На данный момент международный стандарт ISO/IEC 27006:2015 не действует — он был заменён на
Темы к проведению семинара:
7.05M
Категория: ПравоПраво

Тема_5_АБИС_Международные_нац_корпор_стандарты_АИБ

1.

Тема 5. Международные, национальные
и корпоративные стандарты и
руководства в области аудита и оценки
информационной безопасности
2025 год

2.

2
Вопрос 1. Роль стандартов и нормативная база проверки ИБ
Вопрос 2. Обзор стандартов информационной безопасности
используемых в качестве нормативной базы проверки СУИБ
Вопрос 3. Особенности проведения аудита критической
информационной инфраструктуры

3.

3
Вопрос 1. Роль стандартов и нормативная база
проверки ИБ
Главная задача стандартов информационной безопасности
заключается в создании унифицированной системы требований,
позволяющей согласовать интересы всех заинтересованных
сторон.
Каждая из этих групп –
производители, потребители и
эксперты по сертификации –
имеет собственные потребности
и взгляды на обеспечение
информационной безопасности,
что делает разработку и
применение стандартов
сложной, но крайне важной
задачей.

4.

4
Для производителей стандарты служат не только
средством сравнения возможностей своих продуктов с
решениями
конкурентов,
но
и
механизмом
объективной оценки свойств этих продуктов через
процедуры
сертификации.
Кроме
того,
стандартизированный набор требований безопасности
позволяет ограничить неопределенность в запросах
заказчиков, предлагая им четкие критерии выбора из
утвержденного перечня..
Потребители заинтересованы в методике, позволяющей
обоснованно выбрать продукт, отвечающий их нуждам
и решающий их проблемы, для чего им необходима
шкала оценки безопасности и, во-вторых, нуждаются в
инструменте, с помощью которого они могли бы
формулировать свои требования производителям.

5.

5
Эксперты по сертификации рассматривают стандарты как
инструмент, позволяющий им оценить уровень безопасности,
обеспечиваемый системой, и предоставить потребителям
возможность сделать обоснованный выбор. Специалисты по
сертификации заинтересованы в четких и простых критериях, а
также они должны дать обоснованный ответ пользователям —
удовлетворяет продукт их нужды, или нет, ведь к конечном счете
именно они принимают на себя ответственность за безопасность
продукта, получившего квалификацию уровня безопасности и
прошедшего сертификацию.

6.

6
Аудиторы информационной безопасности выступают в
качестве
независимых
экспертов,
осуществляющих
комплексную
оценку
защищенности
информационных
активов организации. Их профессиональная деятельность
строится
на
глубоком
понимании
международных,
национальных и отраслевых стандартов, что позволяет не
только выявлять существующие уязвимости, но и разрабатывать
обоснованные
рекомендации
по
совершенствованию
системы защиты информации. В условиях постоянно
эволюционирующего
ландшафта
киберугроз
именно
аудиторы обеспечивают объективный анализ рисков и контроль
эффективности применяемых защитных мер.

7.

7
В настоящее время проверки, относящиеся к области
информационной
безопасности
(ИБ),
рассматриваются
применительно
к
системе
управления
информационной
безопасностью (СУИБ). Нормативной базой проверки СУИБ
является совокупность международных стандартов, обобщающих
лучшие практики, выработанные специалистами различных
организаций и различных стран. Далее будем придерживаться
именно такой терминологии – «проверки ИБ».
Международная организация по стандартизации ISO (ИСО) и
Международная
электротехническая
комиссия
IEC
(МЭК)
формируют
специализированную
систему
всемирной
стандартизации.
На текущий момент можно с уверенностью сказать, что мировое
сообщество проделало существенную работу в направлении
стандартизации СУИБ и отдельных процессов управления ИБ, и попрежнему весьма активно продолжает эту работу.

8.

8
В соответствие с этими стандартами ОИБ в любой
организации предполагает следующее:
определение целей ОИБ;
создание эффективной СУИБ;
получение совокупности детализированных не только качественных, но и
количественных показателей оценки соответствия уровня ИБ заявленным целям;
применение инструментария ОИБ для оценки ее текущего состояния;
использование в процессе управления рисками ИБ методик (с понятной
системой критериев и мер ОИБ), позволяющих объективно оценить текущее
состояние дел в области ОИБ в организации.

9.

9
Основоположником
подобной
стандартизации
стали
международные стандарты ISO серий 9000 и 14000, предъявляющих
требования к системам управления качеством (в первоисточнике –
менеджмента
качества),
соблюдение
которых
позволяет
контролировать
качество
выпускаемой
продукции
или
предоставляемых услуг.
При разработке стандартов на СУИБ многое
было взято за основу именно из этих
стандартов, например, основной подход –
процессный подход и использование
циклической модели PDCA для непрерывного
совершенствования как самой системы, так
и отдельных ее процессов.

10.

10
Большое
число
процессов
управления,
первоначально
определенных для систем управления качеством, с некоторыми
изменениями присутствует и в СУИБ, например, внутренние
аудиты ИБ, корректирующие и предупреждающие действия и т.д.
Стандарты ISO серий 9000 и 14000 придают особое значение
аудитам в составе деятельности, относящейся к управлению,
обеспечивающим проверку результативности внедрения политики
организации
в
области
управление
качеством
и/или
окружающей среды (последние системы еще называются
системами экологического менеджмента). Аудиты являются
важной составляющей деятельности по оценке соответствия при
сертификации/регистрации,
оценке
поставщиков
(провайдеров), инспекционном контроле.

11.

11
Помимо этого, отличительной особенностью стандартов ISO 9000,
которая была перенята при стандартизации СУИБ, является то, что
они
устанавливают
степень
ответственности
руководства
организации за качество. Причем руководство отвечает, как за
разработку политики в области качества, так и за внедрение и
поддержание в рабочем состоянии системы управления
качеством.
В этой связи необходимо отметить еще два стандарта, которые
содержат рекомендации по аудиту систем менеджмента.
Международный ISO 19011:2018 «Guidelines for Management
Systems Auditing»
И идентичный ему ГОСТ Р ИСО 19011–2021 «Руководящие
указания по аудиту систем менеджмента»

12.

12
Для
подтверждения
выполнения
требований
по
ОИБ
международный
стандарт
ISO/IEC
27001:2013/Cor
2:2015
«Information Technology. Security Techniques. Information Security
Management Systems. Requirements» и гармонизированный
российский аналог предыдущей редакции, ГОСТ Р ИСО/МЭК
27001–2006 «Информационная технология. Методы и средства
обеспечения
безопасности.
Системы
менеджмента
информационной безопасности. Требования» требуют от
организации регулярного проведения проверок СУИБ
с
получением результатов измерений эффективности СУИБ,
применяемых в организации мер ОИБ (иначе называемых в
некоторых пересматриваемых в настоящее время документах
«мерами и средствами контроля и управления ИБ»).
Для получения воспроизводимых и сопоставимых результатов
организация определяет, каким образом проводить данные
измерения и как использовать меры измерений для оценки
эффективности деятельности по управлению ИБ.

13.

13
В настоящее время к нормативной базе проверки СУИБ и всей
деятельности по управлению ИБ можно отнести следующие
международные
и
национальные
стандарты,
прошедшие
необходимые процедуры согласования и утверждения:

14.

14

15.

15

16.

Вопрос 2.
Обзор
стандартов
информационн
ой
безопасности
используемых в
качестве
нормативной
базы проверки
СУИБ

17.

17
2.1. ISO 19011:2018 и ГОСТ Р ИСО 19011–2021 – руководящие
указания по аудиту систем менеджмента
Первоначально аудит возник в финансовой области, после чего его
применение постепенно распространилось и на другие категории,
такие как качество и окружающая среда. По мере развития
концепции обеспечения качества аудиты стали проводиться для
продукции, процессов и систем качества.
В 2002 г. появилась первая редакция международного стандарта
ISO 19011:2002 «Guidelines for quality and/or environmental
management systems auditing» и на год позже вышел идентичный
ему национальный стандарт ГОСТ Р ИСО 19011–2003 «Руководящие
указания по аудиту систем менеджмента качества и/или систем
экологического менеджмента».

18.

18
В 2011 г. была опубликована следующая редакция ISO
19011:2011, которая имела более общее название –
«Guidelines
for
auditing
management
systems»
и
предназначена для аудита различных систем менеджмента.
За этим последовал выпуск национального стандарта ГОСТ Р
ИСО 19011–2012 «Руководящие указания по аудиту систем
менеджмента».
После этого был выпущен ряд стандартов на системы
менеджмента с общей структурой, идентичными основными
требованиями и общими терминами и определениями.
Возникла необходимость рассмотреть расширенный подход
к проведению аудиту систем менеджмента. И в 2018 г. под
тем же названием появился стандарт ISO 19011:2018,
идентичный которому ГОСТ Р ИСО 19011–2021 вышел в России
в 2021 г. (взамен ГОСТ Р ИСО 19011–2012).

19.

19
Данные стандарты обеспечивают руководящие указания для
организаций всех размеров и типов и для аудита различных
областей и масштабов, включая аудиты, выполняемые большими
аудиторскими группами, обычно для более крупных организаций,
а также аудиты, выполняемые одним аудитором как для мелких,
так и для крупных организаций. Представленные руководящие
указания следует адаптировать по области, сложности и
масштабу программы аудита.
Стандарты содержат руководящие указания по следующим вопросам:
принципы
проведения аудита;
управление
программой аудита;
проведение
аудитов;
компетентность и
оценка аудиторов.

20.

При рассмотрении квалификации и оценки аудиторов выделяются
следующие важные моменты:
20
собственно
оценивание
аудиторов.
компетентность
руководителя
аудиторских групп;
личные
качества;
знания и навыки, включая
требования и к ним и
способность применять их на
практике;
достижение компетентности, включая
приобретение опыта и повышение
квалификации;

21.

21
В первых редакциях ISO 19011 и ГОСТ Р ИСО 19011 были
приведены следующие формы и указания по их заполнению:
график проведения аудитов; отчет об анализе программы
аудита; опросный лист; отчет о несоответствии; паспорт
аудитора; план аудита; отчет по аудиту; журнал регистрации
отчетов о несоответствии; журнал регистрации планов
аудита; журнал регистрации графиков аудитов.
В действующих в настоящее время стандартах есть одно
справочное приложение: дополнительные руководящие
указания для аудиторов по планированию и проведению
аудитов.

22.

22
Указания стандартов являются гибкими. Их использование может
быть различным в зависимости от размера, вида деятельности,
сложности проверяемых организаций, а также целей и области
аудита. Стандарт содержит общие указания, которые могут быть
использованы для разработки собственных для какой-либо
организации требований, связанных с аудитом.
Основным достоинством ISO
19011:2018 и ГОСТ Р ИСО 19011–
2021
является
возможность
применения
или
распространения
данных
руководящих указаний на аудит
различных систем управления
(например, как внутренние, так
и внешние аудиты СУИБ).

23.

23
2.2. ISO/IEC 27006-1:2024 (01.03.2024) и ГОСТ Р ИСО/МЭК 27006–
2020 – требования к органам, осуществляющим аудит и
сертификацию СУИБ
Стандарт ISO/IEC 27006-1:2024 — международный стандарт, который
устанавливает требования и предоставляет руководящие указания
для органов, осуществляющих аудит и сертификацию систем
менеджмента
информационной
безопасности
(СМИБ).
Он
дополняет стандарт ISO/IEC 17021-1, адаптируя его правила к
специфике сертификации СМИБ, и обеспечивает компетентность,
последовательность и беспристрастность при выдаче сертификатов.

24.

24
Первая редакция ISO/IEC 27006 появилась в 2006 г. как развитие и
интеграция требований к СУИБ стандарта ISO/IEC 27001:2005 и
требований к органам, проводящим аудит и сертификацию
систем менеджмента, изложенным в стандарте ISO/IEC 17021:2006
«Conformity assessment. Requirements for bodies providing audit and
certification of management systems» (Оценка соответствия.
Требования к органам, проводящим аудит и сертификацию
систем менеджмента).
В 2011 г. была выпущена вторая редакция ISO/IEC 17021:2011.
Соответствующий стандарт ISO/IEC 27006:2011 включал и заменял
EA 7/03 «Guidelines for Accreditation of Bodies Operating
Certification/Registration of Information Security Management
Systems» (Руководство по аккредитации органов, осуществляющих
сертификацию/регистрацию СУИБ).

25.

25
В 2015 г. была выделена отдельная первая часть ISO/IEC 170211:2015, которая установила следующие виды требований:
Раздел 5 – Общие требования: Правовые и договорные вопросы, Управление
беспристрастностью, Обязательства и финансирование;
Раздел 6 – Требования к структуре: Организационная структура и высшее руководство,
Операционный контроль;
Раздел 7 – Требования к ресурсам: Компетентность персонала, Персонал, участвующий в
деятельности по сертификации, Привлечение внешних аудиторов и внешних технических
экспертов, Записи данных о персонале, Аутсорсинг;
Раздел 8 – Требования к информации: Общедоступная информация, Документы по
сертификации, Ссылка на сертификацию и использование знаков, Конфиденциальность,
Обмен информацией между органом по сертификации и его заказчиками;
Раздел 9 – Требования к процессу: Деятельности перед сертификацией, Планирование
аудитов, Первоначальная сертификация, Проведение аудитов, Решение о сертификации,
Поддержание сертификации, Апелляции, Жалобы, Записи об организациях-заказчиках;
Раздел 10 – Требования к системе менеджмента органов сертификации.

26.

26
Как следствие этого была проведена работа по
модификации и утверждению редакции стандарта ISO/IEC
27006:2015.
Вскоре появились:
вторая часть ISO/IEC 17021-2:2016 «…Part 2: Competence
Requirements for Auditing and Certification of Environmental
Management
Systems»
(…Часть
2:
Компетентностные
требования к аудиту и сертификации систем управления
окружающей средой), определившая дополнительные
требования к компетентности персонала, участвующего в
процессе аудита и сертификации систем экологического
менеджмента (СЭМ), и дополняющая существующие
требования ISO/IEC 17021-1:2015,
и третья часть ISO/IEC 17021-3:2017 «…Part 3: Competence
Requirements for Auditing and Certification of Quality
Management
Systems»
(…Часть
3:
Компетентностные
требования к аудиту и сертификации систем управления
качеством).

27.

27
В 2020 г. ISO/IEC 27006:2015 был проанализирован и
подтвержден. Но с этого момента стал разрабатываться
комплексный стандарт в следующем составе:
первая часть – ISO/IEC 27006-1 (Part 1: General) – Дата
введения стандарта — 1 марта 2024 года;
вторая чаcть – ISO/IEC 27006-2:2021 (Part 2: Privace Information
Management Systems) – опубликована в 2021 г. и посвящена
системам управления конфиденциальной информацией).
Ожидается, что будет заменён стандартом ISO/IEC 27706.

28.

28
В России в 2008 г. был разработан и с ноября 2009 г. введен в
действие ГОСТ Р ИСО/МЭК 27006–2008 «Информационная
технология. Методы и средства обеспечения безопасности.
Требования к органам, осуществляющим аудит и сертификацию
систем менеджмента ИБ», идентичный первой редакции ISO/IEC
27006:2006. Его целью являлось установить общие требования к
сертификации или регистрации СУИБ организации. Если
организация обладает СУИБ, прошедшей сертификацию и
регистрацию
органами,
осуществляющими
аудит
и
сертификацию таких систем, то это может означать, что
организация обладает условиями, достаточными и надежными для
выполнения заявленных функций по управлению ИБ.

29. На данный момент международный стандарт ISO/IEC 27006:2015 не действует — он был заменён на

29
На данный момент международный стандарт
ISO/IEC 27006:2015 не действует — он был заменён на
ISO/IEC 27006-1:2024 1 марта 2024 года.
Среди основных изменений по сравнению с ISO/IEC
27006:2015:
- документ разделён на несколько частей;
- добавлены новые требования к проведению дистанционных
аудитов, аудитов организаций с несколькими площадками
или без площадок;
- текст гармонизирован с ISO/IEC 17021-1.
Стандарт опубликован в марте 2024 года и заменил ISO/IEC
27006:2015 и его поправку ISO/IEC 27006:2015/Amd 1:2020.
Дата вступления в силу — 12 февраля 2026 года.

30.

Некоторые ключевые аспекты стандарта ISO/IEC 27006-1:2024 :
30
Область применения. Стандарт применяется в качестве критериального документа для
аккредитации, взаимной оценки или других процессов аудита в сферах
информационной безопасности, кибербезопасности и защиты конфиденциальности.
Полный жизненный цикл сертификации. Стандарт охватывает весь процесс
сертификации, включая предварительные этапы (подача заявки и её рассмотрение),
планирование аудита, определение времени аудита, многосайтовый отбор,
первоначальные сертификационные аудиты, надзор, повторную сертификацию,
специальные аудиты и процессы принятия решений о сертификации.
Принципы и правовые/договорные вопросы. Включает обязательства, связанные с
контрактами, ответственностью и финансированием.
Управление беспристрастностью и конфликтами интересов. Определяет механизмы
обеспечения объективности решений о сертификации.
Структурные и ресурсные требования. Касаются организационной структуры,
аутсорсинга, ведения кадровых записей.
Компетентность персонала. Устанавливает общие и специфические для СМИБ
критерии компетентности, знания аудиторов, использование внешних аудиторов и
технических экспертов (в Приложении A перечислены знания и навыки).
Информационные требования. Регулирует публичную информацию,
сертификационные документы, использование маркировок, конфиденциальность и
обмен информацией с клиентами.
Обработка апелляций и жалоб, ведение записей о клиентах.
Варианты системы менеджмента. Предлагает два варианта: Option A (общие
требования к системе менеджмента) или Option B (система менеджмента в
соответствии с ISO 9001).

31.

31
Параллельно был введен в действие ГОСТ Р ИСО/МЭК 17021–2008 «Оценка
соответствия. Требования к органам, проводящим аудит и сертификацию систем
менеджмента», который тоже можно было рассматривать в качестве базы для ГОСТ
Р ИСО/МЭК 27006–2008.
Далее появился ГОСТ Р ИСО/МЭК 17021-2012 (с вводом в действие с 01.02.2013),
применимый при проведении аудита и сертификации любых систем управления.
В 2020 г. вышел ГОСТ Р ИСО/МЭК 27006–2020 «Информационные технологии. Методы
и средства обеспечения безопасности. Требования к органам, осуществляющим
аудит и сертификацию систем менеджмента информационной безопасности»,
идентичный ISO/IEC 27006:2015. Дата введения этого ГОСТ – 01 января 2021 г.

32.

32
Цель ГОСТ Р ИСО/МЭК 27006–2020 — предоставление возможности
для органов по аккредитации более эффективно применять
стандарты, по которым они обязаны оценивать органы по
сертификации.
Структура ГОСТ Р ИСО/МЭК 27006–2020 повторяет основные
разделы ISO/IEC 17021-1:2015 и идентичного ему ГОСТ Р ИСО/МЭК
17021-1-2017 «Оценка соответствия. Требования к органам,
проводящим аудит и сертификацию систем менеджмента. Часть 1.
Требования».
В приложениях справочного характера приведена следующая
информация:
знания и навыки, необходимые для аудита и сертификации СУИБ;
общая продолжительность/трудоемкость аудита;
методы расчета общей продолжительности/трудоемкости аудита;
руководящие указания по анализу мер ОИБ, внедренных в соответствии с приложением А
ИСО/МЭК 27001;
сведения о соответствии ссылочных международных стандартов национальным стандартам.

33.

33
2.3. ISO/IEC 27007:2020 и ГОСТ Р ИСО/МЭК 27007–2014 – руководство по
аудиту СУИБ
Первая редакция ISO/IEC 27007:2011 «Information technology. Security
techniques. Guidelines for Information Security Management Systems
Auditing» (Информационная технология. Методы и средства
обеспечения безопасности. Руководство по аудиту систем
менеджмента ИБ) содержала руководство для аккредитованных
органов
сертификации,
внутренних
аудиторов,
внешних
аудиторов/третьих лиц и других организаций, проводящих аудит
СУИБ на соответствие требованиям стандарта ISO/IEC 27001. Также
давались некоторые советы по аудиту или анализу имеющейся в
организации СУИБ на ее соответствии стандарту ISO/IEC 27002.
ISO/IEC 27007:2011 в значительной степени основывался на ISO
19011:2011
«Guidelines
for
Auditing
Management
Systems»
(Рекомендации по аудиту систем управления).
С выходом ISO/IEC TS 17021-2:2012 «Conformity Assessment.
Requirements for Bodies Providing Audit and Certification of
Management Systems. Part 2: «Competence Requirements for Auditing
and Certification of Environmental Management Systems» возникла
необходимость пересмотра ISO/IEC 27007:2011.

34.

34
Вторая редакция ISO/IEC 27007:2017 рассматривала такие
вопросы как:
принципы аудита;
управление программой аудита (включая постановку задач, определение
ответственности, необходимых ресурсов и процедур, реализацию, документы,
мониторинг и анализ);
деятельность в рамках проводимого аудита (начиная с инициализации процесса,
проведения анализа предоставленных документов, подготовки к аудиту на месте, и
заканчивая подготовкой отчета по результатам аудита, завершению аудита и
последующим действиям);
компетентность и оценка аудиторов
что совпадает со структурой ISO 19011.

35.

35
ISO/IEC 27007:2017 сформулировал специальные рекомендации для
аудиторов в следующих областях, что дополняет ISO 19011:2011:
подтверждение области действия СУИБ;
проверка того, что к оценке рисков ИБ был применен надлежащий
подход;
исследование результатов оценки рисков ИБ;
проверка того, что были выбраны такие меры ОИБ, которые
соответствуют принятому решению в области обработки рисков ИБ;
сбор объективных доказательств реализации мер ОИБ;
разработка видов проверок в рамках аудита СУИБ;
сопровождение сертификационного аудита СУИБ согласно ISO/IEC
27006:2015.

36.

36
Третья
редакция
стандарта
ISO/IEC
27007:2020,
корректирующая предыдущее издание в соответствии с
изменениями в ISO 19011:2018, появилась в 2020 г. Во введении
особо отмечается, что этот документ следует использовать
вместе с руководством, содержащимся в ISO 19011:2018.
Приложение A стандарта содержит руководство по практике
аудита СУИБ наряду с требованиями разделов 4 -10 ISO/IEC
27001:2013.
Действующий
ГОСТ
Р
ИСО/МЭК
27007–2014
«Информационная
технология.
Методы
и
средства
обеспечения безопасности. Руководство по аудиту систем
менеджмента информационной безопасности» идентичен
редакции ISO/IEC 27007:2011. Стандарт применим для тех
организаций, которые нуждаются в понимании или
проведении внутренних или внешних аудитов СУИБ или
осуществлении менеджмента программы аудита СУИБ.

37.

2.4. ISO/IEC 27008:2019 и ГОСТ Р 56045-2021 – руководство по аудиту
мер ОИБ, реализованных в СУИБ
37
Первая редакция ISO/IEC 27008:2011 «Information Technology. Security
Techniques. Guidance for Auditors on ISMS Controls» (Информационная
технология. Методы и средства обеспечения безопасности. Руководство
для аудиторов средств управления ИБ, реализованных в СУИБ) дополняла
ISO/IEC 27007:2011 в части аудита именно средств управления ИБ,
используемых в рамках СУИБ. Такой аудит выявляет, насколько хорошо
СУИБ справляется с выполнением функций по ОИБ в организации любого
размера и типа – общественной и частной, государственной и
некоммерческой и т.п. Основой рассматриваемого в стандарте аудита
выбран риск-ориентированный подход к управлению ИБ.
В то время как ISO/IEC 27007 ориентирован на аудит всей СУИБ в целом,
как это описано в ISO/IEC 27001, стандарт ISO/IEC 27008 фокусируется на
проверке средств управления ИБ, используемых в рамках СУИБ,
описанных в ISO/IEC 27002 и перечисленных в приложении А ISO/IEC 27001.
Таким образом, ISO/IEC 27008 предоставляет собой руководящие указания
по анализу реализации и функционирования средств управления ИБ,
включая техническую проверку их соответствия вышеназванным
стандартам и установленным в организации стандартам ИБ.
Стандарт ISO/IEC 27008 не предназначен для аудита систем управления в
целом, поскольку он ориентирован на процесс управления рисками ИБ в
рамках СУИБ, определенный в стандартах ISO/IEC 27001 и ISO/IEC 27005.

38.

38
Проведенный в соответствии ISO/IEC 27008 аудит позволяет
удостовериться, что СУИБ существует не только «на бумаге»,
но и предоставляет реальные свидетельства своего
функционирования, поддающиеся проверке. Полученные
результаты
аудита
могут
быть
использованы
для
усовершенствования
СУИБ
за
счет
оптимизации
взаимодействия между отдельными процессами в рамках
функционирования СУИБ и необходимым контролем уровня
ИБ, обеспечиваемого этой СУИБ. В качестве примера таких
мероприятий можно привести реализацию средств снижения
вреда, причиненного сбоями в защите информации, за счет
чего возможно появление ошибочных финансовых отчетов и
некорректных документов, выпущенных организацией, а
также негативное воздействие на нематериальные ценности,
такие как репутация и имидж организации, частная жизнь,
навыки и опыт людей.

39.

39
Вторая редакция ISO/IEC 27008:2019 содержит:
обзор проверок управления ИБ (включая сам процесс
оценки, а также необходимые ресурсы и компетентность);
описание методов проверок (включая анализ процессов,
методы изучения, тестирование и валидация, методы
выборочного исследования);
описание
процесса
проверки
управления,
включая
подготовку, планирование проверки, проведение опросов,
анализ результатов и составление отчетности.
В
трех
приложениях
к
стандарту
представлены
соответственно:
первоначальный сбор информации;
практическое
руководство
по
технической
проверке
безопасности;
руководство по технической проверке облачных сервисов
(Инфраструктура как услуга).

40.

40
Первая редакция ГОСТ Р 56045-2014 «Методы и средства
обеспечения безопасности. Рекомендации для аудиторов в
отношении мер и средств контроля и управления
информационной
безопасностью»
идентична
ISO/IEC
27008:2011.
В разделе 5 стандарта была представлена вводная информация,
в разделе 6 – общий обзор проверок средств управления ИБ,
в разделе 7 – методы проверок (а именно, изучение, опрос и
тестирование),
а в разделе 8 – деятельность по проверке.
В приложении А было приведено практическое руководство по
проверке технического соответствия,
а в приложении В дается описание начала сбора информации.

41.

41
В ГОСТ Р 56045-2014 отмечалось, что средства управления ИБ
организации должны выбираться организацией на основе
результата оценки рисков в рамках процесса управления рисками
ИБ, чтобы снижать свои риски до допустимого уровня. Часть средств
управления ИБ обычно осуществляется путем реализации
технических
средств
управления
ИБ,
например,
когда
информационные активы включают информационные системы.
Эти средства необходимо определять, документально оформлять,
реализовать и поддерживать в соответствии со стандартами,
относящимися к ИБ. Результат проверки технического соответствия
объясняет фактический уровень соответствия реализации ИБ в
организации
требованиям
стандартов.
Это
обеспечивает
уверенность в том, что состояние технических средств управления
соответствует стандартам ИБ или, в противном случае, служит
основой для совершенствования.

42.

42
Проверки средств управления ИБ, в особенности проверки
технического соответствия могут помочь организации:
установить и понять степень серьезности потенциальных проблем или
недостатков реализации и действия средств управления ИБ, стандартов
ИБ и, в результате, технических средств управления ИБ организации;
установить и понять потенциальное влияние на организацию воздействия
недостаточно ослабленных уязвимостей и угроз ИБ;
установить приоритеты в действиях по уменьшению риска ИБ;
подтвердить, что вопрос, касающийся ранее установленных или
возникающих уязвимостей, был адекватным образом решен;
поддерживать бюджетные решения в рамках инвестиционного процесса
и другие решения руководства, связанные с совершенствованием
управления ИБ организации.

43.

43
Вопрос 3. Особенности проведения аудита
критической информационной инфраструктуры
В Российской Федерации правовое регулирование безопасности
КИИ осуществляется в рамках Федерального закона № 187-ФЗ "О
безопасности критической информационной инфраструктуры".
Данный нормативный акт устанавливает обязательные требования к
созданию системы безопасности значимых объектов, при этом
конкретные
технические
и
организационные
меры
регламентируются подзаконными актами, разработанными ФСТЭК
России и ФСБ России.
Приказ ФСТЭК № 187-ФЗ утверждает, что наиболее критичные
объекты КИИ необходимо защищать особыми мерами. Что именно
нужно делать, описывает Приказ ФСТЭК № 239 «Об утверждении
Требований по обеспечению безопасности значимых объектов
критической информационной инфраструктуры РФ» от 25 декабря
2017 года.

44.

44
Особого внимания заслуживает
Приказ ФСТЭК России № 239,
который
детализирует
требования по обеспечению
безопасности
значимых
объектов
КИИ.
Документ
предусматривает комплексный
подход к защите информации,
включающий организационные,
технические и программные
меры.
Важным
аспектом
является
обязательное
проведение регулярного аудита
безопасности,
включающего
оценку
эффективности
применяемых защитных мер и
их соответствия установленным
требованиям.

45.

Ключевые требования 239-го Приказа включают:
45
Идентификация и классификация активов.
• Организации должны идентифицировать и классифицировать свои
активы, включая оборудование, программное обеспечение, данные и
каналы связи.
Оценка рисков.
• Организации должны проводить регулярные оценки рисков, чтобы выявлять
и снижать потенциальные риски безопасности для своих активов.
Контроль доступа.
• доступ к активам должен строго контролироваться и предоставляться
только уполномоченному персоналу. Доступ должен предоставляться на
основе принципа наименьших привилегий.
Защита данных:
• активы должны быть защищены от несанкционированного доступа,
модификации или уничтожения. Это включает в себя использование
шифрования, резервного копирования и мер по предотвращению потери
данных.

46.

46
Сетевая безопасность.
• активы должны быть защищены от внешних угроз, таких как взлом,
вредоносное ПО и атаки типа «отказ в обслуживании». Это требует
реализации мер сетевой безопасности, таких как брандмауэры системы
обнаружения и предотвращения вторжений, а также инструменты
мониторинга безопасности.
Реагирование на инциденты.
• Организации должны иметь план реагирования на инциденты, чтобы
быстро и эффективно реагировать на инциденты безопасности. План
должен включать процедуры обнаружения, сообщения и реагирования на
инциденты, анализ и документирование инцидента, а также процедуры
восстановления нормальной работы.

47.

47
Постановление правительства от 08.02.2018г. №127 «Об утверждении
Правил категорирования объектов критической информационной
инфраструктуры Российской Федерации, а также перечня показателей
критериев
значимости
объектов
критической
информационной
инфраструктуры Российской Федерации и их значений»

48.

48
Постановление содержит Перечень показателей, по которым оценивается
значимость объекта КИИ:
Для I категории (наивысшая значимость):
Нарушение
работы
может
привести
к
катастрофическим
последствиям (массовые жертвы, коллапс экономики, угроза
национальной безопасности).
Обслуживает стратегически важные отрасли (энергетика, транспорт,
оборона).
Для II категории (высокая значимость):
Серьезные,
но
не
катастрофические
последствия
экономические потери, нарушения работы региона).
(крупные
Охватывает значительное число пользователей (например, системы
крупных банков или телекоммуникационных операторов).
Для III категории (средняя значимость):
Локальные последствия (сбои в работе отдельных организаций).
Влияние ограничено определенной отраслью или территорией.

49.

49
Приказ ФСБ от 25 декабря 2025 года № 547 «Об утверждении
Порядка информирования ФСБ России о компьютерных
атаках и компьютерных инцидентах, реагирования на них,
принятия мер по ликвидации последствий компьютерных атак,
проведенных в отношении значимых объектов критической
информационной инфраструктуры Российской Федерации
и иных информационных ресурсов Российской Федерации,
принадлежащих органам и организациям, на которые
возложены обязанности, предусмотренные частью 4 статьи 9
Федерального закона от 26 июля 2017 г. № 187-ФЗ "О
безопасности
критической
информационной
инфраструктуры Российской Федерации"»

50.

Некоторые положения приказа № 547:
Субъекты КИИ (госорганы, ГУПы, госучреждения, госкорпорации, иные юрлица,
контролируемые государством) обязаны информировать ФСБ обо всех компьютерных
50
атаках и инцидентах, реагировать на них и принимать меры по ликвидации последствий.
Исключение составляют органы внешней разведки, госохраны, федеральный орган
обеспечения мобилизационной подготовки органов государственной власти и федеральный
орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ.
Информация о компьютерной атаке направляется в Национальный координационный центр
по компьютерным инцидентам (НКЦКИ) не позднее 24 часов с момента её обнаружения. Для
субъектов, работающих в банковской сфере и на иных сферах финансового рынка,
информация также направляется в Банк России через его техническую инфраструктуру.
После завершения мероприятий по реагированию на инциденты и ликвидации последствий
атак субъекты КИИ обязаны информировать НКЦКИ в течение 48 часов о результатах таких
мероприятий. Субъекты из финансовой сферы дополнительно информируют Банк России в
тот же срок.
План реагирования на инциденты должен включать:
- технические характеристики и состав значимых объектов КИИ;
- условия начала реализации мероприятий;
- перечень мероприятий с указанием сроков их выполнения;
- состав подразделений и должностных лиц, ответственных за реагирование.
План утверждается руководителем субъекта КИИ и в течение 7 календарных дней со дня
утверждения направляется в НКЦКИ.
В план реагирования может включаться условие привлечения подразделений и должностных
лиц ФСБ России к мероприятиям по реагированию на инциденты и ликвидации последствий
атак.

51.

51
Указ Президента от 01.05.2022 №250 «О дополнительных мерах по
обеспечению
информационной
безопасности
Российской
Федерации»:
Субъектам КИИ с 01.01.2025г. запрещается использовать средства
защиты информации, странами происхождения которых являются
иностранные государства, совершающие в отношение РФ,
российских юридических лиц и физических лиц недружественные
действия.
Начиная с 2022г., применение
отечественных
разработок
является
приоритетным
направлением
в
сфере
обеспечения ИБ объектов КИИ.

52.

Некоторые положения Указа № 250:
52
Руководителям организаций необходимо возложить на заместителя руководителя полномочия
по обеспечению информационной безопасности, в том числе по обнаружению,
предупреждению и ликвидации последствий компьютерных атак и реагированию на
компьютерные инциденты.
В организациях нужно создать структурное подразделение, которое будет заниматься
обеспечением информационной безопасности, либо возложить эти функции на
существующее подразделение.
К мероприятиям по обеспечению информационной безопасности можно привлекать только
организации, имеющие лицензии на техническую защиту конфиденциальной информации.
С 1 января 2025 года органам (организациям) запрещается использовать средства защиты
информации, которые произведены в иностранных государствах, совершающих
недружественные действия в отношении России, российских юридических лиц и физических
лиц.
Руководители органов (организаций) несут персональную ответственность за обеспечение
информационной безопасности своих органов (организаций).

53.

53

54.

54
Технические
аспекты
защиты
информации
регламентируются серией стандартов ГОСТ Р, среди которых
особое значение имеет ГОСТ Р 57580.1-2017 "Безопасность
финансовых организаций". Хотя данный стандарт формально
ориентирован на финансовый сектор, многие его положения
находят применение и при защите объектов КИИ, особенно в
части требований к системам обнаружения вторжений и
управления инцидентами.

55.

55
Спасибо за внимание !
Вопросы?

56. Темы к проведению семинара:

56
Инструменты для автоматизации проверок (GRC-системы,
сканеры уязвимостей).
Взаимодействие с регуляторами при проверках: ФСТЭК,
ФСБ, ЦБ РФ.
Классификация
рекомендательные
стандартов:
обязательные
Проблемы внедрения стандартов в различных отраслях
и
English     Русский Правила