Файл: Конспект по книге Управление Информационной Безопастностью.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 375
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
· оценку безопасности ИТ, основанную на моделях системы безопасности, состоящих из перечисленных функций.
В стандарте содержится ряд предопределенных моделей – профилей защиты, описывающих стандартные модули системы безопасности, например, для систем управления базами данных (СУБД) или МЭ. Для профиля защиты определяются следующие характеристики: область применения; уровень надежности; статус сертификации.
Сертифицированный профиль представляет собой полное описание определенной части (или функции) системы безопасности. В нем содержится анализ внутренней и внешней среды объекта, требования к его функциональности и надежности, логическое обоснование его использования, возможности и ограничения развития объекта.
Также вводятся два основных вида требований безопасности:
· функциональные, предъявляемые к функциям безопасности и реализующим их механизмам;
· требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.
Требования безопасности объекта оценки определяются исходя из целей безопасности, которые, в свою очередь, основываются на анализе назначения объекта оценки и условий среды его использования (угроз, предположений, ПолИБ).
Стандарты ISO/IEC 18045:2008 и ГОСТ Р ИСО/МЭК 18045–2008 – методология оценки безопасности ИТ
Еще один стандарт, посвященный данной тематике – ISO/IEC 18045:2008 «Information technology. Security techniques. Methodology for IT security evaluation» [69] и идентичный ему ГОСТ Р ИСО/МЭК 18045–2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности ИТ» [70], применяемый совместно с ГОСТ Р ИСО/МЭК 15408.
Стандарты ISO 19011:2011 и ГОСТ Р ИСО 19011–2003 – рекомендации по аудиту систем менеджмента (1)
Международные стандарты ISO серий 9000 (качество) и 14000 (экология, окружающая среда) придают особое значение аудитам в составе деятельности, относящейся к управлению, обеспечивающим проверку результативности внедрения политики организации в области менеджмента качества и/или окружающей среды (последние системы иногда называются системами экологического менеджмента). Аудиты являются важной составляющей деятельности по оценке соответствия при сертификации/регистрации, оценке провайдеров
, инспекционном контроле.
В конце 2011 г. вышла вторая редакция стандарта ISO 19011:2011 «Guidelines for auditing management systems» (Руководство по аудиту систем менеджмента) [71]. По сравнению с первой редакцией 2002 г., применявшейся только к стандартам ISO 9001 и ISO 14001, область действия ISO 19011:2011 расширилась и отразила современные точки зрения на проведение внешних и внутренних аудитов в соответствии с многочисленными существующими стандартами для систем менеджмента. Особое внимание уделено разработке, реализации и управлению программой аудита – при строгом соблюдении рекомендаций будут обеспечены все необходимые предпосылки для того, чтобы сделать аудит важнейшим инструментом достижения бизнес-целей организации.
Стандарты ISO 19011:2011 и ГОСТ Р ИСО 19011–2003 – рекомендации по аудиту систем менеджмента (2)
В разделе ГОСТ Р ИСО 19011–2003 по управлению программой аудитов рассматриваются следующие вопросы: определение цели программы аудитов; определение объема программы аудитов; ответственность, ресурсы и процедуры программы аудитов; внедрение программы аудитов (информирование заинтересованных сторон, координация и подготовка графика аудитов, квалификация аудиторов и выбор аудиторских групп, предоставление необходимых ресурсов, поддержание протоколов (регистрационных записей); мониторинг и анализ программы аудитов.
Для процесса проведения аудитов описываются такие подпроцессы, как инициализация аудита (назначение ведущего аудитора группы, определение целей, критериев и объема аудита, оценка осуществимости аудита, выбор аудиторской группы и установление начальных контактов); подготовка к аудиту (предварительный анализ документации; подготовка плана аудита и распределение обязанностей в группе, подготовка рабочих документов); проведение аудита на месте (вступительное совещание, общение в ходе аудита, сопровождающие и наблюдатели, сбор и проверка информации, выработка наблюдений аудита, подготовка заключений по результатам аудита, заключительное совещание); подготовка, утверждение и распространение отчета по аудиту, завершение аудита; проведение последующих действий.
Стандарт ГОСТ Р 53647 – УНБ
ОНБ в случае глобального инцидента или локального сбоя является одним из основных требований к организации в рамках эксплуатации СУИБ. Кроме уже упомянутых BS 25999 среди национальных стандартов Великобритании есть два, посвященных вопросам ОНБ: BIP 2142:2007 «The Route Map to Business Continuity Management: Meeting the requirements of BS 25999» (Маршрутная карта менеджмента непрерывности бизнеса. Внедрение требований BS 25999) и BIP 2151:2008 «Auditing Business Continuity Management Plans» (Аудит планов в области непрерывности бизнеса). Во всех названных стандартах под УНБ понимается целостный процесс управления, в ходе которого выявляются потенциальные угрозы и определяются возможные последствия в случае их осуществления для организации, а также создается основа обеспечения способности организации восстанавливаться и эффективно реагировать на инциденты. Такой подход гарантирует соблюдение интересов основных причастных сторон, сохранение репутации и дальнейшего функционирования организации в целом. УНБ включает управление восстановлением и продолжением деятельности в случае нарушения нормального хода бизнеса, управление общей программой УНБ посредством проведения обучения и повышения осведомленности персонала, а также анализ с целью поддержания планов ОНБ в актуальном состоянии.
В 2009 г. в России на основе британских стандартов вышли три документа [73], [74], [75]:
2.4. Отраслевые стандарты в области управления ИБ – стандарты Банка России
Комплекс документов Банка России – ОИБ в организациях банковской системы Российской Федерации (1)
Деятельность организаций банковской сферы находится под пристальным вниманием злоумышленников. Банки ежедневно сталкиваются с инцидентами ИБ и несут ощутимые потери от нарушения ИБ их активов, что приводит к нарушению их основных бизнес-процессов. Таким образом, решение проблем ОИБ относится к актуальным задачам для организаций банковской системы (БС) Российской Федерации (РФ).
Комплекс документов Банка России – обеспечение ИБ в организациях БС РФ (2)
Деятельность, относящаяся к ОИБ в организациях БС РФ, должна контролироваться путем регулярного проведения оценки уровня ИБ, рисков ИБ и принятия мер, необходимых для управления этими рисками. Для этих целей был разработан комплекс документов, положенный в основу стандартизации обеспечения и управления ИБ для организаций БС РФ.
Комплекс документов Банка России – обеспечение ИБ в организациях БС РФ (3)
Комплекс документов по обеспечению и управлению ИБ организаций БС РФ состоит из отраслевых стандартов (СТО) и рекомендаций в области стандартизации (РС).
Комплекс документов Банка России – обеспечение ИБ в организациях БС РФ (4)
Комплекс документов по обеспечению и управлению ИБ организаций БС РФ состоит из отраслевых стандартов (СТО) и рекомендаций в области стандартизации (РС).
Стандарт Банка России СТО БР ИББС-1.0 – общие положения в области ОИБ организаций БС РФ (1)
Стандарт СТО БР ИББС-1.0 является базовым для Комплекса документов Банка России ИББС. С момента выхода в 2004 г. первой редакции стандарт претерпел ряд изменений и постоянно обновляется по результатам его применения. В настоящее время действует четвертая редакция стандарта.
В СТО БР ИББС-1.0–2010 СУИБ, называемая в стандарте СМИБ, определяется как часть менеджмента организации БС РФ, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования СОИБ.
СОИБ организации БС РФ – совокупность ее СМИБ и системы ИБ (СИБ). СИБ, в свою очередь, это совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.
Процессы СМИБ сгруппированы в виде циклической модели PDCA: «планирование – реализация – проверка – совершенствование».
Стандарт Банка России СТО БР ИББС-1.0 – общие положения в области ОИБ организаций БС РФ (2)
В СТО БР ИББС-1.0 отмечается, что для успешного функционирования СМИБ в организации БС РФ следует выполнить требования к следующим видам деятельности:
Стандарт Банка России СТО БР ИББС-1.1 – аудит ИБ (1)
Стандарт Банка России СТО БР ИББС-1.1 распространяется на организации БС РФ, а также на организации, проводящие аудит ИБ организации БС РФ, и устанавливает требования к проведению внешнего аудита ИБ организаций БС РФ.
Одним из условий реализации целей деятельности организаций БС РФ является обеспечение необходимого и достаточного уровня их ИБ. Уровень ИБ считается высоким, если процессы СОИБ проводятся осознанно на основе прогноза, мониторинга и анализа внутренней и внешней среды, развития и изменения целей бизнеса (деятельности) организации.
Основным из видов проверки уровня ИБ является аудит ИБ – систематический, независимый и документируемый процесс получения свидетельств аудита деятельности организации по ОИБ и установления степени выполнения в организации установленных критериев аудита ИБ, проводимый внешней по отношению к проверяемой независимой проверяющей организацией.
Оценка соответствия ИБ критериям аудита ИБ проводится на основе документов по ОИБ и фактов, свидетельствующих о выполнении, частичном выполнении или невыполнении установленных требований по ОИБ.
Основными целями аудита ИБ как важнейшего процесса в непрерывном цикле процессов управления ИБ организации являются:
· повышение доверия к этим организациям;
· оценка соответствия ИБ организаций критериям аудита ИБ, установленным согласно требованиям СТО БР ИББС-1.0.
Данный стандарт провозглашает основные принципы проведения аудита ИБ организаций БС РФ, такие как независимость аудита ИБ, полнота аудита ИБ, оценка на основе свидетельств аудита ИБ, достоверность свидетельств аудита ИБ, компетентность и этичность поведения. Эти принципы, как и другие положения и требования, изложенные в рассматриваемом стандарте, применимы при проведении аудита ИБ любых других организаций, работающих в других отраслях.