Файл: Конспект по книге Управление Информационной Безопастностью.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 367
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
требуется разработка программы измерений, связанных с ИБ. Полученные во время измерений результаты позволят выявить прогресс (или отсутствие такового) в достижении целей ОИБ за некоторый период времени как одного из элементов процесса непрерывного совершенствования СУИБ организации.
Стандарт содержит достаточно детальное описание процессов измерения, использование операции агрегирования полученных мер измерений, математического вычисления производных (от двух и более основных) мер и последующего применения аналитических методов и методов принятия решений для выявления «индикаторов» совершенствования СУИБ. Но, к сожалению, не указывается, какие именно основные и производные меры измерений и индикаторы могут на практике наилучшим образом повлиять на это совершенствование.
Механизмы, описанные в стандарте, применимы к различным организациям с различными СУИБ. Подход организации для выполнения требований к измерениям, определенных в ISO/IEC 27001, зависит от ряда существенных факторов, включая риски ИБ, величину организации, имеющиеся ресурсы и применимые правовые, нормативные и договорные требования, и важен для обеспечения того, чтобы для этой деятельности СУИБ не выделялись чрезмерные ресурсы в ущерб другой необходимой деятельности. В идеальном случае текущая деятельность, связанная с постоянными измерениями, должна быть интегрирована в обычную деятельность организации с привлечением минимальных дополнительных ресурсов.
Для организаций небольшого размера число мер измерений может быть невелико и для них необходимо разработать одну программу измерений, в том время, как для крупных организаций таких программ может быть создано несколько.
Стандарт ISO/IEC 27005:2011 – управление рисками ИБ
Стандарт ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management» (Информационная технология. Методы и средства обеспечения безопасности. Управление рисками ИБ) [29] содержит общее руководство по управлению рисками ИБ, которое может быть использовано в различных типах организаций – коммерческих, некоммерческих, государственных.
Считается, что ISO/IEC 27005:2011 был разработан на основе Британского стандарта BS 7799–3:2006.
Принятая редакция стандарта ISO/IEC 27005:2011 гармонизирована с ISO/IEC 27000:2009.
В ISO/IEC 27005:2011 развиты основные идеи, ранее представленные в стандартах ISO/IEC 13335–3:1998 [30] и 13335–4:2000 [31], посвященных управлению безопасностью информационных и телекоммуникационных технологий (ИТТ). Также он опирается на следующие стандарты управления рисками, перечисленные в его библиографическом списке:
· ISO Guide 73:2009 (словарь из более чем 50 терминов в области управления рисками; на основе его более ранней редакции был создан ГОСТ Р 51897–2002 «Менеджмент риска. Термины и определения» [32]),
· ISO 16085, AS/NZS 4360 [33] и NIST SP 800–30 [34].
Кроме этого были предприняты определенные усилия по его адаптации с принятыми в 2009 г. стандартами:
· ISO 31000:2009 (Управление рисками. Принципы и руководящие указания);
· ISO 31010:2009 (Управление рисками. Методики оценки рисков).
ISO/IEC 27005:2011 предназначен для организации адекватного бизнес-потребностям ОИБ на основе риск-ориентированного подхода.
Для правильного применения этого стандарта необходимо знание концепций, моделей, процессов и терминологии, введенных в ISO/IEC 27001 и 27002.
Стандарт ГОСТ Р ИСО/МЭК 27005–2010 – управление рисками ИБ (1)
С декабря 2011 г. в России введен в действие ГОСТ Р ИСО/МЭК 27005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» [35], идентичный ISO/IEC 27005:2008 и заменяющий ГОСТ Р ИСО/МЭК ТО 13335–3–2007 «Методы менеджмента безопасности информационных технологий» и ГОСТ Р ИСО/МЭК ТО 13335–4–2007 «Выбор защитных мер».
В целом ГОСТ Р ИСО/МЭК 27005–2010 носит описательный характер, устанавливает структурированный, систематический и строгий метод анализа рисков ИБ посредством создания плана их обработки и не содержит какой-либо конкретной методологии и даже не называет конкретные методы управления рисками ИБ.
Принятые в стандарте понятия:
Риск ИБ — потенциальная возможность того, что установленная угроза воспользуется уязвимостью актива или группы активов и тем самым нанесет ущерб организации.
Измерение риска ИБ — сочетание последствий, вытекающих из возникновения нежелательного события, и вероятности возникновения этих событий.
Анализ риска ИБ — выполнение следующих действий:
1) определение (описание) информационных активов, подверженных рискам;
2) описание потенциальных угроз ИБ и их источников;
3) описание потенциальных уязвимостей и потенциальных последствий при реализации рисков ИБ.
В стандарте ГОСТ Р ИСО/МЭК 27005–2010:
· упоминаются как качественные, так и количественные методы оценки рисков ИБ, но никакому из них не отдается предпочтение;
· отмечается, что процесс оценки рисков ИБ сильно зависит от исходных данных и поэтому может быть итеративным, если полученные результаты будут признаны неудовлетворительными;
· наглядно представлен весь процесс управления рисками ИБ и более детально рассмотрены процессы оценки рисков ИБ, обработки рисков ИБ и определения остаточных рисков ИБ.
Стандарт ГОСТ Р ИСО/МЭК 27005–2010 – управление рисками ИБ (2)
ГОСТ Р ИСО/МЭК 27005–2010 состоит из следующих основных разделов:
1) обзор процесса управления рисками ИБ как непрерывного процесса;
2) установление контекста управления рисками ИБ;
3) оценка рисков ИБ (общее описание оценки рисков ИБ, анализ рисков ИБ, включая идентификацию, оценивание значительности и вычисление рисков ИБ);
4) обработка рисков ИБ (общее описание обработки рисков, снижение, сохранение, избежание и передача рисков);
5) принятие рисков ИБ;
6) коммуникация рисков ИБ;
7) мониторинг и пересмотр рисков ИБ.
В приложениях к стандарту содержится ряд сведений информативного характера: определение целей и границ процесса управления рисками ИБ, определение и оценка активов и воздействия на них, примеры типичных угроз ИБ, уязвимости и методы их оценки, подходы к оценке рисков ИБ, ограничения для снижения рисков.
ГОСТ Р ИСО/МЭК 27005–2010 предназначен для руководителей и сотрудников организация, занимающихся управлением рисками ИБ, а также сотрудников внешних организаций, задействованных в данной деятельности.
Стандарт позволяет применяющей его организации самостоятельно учесть различные аспекты СУИБ, идентифицировать уровни своих рисков, определить критерии для принятия риска, идентифицировать приемлемые риски и т.д.
Организация сама должна выбрать из имеющихся свой подход к управлению рисками ИБ, зависящий, например, от целей использования СУИБ, области ее действия, содержания процесса управления рисками ИБ и сферы своей деятельности.
Стандарт ISO/IEC 27006:2011 – требования к органам, осуществляющим аудит и сертификацию СУИБ
Стандарт ISO/IEC 27006:2011 «Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems» (Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента ИБ) [36] является руководством по формализованному процессу сертификации или регистрации СУИБ организаций для органов, осуществляющих такую сертификацию.
Первая редакция стандарта ISO/IEC 27006 появилась в 2006 г. как развитие и интеграция требований к СУИБ (стандарт ISO/IEC 27001) и требований к органам, проводящим аудит и сертификацию систем менеджмента (стандарт ISO/IEC 17021:2006: Conformity assessment.Requirements for bodies providing audit and certification of management systems) (см. рисунок).
В 2011 г. появилась новая редакция ISO/IEC 17021, которая установила новые требования к:
· аудиту систем менеджмента, направленные на повышение ценности сертификации системы менеджмента для государственных и частных организаций по всему миру;
· квалификации аудиторов, выполняющих сертификацию;
· способам организации работы аудиторов.
Как следствие этого была проведена работа по модификации и утверждению новой редакции стандарта ISO/IEC 27006.
В настоящее время стандарт ISO/IEC 27006:2011 пересматривается и в ближайшее время ожидается выход его обновленной редакции.
Стандарт ГОСТ Р ИСО/МЭК 27006–2008 – требования к органам, осуществляющим аудит и сертификацию СУИБ (1)
В 2008 г. был разработан и введен в действие в 2009 г. национальный стандарт ГОСТ Р ИСО/МЭК 27006–2008 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента ИБ», идентичный первой редакции международного стандарта ISO/IEC 27006:2006 [37].
Необходимо отметить, что параллельно был введен в действие национальный стандарт ГОСТ Р ИСО/МЭК 17021-2008 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента», который тоже может быть рассмотрен в качестве базы для стандарта ГОСТ Р ИСО/МЭК 27006–2008 (см. рисунок).
Цель ГОСТ Р ИСО/МЭК 27006-2008 – установить общие требования к сертификации или регистрации СУИБ организации. Если организация обладает СУИБ, прошедшей сертификацию и регистрацию органами, осуществляющими аудит и сертификацию таких систем, то это может означать, что организация обладает условиями, достаточными и надежными для выполнения заявленных функций по управлению ИБ.
Стандарт ГОСТ Р ИСО/МЭК 27006–2008 – требования к органам, осуществляющим аудит и сертификацию СУИБ (2)
ГОСТ Р ИСО/МЭК 27006–2008 содержит следующие основные разделы:
1) принципы;
2) общие требования (правовые и договорные вопросы, управление объективностью, обязательства и финансирование);
3) требования к структуре (организационная структура и руководство, комитет по охране объективности);
4) требования к ресурсам (компетентность руководства и персонала, привлекаемый к сертификации персонал, привлечение внешних индивидуальных аудиторов и технических экспертов, учет кадров, аутсорсинг);
5) требования к информации (общедоступная информация, сертификационные документы, каталог сертифицированных клиентов, ссылка на сертификацию и использование знаков, конфиденциальность, обмен информацией между органом сертификации и его клиентами);
6) требования к процессу (общие требования, первоначальный аудит и сертификация, надзорная деятельность, повторная сертификация, специальные аудиты, приостановка, отмена или уменьшение области сертификации, апелляции, совместимость, учет заявителей и клиентов);
7) требования системы управления к органам сертификации.
В приложениях информативного характера приведены анализ сложности сертифицируемых организаций и их областей деятельности, примеры компетенций аудиторов, продолжительность аудитов, руководство по анализу реализованных средств управления на основе ISO/IEC 27001:2005.
В настоящее время разработана новая версия национального стандарта ГОСТ Р ИСО/МЭК 17021-2012 (с вводом в действие с 01.02.2013 взамен ГОСТ Р ИСО/МЭК 17021-2008). С учетом существования действующей версии международного стандарта ISO/IEC 27006:2011 можно ожидать появление новой версии национального стандарта ГОСТ Р ИСО/МЭК 27006.
Стандарт ISO/IEC 27007:2011 – руководство по аудиту СУИБ (1)
Стандарт ISO/IEC 27007:2011 «Information technology. Security techniques. Guidelines for Information Security Management Systems auditing» (Информационная технология. Методы и средства обеспечения безопасности. Руководство по аудиту систем менеджмента ИБ) [38] содержит руководство для аккредитованных органов сертификации, внутренних аудиторов, внешних аудиторов/третьих лиц и других организаций, проводящих аудит СУИБ на соответствие требованиям стандарта ISO/IEC 27001.
Стандарт ISO/IEC 27007:2011 в значительной степени основывается на пересматриваемом в настоящее время стандарте ISO 19011:2011 «Guidelines for auditing management systems» (Рекомендации по аудиту систем менеджмента).
Стандарт содержит достаточно детальное описание процессов измерения, использование операции агрегирования полученных мер измерений, математического вычисления производных (от двух и более основных) мер и последующего применения аналитических методов и методов принятия решений для выявления «индикаторов» совершенствования СУИБ. Но, к сожалению, не указывается, какие именно основные и производные меры измерений и индикаторы могут на практике наилучшим образом повлиять на это совершенствование.
Механизмы, описанные в стандарте, применимы к различным организациям с различными СУИБ. Подход организации для выполнения требований к измерениям, определенных в ISO/IEC 27001, зависит от ряда существенных факторов, включая риски ИБ, величину организации, имеющиеся ресурсы и применимые правовые, нормативные и договорные требования, и важен для обеспечения того, чтобы для этой деятельности СУИБ не выделялись чрезмерные ресурсы в ущерб другой необходимой деятельности. В идеальном случае текущая деятельность, связанная с постоянными измерениями, должна быть интегрирована в обычную деятельность организации с привлечением минимальных дополнительных ресурсов.
Для организаций небольшого размера число мер измерений может быть невелико и для них необходимо разработать одну программу измерений, в том время, как для крупных организаций таких программ может быть создано несколько.
Стандарт ISO/IEC 27005:2011 – управление рисками ИБ
Стандарт ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management» (Информационная технология. Методы и средства обеспечения безопасности. Управление рисками ИБ) [29] содержит общее руководство по управлению рисками ИБ, которое может быть использовано в различных типах организаций – коммерческих, некоммерческих, государственных.
Считается, что ISO/IEC 27005:2011 был разработан на основе Британского стандарта BS 7799–3:2006.
Принятая редакция стандарта ISO/IEC 27005:2011 гармонизирована с ISO/IEC 27000:2009.
В ISO/IEC 27005:2011 развиты основные идеи, ранее представленные в стандартах ISO/IEC 13335–3:1998 [30] и 13335–4:2000 [31], посвященных управлению безопасностью информационных и телекоммуникационных технологий (ИТТ). Также он опирается на следующие стандарты управления рисками, перечисленные в его библиографическом списке:
· ISO Guide 73:2009 (словарь из более чем 50 терминов в области управления рисками; на основе его более ранней редакции был создан ГОСТ Р 51897–2002 «Менеджмент риска. Термины и определения» [32]),
· ISO 16085, AS/NZS 4360 [33] и NIST SP 800–30 [34].
Кроме этого были предприняты определенные усилия по его адаптации с принятыми в 2009 г. стандартами:
· ISO 31000:2009 (Управление рисками. Принципы и руководящие указания);
· ISO 31010:2009 (Управление рисками. Методики оценки рисков).
ISO/IEC 27005:2011 предназначен для организации адекватного бизнес-потребностям ОИБ на основе риск-ориентированного подхода.
Для правильного применения этого стандарта необходимо знание концепций, моделей, процессов и терминологии, введенных в ISO/IEC 27001 и 27002.
Стандарт ГОСТ Р ИСО/МЭК 27005–2010 – управление рисками ИБ (1)
С декабря 2011 г. в России введен в действие ГОСТ Р ИСО/МЭК 27005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» [35], идентичный ISO/IEC 27005:2008 и заменяющий ГОСТ Р ИСО/МЭК ТО 13335–3–2007 «Методы менеджмента безопасности информационных технологий» и ГОСТ Р ИСО/МЭК ТО 13335–4–2007 «Выбор защитных мер».
В целом ГОСТ Р ИСО/МЭК 27005–2010 носит описательный характер, устанавливает структурированный, систематический и строгий метод анализа рисков ИБ посредством создания плана их обработки и не содержит какой-либо конкретной методологии и даже не называет конкретные методы управления рисками ИБ.
Принятые в стандарте понятия:
Риск ИБ — потенциальная возможность того, что установленная угроза воспользуется уязвимостью актива или группы активов и тем самым нанесет ущерб организации.
Измерение риска ИБ — сочетание последствий, вытекающих из возникновения нежелательного события, и вероятности возникновения этих событий.
Анализ риска ИБ — выполнение следующих действий:
1) определение (описание) информационных активов, подверженных рискам;
2) описание потенциальных угроз ИБ и их источников;
3) описание потенциальных уязвимостей и потенциальных последствий при реализации рисков ИБ.
В стандарте ГОСТ Р ИСО/МЭК 27005–2010:
· упоминаются как качественные, так и количественные методы оценки рисков ИБ, но никакому из них не отдается предпочтение;
· отмечается, что процесс оценки рисков ИБ сильно зависит от исходных данных и поэтому может быть итеративным, если полученные результаты будут признаны неудовлетворительными;
· наглядно представлен весь процесс управления рисками ИБ и более детально рассмотрены процессы оценки рисков ИБ, обработки рисков ИБ и определения остаточных рисков ИБ.
Стандарт ГОСТ Р ИСО/МЭК 27005–2010 – управление рисками ИБ (2)
ГОСТ Р ИСО/МЭК 27005–2010 состоит из следующих основных разделов:
1) обзор процесса управления рисками ИБ как непрерывного процесса;
2) установление контекста управления рисками ИБ;
3) оценка рисков ИБ (общее описание оценки рисков ИБ, анализ рисков ИБ, включая идентификацию, оценивание значительности и вычисление рисков ИБ);
4) обработка рисков ИБ (общее описание обработки рисков, снижение, сохранение, избежание и передача рисков);
5) принятие рисков ИБ;
6) коммуникация рисков ИБ;
7) мониторинг и пересмотр рисков ИБ.
В приложениях к стандарту содержится ряд сведений информативного характера: определение целей и границ процесса управления рисками ИБ, определение и оценка активов и воздействия на них, примеры типичных угроз ИБ, уязвимости и методы их оценки, подходы к оценке рисков ИБ, ограничения для снижения рисков.
ГОСТ Р ИСО/МЭК 27005–2010 предназначен для руководителей и сотрудников организация, занимающихся управлением рисками ИБ, а также сотрудников внешних организаций, задействованных в данной деятельности.
Стандарт позволяет применяющей его организации самостоятельно учесть различные аспекты СУИБ, идентифицировать уровни своих рисков, определить критерии для принятия риска, идентифицировать приемлемые риски и т.д.
Организация сама должна выбрать из имеющихся свой подход к управлению рисками ИБ, зависящий, например, от целей использования СУИБ, области ее действия, содержания процесса управления рисками ИБ и сферы своей деятельности.
Стандарт ISO/IEC 27006:2011 – требования к органам, осуществляющим аудит и сертификацию СУИБ
Стандарт ISO/IEC 27006:2011 «Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems» (Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента ИБ) [36] является руководством по формализованному процессу сертификации или регистрации СУИБ организаций для органов, осуществляющих такую сертификацию.
Первая редакция стандарта ISO/IEC 27006 появилась в 2006 г. как развитие и интеграция требований к СУИБ (стандарт ISO/IEC 27001) и требований к органам, проводящим аудит и сертификацию систем менеджмента (стандарт ISO/IEC 17021:2006: Conformity assessment.Requirements for bodies providing audit and certification of management systems) (см. рисунок).
В 2011 г. появилась новая редакция ISO/IEC 17021, которая установила новые требования к:
· аудиту систем менеджмента, направленные на повышение ценности сертификации системы менеджмента для государственных и частных организаций по всему миру;
· квалификации аудиторов, выполняющих сертификацию;
· способам организации работы аудиторов.
Как следствие этого была проведена работа по модификации и утверждению новой редакции стандарта ISO/IEC 27006.
В настоящее время стандарт ISO/IEC 27006:2011 пересматривается и в ближайшее время ожидается выход его обновленной редакции.
Стандарт ГОСТ Р ИСО/МЭК 27006–2008 – требования к органам, осуществляющим аудит и сертификацию СУИБ (1)
В 2008 г. был разработан и введен в действие в 2009 г. национальный стандарт ГОСТ Р ИСО/МЭК 27006–2008 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента ИБ», идентичный первой редакции международного стандарта ISO/IEC 27006:2006 [37].
Необходимо отметить, что параллельно был введен в действие национальный стандарт ГОСТ Р ИСО/МЭК 17021-2008 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента», который тоже может быть рассмотрен в качестве базы для стандарта ГОСТ Р ИСО/МЭК 27006–2008 (см. рисунок).
Цель ГОСТ Р ИСО/МЭК 27006-2008 – установить общие требования к сертификации или регистрации СУИБ организации. Если организация обладает СУИБ, прошедшей сертификацию и регистрацию органами, осуществляющими аудит и сертификацию таких систем, то это может означать, что организация обладает условиями, достаточными и надежными для выполнения заявленных функций по управлению ИБ.
Стандарт ГОСТ Р ИСО/МЭК 27006–2008 – требования к органам, осуществляющим аудит и сертификацию СУИБ (2)
ГОСТ Р ИСО/МЭК 27006–2008 содержит следующие основные разделы:
1) принципы;
2) общие требования (правовые и договорные вопросы, управление объективностью, обязательства и финансирование);
3) требования к структуре (организационная структура и руководство, комитет по охране объективности);
4) требования к ресурсам (компетентность руководства и персонала, привлекаемый к сертификации персонал, привлечение внешних индивидуальных аудиторов и технических экспертов, учет кадров, аутсорсинг);
5) требования к информации (общедоступная информация, сертификационные документы, каталог сертифицированных клиентов, ссылка на сертификацию и использование знаков, конфиденциальность, обмен информацией между органом сертификации и его клиентами);
6) требования к процессу (общие требования, первоначальный аудит и сертификация, надзорная деятельность, повторная сертификация, специальные аудиты, приостановка, отмена или уменьшение области сертификации, апелляции, совместимость, учет заявителей и клиентов);
7) требования системы управления к органам сертификации.
В приложениях информативного характера приведены анализ сложности сертифицируемых организаций и их областей деятельности, примеры компетенций аудиторов, продолжительность аудитов, руководство по анализу реализованных средств управления на основе ISO/IEC 27001:2005.
В настоящее время разработана новая версия национального стандарта ГОСТ Р ИСО/МЭК 17021-2012 (с вводом в действие с 01.02.2013 взамен ГОСТ Р ИСО/МЭК 17021-2008). С учетом существования действующей версии международного стандарта ISO/IEC 27006:2011 можно ожидать появление новой версии национального стандарта ГОСТ Р ИСО/МЭК 27006.
Стандарт ISO/IEC 27007:2011 – руководство по аудиту СУИБ (1)
Стандарт ISO/IEC 27007:2011 «Information technology. Security techniques. Guidelines for Information Security Management Systems auditing» (Информационная технология. Методы и средства обеспечения безопасности. Руководство по аудиту систем менеджмента ИБ) [38] содержит руководство для аккредитованных органов сертификации, внутренних аудиторов, внешних аудиторов/третьих лиц и других организаций, проводящих аудит СУИБ на соответствие требованиям стандарта ISO/IEC 27001.
Стандарт ISO/IEC 27007:2011 в значительной степени основывается на пересматриваемом в настоящее время стандарте ISO 19011:2011 «Guidelines for auditing management systems» (Рекомендации по аудиту систем менеджмента).