8) управление доступом (бизнес-требования к управлению доступом, управление доступом пользователей, обязанности пользователей, управление сетевым доступом, управление доступом к ОС, приложениям и информации, мобильные вычисления и дистанционная работа);
9) приобретение, развитие и сопровождение ИС (требования по ОИБ для ИС, корректная обработка в приложениях, управление с использованием криптографии, защита файловых систем, безопасность процессов разработки и поддержки, устранение технических уязвимостей);
10) управление инцидентами ИБ (подготовка отчетов о событиях ИБ и уязвимостях, процесс управления инцидентами ИБ и его усовершенствование);
11) УНБ (с учетом аспектов ИБ);
12) соответствие (англ. compliance).

В 2012 г. был принят ГОСТ Р ИСО/МЭК 27011-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002», идентичный ISO/IEC 27011:2008 , с датой введения 01.01.2014.
Стандарт ISO/IEC 27013:2012 – руководство по интегрированному внедрению стандартов ISO/IEC 20000 и 27001 (1)

Стандарт ISO/IEC 27013:2012 «Information technology. Security techniques. Guideline on the integrated implementation of ISO/IEC 20000–1 and ISO/IEC 27001» (Информационная технология. Методы и средства обеспечения безопасности. Руководство по интегрированному внедрению стандартов ISO/IEC 20000–1 и ISO/IEC 27001) [43] представляет собой руководство по системам интегрированного управления ИБ и ИТ-сервисами как взаимодополняющим и поддерживающим друг друга системам управления.

Этот стандарт поможет организациям осуществить реализацию систем интегрированного управления ИБ и ИТ-сервисами и обеспечить необходимое документальное сопровождение этого процесса в соответствии с основными положениями стандарта ISO/IEC 27001 и стандарта ISO/IEC 20000-1:2005 «Information technology service management. Specification for Service Management» (Менеджмент ИТ-сервисов. Спецификация управления сервисом).

Стандарт ISO/IEC 27013:2012 интегрировал в себе существующие лучшие практики управления ИТ-сервисами, представленные в стандарте ISO/IEC 20000-1. Этот стандарт содержит подробное описание требований к системе менеджмента ИТ-сервисов (на основе документов библиотеки ITIL (Information Technology Infrastructure Library)) и устанавливает ответственность за инициирование, выполнение и поддержку таких систем в организациях [44].


Стандарт ISO/IEC 27013:2012 – руководство по интегрированному внедрению стандартов ISO/IEC 20000 и 27001 (2)

---

В стандарте ISO/IEC 27013:2012 рассмотрены пять основных групп процессов:
1) предоставления сервисов, включая управление уровнем сервисов, управление непрерывностью и доступностью, управление мощностями, отчётность по предоставлению сервисов, управление ИБ, распределение бюджета и учёт затрат);
2) взаимодействия, включая управление взаимодействием с бизнесом и управление сервис-провайдерами (поставщиками сервисов);
3) разрешения, включая управление проблемами и инцидентами;
4) контроля, включая управление изменениями и конфигурациями;
5) управления релизами (новыми версиями и откорректированными имеющимися решениями).
Стандарт ISO/IEC 27013:2012 служит основой для организации и приоритезации деятельности в следующих направлениях:
· координация задач усовершенствования и управления для ИБ и ИТ-сервисов;
· координация междисциплинарной деятельности, ведущей к внедрению интегрированного подхода (например, при управлении инцидентами);
· создание общей системы процессов и их документирования (включая политики, процедуры и многое другое);
· выработка единой терминологии и единых точек зрения;
· объединение преимуществ для бизнеса клиентов и сервис-провайдеров и извлечение дополнительной выгоды, появляющейся при интеграции двух систем управления – ИБ и ИТ-сервисами;
· совместный аудит этих систем управления в одно время и сокращение затрат на его проведение.
Стандарт ISO/IEC 27014:2013 – базовая структура руководства ИБ

Стандарт ISO/IEC 27014:2013 «Information technology. Security techniques. Information security governance framework» (Информационная технология. Методы и средства обеспечения безопасности. Базовая структура руководства ИБ) стал руководством, помогающим организациям руководить (англ. govern) их ИБ, определяющим для них базовую инфраструктуру эффективного управления ИБ и показывающим, как ее использовать для оценки, задания основных направлений деятельности и мониторинга функционирования СУИБ [45]. После выхода стандарт имеет и второе название – ITU-T Recommendation X.1054.

Такое руководство устанавливает задачи, принципы и процессы в рамках инфраструктуры руководства ИБ и учитывате следующие важные факторы:
· бизнес-стратегии, политики и задачи организации в отношении ИБ, рисков и средств управления;
· соответствие надлежащим государственным нормативным документам и законам в отношении обязательств в области ИБ;

---

· соблюдение соответствия контрактным и другим правовым обязательствам в отношении третьих лиц и самими третьими лицами в области ИБ;
· требования к аудиту и, возможно, сертификации с целью обеспечения гарантий (в смысле уверенности относительно владения ситуацией в области ИБ) для третьих лиц.

Стандарт рассматривает следующие аспекты руководства:
· управление рисками – особенно управление рисками ИБ;
· средства управления – применительно к СУИБ, являющейся основой для всех средств управления в организации;
· деятельность в области соблюдения соответствий и предоставления гарантий – особенно для сертифицирующих аудитов, внутренних аудитов, составлении отчетов по СУИБ для руководства организации и т.п.;
· взаимосвязь руководства ИБ, ИТ, информацией и всей организацией в целом;
· различия между «руководством» и «менеджментом»;
· подотчетность и ответственность за ОИБ, владение информационными активами внутри организации.

Данный стандарт учитывает потребности всех заинтересованных сторон: акционеров, регуляторов, аудиторов и руководства организаций, а также основные принципы, изложенные в стандарте ISO/IEC 38500:2008 «Corporate governance of information technology» (Корпоративное)

Стандарт ISO/IEC 27015:2012 – руководство по управлению ИБ для финансовых сервисов

Стандарт ISO/IEC 27015:2012 «Information technology. Security techniques. Information security management guidance for financial services» (Информационная технология. Методы и средства обеспечения безопасности. Руководство по управлению ИБ для финансовых сервисов) [46] посвящен вопросам управления ИБ в сфере предоставления финансовых услуг и призван помочь внедрять СУИБ в этой сфере с учетом требования стандартов серии 27000.

Стандарт ISO/IEC 27015:2012 соответствует всем требованиям к СУИБ, изложенным в ISO/IEC 27001 и ISO/IEC 27002. Он не противоречит таким нормативным документам, как стандарт (технический отчет) ISO TR 13569:2005 «Financial services. Information security guidelines» (Финансовые сервисы. Руководство по ИБ) [47], SOX, Basel II (теперь и III) и т.п.

В стандарте представлено руководство, позволяющее выполнять как основные требования по ОИБ и реализации средств управления по поддержке конфиденциальности, целостности и доступности, так и другие значимые требования по ОИБ.
card
Стандарт ISO/IEC 27015:2012 направлен на поддержку специфической деятельности финансовых организаций, особенно заинтересованных в ОИБ, для которых таким образом будет создана признанная и одобренная на международном уровне основа для ведения бизнеса, отвечающая всем правовым требования и требованиям регуляторов.

---

ISO/IEC 27015:2012 рассчитан на организации финансового и страхового сектора – банки, страховые компании, кредитные организации и т.п., их бизнес-партнеров и клиентов. Он использует риск-ориентированный подход к СУИБ и, следовательно, позволяет достичь определенной гибкости при разработке СОИБ конкретной организации. При этом учитываются следующие важные факторы: бизнес-стратегия организации и текущие возможности данного сегмента рынка, характеристики различных географических регионов, специфические сервисы и производимая продукция организации, применимые правовые ограничения и ограничения регуляторов.

ISO/IEC 27015:2012 не претендует на установление обязательных требований. Скорее он служит руководством по обеспечению видимой наглядности деятельности по управлению ИБ в организации и доказательству бизнес-парнерам, клиентам и соответствующим регулирующим органам следования ею лучшим практикам в области управления и обеспечения ИБ.

Стандарт ISO/IEC 27016 – управление ИБ с экономической точки зрения

Проект стандарта (технического отчета) ISO/IEC TR 27016 «IT Security. Security techniques. Information security management. Organizational economics» (Безопасность ИТ. Методы и средства обеспечения безопасности, Управление ИБ. Экономика организации), выход которого планируется на конец 2013 г., позволит специалистам в области ИБ проще обосновывать финансовые затраты на ОИБ. Его цель – предоставить руководство, основанное на лучших практиках, которое будет применимо и понятно как для самих специалистов в области ИБ, так и для общего руководства компании при обсуждении ими программ по ОИБ в терминах ожидаемых финансовых затрат и прибыли.

Это руководство поможет в контексте стандартов серии ISO 27000 оценить и понять финансовые последствия от вложений в ОИБ, наряду с политическими, социальными и другими потенциальными воздействиями ИБ на организацию, которые в совокупности влияют на размер необходимых инвестиций в защиту ее информационных активов. Основная идея вложений в ОИБ – ровно столько (не больше и не меньше), сколько требуется в соответствии с результатами оценки рисков ИБ. Причем эти вложения необходимо верно перераспределить на все процессы в рамках функционирования СУИБ. Надо точно знать, например, сколько потратить на средства управления, а сколько на деятельность по оценке рисков ИБ.

Дополняя другие стандарты серии ISO 27000 финансовой точкой зрения и предоставляя руководство по основам экономической теории в этой области, стандарт ISO/IEC TR 27016 покажет, как применять полезные экономические или финансовые модели к области ИБ посредством описаний и примеров, в том числе в терминах «затраты-выгоды», и предлагает некоторые финансовые показатели.

---

value
Предполагается, что стандарт будет содержать общую основу, которую в дальнейшем организации смогут адаптировать под свои потребности.
Стандарты ISO/IEC 27017 и 27018 – управление ИБ при использовании облачных технологий
Проекты стандартов ISO/IEC 27017 «Information technology. Security techniques. Security in cloud computing» (Информационная технология. Методы и средства обеспечения безопасности. Безопасность в облачных вычислениях) и ISO/IEC 27018 «Information technology. Security techniques. Code of practice for data protection controls for public cloud computing services» (Информационная технология. Методы и средства обеспечения безопасности. Практические правила для средств управления защитой данных в общедоступных сервисах облачных вычислений) разрабатываются для бурно развивающейся в настоящее время области – облачных технологий.
Стандарт ISO/IEC 27017 будет содержать руководство по основным элементам/аспектам ОИБ для облачных вычислений. Стандарт ISO/IEC 27018 будет больше акцентировать внимание на вопросах обеспечения конфиденциальности и защиты персональных данных для этой области. Оба проекта стандартов всемерно поддерживаются Cloud Security Alliance – некоммерческой организацией, лидером в области разработки стандартов, рекомендаций и инициатив, направленных на повышение защищенности использования облачных вычислений.
Первый из двойки стандартов будет содержать специфические для облачных технологий рекомендации по ОИБ, дополняющие средствам управления, представленные в ISO/IEC 27002. Рабочее название стандарта ISO/IEC 27017 – «Guidelines on Information security controls for the use of cloud computing services based on ISO/IEC 27002» (Руководство по средствам управления ИБ при использовании сервисов облачных вычислений на базе ISO/IEC 27002).
Второй стандарт – ISO/IEC 27018 – не будет дублировать или модифицировать ISO/IEC 27002 применительно к облачным вычислениям, а будет, скорее всего, дополнять его специфическими для данной области средствами управления при защите конфиденциальности и персональных данных в облаке. По форме ISO/IEC 27018 будет похож на ISO/IEC 27015.

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx