Гост р исо мэк что это
Гост р исо мэк что это
ГОСТ Р ИСО/МЭК 12207-2010
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Системная и программная инженерия
ПРОЦЕССЫ ЖИЗНЕННОГО ЦИКЛА ПРОГРАММНЫХ СРЕДСТВ
Information technology. System and software engineering. Software life cycle processes
Дата введения 2012-03-01
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием «Научно-исследовательский институт «Восход» на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии»
1 Общие положения
1.1 Область применения
Настоящий стандарт, используя устоявшуюся терминологию, устанавливает общую структуру процессов жизненного цикла программных средств, на которую можно ориентироваться в программной индустрии. Настоящий стандарт определяет процессы, виды деятельности и задачи, которые используются при приобретении программного продукта или услуги, а также при поставке, разработке, применении по назначению, сопровождении и прекращении применения программных продуктов. Понятие программного средства включает в себя встроенный фирменный программный компонент.
Настоящий стандарт используется при приобретении систем, программных продуктов и услуг, при их поставке, разработке, применении по назначению, сопровождении и прекращении применения программных продуктов и программных компонентов системы как в самой организации, так и вне ее. Эти аспекты системного определения включаются в настоящий стандарт для обеспечения содержания понятий программных продуктов и услуг.
Настоящий стандарт устанавливает также процесс, который может использоваться при определении, управлении и совершенствовании процессов жизненного цикла программных средств.
1.2 Назначение
Настоящий стандарт предназначен для представления определенной совокупности процессов, облегчающих связи между приобретающими сторонами, поставщиками и другими правообладателями в течение жизненного цикла программных продуктов.
Настоящий стандарт разработан для сторон, приобретающих системы, программные продукты и услуги, а также для поставщиков, разработчиков, операторов, сопровожденцев, менеджеров (в том числе, менеджеров по качеству) и пользователей программных продуктов.
Настоящий стандарт предназначен для использования при двусторонних отношениях и может применяться также в случае, когда обе стороны принадлежат одной и той же организации. Такие отношения могут варьироваться от неформального соглашения вплоть до официального контракта. Настоящий стандарт может использоваться одной из сторон через самостоятельно выбираемую совокупность процессов, что не исключает применения настоящего стандарта поставщиками или разработчиками готовых программных продуктов.
1.3 Ограничения
В настоящем стандарте не детализируются процессы жизненного цикла в терминах методов или процедур, необходимых для удовлетворения требований и достижения результатов процесса.
Настоящий стандарт не устанавливает требований к документации в части ее наименований, форматов, определенного содержания и носителей для записи. Настоящий стандарт может потребовать разработки документов подобного класса или типа, например, различных планов. Настоящий стандарт, однако, не предусматривает, чтобы такие документы разрабатывались или комплектовались раздельно или каким-то образом объединялись. Эти решения остаются за пользователем настоящего стандарта.
Настоящий стандарт не устанавливает конкретной модели жизненного цикла системы или программных средств, разработки методологии, методов, моделей или технических приемов. Стороны, применяющие настоящий стандарт, отвечают за выбор модели жизненного цикла для программных проектов и отображение процессов, действий и задач, представленных в настоящем стандарте, на эту модель. Стороны также ответственны за выбор и применение методов разработки программных средств и за выполнение действий и задач, подходящих для программного проекта.
Настоящий стандарт не должен противоречить политикам, процедурам и нормам применяющей его организации, национальным законам и регулирующим документам. Каждое такое противоречие должно быть разрешено до начала использования настоящего стандарта.
2 Соответствие
2.1 Предполагаемое соответствие
Требования изложены в разделах 6, 7 и в приложении А настоящего стандарта. Настоящий стандарт устанавливает требования для ряда процессов, приемлемых для использования в течение всего жизненного цикла программного продукта или услуги. Допускается, что в отдельных проектах или в некоторых организациях может не возникнуть потребность применять все процессы, приведенные в настоящем стандарте. В этом случае применение настоящего стандарта обычно сводится к выбору ряда процессов, подходящих для организации или проекта. Существует два способа такого выбора, выполнение которых может потребовать соответствия с положениями настоящего стандарта. Любое заявление о соответствии должно быть оформлено только в одной из двух приведенных ниже форм.
2.2 Полное соответствие
В заявлении о полном соответствии перечисляют процессы, которые удовлетворяют требованиям настоящего стандарта. Для доказательства полного соответствия процессов положениям настоящего стандарта демонстрируют результаты процессов.
2.3 Адаптированное соответствие
В случае использования стандарта как основы для установления какой-либо совокупности процессов, которые не могут быть квалифицированы как полностью соответствующие, положения настоящего стандарта выбирают или модифицируют согласно процессу адаптации, приведенному в приложении А. Формируют адаптированный текст, в отношении которого заявляют о соответствии в результате адаптации. Соответствие в результате адаптации достигается путем доказательства того, что требования к адаптированным процессам были удовлетворены, приводя в качестве доказательства результаты процессов.
3 Нормативные ссылки
Нормативные ссылки в настоящем стандарте не использованы.
4 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями.
4.1 приобретающая сторона (acquirer): Правообладатель, который приобретает или получает продукт или услугу от поставщика
4.2 приобретение (acquisition): Процесс получения системы, программного продукта или программной услуги
4.3 деятельность (activity): Совокупность согласованных задач процесса
4.4 соглашение (agreement): Взаимное признание сроков и условий, в соответствии с которыми осуществляются рабочие отношения
4.5 аудит (audit): Независимая оценка программных продуктов и процессов, проводимая уполномоченным лицом с целью оценить их соответствие требованиям
4.6 базовая линия (baseline): Спецификация или продукт, которые были официально рассмотрены и согласованы с тем, чтобы впоследствии служить основой для дальнейшего развития, и которые могут быть изменены только посредством официальных и контролируемых процедур изменения
4.7 составная часть конфигурации (configuration item): Объект в пределах конфигурации, который удовлетворяет некоторой функции целевого применения и может быть однозначно идентифицирован в данный момент времени
4.8 контракт (contract): Обязательное соглашение между двумя сторонами, главным образом опирающиеся на юридические нормы, или подобное внутреннее соглашение в рамках организации
4.9 заказчик (customer): Организация или лицо, получающие продукт или услугу
4.10 разработчик (developer): Организация, которая выполняет разработку задач (в том числе анализ требований, проектирование, приемочные испытания) в процессе жизненного цикла
4.11 обеспечивающая система (enabling system): Система, которая служит дополнением к рассматриваемой системе на протяжении стадий ее жизненного цикла, но не обязательно вносит непосредственный вклад в ее функционирование
4.12 оценивание (evaluation): Систематическое определение степени, с которой некоторый объект удовлетворяет установленным критериям
4.13 основные средства (facility): Физические устройства или оборудование, способствующие выполнению действий, например, здания, инструменты, принадлежности
4.14 фирменное средство (firmware): Сочетание технического средства и компьютерных команд или данных, встроенных в это техническое средство в качестве предназначенного только для чтения программного средства
4.15 исполнитель (implementer): Организация, которая выполняет реализацию задач
4.16 жизненный цикл (life cycle): Развитие системы, продукта, услуги, проекта или других изготовленных человеком объектов, начиная со стадии разработки концепции и заканчивая прекращением применения
4.17 модель жизненного цикла (life cycle model): Структура процессов и действий, связанных с жизненным циклом, организуемых в стадии, которые также служат в качестве общей ссылки для установления связей и взаимопонимания сторон
4.18 сопровождающая сторона (maintainer): Организация, которая осуществляет деятельность по сопровождению
4.19 мониторинг (monitoring): Текущий контроль состояния деятельности поставщика и результатов этой деятельности, проводимый приобретающей или третьей стороной
4.20 непоставляемая составная часть (non-deliverable item): Техническое средство или программный продукт, который не требуется поставлять по условиям контракта, но который может использоваться в разработке программного продукта
4.21 готовый (off-the-shelf): Уже разработанный и имеющийся в наличии
4.22 оператор (operator): Какой-либо объект, осуществляющий работу системы
Гост р исо мэк что это
ГОСТ Р ИСО/МЭК 27000-2012
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология. Методы и средства обеспечения безопасности
СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Общий обзор и терминология
Information technology. Security techniques. Information security management systems. Overview and vocabulary
Дата введения 2013-12-01
Предисловие
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
6 ПЕРЕИЗДАНИЕ. Январь 2019 г.
Введение
Международные стандарты системы менеджмента представляют модель для налаживания и функционирования системы менеджмента. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области. Подкомитет SC 27 Совместного технического комитета ISO/IEC JTC 1 имеет в своем составе комиссию экспертов, которая работает в области создания системы международных стандартов по информационной безопасности, известной как семейство стандартов системы менеджмента информационной безопасности (СМИБ).
При использовании семейства стандартов СМИБ организации могут реализовывать и совершенствовать систему управления защитой информации и подготовиться к независимой оценке их СМИБ, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной.
Заменен на ISO/IEC 27000:2018.
Заменен на ISO/IEC 27001:2013.
Заменен на ISO/IEC 27002:2013.
— ISO/IEC 27003, Information security management system implementation guidance (Руководство no реализации системы менеджмента информационной безопасности);
Заменен на ISO/IEC 27005:2018.
Заменен на ISO/IEC 27006:2015.
— ISO/IEC 27007, Guidelines for information security management systems auditing (Руководство для аудитора СМИБ);
— ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 (Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002).
Международные стандарты, не имеющие этого общего названия:
Заменен на ISO/IEC 27799:2016.
— ISO/IEC 27000:2009 представляет обзор систем менеджмента информационной безопасности, которые составляют семейство стандартов СМИБ, а также дает определения терминов.
Семейство стандартов СМИБ содержит стандарты, которые:
— определяют требования к СМИБ и к сертификации таких систем;
— включают в себя специальные руководящие принципы для СМИБ;
— руководят проведением оценки соответствия СМИБ.
Глоссарий терминов и определений, приведенный в настоящем стандарте:
— охватывает термины и определения, в большинстве случаев используемые в семействе стандартов СМИБ;
— не охватывает все термины и определения, применяемые в семействе стандартов СМИБ;
— не ограничивает семейство стандартов СМИБ в определении терминов для их использования.
Стандарты, регулирующие только реализацию средств управления, в отличие от стандартов, регулирующих все меры и средства контроля и управления, содержащиеся в стандарте ИСО/МЭК 27002, исключены из семейства стандартов СМИБ.
Настоящий стандарт обновляется с более высокой частотой, чем обычно обновляются стандарты ИСО/МЭК, для того чтобы отразить состояние изменений семейства стандартов СМИБ.
1 Область применения
Настоящий стандарт содержит:
— обзор семейства стандартов СМИБ;
— введение в систему менеджмента информационной безопасности (СМИБ);
— термины и определения для использования в семействе стандартов СМИБ.
Настоящий стандарт применим ко всем типам организаций (например, коммерческие предприятия, правительственные учреждения, некоммерческие организации).
2 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями.
Атака (attack) (2.4) определена как «попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу (2.3) или его несанкционированного использования».
Актив определен как «что-либо, что имеет ценность для организации».
Если термин актив заменить его определением, определение термина атака будет выглядеть как «попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа или несанкционированного использования чего-либо, что имеет ценность для организации».
2.1 контроль доступа (access control): Обеспечение того, чтобы доступ к активам (2.3) был санкционирован и ограничен в соответствии с требованиями коммерческой тайны и безопасности.
2.2 подотчетность (accountability): Ответственность субъекта за его действия и решения.
2.3 актив (asset): Что-либо, что имеет ценность для организации.
— материальные активы, например компьютер;
— люди и их квалификация, навыки и опыт;
— нематериальные активы, такие как репутация и имидж.
Гост р исо мэк что это
ГОСТ Р ИСО/МЭК 27001-2006
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Information technology. Security techniques. Information security management systems. Requirements
Дата введения 2008-02-01
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России») и Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
6 ПЕРЕИЗДАНИЕ. Январь 2019 г.
Введение
0.1 Общие положения
Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.
Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.
0.2 Процессный подход
Настоящий стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.
Для успешного функционирования организация должна определить и осуществить менеджмент многочисленных видов деятельности. Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс. Часто выход одного процесса непосредственно формирует вход для следующего процесса.
Использование внутри организации системы процессов наряду с идентификацией и взаимодействием этих процессов, а также менеджмент процессов могут быть определены как «процессный подход».
Согласно предлагаемому настоящим стандартом процессному подходу применительно к менеджменту информационной безопасности (ИБ) особую значимость для пользователей имеют следующие факторы:
a) понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности;
b) внедрение и использование мер управления для менеджмента рисков ИБ среди общих бизнес-рисков организации;
c) мониторинг и проверка производительности и эффективности СМИБ;
d) непрерывное улучшение СМИБ, основанное на результатах объективных измерений.
Принятие модели PDCA также отражает принципы, установленные в директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей [1]. Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.
1 Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности.
2 Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.
Связи между процессами, описанными в разделах 4, 5, 6, 7 и 8, представлены также в таблице 1.
Планирование (разработка СМИБ)
Разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению информационной безопасности, для достижения результатов, соответствующих общей политике и целям организации
Осуществление (внедрение и обеспечение функционирования СМИБ)
Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ
Проверка (проведение мониторинга и анализа СМИБ)
Оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа
Действие (поддержка и улучшение СМИБ)
Проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ
0.3 Совместимость с другими системами менеджмента
Настоящий стандарт согласован со стандартами ИСО 9001:2000 «Системы менеджмента качества. Требования» [2] и ИСО 14001:2004 «Системы управления окружающей средой. Требования и руководство по применению» [3] в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.
Таблица С.1 иллюстрирует взаимосвязь между разделами настоящего стандарта, а также ИСО 9001:2000 и ИСО 14001:2004.
Настоящий стандарт позволяет организации регулировать СМИБ или интегрировать ее с соответствующими требованиями других систем менеджмента.
1 Область применения
1.1 Общие положения
Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).
Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
1.2 Применение
Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в разделах 4, 5, 6, 7 и 8, не допускается, если организация заявляет о соответствии ее СМИБ настоящему стандарту.
Любой отказ от применения той или иной меры управления, обусловленный необходимостью удовлетворения критериев принятия рисков, должен быть обоснован. Необходимо также наличие адекватных доказательств того, что подобные риски были уже приняты ответственными лицами. При исключении каких-либо мер управления заявления о соответствии организации настоящему стандарту неправомочны, кроме случаев, когда эти исключения не влияют на способность и/или обязанность организации обеспечивать информационную безопасность, которая соответствует требованиям безопасности, установленным соответствующими законодательными актами или определенными на основе оценок рисков.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующий стандарт:
Заменен на ISO/IEC 27002:2005.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 активы (asset): Все, что имеет ценность для организации.
[ИСО/МЭК 13335-1:2004] [4]
3.2 доступность (availability): Свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта.
[ИСО/МЭК 13335-1:2004] [4]
3.3 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
[ИСО/МЭК 13335-1:2004] [4]
3.4 информационная безопасность; ИБ (information security): Свойство информации сохранять конфиденциальность, целостность и доступность.
3.5 событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.
[ИСО/МЭК ТО 18044:2004] [5]
3.6 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
— утрата услуг, оборудования или устройств;