Az információbiztonság-irányítás szabványai

A mai modern gazdaság legfontosabb értéke az információ, melynek biztonsága és megbízhatósága alapvetően befolyásolja a vállalatok működését, üzleti sikereit. Az üzleti adatok különböző informatikai rendszerekben történő feldolgozása rengeteg folyamat elvégzését megkönnyíti, de mindez folyamatos fenyegetettséggel és számos kockázattal jár együtt. Az informatikai rendszerek fejlődésével a veszélyforrások száma, ezzel a szervezetek sebezhetőségének mértéke is folyamatosan nő, így napról napra egyre nehezebbé válik az információk és adatok teljes körű védelmének biztosítása.

Az információk és informatikai rendszerek rendelkezésre állásának, bizalmas jellegének és sértetlenségének biztosítására a Nemzetközi Szabványügyi Szervezet (International Organization for Standardization, ISO) és a Nemzetközi Elektrotechnikai Bizottság (International Electrotechnical Commission, IEC) közös műszaki bizottsága az ISO/IEC JTC 1 „Informatikai biztonságtechnikák” (IT Security techniques) már számos szabványt dolgozott ki. Ide tartoznak többek között az információbiztonság-irányítási szabványok (ISO/IEC 27000-es szabványsorozat), melyek megalkotása a 90-es évekre nyúlik vissza. A Brit Szabványügyi Testület (British Standardization Institution, BSI) az akkori kereskedelmi és ipari igények alapján megalkotta a BS 7799-1 szabványt, mely az információvédelmi követelmények felsorolásával lehetővé tette a vállalatok számára egy hatékony és biztonságos informatikai rendszer kifejlesztését és alkalmazását. Ezt követően megjelent a BS 7799-2, mely a BS 7799-1 tanúsítási követelményeit foglalta magában. Az ISO 2000-ben átvette a BS 7799-1 korszerűsített változatát, és kiadta ISO/IEC 17799:2000 jelzettel nemzetközi szabványként. Ehhez hasonlóan 2005-ben átvették a BS 7799-2-t is ISO/IEC 27001:2005 jelzet alatt, majd az ISO/IEC 17799:2000 újabb verzióját átszámozták ISO/IEC 27002:2005-re, így kialakult az ISO/IEC 27000-es szabványsorozat. E két szabvány felülvizsgálatára és korszerűsítésére 2013-ban került sor, melynek keretében azokat átdolgozták az ISO/IEC Direktívák 1. részének SL melléklete alapján a különböző irányítási rendszerek integrációjának megkönnyítése és a szerkezeti egységesítés végett.

Az MSZ ISO/IEC 27001:2014 Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek. Követelmények című szabvány magyar nyelvű változatát a Magyar Szabványügyi Testület 2014. június 1-én tette közzé. Az ISO/IEC 27002:2013 honosítása az érdekelt szervezetek támogatásának hiányában sajnos még nem kezdődött el.

Magyarországon az információbiztonsági szabványok az MSZT/MB 819 „Informatika” műszaki bizottság hatáskörébe tartoznak, mely az ISO/IEC/JTC1 tükörbizottságaként működik, és elsődleges feladatának tekinti a szakmai nyelv ápolását e szabványok magyar nyelvű kiadásainak támogatásával.

Az ISO/IEC/JTC1/SC27 bizottság az ISO/IEC 27001 és ISO/IEC 27002 szabványokon kívül még számos információbiztonság-irányítási szabvány kidolgozását végzi, a 27000-es szabványcsalád évről évre egyre több taggal bővül, melyek a lehető legszélesebb körben próbálják lefedni az újabb és újabb műszaki megoldásokat, technológiákat, hogy védelmet nyújtsanak értékes adatainknak. Az ISO/IEC 27000-es szabványcsalád összes tagja az alábbi táblázatban van felsorolva. Kék színnel vannak kiemelve azok a szabványok, melyek jelenleg kidolgozás vagy korszerűsítés alatt állnak. (2015. 02. 01-jei állapot)

Hivatkozási szám

Cím

ISO/IEC 27000:2014
ISO/IEC DIS 27000

Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary

ISO/IEC 27001:2013

Information technology -- Security techniques -- Information security management systems -- Requirements

ISO/IEC 27002:2013

Information technology -- Security techniques -- Code of practice for information security controls

ISO/IEC 27003:2010
ISO/IEC CD 27003

Information technology -- Security techniques -- Information security management system implementation guidance

ISO/IEC 27004:2009
ISO/IEC CD 27004

Information technology -- Security techniques -- Information security management -- Measurement

ISO/IEC 27005:2011
ISO/IEC WD 27005

Information technology -- Security techniques -- Information security risk management

ISO/IEC 27006:2011
ISO/IEC DIS 27006

Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems

ISO/IEC 27007:2011
ISO/IEC NP 27007

Information technology -- Security techniques -- Guidelines for information security management systems auditing

ISO/IEC TR 27008:2011
ISO/IEC NP TR 27008

Information technology -- Security techniques -- Guidelines for auditors on information security controls

ISO/IEC CD 27009

The Use and Application of ISO/IEC 27001 for Sector/Service-Specific Third-Party Accredited Certifications

ISO/IEC 27010:2012

Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communications

ISO/IEC 27011:2008
ISO/IEC CD 27011

Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

ISO/IEC 27013:2012
ISO/IEC DIS 27013

Information technology -- Security techniques -- Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

ISO/IEC 27014:2013

Information technology -- Security techniques -- Governance of information security

ISO/IEC TR 27015:2012

Information technology -- Security techniques -- Information security management guidelines for financial services

ISO/IEC TR 27016:2014

Information technology -- Security techniques -- Information security management -- Organizational economics

ISO/IEC DIS 27017

Information technology -- Security techniques -- Code of practice for information security controls based on ISO/IEC 27002 for cloud services

ISO/IEC 27018:2014

Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

ISO/IEC TR 27019:2013
ISO/IEC NP TR 27019

Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry

ISO/IEC NP 27021

Information technology -- Security techniques -- Competence requirements for information security management systems professionals

ISO/IEC PRF TR 27023

Information technology -- Security techniques -- Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002

ISO/IEC 27031:2011

Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity

ISO/IEC 27032:2012

Information technology -- Security techniques -- Guidelines for cybersecurity

ISO/IEC 27033-1:2009
ISO/IEC DIS 27033-1

Information technology -- Security techniques -- Network security -- Part 1: Overview and concepts

ISO/IEC 27033-2:2012

Information technology -- Security techniques -- Network security -- Part 2: Guidelines for the design and implementation of network security

ISO/IEC 27033-3:2010

Information technology -- Security techniques -- Network security -- Part 3: Reference networking scenarios -- Threats, design techniques and control issues

ISO/IEC 27033-4:2014

Information technology -- Security techniques -- Network security -- Part 4: Securing communications between networks using security gateways

ISO/IEC 27033-5:2013

Information technology -- Security techniques -- Network security -- Part 5: Securing communications across networks using Virtual Private Networks (VPNs)

ISO/IEC CD 27033-6

Information technology -- Security techniques -- Network security -- Part 6: Securing wireless IP network access

ISO/IEC 27034-1:2011

Information technology -- Security techniques -- Application security -- Part 1: Overview and concepts

ISO/IEC DIS 27034-2

Information technology -- Security techniques -- Application security -- Part 2: Organization normative framework

ISO/IEC NP 27034-3

Information technology -- Security techniques -- Application security -- Part 3: Application security management process

ISO/IEC CD 27034-4

Information technology -- Security techniques -- Application security -- Part 4: Application security validation

ISO/IEC CD 27034-5

Information technology -- Security techniques -- Application security -- Part 5: Protocols and application security controls data structure

ISO/IEC NP 27034-5-1

Information technology -- Application security -- Part 5-1: Protocols and application security controls data structure -- XML schemas

ISO/IEC CD 27034-6

Information technology -- Security techniques -- Application security -- Part 6: Security guidance for specific applications

ISO/IEC NP 27034-7

Information technology -- Application security -- Part 7: Application security assurance prediction

ISO/IEC 27035:2011

Information technology  -- Security techniques -- Information security incident management

ISO/IEC CD 27035-1

Information technology  -- Security techniques -- Information security incident management -- Part 1: Principles of incident management

ISO/IEC CD 27035-2

Information technology  -- Security techniques -- Information security incident management -- Part 2: Guidelines to plan and prepare for incident response

ISO/IEC CD 27035-3

Information technology  -- Security techniques -- Information security incident management -- Part 3: Guidelines for CSIRT operations

ISO/IEC 27036-1:2014

Information technology -- Security techniques -- Information security for supplier relationships -- Part 1: Overview and concepts

ISO/IEC 27036-2:2014

Information technology -- Security techniques -- Information security for supplier relationships -- Part 2: Requirements

ISO/IEC 27036-3:2013

Information technology -- Security techniques -- Information security for supplier relationships -- Part 3: Guidelines for information and communication technology supply chain security

ISO/IEC WD 27036-4

Information technology -- Information security for supplier relationships -- Part 4: Guidelines for security of Cloud services

ISO/IEC 27037:2012

Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence

ISO/IEC 27038:2014

Information technology -- Security techniques -- Specification for digital redaction

ISO/IEC 27039:2015

Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection systems (IDPS)

ISO/IEC 27040:2015

Information technology -- Security techniques -- Storage security

ISO/IEC FDIS 27041

Information technology -- Security techniques -- Guidance on assuring suitability and adequacy of incident investigative methods

ISO/IEC DIS 27042

Information technology -- Security techniques -- Guidelines for the analysis and interpretation of digital evidence

ISO/IEC 27043

Information technology -- Security techniques -- Incident investigation principles and processes

ISO/IEC WD 27044

Guidelines for Security Information and Event Management (SIEM)

ISO/IEC CD 27050-1

Information technology -- Security techniques -- Electronic discovery -- Part 1: Overview and concepts

ISO/IEC NP 27050-2

Information technology -- Security techniques -- Electronic discovery -- Part 2: Guidance for governance and management of electronic discovery

ISO/IEC NP 27050-3

Information technology -- Security techniques -- Electronic discovery -- Part 3: Code of Practice for electronic discovery

ISO/IEC NP 27050-4

Information technology -- Security techniques -- Electronic discovery -- Part 4: ICT readiness for electronic discovery

Az ISO/IEC 27000-es szabványsorozat szabványai angol nyelven megvásárolhatóak az MSZT Szabványboltjában vagy megrendelhetőek a kiado@mszt.hu e-mail címen a megrendelőlap kitöltésével. Nemzeti szabványként való bevezetésre és magyar nyelvű kiadásra árajánlat kérhető Nagy Gábor szabványosító menedzsertől a g.nagy@mszt.hu e-mail címen.

2015. március

Nagy Gábor
szabványosító menedzser
g.nagy@mszt.hu