1. Главная
  2. Стандарты Молдовы
  3. STM
  4. Ст ISO IEC TS 27008-2019

ISO IEC TS 27008-2019 PDF

Ст ISO IEC TS 27008-2019

Название на английском:
St ISO IEC TS 27008-2019

Название на русском:
Ст ISO IEC TS 27008-2019

Описание на русском:

Оригинальный стандарт ISO IEC TS 27008-2019 в PDF полная версия. Дополнительная инфо + превью по запросу

Описание на английском:
Original standard ISO IEC TS 27008-2019 in PDF full version. Additional info + preview on request
Статус документа:
Действующий
Формат:
Электронный (PDF)
Срок поставки (английская версия):
1 рабочий день
Срок поставки (русская версия):
365 рабочих дня(ей)
Артикул (SKU):
stiso27777
Выберите версию документа:
3 000 руб.

Полное наименование и описание

ISO/IEC TS 27008:2019 — Information technology — Security techniques — Guidelines for the assessment of information security controls. Техническая спецификация даёт руководящие указания по обзору и оценке внедрения и функционирования мер (контролей) информационной безопасности, включая техническую оценку средств и механизмов защиты в контексте установленных организацией требований к информационной безопасности.

Аннотация

Документ описывает цели и принципы оценки контролей информационной безопасности, методы обзора и технической проверки, требования к компетентности оценщиков и построению отчётности. Спецификация предназначена для обеспечения объективной, воспроизводимой оценки того, насколько контролы соответствуют назначению, являются эффективными и приносят ценность организации; при этом документ дополняет и поддерживает применение ISO/IEC 27001.

Общая информация

  • Статус: Published (техническая спецификация).
  • Дата публикации: Январь 2019 (Edition 1, 2019-01).
  • Организация-издатель: ISO и IEC (ISO/IEC JTC 1/SC 27).
  • ICS / категории: 35.030 (IT — безопасность информации).
  • Редакция / версия: Техническая спецификация, редакция 1 (TS 2019).
  • Количество страниц: Около 91 страницы.

Эти библиографические и статусные сведения соответствуют официальному описанию документа.

Область применения

Руководство применимо ко всем типам и размерам организаций (коммерческие, государственные, некоммерческие), которые проводят обзоры, внутренние или внешние аудиты и технические проверки мер информационной безопасности. Документ полезен при оценке контролей, управляемых через Систему менеджмента информационной безопасности (СМИБ) по ISO/IEC 27001, а также для самостоятельных технических проверок и проверок соответствия внутренним требованиям.

Ключевые темы и требования

  • Принципы и цели оценки мер информационной безопасности: пригодность, эффективность, результативность.
  • Методология оценки: планирование, выбор критериев, сбор доказательств, тестирование технических средств.
  • Технические оценки контролей (penetration testing, конфигурационные проверки, верификация настройки сервисов и средств защиты).
  • Требования к компетенции и ресурсам для оценщиков (аудиторские и специализированные технические навыки).
  • Управление отчётностью, конфиденциальностью результатов и цепочкой распространения отчётов.
  • Взаимосвязь оценок контролей с рискоориентированным подходом и принятиями решений по улучшению безопасности.

Содержание фокусируется на практических шагах оценки и особенностях технических проверок в контексте СМИБ.

Применение и пользователи

Основные пользователи: внутренние и внешние аудиторы информационной безопасности, специалисты по проверке соответствия и технические тестировщики, менеджеры по информационной безопасности, команды управления рисками и организации, проводящие независимые обзоры контролей. Документ используется для подготовки объёмов работ по оценке, выбора методов тестирования и определения критериев приёма/несоответствий.

Связанные стандарты

ISO/IEC TS 27008 тесно связана с другими документами семейства ISO/IEC 27000: в первую очередь с ISO/IEC 27001 (требования для СМИБ) и ISO/IEC 27002 (кодекс практики по контролям). Также релевантны ISO/IEC 27005 (управление рисками информационной безопасности) и ISO 19011 (руководство по аудиту менеджмента). Документ заменил/обновил предыдущую версию технического отчёта ISO/IEC TR 27008:2011 и получил ряд национальных внедрений и адаптаций.

Ключевые слова

оценка контролей, аудит информационной безопасности, техническая оценка, ISMS, ISO/IEC 27001, тестирование безопасности, компетенция аудитора.

FAQ

В: Что это за стандарт?

О: Это техническая спецификация, дающая рекомендации и практические указания по обзору и оценке мер информационной безопасности и по проведению технических проверок контролей.

В: Что он регулирует?

О: Не регулирует в смысле обязательных требований — даёт руководящие указания: как планировать и проводить оценки, какие методы и критерии использовать, какие требования предъявлять к квалификации оценщиков и как оформлять выводы и отчёты.

В: Кто обычно использует?

О: Внутренние и внешние аудиторы информационной безопасности, технические команды по тестированию и верификации, менеджеры по безопасности, консалтинговые фирмы, регуляторы и организации с программами оценки защищённости.

В: Он актуален или заменён?

О: На момент публикации и по официальным данным документ опубликован как ISO/IEC TS 27008:2019 и заменил предыдущую версию ISO/IEC TR 27008:2011; на текущий момент это действующая техническая спецификация (TS). При необходимости подтверждения актуального статуса рекомендуется проверять официальные каталоги издателя.

В: Это часть серии?

О: Да — документ входит в семейство ISO/IEC 27000, которое охватывает СМИБ, кодекс практики, управление рисками и сопутствующие руководства по информационной безопасности.

В: Какие ключевые слова?

О: оценка контролей, аудит, техническая проверка, ISMS, соответствие, информационная безопасность, компетенция аудитора.