Файл: Конспект по книге Управление Информационной Безопастностью.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 374
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Стандарт ISO/IEC 27019 – управление ИБ в энергетической промышленности
Планируемый к выходу стандарт (технический отчет) ISO/IEC TR 27019 «Information technology. Security techniques. Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry» (Информационная технология. Методы и средства обеспечения безопасности. Руководство по управлению ИБ на базе ISO/IEC 27002 для систем управления процессами в энергетической промышленности) во многом повторяет структуру ISO/IEC 27002:2005, дополняя по мере необходимости текст этого стандарта необходимыми специфическими для названной области рекомендациями.
Энергетическая промышленность объединяет организации, вырабатывающие, передающие и распределяющие электроэнергию, газ и тепло. С самого начала своего становления она учитывала вопросы безопасности, поскольку всем очевидны разрушительные физические воздействия, вызванные взрывами, утечкой химических веществ и т.д. В этой отрасли промышленности сильно осознание «экологической ответственности» за свою работу и ее результаты. Кроме того, в отрасли за многие годы уже сложилась «культура безопасности» – как физической, так и информационной. Организации энергетического сектора (правительственные и коммерческие), как правило, рассматриваются в силу их очевидного национального значения как часть критических систем инфраструктуры страны, в которой они функционируют. Все эти организации имеют высокий уровень автоматизации своих процессов управления и для мониторинга и управления различными процессами и устройствами в режиме реального времени активно используют сетевые технологии. Многие из устройств находятся в опасных или физически не доступных для человека зонах, поэтому работа с ними осуществляется удаленным образом с использованием сетей. А это означает, что используемые системы и сети имеют типичные и специфические уязвимости, подвержены известным и только появляющимся угрозам ИБ, а при их защите могут быть использованы единые лучшие практики, отработанные в течение многих лет. Таким образом, вопросы обеспечения безопасности, включая и ИБ, в энергетической промышленности стоят особо остро, а инциденты могут иметь не только национальные, но и интернациональные, часто катастрофические последствия. Разрабатываемый стандарт, имеющий статус технического отчета, позволит на основе единого подхода к управлению ИБ повысить защищенность энергетической промышленности многих стран мира.
Стандарт ISO/IEC 27031:2011 – руководство по готовности информационных и телекоммуникационных технологий для обеспечения непрерывности бизнеса (1)
Стандарт ISO/IEC 27031:2011 «Information technology. Security techniques. Guidelines for information and communications technology readiness for business continuity» (Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности ИТТ к непрерывности бизнеса) [48] содержит концепции и принципы, касающиеся ИТТ как необъемлемой части критической инфраструктуры любой организации при обеспечении непрерывности ее бизнеса. Этот стандарт официально заменяет британский стандарт BS 25777:2008 «Information and communications technology continuity management. Code of practice» (Управление непрерывностью ИТТ. Практические правила) [49], который в свою очередь был разработан на базе следующих британских нормативных документов в области обеспечения непрерывности бизнеса (ОНБ):
Стандарт BS 25999-1:2006 «Business continuity management. Code of practice» (УНБ. Практические правила) [50]: определяет процесс, принципы и терминологию в области УНБ, закладывая основы для понимания, разработки и внедрения системы УНБ в организации и поддержания уверенности в ее надежности со стороны клиентов и партнеров. Этот стандарт в десяти разделах описывает всеобъемлющий набор средств управления и охватывает весь жизненный цикл процесса УНБ, начиная со стратегии ОНБ и заканчивая учетом данных вопросов в культуре организации.
Документ10
Стандарт BS 25999-2:2007 «Business continuity management. Specification» (УНБ. Спецификация) [51]: устанавливает и детализирует конкретные требования к системе УНБ (СУНБ), причем только те, соблюдение которых может быть объективно проверено. Используя эти требования, организации могут проводить оценку существующей СУНБ (самостоятельно или привлекая внешних консультантов). На ее основании сертификационные органы выдают заключение о соответствии СУНБ требованиям стандарта BS 25999-2:2006.
Открытая спецификация PAS 77:2006 «IT Service Continuity Management. Code of practice» (Управление непрерывностью ИТ-сервисов. Практические правила) [52] обобщает лучшую мировую практику в области обеспечения непрерывности ИТ-сервисов, а именно принципы и методы управления ИТ-сервисами, но не является пошаговой инструкцией по внедрению процессов управления непрерывностью ИТ-сервисов.
Стандарт ISO/IEC 27031:2011 – руководство по готовности ИТТ для ОНБ (2)
Предшественником стандарта ISO/IEC 27031:2011 является британский стандарт BS 25777:2008 «Business continuity management. Code of practice» (Управление непрерывностью бизнеса (УНБ). Практические правила).
Стандарт BS 25777:2008 определяет процесс, принципы и терминологию в области УНБ. Он заложил основы для понимания, разработки и внедрения системы УНБ в организации и поддержания уверенности в ее надежности со стороны клиентов и партнеров. Этот стандарт описывает всеобъемлющий набор средств управления и охватывает весь жизненный цикл процесса УНБ, начиная с разработки стратегии ОНБ и заканчивая учетом данных вопросов в общей культуре организации.
telecom2
Стандарт BS 25777:2008 раскрывает следующие вопросы:
· управление программной управления непрерывности ИТТ;
· внедрение принципов управления непрерывностью ИТТ в культуру организации;
· документирование системы управления непрерывностью ИТТ;
· определение требований к непрерывности ИТТ;
· разработка и реализация стратегии обеспечения непрерывности ИТТ;
· разработка и тестирование планов обеспечения непрерывности ИТТ;
· проведение обучения и повышения осведомленности в области восстановления сервисов ИТТ (под ними понимается совокупность функциональных возможностей ИТТ, предоставляемая конечным пользователям в качестве услуги; примеры сервисов ИТТ – передача сообщений, бизнес-приложения, сервисы файлов и печати, сетевые сервисы и т.п.);
· сопровождение, анализ и совершенствование системы управления непрерывностью ИТТ.
Стандарт ISO/IEC 27031:2011 – руководство по готовности ИТТ для ОНБ (3)
Основная содержательная часть стандарта ISO/IEC 27031:2011 представлена следующими разделами:
· роль готовности ИТТ для ОНБ при УНБ;
· планирование готовности ИТТ;
· внедрение и использование, мониторинг и анализ, улучшение.
В ISO/IEC 27031:2011 предложена базовая основа (методы и процессы) для любого типа организаций, определены и описаны все аспекты (включая критерии, проектирование и реализацию), позволяющие в рамках СУИБ организации улучшить готовность ИТТ для обеспечения непрерывности ее бизнеса, а также последовательно и общепринятым способом измерить непрерывность, безопасность и готовность к преодолению аварий и бедствий.
В этом стандарте сделана попытка объединить ИБ, восстановление после аварий и бедствий и УНБ по отношению к готовности ИТТ.
Стандарт расширяет практику обработки и управления инцидентами ИБ на область планирования готовности и соответствующих сервисов ИТТ.
Область действия стандарта – все события и инциденты (в том числе связанные с ИБ), которые могут воздействовать на инфраструктуру и системы ИТТ.
Системы ИТТ включают аппаратные, программные и программно-аппаратные средства компьютеров, телекоммуникационное и сетевое оборудование и другие электронные системы обработки информации и взаимосвязанное оборудование.
Стандарт ISO/IEC 27031:2011 – руководство по готовности ИТТ для ОНБ (4)
Управление непрерывностью ИТТ обеспечивает необходимую жизнеспособность ИТТ и сервисов и возможность их восстановления до заранее определенного уровня в необходимые сроки, согласованные с руководством организации. Эффективное УНБ зависит от управления непрерывностью ИТТ, что гарантирует постоянную способность организации достигать поставленные цели, особенно в моменты аварий и бедствий.
Готовность ИТТ к ОНБ (общий термин для процессов, описанных в стандарте) способствует УНБ путем обеспечения того, что «сервисы ИТТ настолько устойчивы, насколько это требуется, и могут быть восстановлены до заранее заданных уровней в течение сроков, необходимых и согласованных для организации». Это важно, поскольку во многих современных организациях ИТТ превалируют над другими технологиями и являются основными компонентами поддержания критически важных бизнес-процессов и процессов управления. Планирование непрерывности бизнеса без надлежащей защиты доступности и непрерывности функционирования ИТТ невозможно.
Готовность ИТТ должна снижать для организации негативное воздействие (масштаб, продолжительность и/или последствия) инцидентов ИБ и включает в себя:
· подготовку в организации ИТТ (т.е. инфраструктуру, функционирование и приложения для ИТТ) и взаимосвязанных процессов и персонала к противодействию непредвиденным обстоятельствам, которые могут изменить риски и повлиять на непрерывность функционирования самих ИТТ и всего бизнеса организации в целом;
· перераспределение и оптимизацию использования ресурсов между ОНБ, восстановлением после аварий/бедствий, реакцией на нештатные ситуации и инциденты, нарушающие безопасность ИТТ, и управленческой деятельностью.
Стандарт ISO/IEC 27031:2011 базируется на цикле PDCA, расширяя обычный процесс планирования непрерывности бизнеса за счет большего учета влияния на него ИТТ.
Также используются такие методы оценки сценариев сбоев, как анализ отказов и их последствий FMEA (Failure Modes and Effects Analysis), при котором определяются «запускающие события» или «события-триггеры» (англ. triggering events), влекущие за собой серьезные инциденты.
Стандарт ISO/IEC 27032:2012 – руководство по кибербезопасности
Стандарт ISO/IEC 27032:2012 «Information technology. Security techniques. Guidelines for cybersecurity» (Информационная технология. Методы и средства обеспечения безопасности. Руководство по кибербезопасности) [53] посвящен актуальной в настоящее время защите от различных кибератак.
В стандарте раскрыт термин «кибербезопасность», или «безопасность киберпространства» – сохранение конфиденциальности, целостности и доступности информации в киберпространстве. В свою очередь киберпространство – сложная среда, появившаяся в результате взаимодействия людей, ПО и сервисов в Интернете посредством подключения к нему технологических устройств и сетей, не существующих в любой физической форме. Это сложная, постоянно меняющаяся виртуальная среда, для которой сложно выделить сиюминутные риски ИБ. Но при этом есть типичные риски ИБ – взлом сетей и систем, шпионское и вредоносное ПО, атаки типа межсайтового скриптинга (англ. cross-site scripting, XSS) и SQL-инъекции (англ. SQL injection), социальная инженерия и т.д. Плюс риски, связанные с Web 2.0, облачными вычислениями, технологиями виртуализации и т.п. По существу рассмотрение в стандарте больше сводится к рискам ИБ, связанным с Интернетом, а не киберпространством в целом. Однако поскольку эти риски достаточно хорошо представлены в других уже известных или планируемых к выходу стандартах серии 27000, к ним трудно добавить еще и особые, специфичные только для киберпространства.
Отдельные разделы стандарта посвящены активам киберпространства, угрозам безопасности в киберпространстве, руководству для заинтересованных лиц, средствам управления кибербезопасностью, структуре совместного использования и согласования информации. В трех приложениях рассмотрены вопросы готовности к кибербезопасности, дополнительные источники информации и примеры связанных с данной темой документов.
В тексте стандарта хоть и упоминаются, но в прямую не раскрываются методы киберзащиты (типа киберзапугивания – англ. cyberbullying), киберпреступления, защита в Интернете, связанные с Интернетом преступления или защита критических информационных инфраструктур.