Стандартизация в области управления ИБ

1. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Лекция 2
«Стандартизация в
области управления ИБ»

2. Вопросы:

1. Развитие стандартов в области
управления ИБ.
2. Основные стандарты по
управлению ИБ.
3. Отраслевые стандарты и
стандарты на отдельные
процессы управления ИБ.

3. Вопрос 1: «Развитие стандартов в области управления ИБ»

ISO
(International
Organization
for
Standardization) – Международная организация
по стандартизации. Разрабатывает технические
стандарты по всем направлениям бизнеса,
отраслям промышленности и технологиям.
Цели деятельности:
содействие развитию стандартизации;
облегчение международного товарообмена и
взаимопомощи;
расширение
сотрудничества
в
области
интеллектуальной, научной, технической и
экономической деятельности.

4. Некоторые сведения об ISO

Дата открытия – 26
октября 1946 г.
Штаб
квартира
в
Женеве, Швейцария.
Ежегодно - более 1000 международных
стандартов.
Комитетами-членами
ISO
являются
национальные
организации
по
стандартизации.

5. ISO разрабатывает стандарты

ISO
9000 – для менеджмента
качества,
ISO 14000 – для экологического
менеджмента,
ISO 27000 - для менеджмента
информационной безопасности.

6. Этапы развития стандартов ISO 27001 и 27002

7. Появление первого стандарта ИБ: IDC 1989

Министерство
торговли
и
промышленности
Великобритании
(DTI) разработало свод лучших
практик
по
обеспечению
безопасности».
IDC - подразделение DTI.
DTI
опубликовало в 1989 году
стандарт «User Code of Practice».

8. Британский стандарт (BS) 7799

В 1995 г. национальный британский
стандарт BS 7799.
BS 7799 часть 1. Рекомендательный
характер, набор лучших практик в
области обеспечения ИБ.
BS 7799 часть 2. Для сертификации.
Обязательные
требования,
не
входившие в часть 1.

9. Появление ISO 17999

В
1999 г. ISO принимает за базу BS
7799: часть 1.
В 2000 году BS 7799:1:
стал ISO 17799,
получил статус международного
стандарта.
Изначально сертификации по ISO
17799 предусмотрено не было.

10. Утверждение 27001 и 27002

После выпуска новой версии стандарта
BS 7799:2002, Часть 2 стандарт ISO
17999
пересмотрен
как
ISO
17999:2005, затем название изменено
на ISO 27002:2005.
В июле 2007 года стандарт BS 7799,
Часть 2 выпущен ISO как стандарт
ISO 27001:2005.

11. Преимущества и недостатки внедрения СМИБ в соответствии со стандартами

Внедрение стандартов обеспечения
ИБ, дает преимущества:
приобщение к лучшим мировым и
отечественным практикам;
упорядочение
бизнес-процессов
организации в рамках предметной
области стандарта и более строгое
их исполнение сотрудниками.

12. Недостатки стандартизации

Излишняя
формализация
деятельности;
Бюрократизация;
Возрастающая нагрузка на
исполнителей и аудиторов;
Несовершенство стандартов.

13. Вопрос 2: «Основные стандарты по управлению ИБ»

Стандарт
ISO/IEC
Описание
27000
Обзор и словарь
27001
Системы менеджмента информационной безопасности Требования
27002
Свод правил по менеджменту информационной безопасности
27003
Руководство по внедрению системы менеджмента
информационной безопасности
27004
Менеджмент информационной безопасности – Измерения
27005
Менеджмент рисков
27006
Требования к органам аудита и сертификации

14. НАЦИОНАЛЬНЫЕ СТАНДАРТЫ РФ

ГОСТ Р ИСО/МЭК 27000-2012 Информационная
технология. Методы и средства обеспечения
безопасности. Системы менеджмента
информационной безопасности. Общий обзор и
терминология
ГОСТ Р ИСО/МЭК 27001-2006 Системы менеджмента
информационной безопасности. Требования
ГОСТ Р ИСО/МЭК 27002-2012 Свод норм и правил
менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27003-2012 Системы менеджмента
информационной безопасности. Руководство по
реализации системы менеджмента информационной
безопасности

15.

ГОСТ Р ИСО/МЭК 27004-2011 Менеджмент
информационной безопасности. Измерения
ГОСТ Р ИСО/МЭК 27005-2010. Менеджмент
риска информационной безопасности
ГОСТ Р ИСО/МЭК 27006-2008. Требования к
органам, осуществляющим аудит и
сертификацию систем менеджмента
информационной безопасности
ГОСТ Р ИСО/МЭК 27007-2014 Руководства по
аудиту систем менеджмента ИБ.

16.

ГОСТ Р ИСО/МЭК 27011-2012 Руководства по
менеджменту ИБ для телекоммуникационных
организаций на основе ИСО/МЭК 27002.
ГОСТ Р ИСО/МЭК 27031-2012 Руководство по
готовности информационно-коммуникационных
технологий к обеспечению непрерывности бизнеса.
ГОСТ Р ИСО/МЭК 27033-2011 Безопасность сетей.
ГОСТ Р ИСО/МЭК 27037-2014 Руководства по
идентификации, сбору, получению и хранению
свидетельств, представленных в цифровой форме.
ГОСТ Р ИСО/МЭК 27013-2014 Руководство по
совместному использованию стандартов ИСО/МЭК
27001 и ИСО/МЭК 20000-1.

17. ГОСТ Р 54472-2011

ISO 27799:2008 Health informatics
- Information security management
in health using ISO/IEC 27002
ГОСТ Р 54472-2011
Информатизация здоровья.
Передача электронных
медицинских карт. Часть 4.
Безопасность

18. Система управления ИБ на основе стандарта ISO 27001 для предприятия позволяет:

Сделать
большинство
информационных
активов
наиболее
понятными
для
менеджмента компании;
Выявлять основные угрозы безопасности для
существующих бизнес-процессов;
Рассчитывать риски и принимать решения на
основе бизнес-целей компании;
Обеспечить
эффективное
управление
системой в критичных ситуациях;
Находить
и исправлять слабые места в
системе ИБ).

19.

Определить
личную ответственность.
Достигнуть
снижения
и
оптимизации
стоимости поддержки системы безопасности.
Продемонстрировать
клиентам, партнерам,
владельцам бизнеса свою приверженность к
информационной безопасности.
Получить
международное
признание
и
повышение авторитета компании, как на
внутреннем рынке, так и на внешних рынках
Подчеркнуть прозрачность и чистоту бизнеса
перед законом благодаря соответствию
стандарту.

20. Стандарт ISO 27001

Требования имеют общий характер и могут
быть
использованы
широким
кругом
организаций.
По стандарту проводится официальная
сертификация СУИБ.
Сертификация позволяет показать деловым
партнерам, инвесторам и клиентам, что в
компании защита информации поставлена на
высокий уровень и налажено эффективное
управление информационной безопасностью.

21. Стандарт ISO 27002

Свод
правил и рекомендаций по
управлению системой безопасности
для тех, кто отвечает за ее создание,
реализацию или обслуживание.
Перечислены
меры
и
средства
контроля и управления, как и в ISO
27001, но уже вместе с детальным
объяснением передового опыта их
реализации.

22. Достоинства ISO 27001-27002

Гибкость
и универсальность.
Набор лучших практик применим к
любой организации, независимо от
формы
собственности,
вида
деятельности, размера и внешних
условий.
Помогает
определить
верное
направление и не упустить из виду
существенные моменты.

23. Недостатки ISO 27001

Является слишком абстрактным и
нечетко структурированным.
Недостаточно основательное его
применение может давать ложное
чувство защищенности.
Описывает меры по обеспечению
безопасности в общем виде, но не
говорит о технических аспектах их
реализации (USB-ключи, смарткарты, и т.п.)

24.

25.

26.

27. Вопрос 3: «Отраслевые стандарты и стандарты на отдельные процессы управления ИБ»

СТО
БР ИББС РФ;
Стандарты CoBiT
ISO\IEC 18044/18045;
Британские стандарты BS
25999/25777.

28. СТО БР ИББС

— комплекс документов Банка
России, описывающий единый подход к
построению
системы
обеспечения
ИБ
организаций банковской сферы с учётом
требований российского законодательства.
Цель - обеспечить повышение доверия ко всей
банковской системе РФ посредством установки
единых требований по обеспечению ИБ
кредитных организаций.
Разработан с учетом основных отечественных
и зарубежных стандартов в этой сфере.

29.

30.

31.

32.

33. Рекомендации в области стандартизации

Обеспечение ИБ организаций БС РФ.
Методические рекомендации по документации в
области обеспечения ИБ в соответствии с
требованиями СТО БР ИББС-1.0 (РС БР ИББС-2.02007)
Обеспечение ИБ организаций БС РФ. Руководство
по самооценке соответствия ИБ организаций
банковской системы РФ требованиям стандарта
СТО БР ИББС-1.0 (РС БР ИББС-2.1-2007)
Обеспечение ИБ организаций БС РФ. Методика
оценки рисков нарушения ИБ (РC БР ИББС-2.22009)

34. Рекомендации в области стандартизации

Обеспечение ИБ организаций БС РФ.
Менеджмент инцидентов
информационной безопасности (РС
БР ИББС-2.5-2014)
Обеспечение ИБ организаций БС РФ.
Обеспечение информационной
безопасности на стадиях
жизненного цикла
автоматизированных банковских
систем (РС БР ИББС-2.6-2014).

35. Рекомендации в области стандартизации 2015 г

Обеспечение ИБ организаций БС РФ.
Ресурсное обеспечение
информационной безопасности (РС
БР ИББС-2.7-2015)
Обеспечение ИБ организаций БС РФ.
Обеспечение информационной
безопасности при использовании
технологии виртуализации (РС БР
ИББС-2.8-2015)

36. РС по защите ПДн:

1. РС БР ИББС-2.3-2010. «Требования
по обеспечению безопасности ПДн в
ИСПДн организаций БС РФ».
2. РС БР ИББС-2.4-2010. «Отраслевая
частная модель угроз безопасности
ПДн при их обработке в ИСПДн
данных организаций БС РФ».

37. Преимущества СТО БР ИББС при организации защиты ПДн в РФ

Возможно
значительно минимизировать
количество ИСПДн и уменьшить расходы
на внедрение технических решений.
Согласно Методическим рекомендациям
по
выполнению
законодательных
требований
при
обработке
ПДн
в
организациях БС РФ, защищать нужно не
по требованиям защиты ПДн, а по
требованиям защиты банковской тайны.

38. Стандарты CoBiT

CoBiT
(Control
Objectives
for
Information and Related Technology
(«Задачи
информационных
и
смежных технологий») - пакет
открытых документов, около 40
международных и национальных
стандартов и руководств в области
управления
IT,
аудита
и
ITбезопасности.

39. Показатели эффективности CoBiT

Вводит показатели (метрики) для оценки
эффективности
реализации
системы
управления IT для аудиторов IT-систем.
Оцениваются
показатели
соответствия
компьютерной
IT-системы
принятым
стандартам и требованиям:
достоверность информации, действенность,
конфиденциальность,
целостность
и
доступность
обрабатываемой
в
системе
информации.

40. Реализация CoBiT в ИББС (пример)

БР ставит своей задачей соответствовать уровню
не ниже 4 "модели зрелости управления
информационными технологиями" в соответствии
с классификацией стандарта COBIT.
Четвертый уровень ("управляемый")
подразумевает, что:
обеспечиваются мониторинг и оценка соответствия
используемых в организации процессов.
при выявлении низкой эффективности реализуемых
процессов управления ИБ обеспечивается их оптимизация.
процессы управления ИБ находятся в стадии непрерывного
совершенствования и основываются на хорошей практике.
средства автоматизации управления ИБ используются
частично и в ограниченном объеме.

41. Стандарт ISO 18044

Стандарт ISO/IEC TR 18044:2004 (ГОСТ Р
ИСО/МЭК ТО 18044-2007) Информационная технология - Методы и
средства обеспечения безопасности –
Менеджмент инцидентов
информационной безопасности.
Предназначен
для
использования
организациями всех сфер деятельности
при
обеспечении
информационной
безопасности в процессе менеджмента
инцидентов.

42. Примеры инцидентов ИБ

1. Отказ в обслуживании (зондирование
сетевых адресов, полное заполнение сети
трафиком ответных сообщений, передача
данных в непредусмотренном формате,
одновременное открытие нескольких
сеансов с системой, сервисом, сетью).
2. Сбор информации (зондирование
системы, сканирование портов).
3. НСД (попытки извлечь файлы с паролями,
расширение привилегий).

43. Стандарт ISO 18045

ГОСТ Р ИСО/МЭК 18045-2013
Методология оценки безопасности
информационных технологий
Сопровождает ИСО/МЭК 15408
«Информационная технология – методы и
средства обеспечения безопасности –
критерии оценки безопасности
информационных технологий»

44. Британские стандарты серии BS 25999 и BS 25777

1.
BS 25999-1:2006, «Управление
непрерывностью бизнеса - Часть 1:
Практические правила»
Определяет
процесс,
принципы
и
терминологию в области управления
непрерывностью бизнеса.
Описывает набор механизмов контроля и
охватывает
весь
жизненный
цикл
процесса управления непрерывностью
бизнеса.

45. BS 25999-2:2007 «Управление непрерывностью бизнеса - Часть 2: Спецификация»

Устанавливает
требования
к
системе
управления
непрерывностью
бизнеса,
соблюдение которых может быть объективно
проверено.
Используя эти требования, компании могут
проводить оценку существующей системы
управления непрерывностью бизнеса, как
самостоятельно, так и привлекая внешних
консультантов.
На основании второй части стандарта
сертификационные
органы
выдают
заключение
о
соответствии
системы
управления
непрерывностью
бизнеса
требованиям стандарта BS 25999.

46. BS 25777:2008, "Управление непрерывностью информационных и коммуникационных технологий – Практические правила"

Разработан
на
базе
существующих
стандартов обеспечения непрерывности
бизнеса BS 25999 и дополняющей их
публичной спецификации PAS 77, - лучшая
мировая практика в области обеспечения
непрерывности ИТ сервисов.
Управление непрерывностью ИКТ
обеспечивает их жизнеспособность,
возможность их восстановления до заранее
определенного уровня в необходимые
сроки, согласованные с руководством
организации.

47. PAS 77:2006, "Управление непрерывностью ИТ сервисов"

Руководство
по управлению непрерывностью
ИТ
сервисов
объясняет
принципы
и
некоторые
рекомендуемые
методы
управления ИТ сервисами.
Предназначено для использования людьми,
ответственными
за
управление
непрерывностью
ИТ
сервисами
в
организации.
ГОСТ Р 53647.8-2013
Менеджмент непрерывности бизнеса.
Управление человеческими ресурсами

48. ISO/IEC 13335 (отменены)

ГОСТ Р ИСО/МЭК 13335-1-2006. «ИТ. Методы и
средства обеспечения безопасности. Концепция и
модели менеджмента безопасности ИТ технологий».
ГОСТ Р ИСО/МЭК 13335-3 2007 «ИТ. Методы и
средства обеспечения безопасности. Методы
менеджмента безопасности информационных
технологий»
ГОСТ Р ИСО/МЭК 13335-4 2007«ИТ. Методы и
средства обеспечения безопасности. Выбор
защитных мер».
ГОСТ Р ИСО/МЭК 13335-5 2007«ИТ. Методы и
средства обеспечения безопасности. Руководство по
менеджменту безопасности сети».