нормативный материал
Предисловие
- ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр"(ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4
- ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"
- УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 сентября 2017 г. N 1015-ст
- Настоящий стандарт идентичен международному документу ISO/IEC TS 33052:2016* "Информационные технологии. Эталонная модель процесса (ЭМП) для управления информационной безопасностью" (ISO/IEC TS 33052:2016 "Information technology - Process reference model (PRM) for information security management", IDT).
ISO/IEC TS 33052 разработан подкомитетом ПК 7 "Системная и программная инженерия " Совместного технического комитета СТК 1 "Информационные технологии "Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
- ВВЕДЕН ВПЕРВЫЕ
- Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Цель настоящего стандарта состоит в том, чтобы облегчить разработку модели оценки процесса (МОП), приведенной в ИСО/МЭК 33072.
ИСО/МЭК 33002 устанавливает требования для осуществления оценки процесса. ИСО/МЭК 33020 описывает шкалу измерений для оценки характеристик качества с точки зрения возможностей процесса. ИСО/МЭК 33001 определяет понятия и терминологию, используемые для оценки процесса.
Эталонная модель процесса (ЭМП) является моделью, включающей в себя определения процессов, описанных в терминах цели и результатов, совместно с архитектурой, определяющей отношения между процессами. При использовании ЭМП на практике могут потребоваться дополнительные элементы, отвечающие окружающей среде и обстоятельствам.
ЭМП, определенная в настоящем стандарте, описывает ряд процессов, включая процессы системы управления информационной безопасностью (СУИБ), приведенные в ИСО/МЭК 27001. Каждый процесс ЭМП описан в терминах цели и результатов и обеспечивает прослеживаемость требований. ЭМП не пытается разместить процессы в заданной среде и не предопределяет уровень возможностей процесса, необходимых для выполнения требований ИСО/МЭК 27001. ЭМП не предназначена для аудита оценки соответствия или использования в качестве эталонного руководства по реализации процесса.
Приведено соотношение между стандартами ИСО/МЭК 24774, ИСО/МЭК 27001, ИСО/МЭК 33002, ИСО/МЭК 33004, ИСО/МЭК 33020, ИСО/МЭК TS 33052 и ИСО/МЭК TS 33072.
Любая организация может определить процессы с какими-либо дополнительными элементами, адаптируясь к определенной среде и обстоятельствам. Некоторые процессы охватывают общие аспекты управления в организации. Эти процессы должны быть определены так, чтобы соответствовать требованиям ИСО/МЭК 27001.
ЭМП не обеспечивает предоставление свидетельств, требуемых ИСО/МЭК 27001. ЭМП не определяет взаимодействие между процессами.
Описания процессов в рамках ЭМП для управления информационной безопасностью приведены в разделе 5. Приложение А обеспечивает положения в соответствии с ИСО/МЭК 33002.
Область применения
В настоящем стандарте определена эталонная модель процесса (ЭМП) для управления информационной безопасностью. Архитектура модели определяет архитектуру процесса для области применения и включает ряд процессов, каждый из которых описан в терминах цели и результатов процесса.
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
Полный текст документа можно получить на официальном сайте Федерального агентства по техническому регулированию и метрологии .
