Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович. Страница 2

Семейство стандартов СУИБ

Семейство стандартов СУИБ, имеющее общее название «Information technology. Security techniques» (Информационная технология. Методы защиты), предназначено для помощи организациям любого типа и размера в реализации и функционировании СУИБ и состоит из следующих международных стандартов:

– ISO/IEC 27000 СУИБ. Общий обзор и терминология;

– ISO/IЕС 27001 СУИБ. Требования;

– ISO/IEC 27002 Свод правил по управлению ИБ;

– ISO/IEC 27003 Руководство по реализации СУИБ;

– ISO/IEC 27004 УИБ. Измерения;

– ISO/IEC 27005 Управление рисками ИБ;

– ISO/IЕС 27006 Требования для органов, обеспечивающих аудит и сертификацию СУИБ;

– ISO/IEС 27007 Руководство по проведению аудита СУИБ;

– ISO/IEС TR 27008 Руководство по аудиту механизмов контроля ИБ;

– ISO/IEС 27010 УИБ для межсекторных и межорганизационных коммуникаций;

– ISO/IЕС 27011 Руководство пo УИБ для телекоммуникационных организаций на основе ISО/IEC 27002;

– ISO/IEС 27013 Руководство пo интегрированной реализации стандартов ISO/IEC 27001 и ISO/IEC 20000—1;

– ISO/IEС 27014 Управление ИБ высшим руководством;

– ISO/IEС TR 27015 Руководство пo УИБ для финансовых сервисов;

– ISO/IEС TR 27016 УИБ. Организационная экономика;

– ISO/IEС 27035 Управление инцидентами ИБ (в стандарте не указан).

Международный стандарт, не имеющие этого общего названия:

– ISO 27799 Информатика в здравоохранении. УИБ по стандарту ISO/IEC 27002.

Цель стандарта

Стандарт предоставляет обзор СУИБ и определяет соответствующие условия.

Семейство стандартов СУИБ содержит стандарты, которые:

– определяют требования к СУИБ и сертификации таких систем;

– содержат прямую поддержку, детальное руководство и разъяснение целого процесса создания, внедрения, сопровождения и улучшения СУИБ;

– включают в себя отраслевые руководящие принципы для СУИБ;

– руководят проведением оценки соответствия СУИБ.

1. Сфера применения

Стандарт предосталяет обзор СУИБ, а также условий и определений, широко использующихся в семействе стандартов СУИБ. Стандарт применим ко всем типам и размерам организаций (например, коммерческие предприятия, правительственные учреждения, неприбыльные организации).

2. Термины и определения

Раздел содержит определение 89 терминов, например:

– информационная система – приложения, сервисы, ИТ активы и другие компоненты обработки информации;

– информационная безопасность (ИБ) – сохранение конфиденциальности, целостности и доступности информации;

– доступность – свойство быть доступным и готовым к использованию по запросу уполномоченного лица;

– конфиденциальность – свойство информации быть недоступной или закрытой для неуполномоченных лиц;

– целостность – свойство точности и полноты;

– неотказуемость – способность удостоверять наступление события или действие и их создающих субьектов;

– событие ИБ – выявленное состояние системы (сервиса или сети), указывающее на возможное нарушение политики или мер ИБ, или прежде неизвестная ситуация, которая может касаться безопасности;

– инцидент ИБ – одно или несколько событий ИБ, которые со значительной степенью вероятности приводят к компрометации бизнес-операций и создают угрозы для ИБ;

– управление инцидентами ИБ – процессы обнаружения, оповещения, оценки, реагирования, рассмотрения и изучения инцидентов ИБ;

– система управления – набор взаимосвязанных элементов организации для установления политик, целей и процессов для достижения этих целей;

– мониторинг – определение статуса системы, процесса или действия;

– политика – общее намерение и направление, официально выраженное руководством;

– риск – эффект неопределенности в целях;

– угроза – возможная причина нежелательного инцидента, который может нанести ущерб;

– уязвимость – недостаток актива или меры защиты, которое может быть использовано одной или несколькими угрозами.

3. Системы управления ИБ

Раздел «СУИБ» состоит из следующих основных пунктов:

– описание СУИБ;

– внедрение, контроль, сопровождение и улучшение СУИБ;

– преимущества внедрения стандартов семейства СУИБ.

3.1. Введение

Организации всех типов и размеров:

– собирают, обрабатывают, хранят и передают информацию;

– осознают, что информация и связанные процессы, системы, сети и люди являются важными активами для достижения целей организации;

– сталкиваются с целым рядом рисков, которые могут повлиять на функционирование активов;

– устраняют предполагаемый риск посредством внедрения мер и средств ИБ.

Вся информация, хранимая и обрабатываемая организацией, является объектом для угроз атаки, ошибки, природы (например, пожар или наводнение) и т. п. и объектом уязвимостей, свойственных ее использованию.

Обычно понятие ИБ базируется на информации, которая рассматиривается как имеющий ценность актив и требует соответствующей защиты (например, от потери доступности, конфиденциальности и целостности). Возможность получить своевременный доступ уполномоченных лиц к точной и полной информации является катализатором бизнес-эффективности.

Эффективная защита информационных активов путем определения, создания, сопровождения и улучшения ИБ является необходимым условием для достижения организацией своих целей, а также поддержания и улучшения правового соответствия и репутации. Эти координированные действия, направленные на внедрение надлежащих мер защиты и обработку неприемлемых рисков ИБ, общеизвестны как элементы управления ИБ.

По мере изменения рисков ИБ и эффективности мер защиты в зависимости от меняющихся обстоятельств организации следует:

– контролировать и оценивать эффективность внедренных мер и процедур защиты;

– идентифицировать возникающие риски для обработки;

– выбирать, внедрять и улучшать соответствующие меры защиты надлежащим образом.

Для взаимосвязи и координации действий ИБ каждой организации следует сформировать политику и цели ИБ и эффективно достигать этих целей, используя систему управления.

3.2. Описание СУИБ

Описание СУИБ предусматривает следующие составляющие:

– положения и принципы;

– информация;

– информационная безопасность;

– управление;

– система управления;

– процессный подход;

– важность СУИБ.

Положения и принципы

СУИБ состоит из политик, процедур, руководств и соответствующих ресурсов и действий, коллективно управляемых организацией, для достижения защиты своих информационных активов. СУИБ определяет систематический подход к созданию, внедрению, обработке, контролю, пересмотру, сопровождению и улучшению ИБ организации для достижения бизнес-целей.

Она базируется на оценке риска и приемлемых уровнях риска организации, разработанных для эффективной обработки и управления рисками. Анализ требований защиты информационных активов и применение соответствующих мер защиты, чтобы обеспечить необходимую защиту этих активов, способствует успешной реализации СУИБ.

Следующие основные принципы способствуют успешной реализации СУИБ:

– понимание необходимости системы ИБ;

– назначение ответственности за ИБ;

– объединение обязательств руководства и интересов заинтересованных лиц;

– возрастание социальных ценностей;

– оценки риска, определяющие соответствующие меры защиты для достижения допустимых уровней риска;

– безопасность как неотъемлемый элемент ИС и сетей;

– активное предупреждение и выявление инцидентов ИБ;

– обеспечение комплексного подхода к УИБ;

– непрерывная переоценка и соответствующее улучшение ИБ.

Информация