А.13.2.3 Электронная передача сообщений Информация, включенная в электронные
сообщения, должна быть соответствующим
образом защищена
А.13.2.4 Соглашение о неразглашении Должны быть определены требования к
информации (NDA) соглашениям о неразглашении, которые
отражают потребности организации к защите
информации. Требования к NDA должны
регулярно анализироваться и
документироваться.
А.14 Приобретение, разработка и поддержка систем
А.14.1 Требования безопасности к информационным системам
Цель: Обеспечить, что информационная безопасность является неотъемлемой частью
информационных систем в течение всего их жизненного цикла. Также включены требования к
информационным системам, которые предоставляют сервисы по общедоступным сетям.
А.14.1.1 Анализ требований и спецификаций Требования по информационной безопасности
по информационной безопасности должны быть включены в требования к новым
информационным системам или при
усовершенствовании существующих
информационных систем.
А.14.1.2 Безопасность прикладных сервисов Информация, включенная в прикладные сервисы,
в общедоступных сетях проходящая через общедоступные сети, должна
быть защищена от мошеннической деятельности,
несанкционированного раскрытия и
ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ

Page 22 of 27
 ISO/IEC 27001:2013 / Авторский перевод

модификации.
А.14.1.3 Защита транзакций прикладных Информация включенная в транзакции
сервисов прикладных сервисов должна быть защищена,
чтобы предотвратить неполную передачу,
неправильную маршрутизацию,
несанкционированное изменение сообщения,
несанкционированное раскрытие, дублирование
или воспроизведение сообщения.
А.14.2 Безопасность при разработке и при вспомогательных процессах
Цель: Обеспечить, что информационная безопасность разработана и внедрена в рамках
жизненного цикла разработки информационных систем.
А.14.2.1 Политика безопасности при В организации должны быть установлены и
разработке применяться правила по разработке ПО и систем
А.14.2.2 Процедуры управления изменения Изменения в системах в рамках жизненного
в системе цикла разработки должны контролироваться с
помощью процедур управления изменениями.
А.14.2.3 Технический анализ приложений При внесении изменений в операционные
после внесения изменений в системы необходимо провести анализ и
операционные системы тестирование критических бизнес-приложений с
целью удостовериться в отсутствии негативного
влияния на работу и безопасность организации
А.14.2.4 Ограничения на внесение Изменения в программных пакетах должны быть
изменений в пакеты программ ограничены и все изменения должны строго
контролироваться
А.14.2.5 Принципы безопасности Принципы инженерных систем безопасности
инженерных систем должны быть разработаны, документально
оформлены, поддерживаться и применяется к
любым информационным системам при
внедрении.
А.14.2.6 Безопасная среда разработки Организации должны установить и надлежащим
образом защищать безопасную среду разработки
и интеграции системы, которая охватывают весь
жизненный цикл разработки системы.
А.14.2.7 Аутсорсинговая разработка Организация должна осуществлять наблюдение и
контроль аутсорсинговой разработки систем.
А.14.2.8 Тестирование безопасности Тестирование функциональных возможностей
безопасности должно осуществляться в процессе
разработки
А.14.2.9 Принятие результатов тестирования Принятие результатов тестирования программ и
системы связанного с ним критерия должно быть
установлено для новых информационных систем,
обновлений и новых версий
А.14.3 Тестовые данные
Цель: Обеспечить защиту данных используемых при тестировании.
А.14.3.1 Защита тестовых данных Тестовые данные должны быть тчательно
подобраны, защищены и контролируемы.
А.15 Взаимоотношения с поставщиками
А.15.1 Информационная безопасность при взаимоотношении с поставщиками
Цель: Обеспечить защиту активов организации, которые доступны поставщиками
А.15.1.1 Политика информационной Для уменьшения рисков, связанных с доступом
безопасности при поставщиков к активам организации, должны
взаимоотношении с поставщиками быть согласованы и документированы

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ

Page 23 of 27
 ISO/IEC 27001:2013 / Авторский перевод

требования по информационной безопасности

А.15.1.2 Включение безопасности в Все соответствующие требования
договора с поставщиками информационной безопасности должны быть
установлены и согласованы с каждым
поставщиком, который может получить доступ к
информации организации ( к обработке,
хранению, процессам взаимодействия) или
предоставлять компоненты ИТ-инфраструктуры.
А.15.1.3 Информационно- Соглашения с поставщиками должны включать
коммуникационные технологии требования по решению рисков
цепочки поставок информационной безопасности, которые связаны
с информационно-коммуникационными
технологиями поставок и цепочки поставки
продукции.
А.15.2 Управление поставками
Цель: Поддерживать согласованный уровень информационной безопасности и предоставления
услуг в соответствии с соглашениями с поставщиками.
А.15.2.1 Мониторинг и пересмотр услуг Организация должна регулярно мониторить,
поставщика пересматривать и проводить аудит
предоставленных услуг поставщика
А.15.2.2 Управление изменения услуг Изменения в предоставлении услуг
поставщика поставщиками, включая поддержку и улучшение
существующей политики информационной
безопасности, процедур и элементов управления,
должны управляться с учетом критичности
бизнес информации, систем и процессов и
повторной оценки рисков
А.16 Управление инцидентами информационной безопасности
А.16.1 Управление инцидентами информационной безопасности и улучшения
Цель: Обеспечить бесперебойный и результативный подход к управлению инцидентами
информационной безопасности, включая сообщения о событиях безопасности и слабые
стороны.
А.16.1.1 Ответственность и процедуры Должна быть установлена ответственность и
процедуры для обеспечения результативной и
упорядоченной реакции на инциденты
информационной безопасности
А.16.1.2 Оповещение о событиях События информационной безопасности должны
информационной безопасности быть сообщены по соответствующим
управляемым каналам, как можно быстрее.
А.16.1.3 Оповещение о недостатках Сотрудники и подрядчики, использующие
безопасности информационные системы и сервисы
организации обязаны сообщать о любых
наблюдаемых или предполагаемых недостатках
информационной безопасности в системах или
сервисах.
А.16.1.4 Оценка и решение о событиях События информационной безопасности должны
информационной безопасности быть оценены и по ним должно быть принято
решение если они классифицированы, как
инциденты информационной безопасности.
А.16.1.5 Реагирование на инциденты Реагирование на инциденты информационной
информационной безопасности безопасности должно быть установлено в
соответствии с документированными
процедурами.
ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ

Page 24 of 27
 ISO/IEC 27001:2013 / Авторский перевод

А.16.1.6 Извлечение уроков из инцидентов Знания, полученные в результате анализа и

информационной безопасности решения инцидентов информационной
безопасности, должны использоваться, чтобы
уменьшить вероятность или воздействие
будущих инцидентов.
А.16.1.7 Сбор доказательств Организация должна определить и применять
процедуры для идентификации, сбора,
приобретения и сохранения информации,
которые могут служить в качестве доказательств.
А.17 Аспекты информационной безопасности при управлении непрерывностью бизнеса
А.17.1 Непрерывность информационной безопасности
Цель: Непрерывность информационной безопасности должна быть неотъемлемой частью
системы управления непрерывностью бизнеса организации.
А.17.1.1 Планирование непрерывности Организация должна определить свои
информационной безопасности требования к информационной безопасности и
непрерывности при неблагоприятных ситуациях,
например, во время кризиса или стихийного
бедствия.
А.17.1.2 Внедрение непрерывности Организация должна установить,
информационной безопасности документировать, внедрить и поддерживать
процессы, процедуры и средства контроля для
обеспечения требуемого уровня непрерывности
информационной безопасности во время
неблагоприятной ситуации.
А.17.1.3 Проверка, пересмотр Организация должна проверять разработанные и
и оценка непрерывности внедренные элементы управления
информационной безопасности непрерывностью информационной безопасности
на регулярной основе в целях обеспечения того,
что они являются действительными и
эффективными при неблагоприятных ситуациях.
А.17.2 Избыточность
Цель: Обеспечить доступность средств обработки информации.
А.17.2.1 Доступность средств обработки Средства обработки информации должны быть
информации внедрены с избыточностью, чтобы удовлетворить
требования доступности.
A.18 Соответствие требованиям
A.18.1 Соответствие законодательным и контрактным требованиям
Цель: Предотвращение нарушения правовых, нормативных, регуляторных или договорных
обязательств связанных с информационной безопасностью и любых требованиями по
безопасности.
A.18.1.1 Определение применимого Все соответствующие законодательные,
законодательства и договорных нормативные, договорные требования должны
требований быть четко определены, документированы и
поддерживаться в актуальном состоянии для
каждой информационной системы и
организации.
A.18.1.2 Права интеллектуальной Должны быть внедрены соответствующие
собственности процедуры для обеспечения соответствия
законодательным, нормативным и контрактным
требованиям связанным с правами
интеллектуальной собственности и
использованием лицензионных программных
продуктов.
ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ

Page 25 of 27
 ISO/IEC 27001:2013 / Авторский перевод

A.18.1.3 Защита записей Записи должны быть защищены от потери,

A.18.1.4 Конфиденциальность и защита
персональной информации
A.18.1.5 Регулирование криптографических
средств контроля
A.18.2 Пересмотр (аудит) информационной безопасности
Цель: Убедиться, что информационная безопасность внедрена и управляется в соответствии с
организационной политикой и процедурами.
А.18.2.1 Независимый пересмотр (аудит)
информационной безопасности
А.18.2.2 Соответствие политикам
безопасности и стандартам
А.18.2.3 Проверка соответствия техническим Информационные системы должны регулярно
требованиям
уничтожения, фальсификации,
неавторизованного доступа и неавторизованного
релиза, в соответствии с законодательными,
нормативными, договорными и бизнес-
требованиями.
Конфиденциальность и защита персональной
информации должна быть обеспечена в
соответствии с требованиями соответствующего
законодательства, где это применимо.
Криптографические средства контроля должны
использоваться в соответствии со всеми
соответствующими соглашениями,
законодательством и правилами.
Подход организации к управлению
информационной безопасностью и ее внедрению
(т.е. управление целями, элементами
управления, политикой, процессами и
процедурами по информационной безопасности)
должен независимо пересматриваться через
запланированные интервалы или когда
происходят значительные изменения.
Менеджеры должны регулярно проводить
пересмотр соответствия обработки информации
и процедур в пределах своей ответственности в
соответствии с политиками безопасности,
стандартами и другими требованиями
безопасности.
пересматриваться на предмет соответствия
политики информационной безопасности
организации.

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ

Page 26 of 27
 ISO/IEC 27001:2013 / Авторский перевод

Библиография

[1] ISO/IEC 27002:2013 Информационные технологии - Методы обеспечения безопасности -

Системы менеджмента информационной безопасности — Свод практик для элементов
управления информационной безопасностью
[2] ISO/IEC 27003, Информационные технологии - Методы обеспечения безопасности –
Руководство по внедрению системы менеджмента информационной безопасности
[3] ISO/IEC 27004, Информационные технологии - Методы обеспечения безопасности –
Менеджмент информационной безопасности - Измерения
[4] ISO/IEC 27005, Информационные технологии - Методы обеспечения безопасности —
Менеджмент рисков информационной безопасности
[5] ISO 31000:2009, Менеджмент рисков - Принципы и руководство
[6] ISO/IEC Директивы, Часть 1, Консолидированные дополнения ISO – Специфичные для ISO
процедуры, 201

ТОЛЬКО ДЛЯ УЧЕБНЫХ ЦЕЛЕЙ Page 27 of 27