Следует отметить, что с выходом стандарта ISO/IEC TS 17021-2:2012 «Conformity assessment. Requirements for bodies providing audit and certification of management systems. Part 2: «Competence requirements for auditing and certification of environmental management systems» (Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 2: Требования к компетентности специалистов по аудиту и сертификации систем управления окружающей средой) может возникнуть необходимость отказа от стандарта ISO 19011:2011, за чем может последовать пересмотр стандарта ISO/IEC 27007:2011.

Стандарт ISO/IEC 27007:2011 – руководство по аудиту СУИБ (2)

В стандарте ISO/IEC 27007:2011 сформулированы специальные рекомендации для аудиторов в следующих областях:
· подтверждение области действия СУИБ;
· проверка того, что к оценке рисков ИБ был применен надлежащий подход;
· исследование результатов оценки рисков ИБ;
· проверка того, что были выбраны такие средства управления, которые соответствуют принятому решению в области обработки рисков ИБ;
· сбор объективных доказательств реализации средств управления;
· разработка видов проверок в рамках аудита СУИБ;
· сопровождение сертификационного аудита СУИБ согласно ISO/IEC 27006:2011.

В ISO/IEC 27007:2011 рассматриваются такие вопросы как:
· принципы аудита;
· управление программой аудита (включая постановку задач, определение ответственности, необходимых ресурсов и процедур, реализацию, документы, мониторинг и анализ);
· деятельность в рамках проводимого аудита (начиная с инициализации процесса, проведения анализа предоставленных документов, подготовки к аудиту на месте, и заканчивая подготовкой отчета по результатам аудита, завершению аудита и последующим действиям);
· компетентность и оценка аудиторов.

Стандарт ISO/IEC 27008:2011 – руководство по аудиту средств управления, реализованных в СУИБ

Стандарт ISO/IEC 27008:2011 «Information technology. Security techniques. Guidance for auditors on ISMS controls» (Информационная технология. Методы и средства обеспечения безопасности. Руководство для аудиторов средств управления СУИБ) [39] дополняет ISO/IEC 27007:2011 в части аудита именно средств управления ИБ, используемых в рамках СУИБ. Такой аудит выявляет, насколько хорошо СУИБ справляется с выполнением функций по ОИБ в организации любого размера и типа – общественной и частной, государственной и некоммерческой и т.п. Основой рассматриваемого в стандарте аудита выбран риск-ориентированный подход к управлению ИБ.

---

В то время как ISO/IEC 27007:2011 ориентирован на аудит всей СУИБ в целом, как это описано в ISO/IEC 27001, стандарт ISO/IEC 27008:2011 фокусируется на проверке средств управления, используемых в рамках СУИБ, описанных в ISO/IEC 27002 и перечисленных в приложении А ISO/IEC 27001. Он предоставляет собой руководящие указания по анализу реализации и функционирования средств управления, включая техническую проверку их соответствия вышеназванным стандартам и установленным в организации стандартам ИБ.

Стандарт ISO/IEC 27008:2011 не предназначен для аудита систем управления в целом, поскольку он ориентирован на процесс управления рисками ИБ в рамках СУИБ, определенный в стандартах ISO/IEC 27001 и ISO/IEC 27005.

Проведенный в соответствии ISO/IEC 27008:2011 аудит позволит удостовериться, что СУИБ существует не только «на бумаге», но и предоставляет реальные свидетельства своего функционирования, поддающиеся проверке. Полученные результаты аудита могут быть использованы для усовершенствования СУИБ за счет оптимизации взаимодействия между отдельными процессами в рамках функционирования СУИБ и необходимым контролем уровня ИБ, обеспечиваемого этой СУИБ. В качестве примера таких мероприятий можно привести реализацию механизмов снижения вреда, причиненного сбоями в защите информации, за счет чего возможно появление ошибочных финансовых отчетов и некорректных документов, выпущенных организацией, а также негативное воздействие на нематериальные ценности, такие как репутация и имидж организации, частная жизнь, навыки и опыт людей.

---

Стандарт ISO/IEC 27010:2012 – руководство по управлению ИБ при коммуникации между секторами

Стандарт ISO/IEC 27010:2012 «Information technology. Security techniques. Information security management for inter-sector and inter-organisational communications» (Информационная технология. Методы и средства обеспечения безопасности. Руководство для аудиторов средств управления СУИБ) [40] содержит руководство по совместному использованию информации, относящейся к рискам ИБ, средствам управления, проблемам и инцидентам ИБ, критическим системам информационной инфраструктуры и т.п., когда это использование выходит за рамки одной организации, отдельных секторов экономики и даже государств, например, во время чрезвычайных ситуаций или при совместных действиях по изучению и отражению кибератак. Такая информация часто носит конфиденциальный характер и является особо критичной, а время обмена ею – это стрессовые ситуации, когда для принятия адекватных обстоятельствам решений крайне важно время реагирования и доверительность отношений.

Стандарт ISO/IEC 27010:2012 предоставляет руководство по методам, моделям, процессам, политикам, средствам управления, протоколам и другим механизмам совместного и безопасного (с использованием, например, криптографических СЗИ) использования информации для доверенных участников процесса, осознающих наличие при коммуникации между секторами экономики и различными организациями повышенных рисков ИБ и важность соблюдения при этом принципов ОИБ


Стандарт ISO/IEC 27011:2008 – руководство по управлению ИБ для телекоммуникационных компаний на основе ISO/IEC 27002 (1)

Стандарт ISO/IEC 27011:2008 «Information technology. Security techniques. Information security management guidelines for telecommunications organizations based on ISO/IEC 27002» (Информационная технология. Методы и средства обеспечения безопасности. Руководство по менеджменту ИБ для телекоммуникационных компаний на базе ISO/IEC 27002) [41] разработан совместно сектором стандартизации электросвязи Международного союза электросвязи (ITU-T) и Международной организацией стандартизации (ISO) и опубликован как ISO/IEC 27011:2008 и Рекомендации ITU-T X.1051 (СУИБ. Требования к телекоммуникационным компаниям) [42].

Стандарт ISO/IEC 27011:2008 основан на следующих документах:
· ITU-T Recommendation X.800 (1991 г.) (Архитектура безопасности для взаимодействия открытых систем для CCITT-приложений);

---

· ITU-T Recommendation X.805 (2003) (Архитектура безопасности для систем, обеспечивающих сквозные коммуникации);
· ISO 9001:2000 (Системы менеджмента качества. Требования);
· ISO 14001:1996 (Системы менеджмента окружающей среды. Спецификация с руководством по использованию);
· ISO/IEC 27001 и ISO/IEC 27002;
· ISO/IEC Guide 73:2002 (Управление рисками. Словарь. Руководство по использованию в стандартах).

Основное назначение стандарта ISO/IEC 27011:2008 – определить руководящие принципы, обеспечивающие реализацию управления ИБ для телекоммуникационных компаний (ТК) и соблюдение ими базовых требований конфиденциальности, целостности, доступности и любых других соответствующих свойств ИБ.

Целевая аудитория стандарта не ограничивается только ТК. Он рассчитан на всех тех, кто отвечает за ОИБ, продавцов (вендоров), аудиторов, поставщиков телекоммуникационных терминалов, поставщиков (провайдеров) прикладного контента и т.д.

Стандарт ISO/IEC 27011:2008 – руководство по управлению ИБ для телекоммуникационных компаний на основе ISO/IEC 27002 (2)
Понятия, используемые в стандарте ISO/IEC 27011:2008:
Конфиденциальность в ISO/IEC 27011:2008 определяется как то, что информация, с которой работает ТК, должна быть защищена от несанкционированного раскрытия. Это означает неразглашение информации о коммуникациях в терминах существования, содержания, источника, места назначения и даты и времени передачи информации. Очень важно, чтобы ТК обеспечивали соблюдение неразглашения информации о коммуникациях, обрабатываемой ими. Лица, привлеченные ТК, должны сохранять конфиденциальность любой информации обо всем, что, возможно, стало им известно во время выполнения ими своих трудовых обязанностей.
Целостность понимается как то, что инсталляция и использование телекоммуникационных средств должны контролироваться, обеспечивать подлинность, точность и полноту информации, переданной или полученной по проводам, радиоканалам или любыми другими методами.
Доступность означает, что при необходимости должен быть обеспечен только санкционированный доступ к информации, передаваемой с помощью телекоммуникаций, самим телекоммуникационным средствам и среде, используемой для функционирования средств связи, независимо от того, какими методами она передается или получается – по проводам, радиоканалам и т.п. Расширяя доступность, в случае чрезвычайных ситуаций ТК должны предоставлять приоритет наиболее важным средствам связи и соблюдать требования соответствующих нормативных документов.

---

Стандарт ISO/IEC 27011:2008 – руководство по управлению ИБ для телекоммуникационных компаний на основе ISO/IEC 27002 (3)

Для ТК сети, линии связи, хранимая, обрабатываемая и передаваемая информация являются важными активами. Для эффективного управления этими активами и успешного ведения бизнеса ТК необходимо управление ИБ, независимо от способа связи – проводного, беспроводного или широковещательного.
Архитектура и реализация СУИБ определяются потребностями бизнеса, требованиями по ОИБ, используемыми процедурами, а также размером и структурой ТК. Предполагается, что со временем все эти характеристики и поддерживающие их системы изменяются. Поэтому реализация СУИБ будет подстраиваться под изменяющиеся потребности организации.
Если управление и средства управления ИБ реализованы не должным образом, то риск нарушения конфиденциальности, целостности и доступности может возрасти.
Поскольку ТК предоставляют телекоммуникационные сервисы, используя средства связи и сервисы посредников совместно с другими организациями, то к передаваемой ими информации имеют доступ не только их сотрудники, но и другие пользователи вне этих организаций. Поэтому управление ИБ для ТК сильно зависит от и охватывает все области сетевой инфраструктуры, сервисные приложения и многое другое.
Стандарт ISO/IEC 27011:2008 – руководство по управлению ИБ для телекоммуникационных компаний на основе ISO/IEC 27002 (4)

Стандарт ISO/IEC 27011:2008 содержит следующие основные разделы:
1) обзор (структура рекомендаций, СУИБ в телекоммуникационной сфере);
2) ПолИБ;
3) организация ОИБ (внутренняя организация, внешние стороны);
4) управление активами (ответственность за активы, классификация информации);
5) безопасность персонала (до приема на работу, работа, увольнение или смена работы);
6) физическая и экологическая безопасность (защищаемые области, безопасность оборудования);
7) управление средствами связи и их функционированием (процедуры функционирования и обязанности, управление сервисами доставки третьим лицам, планирование систем и их приемка, защита от вредоносного и мобильного кода, резервирование, управление сетевой безопасностью, управление средой, обмен информацией, сервисы электронной коммерции, мониторинг);

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx