СТ РК ИСО/МЭК 27002-2009
Информационные технологии
Средства обеспечения
Свод правил по управлению защитой информации
Information technology - Security techniques - Code of practice for information security management
(ISO/IEC 27002:2005, IDT)
Отменен с 1 января 2017 г. в соответствии с приказом Председателя Комитета технического регулирования и метрологии Министерство по инвестициям и развитию РК от 24.11.2015 г. № 236-од (ИУС № 1-2016 г.)
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения, структура и разделы настоящего стандарта, основные категории безопасности
4. Оценка и обработка рисков
5. Политика безопасности
6. Организация информационной безопасности
7. Управление активами
8. Правила безопасности, связанные с персоналом
9. Физическая защита и защита от воздействия окружающей среды
10. Управление передачей данных и операционной деятельностью
11. Контроль доступа
12. Разработка, внедрение и обслуживание информационных систем
13. Управление инцидентами информационной безопасности
14. Управление непрерывностью бизнеса
15. Соответствие требованиям
Введение
1 Что такое информационная безопасность?
Информация - это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса. В результате этой возрастающей взаимосвязанности, информация на сегодняшний день подвергается растущему числу и широкому кругу опасностей и уязвимостей (см. Рекомендации ОЭСР для Безопасности Информационных Систем и Сетей).
Информация может существовать в различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или быть выражена устно. Безотносительно формы выражения информации, средств ее распространения или хранения она должна всегда быть адекватно защищена.
Информационная безопасность достигается путём реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Эти мероприятия должны быть установлены, внедрены, усовершенствованы там, где это необходимо, и должны обеспечить достижение целей информационной безопасности организации.
2 Необходимость информационной безопасности
