2.2. Характеристики стандартов, относящихся к управлению ИБ


Стандарты Германии
Проблематикой СУИБ занимается и Федеральное агентство по ИБ правительства Федеративной Республики Германии BSI (Bundesamt fur Sicherheit in der Informationstechnik), которое является одним из признанных разработчиков решений в области ИБ, предоставляющим бесплатный доступ к своим документам через сайт BSI [www.bsi.bund.de].
Агентство разработало и регулярно обновляет четыре стандарта в области ОИБ [19], [20], [21], [22]:
1. BSI-Standard 100-1 «Information Security Management Systems» содержит общие требования к СУИБ.
2. BSI-Standard 100-2 «IT-Grundschutz Methodology» освещает вопросы поэтапного построения СУИБ и ее дальнейшего использования на практике и содержит подробные руководства по ОИБ применительно к различным аспектам функционирования ИС и различным областям ИТ. В стандарте выделяются функции СУИБ и организационная структура ОИБ, даются подробные практические рекомендации по разработки политики ИБ и выбору защитных мер, а также рассматриваются сопровождение и усовершенствование деятельности по ОИБ в повседневной практике организации.
3. BSI-Standard 100-3 «Risk Analysis based on IT-Grundschutz» посвящен анализу рисков ИБ на основе методики IT-Grundschutz.
4. BSI-Standard 100-4 «Business Continuity Management» рассматривает вопросы управления непрерывностью бизнеса (УНБ).

---

Стандарт ISO/IEC 27000:2012 – термины, относящиеся к ОИБ
Международный стандарт ISO/IEC 27000:2012 «Information technology. Security techniques. Information security management systems. Overview and vocabulary» (Информационная технология. Методы и средства обеспечения безопасности. Обзор и основные термины) содержит термины и определения, которые используются во всех стандартах серии 27000 [8].
Основная цель второй редакции стандарта ISO/IEC 27000:2012 (первая вышла в 2009 г.) – подробное описание основных принципов, концепций и определений для серии 27000, регламентирующих все то, что связано с СУИБ.





Определения из стандарта ISO/IEC 27000:2012

Международный стандарт ISO/IEC 27000:2012 определил понятие термина СУИБ следующим образом [8]:

СУИБ — часть общей системы управления, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, сопровождения (поддержания) и совершенствования (улучшения) ИБ.
При этом
ИБ – сохранение конфиденциальности, целостности и доступности информации (дополнительно могут включаться аутентичность, учетность, неотказуемость и надежность);
система управления – совокупность политик, процедур, руководящих принципов и ресурсов, необходимых для достижения бизнес-целей организации.

В стандарте определены модель и структура СУИБ.
Модель основана на защите информационных активов организации, направленной на достижение ее бизнес-целей на базе оценки рисков с установлением уровня приемлемых для организации рисков, отражающих эффективное устранение и управление рисками.
В структуру СУИБ стандарт включает организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

При разработке стандарта ISO/IEC 27000:2012 были учтены основные положения следующих документов:
ISO/IEC Guide 2:1996 «Стандартизация и смежная деятельность. Основные определения»;
ISO/IEC Guide 73:2002 «Управление рисками. Определения. Рекомендации по использованию в стандартах»,
а также проведена унификация со стандартами COBIT и ITIL.

В России в 2009 г. была подготовлена первая редакция проекта национального стандарта ГОСТ Р ИСО/МЭК 27000–201х, идентичного первой редакции стандарта ISO/IEC 27000:2009.

---

Стандарты ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 27001–2006 – требования к СУИБ
Международный стандарт ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements» (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента ИБ. Требования) [23] содержит модель жизненного цикла СУИБ, т.е. ее создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования.

В России принят ГОСТ Р ИСО/МЭК 27001–2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» [6], идентичный международному стандарту ISO/IEC 27001:2005. Поэтому далее рассмотрены особенности только национального стандарта.

Основным объектом рассмотрения стандарта является система менеджмента ИБ (в контексте ЭОК называемая СУИБ, как это было оговорено ранее). Целью построения такой системы является выбор соответствующих мер управления ИБ, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.



Применение стандартов ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 27001–2006 (1)

Применение этих стандартов позволяет на основе процессного подхода управлять конфиденциальностью, целостностью и доступностью важного информационного актива организации – информации, и может с одинаковым успехом применяться в различных организациях.
ГОСТ Р ИСО/МЭК 27001–2006 может использоваться для защиты любых видов информации, включая финансовую, персональные данные, информацию по поставщикам и клиентам, другие данные компании и, что немаловажно, информацию, принадлежащую ее партнёрам/клиентам – всё, что является значимым информационным активом, и всё, что подвержено угрозам ИБ.
Требования стандарта не накладывают каких-либо технических требований на ИТ-средства или СЗИ – стандарт не устанавливает ограничения на выбор программно-аппаратных средств и оставляет организации полную свободу выбора технических решений по защите информации.
Таким образом, основную цель ГОСТ Р ИСО/МЭК 27001–2006 можно сформулировать как создание общей методологии разработки, внедрения и оценки эффективности СУИБ.

---

Решение о создании СУИБ является стратегическим решением организации. На проектирование и внедрение СУИБ оказывают влияние потребности и бизнес-цели организации, используемые бизнес-процессы, а также ее структура и размер, что, в свою очередь, ведет к выработке конкретных требований по обеспечению безопасности в широком смысле ее понимания.
СУИБ объединяет воедино людей, процессы и ИТ-системы, а также обеспечивает согласованную работу служб

Применение стандартов ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 27001–2006 (2)

При использовании СУИБ реализуется системный подход к управлению «чувствительной» (англ. sensitive) для организации информацией с целью обеспечения её конфиденциальности, целостности и доступности. В связи с этим особую значимость приобретают следующие факторы:
· понимание требований по ОИБ организации и необходимости установления политики и целей ОИБ;
· внедрение и использование мер по управлению рисками ИБ наряду с общими бизнес-рисками организации;
· мониторинг и проверка эффективности СУИБ;
· непрерывное улучшение СУИБ, основанное на результатах объективных измерений.
Начиная с 2005 г. к августу 2011 г. более 7300 организаций во всем мире успешно прошли официальные процедуры сертификации своей СУИБ по требованиям ISO/IEC 27001:2005 и еще сотни тысяч организаций активно внедряют международные стандарты серии 27000 без прохождения официальных процедур сертификации [www.iso27001security.com].
Сертифицируя СУИБ на соответствие стандарту ISO/IEC 27001:2005, организация демонстрирует своим партнерам применение проверенного международными компаниями методологического подхода к ОИБ, показывает прочность и стабильность своего положения, повышает степень доверия инвестиционных и страховых компаний. Следование требованиям стандарта позволяет существенно повысить прозрачность и защищенность внутренних процессов. Несмотря на рекомендательный статус стандарта ISO/IEC 27001, правительства ряда стран поддерживают его на государственном уровне.
27001
В настоящее время стандарт ISO/IEC 27001:2005 пересматривается и в ближайшее время ожидается выход его обновленной редакции.

Стандарты ISO/IEC 27002:2005 и ГОСТ Р ИСО/МЭК 17799–2005 – практические правила управления ИБ

Национальный стандарт ГОСТ Р ИСО/МЭК 17799–2005 «Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью» [5] непосредственно связан с международным стандартам ISO/IEC 17799:2000 «Information technology. Security techniques. Code of practice for information security management» (Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления ИБ) и первой частью британского стандарта BS 7799, который предназначен для управления ИБ организации вне зависимости от сферы ее деятельности.

---

В России стандарт ISO/IEC 17799:2000 начал активно применяться на практике экспертами в области управления ИБ начиная с 2001–2002 гг., а в 2005 г. был принят ГОСТ Р ИСО/МЭК 17799–2005, идентичный ISO/IEC 17799:2000.

Вторая редакция стандарта ISO/IEC 17799:2005 включена в серию стандартов 27000, не претерпев существенных изменений и получив номер ISO/IEC 27002:2005. Международный стандарт менеджмента ИБ 27002:2005 «Information technology. Security techniques. Code of practice for information security management» (Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления ИБ) [24] разработан также на базе первой части британского стандарта BS 7799.

В настоящее время стандарт ISO/IEC 27002:2005 пересматривается и в ближайшее время ожидается выход его обновленной редакции.

Стандарт ГОСТ Р ИСО/МЭК 17799–2005 – практические правила управления ИБ

ГОСТ Р ИСО/МЭК 17799–2005 является совокупностью практических правил по управлению ИБ и может быть использован в качестве критериев для оценки механизмов безопасности, а также для разработки нормативных документов организации, относящихся к ОИБ.

В соответствии со стандартом при создании эффективной СОИБ особое внимание следует уделить комплексному подходу к управлению ИБ. По этим причинам в качестве средств управления рассматриваются не только технические, но и организационно-административные меры, направленные на обеспечение следующих требований к информации: конфиденциальность, целостность, доступность, аутентичность.
Самое понятие «средство управления» (англ. control) наиболее полно раскрыто в [8] как средство управления рисками, включая политики, процедуры, руководства, практики или организационные структуры, которые могут носить административный, технический, управленческий или правовой характер.

ГОСТ Р ИСО/МЭК 17799–2005 не является техническим стандартом и не зависит от конкретных средств защиты или технологий. Он описывает концептуальные основы управления ИБ и является признанным набором «лучших практик» по ОИБ.

Стандарт ГОСТ Р ИСО/МЭК 17799–2005 — структура




Стандарт ГОСТ Р ИСО/МЭК 17799–2005 – структура девятого раздела

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx