Файл: Конспект по книге Управление Информационной Безопастностью.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 383
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Ниже приводится структура девятого раздела ГОСТ Р ИСО/МЭК 17799–2005 как пример тщательной отработки проблемы контроля доступа:
Стандарт ISO/IEC 27003:2010 – руководство по внедрению СУИБ
Стандарт ISO/IEC 27003:2010 «Information Technology. Security Techniques. Information Security Management Systems Implementation Guidance» (Информационная технология. Методы и средства обеспечения безопасности. Руководство по внедрению СУИБ) [25] является общим руководством по практическому применению стандартов серии 27000 и базируется на ISO/IEC 27000 и 27001, которые полезны для всех организаций, независимо от их размера, типа, сферы деятельности, сложности и имеющихся рисков ИБ. Основным результатом применения стандарта является разработанный план внедрения проекта СУИБ в организации.
Основная цель стандарта – помощь при проектировании такой СУИБ, на основе которой риски ИБ для информационных активов поддерживаются в пределах приемлемых границ, с учетом реализации требований, предъявляемых к СУИБ в ISO/IEC 27001. ISO/IEC 27003:2010 не рассматривает функционирование СУИБ, а описывает только стадии проектирования деятельности, которая начнет осуществляться после создания СУИБ. Процесс разработки спецификации и проектирования СУИБ рассмотрен с самого начала, включая:
1) поддержку со стороны руководства организации;
2) установление целей и приоритетов внедрения СУИБ, границ ее действия и политики использования;
3) анализ требований по ОИБ и требований к процессам, поддерживаемым СУИБ, с идентификацией защищаемых активов и критериев оценки ИБ;
4) оценку рисков ИБ и их снижение (процесс управления рисками ИБ).
Оценка рисков ИБ должна проводиться, начиная с определения требований к СУИБ и к средствам управления до внедрения СУИБ. В данном случае можно выделить:
· стадии проектирования СУИБ;
· проектирование организации ОИБ;
· проектирование обеспечения защиты ИТ и физической безопасности;
· учет некоторых других аспектов использования СУИБ;
· разработку окончательного плана проектирования СУИБ.
В приложениях к стандарту представлены роли и обязанности сотрудников организации по ОИБ, дана информация по внутреннему аудиту ИБ, структуре ПолИБ и процессам мониторинга и измерения результативности функционирования СУИБ.
В 2012 г. был принят национальный стандарт ГОСТ Р ИСО/МЭК 27003–2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности», идентичный ISO/IEC 27003:2010.
Стандарт BS 7799–3:2006 – управление рисками ИБ (1)
Британский стандарт BS 7799–3:2006 «Information security management systems. Part 3: Guidelines for information security risk management» (Системы менеджмента ИБ. Руководство по управлению рисками ИБ) [26] определяет процессы оценки и управления рисками ИБ как составные элементы системы управления организации. При этом используется циклическая модель PDCA.
BS 7799–3:2006 носит концептуальный характер, что позволяет экспертам по ИБ реализовать любые методы, средства и технологии оценки, обработки и управления рисками ИБ. С другой стороны стандарт не содержит рекомендаций по выбору какого-либо конкретного аппарата оценки риска ИБ, а также по разработке мер, средств и сервисов безопасности, используемых для минимизации рисков ИБ.
BS 7799–3:2006 допускает использование как количественных, так и качественных методов оценки рисков ИБ, но, к сожалению, в документе нет обоснования и рекомендаций по выбору математического и методического аппарата оценки рисков ИБ.
Стандарт BS 7799–3:2006 использует следующие понятия:
Риск ИБ — комбинация вероятности события и его последствий (стоимости компрометируемого ресурса).
Управление риском ИБ — скоординированные непрерывные действия по управлению и контролю рисков в организации.
risk2
Непрерывный процесс управления рисками ИБ делится на четыре фазы:
1) оценка рисков ИБ, включающая анализ и вычисление рисков;
2) обработка риска ИБ (выбор и реализация мер и средств защиты);
3) контроль рисков ИБ путем мониторинга, тестирования, анализа механизмов безопасности и аудита ИБ системы;
4) оптимизация рисков ИБ путем модификации и обновления правил, мер и средств защиты.
Стандарт BS 7799–3:2006 – управление рисками ИБ (2)
Помимо определения основных факторов риска и подходов к его оценке и обработке, стандарт также:
· описывает взаимосвязи между рисками ИБ и другими рисками организации;
· содержит требования и рекомендации по выбору методологии и инструментов для оценки рисков;
· определяет требования, предъявляемые к экспертам по оценке рисков, менеджерам, отвечающим за процессы управления рисками, владельцам активов и руководству организации;
· содержит соображения по выбору законодательных и нормативных требований по ОИБ;
· отмечает необходимость использования принципа осведомленности о процессах оценки, обработки, контроля и оптимизации рисков ИБ в организации.
На каждом этапе управления рисками ИБ предусмотрено информирование всех участников процесса управления ИБ, а также фиксирование событий СУИБ.
К основным документам по управлению рисками ИБ в BS 7799–3:2006 отнесены:
· описание методологии оценки рисков ИБ,
· отчет об оценке рисков ИБ,
· план обработки рисков ИБ.
· рабочая документация (реестры активов, реестры рисков, декларации применимости, списки проверок, протоколы процедур и тестов, журналы безопасности, аудиторские отчеты, планы коммуникаций, инструкции, регламенты и т.п).
risk3
В приложениях к стандарту приведены примеры активов, угроз ИБ, уязвимостей, методов оценки рисков ИБ.
Стандарт ISO/IEC 27004:2009 – измерения для управления ИБ (1)
Стандарт ISO/IEC 27004:2009 «Information technology. Security techniques. Information security management. Measurement» (Информационная технология. Методы и средства обеспечения безопасности. Менеджмент ИБ. Измерение) [27] предназначен для помощи организациям в оценке результативности их деятельности по управлению ИБ в рамках имеющихся у них СУИБ. Стандарт представляет собой единое руководство по введению соответствующих показателей и применению механизмов получения оценки в результате измерений. На основе полученных показателей, их анализа и принятия соответствующих решений по устранению выявленных проблем организациям удастся повысить результативность функционирования их СУИБ. Эта информация крайне важна для обоснования всех решений, связанных с СУИБ, при внедрении СУИБ и необходимости внесения изменений в существующую СУИБ для ее дальнейшего совершенствования (улучшения).
risk analysis2
В стандарте содержатся общее руководство и рекомендации по разработке и использованию измерений и мер измерений для проведения оценки эффективности и результативности внедренной в организации СУИБ, а также мерам и средствам управления ИБ (и их группам), определенным в ISO/IEC 27001, включая политику, управление рисками ИБ, средства управления и цели их применения, процессы и процедуры. Процесс измерений поддерживает процесс оценки СУИБ и помогает определить, требуется ли изменять или совершенствовать какие-либо из процессов или средств управления СУИБ. Сам процесс измерений реализуется на основе программы измерений, связанных с ИБ.
С января 2012 г. в России введен в действие ГОСТ Р ИСО/МЭК 27004–2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения» [28], идентичный ISO/IEC 27004:2009.
На основе ГОСТ Р ИСО/МЭК 27004–2011 организация сможет разработать для себя документацию, которая будет свидетельствовать, что в ней ведется контроль за ОИБ и производится его всесторонняя оценка.
Стандарт ISO/IEC 27004:2009 – измерения для управления ИБ (2)
Стандарт состоит из следующих основных разделов:
1) общий обзор измерений, связанных с ИБ (цели, программа, факторы успеха, модель измерений);
2) обязанности руководства (управление ресурсами; обучение, осведомленность и компетентность, связанные с измерениями);
3) разработка измерений и мер измерений (определение области применения измерений; выявление информационной потребности; выбор объекта и атрибута; разработка конструктивных элементов измерений; сбор, анализ и распространение данных; реализация и документирование измерений);
4) процесс измерений (интеграция процедур; сбор, хранение и верификация данных);
5) анализ данных и отчетность по результатам измерений (включая отчетность по результатам измерений и распространение результатов);
6) оценивание и совершенствования программы измерений в организации (определение критериев оценивания программы измерений; мониторинг, проверка и оценивание программы; реализация совершенствований).
В приложениях к стандарту предложен шаблон (типовая форма) конструктивных элементов измерений, связанных с ИБ, и приведены некоторые примеры конструктивных элементов измерений.
ГОСТ Р ИСО/МЭК 27004–2011 определяет измерение (англ. measurement) как процесс получения информации об эффективности СУИБ и средств управления с использованием метода измерения, функций измерения, аналитической модели и критериев принятия решений.
Метод измерения – описанная в общем виде логическая последовательность операций, применяемых для количественного измерения атрибута относительно определенной шкалы.
Функция измерения – алгоритм или вычисление, выполняемое для комбинирования двух или более основных мер измерения.
Аналитическая модель – алгоритм или вычисление, объединяющие одну или более основных и/или производных мер измерения с соответствующими критериями принятия решений.
Стандарт ISO/IEC 27004:2009 – измерения для управления ИБ (3)
ГОСТ Р ИСО/МЭК 27004–2011 подразумевает, что начальной точкой для разработки измерений и мер измерений является правильное понимание организацией рисков ИБ, с которыми она сталкивается, и того, что деятельность в данном направлении осуществляется корректно (например, на основе ISO/IEC 27005), как того требуется ISO/IEC 27001. Для проведения данных мероприятий