Стандарты ISO/IEC 27035:2011 и ГОСТ Р ИСО/МЭК ТО 18044–2007 – управление инцидентами (1)
Никакие типовые ПолИБ или методы и средства ОИБ не могут гарантировать полную защиту информации, ИС, сервисов или сетей. Средства управления ИБ еще несовершенны и независимо от их форм могут быть на практике невыполнимы вообще, недостаточны или полностью отсутствовать. Даже превентивные защитные меры не могут предусмотреть заранее все, и поэтому не вполне надежны. После внедрения защитных мер с большой долей вероятности останутся уязвимости, которые могут сделать ОИБ неэффективным, и, следовательно, способствовать реализации инциденты ИБ, оказывающих прямое или косвенное негативное воздействие на бизнес организации. Кроме этого, в динамически изменяющемся современном мире будут неизбежно выявляться новые, ранее неизвестные угрозы ИБ. Поэтому недостаточная подготовка организации к обработке таких инцидентов делает практическую реакцию на инциденты ИБ малоэффективной, и это увеличивает ущерб для ее бизнеса.
Управление инцидентами ИБ успешно сочетает детективные и корректирующие защитные меры, которые, минимизируя негативные последствия инцидентов, по возможности позволяют собрать доказательства для дальнейшего расследования и извлечь уроки, улучшив СУИБ, особенно за счет внедрения превентивных мер.
Инциденты ИБ обычно основаны на использовании ранее невыявленных и/или неконтролируемых уязвимостей, поэтому установка обновлений к ИС, устранение слабых мест в различных процедурах и прочее – это действия и превентивные и корректирующие одновременно.
Стандарт ISO/IEC 27035:2011 «Information technology. Security techniques. Information security incident management» (Информационная технология. Методы и средства обеспечения безопасности. Управление инцидентами ИБ) [56] является достаточно емким нормативным документом. Он всесторонне рассматривает управление как уязвимостями (англ. vulnerability management), так и инцидентами ИБ, а также приводит шаблоны для подготовки отчетов по событиям, инцидентам ИБ и уязвимостям.

Стандарты ISO/IEC 27035:2011 и ГОСТ Р ИСО/МЭК ТО 18044–2007 – управление инцидентами (2)
Стандарт ISO/IEC 27035:2011 заменяет стандарт (технический отчет) ISO/IEC TR 18044:2004 «Information technology. Security techniques. Information security incident management» (Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов ИБ) [57], который определял формальную модель процессов управления инцидентами ИБ и устанавливал рекомендации по управлению инцидентами ИБ для руководителей подразделения ИБ, ИС, сервисов и сетей.

---

В России был принят идентичный ISO/IEC TR 18044:2004 ГОСТ Р ИСО/МЭК ТО 18044–2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» [58].


Стандарт ISO/IEC 27035:2011 содержит структурированный и планомерный подход к:
· обнаружению, составлению отчетов и оценке инцидентов ИБ;
· осуществлению ответной реакции и управлению инцидентами ИБ;
· обнаружению, оценке и устранению уязвимостей;
· постоянному улучшению управления ИБ и инцидентами ИБ.
Стандарт ISO/IEC 27035:2011:

· рассматривает основы управления инцидентами ИБ, примеры инцидентов ИБ и причины их возникновения;

· дает рекомендации по необходимым ресурсам и процедурам;
· содержит (в приложениях) примерные формы отчетов о событиях и инцидентах ИБ и некоторые примерные общие рекомендации для оценки негативных последствий инцидентов ИБ, включаемых в формы отчетов.
Стандарты ISO/IEC 27035:2011 и ГОСТ Р ИСО/МЭК ТО 18044–2007 – управление инцидентами (3)
В ISO/IEC 27035:2011 после освещения основ управления инцидентами ИБ, его преимуществ и ключевых вопросов, некоторых примеров инцидентов ИБ и причин их возникновения процесс управления инцидентами ИБ рассматривается как включающий несколько подпроцессов:

· планирование и подготовка к обработке инцидентов ИБ, включая составление документов, поддерживающих управление инцидентами;

· обнаружение/идентификация и подготовка отчета по инциденту ИБ;

· оценка инцидента и принятие решений по инциденту ИБ;

· ответная реакция на инцидент ИБ;

· извлечение уроков из инцидента ИБ.
В ISO/IEC 27035:2011 и ГОСТ Р ИСО/МЭК ТО 18044–2007 описание процессов управления инцидентами ИБ, как и в стандарте ISO/IEC 27001, основано на использовании циклической модели PDCA. Поэтому при разработке процесса управления инцидентами ИБ возможно связать требования ISO/IEC 27001 и представленную модель управления инцидентами ИБ и создать процесс, полностью удовлетворяющий требованиям ISO/IEC 27001.
Целями следования этой модели является обеспечение уверенности в том, что:

---

· события и инциденты ИБ выявляются и обрабатываются эффективным образом, в особенности в части классификации событий ИБ;

· выявленные в организации инциденты ИБ учитываются и обрабатываются наиболее подходящим и эффективным для них образом;

· последствия инцидентов ИБ могут быть минимизированы в процессе реагирования на инциденты, возможно с привлечением процессов ОНБ;

· за счет анализа событий и инцидентов ИБ повышается вероятность предотвращения инцидентов в будущем, улучшаются механизмы и процессы ОИБ.

Стандарты ISO/IEC 27035:2011 и ГОСТ Р ИСО/МЭК ТО 18044–2007 – управление инцидентами (3)
В настоящее время находятся в разработке три части обновленного стандарта ISO/IEC 27035, которые после своего выхода заменят его:
ISO/IEC WD 27035-1 «Information technology. Security techniques. Information security incident management. Part 1: Principles of incident management» (Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов ИБ. Часть 1: Принципы управления инцидентами);
ISO/IEC WD 27035-2 «Information technology. Security techniques. Information security incident management. Part 2: Guidelines for incident response readiness» (Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов ИБ. Часть 2: Руководство по готовности к реагированию на инциденты);
ISO/IEC WD 27035-3 «Information technology. Security techniques. Information security incident management. Part 3: Guidelines for CSIRT operations» (Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов ИБ. Часть 3: Руководство для работы группы реагирования на инциденты ИБ (ГРИИБ)).
Кроме этого обсуждается и готовится к выпуску стандарт ISO/IEC 27044 «Information technology. Security techniques. Guidelines for Security Information and Event Management (SIEM)», посвященный системам управления информацией и событиями безопасности – SIEM-системам.
Стандарт ISO/IEC 27036 – ИБ в отношениях с поставщиками (1)
Готовится к выпуску состоящий из четырех частей стандарт ISO/IEC 27036 «IT Security. Security techniques. Information security for supplier relationships» (Информационная технология. Методы и средства обеспечения безопасности. ИБ в отношениях с поставщиками), содержащий руководство по оценке и снижению рисков ИБ, связанных с приобретением/получением и использованием информации или информационно-телекоммуникационных сервисов, предоставляемых другими организациями. Эти риски ИБ могут быть вызваны отданными на аутсорсинг процессами и продуктами обработки информации, подразумевающими совместную ответственность за ОИБ.
Пока не вышли, но ожидаются 4 части стандарта.

---

Первая часть ISO/IEC 27036–1 «Overview and concepts» перечисляет все последующие части стандарта, дает общий анализ проблематики и вводит ключевые термины и концепции для дальнейшего рассмотрения вопросов ОИБ при взаимодействии потребителей и поставщиков. В ней перечисляются некоторые риски ИБ, обычно возникающие при взаимодействии потребителей и поставщиков.
Вторая часть ISO/IEC 27036–2 «Requirements» определяет общие требования по ОИБ, соблюдение которых необходимо при установлении, реализации, использовании, мониторинге, анализе, поддержании и усовершенствовании отношений с поставщиками в интересах потребителей для снижения бизнес-рисков обеих сторон.
Третья часть ISO/IEC 27036–3 «Guidelines for ICT supply chain security» будет охватывать все аспекты управления рисками для ИТТ, включая ПО, АО и сервисы, с точки зрения и поставщика и потребителя. При этом управление рисками должно быть интегрировано с процессами всего жизненного цикла систем и ПО.
Четвертая часть ISO/IEC 27036–4 «Guidelines for security of cloud services» должна учесть специфику облачных вычислений, поскольку их можно рассматривать как аутсорсинг информационных процессов внешними поставщиками, работающими в «облаке». Она должна способствовать поддержанию прозрачности и управляемости рисков ИБ, связанных с облачными сервисами.
Стандарт ISO/IEC 27037:2012 – руководство по идентификации, сбору и/или получению и обеспечению сохранности свидетельств, представленных в электронной форме (1)
Стандарт ISO/IEC 27037:2012 «Information technology. Security techniques. Guidelines for identification, collection and/or acquisition and preservation of digital evidence» (Информационная технология. Методы и средства обеспечения безопасности [59]. Руководство по идентификации, сбору и/или получению и обеспечению сохранности свидетельств, представленных в электронной форме) предоставляет собой руководство по сбору и сохранению доказательств компьютерных преступлений, представленных в электронной форме. В стандарте сформулированы требования к планированию, внедрению, оперативному использованию, мониторингу и совершенствованию систем управления электронной информацией, применяемых организацией, и к процессам электронной передачи информации из

---

одной компьютерной системы в другую, в связи с задачей обеспечения целостности и аутентичности электронной информации.
Область знаний, посвященная сбору доказательств для последующего расследования компьютерного преступления, в англоязычной литературе называется компьютерной форензикой (англ. computer forensics). В российских публикациях по данной теме чаще всего используется термин «технико-криминалистическая экспертиза» (ТКЭ). Наиболее критичными аспектами проведения ТКЭ являются сбор и сохранение доказательств, которые должны проводиться таким образом, что обеспечить их целостность. Как и при сборе обычных физических доказательств, для определения первых и всех промежуточных звеньев совершения преступления решающее значение имеет забота о последовательном сохранении всех доказательств, представленных в электронной форме (англ. digital evidence). Это гарантирует, что они собирались и защищались с помощью строго структурированных процессов, признаваемых судами. Необходимо не просто обеспечивая целостность, такие процессы должны еще гарантировать, что с доказательствами ничего не произойдет и в будущем. Для этого требуется соблюдение или даже превышение базового уровня защиты доказательств.
Доказательства в электронной форме как информация, которая может быть представлена в суде, порождается любым электронным хранилищем (базой) или средствами связи (например, мобильный телефон, компьютер, медиа-проигрыватель, консоль видеоигры и т.д.). По своей природе она очень непрочна, поскольку может быть легко уничтожена или изменена в случае недолжного обращения по неосторожности или со злым умыслом.
Недавние международные инициативы, такие как «Конвенция о киберпреступности», продемонстрировали, что международное сообщество признает важность совершенствования и совместного использования лучших практик в области доказательств, представленных в электронной форме.


Стандарт ISO/IEC 27037:2012 – руководство по идентификации, сбору и/или получению и обеспечению сохранности свидетельств, представленных в электронной форме (2)

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx