ГОСТ Р ИСО/МЭК 27000-2012, скачать ГОСТ Р ИСО/МЭК 27000-2012 в PDF бесплатно

.

Здесь я хочу сказать несколько слов о стандартах по информационной безопасности — группе стандартов ISO 27000 и их применению. В группе немало новых стандартов, так что надеюсь данный обзор будет полезен.

В самом начале — что такое информационная безопасность?

Для торговцев продуктами безопасности, понимание информационной безопасности ограничено тем, что они продают. Для многих директоров и менеджеров информационная безопасность — это то, что они не понимают и с чем должны справляться ИТ-менеджеры. Для большинства пользователей ИТ-оборудования информационная безопасность означает ограничение их деятельности.

Все эти мнения очень упрощенные и опасны!

Информационная безопасность относится не только к соблюдению соответствия, демонстрации лучшей практики или внедрению новейших технологических решений.

В основном, информационная безопасность связана с управлением рисками для самого ценного актива, который имеет любая организация – ИНФОРМАЦИЯ.

По стандарту ISO 27001:2005 информационная безопасность – это: “обеспечение конфиденциальности, целостности и доступности информации; также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надёжность”

Вот чем занимается группа стандартов ISO 27000 — обеспечением информационной безопасности организации.

На сегодняшний день есть 17 утвержденных и опубликованных стандартов группы ISO 27000.

ISO 27000 информационная безопасность

Есть 4 вида групп стандартов:

  • Стандарты для обзора и введения в терминологию
  •  Стандарты, которые определяют обязательные требования к СУИБ (система управления информационной безопасностью)
  •  Стандарты, определяющие требования и рекомендации для аудита СУИБ
  •  Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.

Стандарты для обзора и введения в терминологию:

ISO/IEC 27000:2009 – Информационные технологии.

Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь

Данный стандарт обеспечивает определение основной терминологии, которая используется в стандартах по информационной безопасности. В каждом стандарте есть и дополнительные термины. В данный момент разрабатывается новая версия стандарта ISO 27000.

Стандарты, которые определяют обязательные требования к СУИБ:

ISO/IEC 27001:2005 – Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

Это основной стандарт группы. Он определяет требования к разработке, внедрению, поддержке и улучшению систем менеджмента информационной безопасности В данный момент разрабатывается новая версия стандарта ISO 27001.

Стандарты, определяющие требования и рекомендации для аудита СУИБ:

ISO/IEC 27006:2011 — Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности

Этот стандарт расширяет требований стандарта ISO 17021 специально для органов, проводящих аудит и сертификацию СУИБ

ISO/IEC 27007:2011 — Информационные технологии. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности

Стандарт ISO 27007 предлагает рекомендации по проведению аудитов СУИБ со стороны сертификационных организаций. Он полезен для аудиторов этих организаций.

ISO/IEC TR 27008:2011 — Информационные технологии. Методы обеспечения безопасности — Руководство для аудиторов по мерам и средствам обеспечения информационной безопасности

Данный стандарт, как и ISO 27007 является дополнительным стандартом к ISO 19011:2011 специально для СУИБ. Он специализирован для аудита средств управления информационной безопасностью в организации

Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ:

ISO/IEC 27002:2005 — Информационные технологии. Средства обеспечения. Свод практики для менеджмента информационной безопасности

Самый популярный стандарт группы после ISO 27001. Он дает отличные указания для разработки, внедрения, поддержки и совершенствовании СУИБ. Он является библией для консультантов.

ISO/IEC 27003:2010 — Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности

Стандарт дает указания и методику для процессов разработки и внедрения СУИБ.

ISO/IEC 27004:2009 — Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности

Стандарт является руководством для выбора, проектирования, управления и улучшения средств и методов измерения эффективности и результативности системы

ISO/IEC 27005:2011 — Информационные технологии . Методы защиты. Менеджмент рисков информационной безопасности.

Этот стандарт является одним из самых важных в группе. Несмотря на то, что он только указательный, а не обязательный стандарт, его назначение состоит в том, что управление рисками — один из самых важных процессов (я думаю самый важный) для информационной безопасности.

ISO/IEC 27011:2010 — Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций на основе ISO / IEC 27002

Это специализированное руководство по СУИБ в телекоммуникационных организациях.

ISO/IEC 27031:2011 — Информационные технологии — Методы обеспечения защиты – Руководство для готовности информационных и коммуникационных технологий по обеспечению непрерывности бизнеса

Новый, интересный стандарт — руководство по обеспечению непрерывности бизнеса в ИКТ

ISO/IEC 27033-1:2009 — Информационные технологии — Методы обеспечения защиты – Сетевая безопасность – Част 1 – Обзор и понятия

Первый из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры

ISO/IEC 27033-3:2010 — Информационные технологии — Методы обеспечения защиты – Сетевая безопасность – Част 3 – Сетевые сценарии — Угрозы, методы проектирования и управления вопросами

Другой стандарт из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры — с практическим значением

ISO/IEC 27034-1:20
11 — Информационные технологии — Методы обеспечения защиты – Безопасность приложений – Част 1: Обзор и понятия

Первый из другой группы специализированных стандартов в области обеспечения информационной безопасности прикладного программного обеспечения.

ISO/IEC 27035:2011 — Информационные технологии — Методы обеспечения защиты – Управление инцидентами по информационной безопасности

Один из ценных стандартов в группе с практической стоимостью в области управления инцидентами по информационной безопасностью

ISO 27799:2008 — Информатика в здравоохранении. Менеджмент безопасности информации по стандарту ISO/IEC 27002

Это специализированное руководство по СУИБ в здравоохранении.

ISO/IEC 24762:2008 — Информационные технологии — Методы обеспечения защиты – Рекомендации по услугами для аварийного восстановления информационных и коммуникационных технологий

Тоже интересный стандарт с точки зрения практических рекомендаций по обеспечению аварийного восстановления ИКТ

Группа стандартов ISO 27000 получила очень серьезное развитие в последние годы. В настоящее время в различных стадиях подготовки находятся еще 25 новых стандартов, которые обеспечат необходимую помощь при разработке, внедрении, поддержании и улучшении СУИБ.

ps: Приношу свои извинения всем читателям данной статьи за возможные стилистические и грамматические ошибки, но я надеюсь, что написанное мной будет полезно заинтересованным сторонам в области информационной безопасности.

В будущем постараюсь улучшить свой стиль письма 🙂

Слав Петров
iSMS консультант, ITSMS консультант, iSMS аудитор


см. также: Является ли ISO 27001 "техническим" стандартом?

.

Семейство международных стандартов ISO 27000

Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению. Основным разработчиком международных стандартов 27000-ой серии и их популяризатором в ISO является Британский Институт Стандартов (BSI).

Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее. Основные данные о стандартах этого семейства приведены в таблице П-1 .

 

Таблица П-1 — Основные данные о стандартах серии ISO 27000

 

ПЕРВЫЕ ДВА ЗНАТЬ

Сегодня стало совершенно очевидно, что стандарты серии ISO 27000, основанные на анализе и управлении рисками, стали стандартами де-факто в построении систем управления информационной безопасностью. Очевидно, что в ближайшие годы повысится интерес как к применению стандарта на практике, так и к процессу официальной сертификации по требованиям стандарта ISO 27001. 1

 

 

Стандарт ГОСТ Р ИСО/МЭК 15408

Данный стандарт, состоящий из трех частей, определяет критерии, за которыми исторически закрепилось используемое далее название "Общие критерии" (ОК). Данные критерии используются в качестве основы для оценки характеристик безопасности продуктов и систем информационных технологий (ИТ). Устанавливая общую базу критериев, стандарт делает результаты оценки значимыми для более широкой аудитории. ОК обеспечивают сравнимость результатов независимых оценок безопасности. Это достигается за счет использования в процессе оценки безопасности продуктов и систем ИТ общепринятого набора функциональных требований и требований гарантированности. Впроцессе оценки достигается определенная степень уверенности в том, насколько система или продукт удовлетворяют предъявляемым к ним требованиям. Результаты оценки помогают потребителю установить, достаточен ли уровень безопасности системы или продукта ИТ для предполагаемых применений этих изделий, и являются ли приемлемыми остаточные риски.

ОК полезны в качестве руководства как при разработке продуктов и систем с сервисами безопасности ИТ, так и при приобретении коммерческих продуктов или систем с такими сервисами. В процессе оценки продукт или система ИТ называется объектом оценки (ОО). В качестве ОО могут, например, выступать операционные системы, вычислительные сети, распределенные системы и приложения.

Главные преимущества ОК — полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки).

 

 

ЕДИНЫЕ КРИТЕРИИ

ТАМ ФОТКИ ТРЕХ КАРТИНОК ВЗЯТЬ

 

Стандарт ГОСТ Р ИСО/МЭК 17799-2005

Настоящий международный стандарт устанавливает основные руководящие принципы для инициирования, реализации, поддержки и усовершенствования руководства информационной безопасностью в организации. Цели, приведённые в этом международном стандарте, обеспечивают общее руководство по решению общепринятых задач управления информационной безопасностью. Цели и меры контроля настоящего международного стандарта предназначены для реализации с целью соответствия требованиям, идентифицированным оценкой риска. Международный стандарт может служить практическим руководством по разработке организационных стандартов безопасности и эффективных правил управления безопасностью на уровне организации. В стандарте содержатся 11 разделов по мерам контроля безопасности, совместно включающих 39 основных категорий безопасности и один вводный раздел, знакомящий с оценкой и обработкой рисков В каждом разделе содержится некоторое число основных категорий безопасности. В одиннадцати разделах (вместе с основными категориями безопасности, включёнными в каждый раздел) описываются: − политика безопасности (1); − организация информационной безопасности (2); − управление активами (2); − безопасность кадровых ресурсов (3); − физическая и экологическая безопасность (2); − упра
вление средствами связи и операциями (10); − контроль доступа (7); − приобретение, разработка и обслуживание информационных систем (6); − управление инцидентами с информационной безопасностью (2); − управление непрерывностью бизнес-процесса (1) − соответствие (3) Порядок разделов в данном стандарте не подразумевает степень их значимости. В зависимости от обстоятельств все разделы могут быть значимыми, следовательно, каждая организация, применяющая этот стандарт, должна определять применимые ей разделы и степень их важности для отдельных бизнес-процессов. Также, все перечни в этом стандарте не имеют приоритета, если это не отмечено заранее. В каждой основной категории безопасности содержится: цель контроля, формулирующая то, что должно быть достигнуто, и одно или несколько мер контроля, которые можно применить для достижения цели контроля Описания контроля сконструированы следующим образом: Определение — определяет специфический управляющий оператор для достижения цели контроля. Руководство по реализации — обеспечивает более подробную информацию для поддержки реализации контроля и соответствия цели контроля (некоторая часть этого руководства может быть неподходящей для всех случаев и можно найти несколько более пригодных путей реализации контроля). Дополнительная информация — обеспечивает дальнейшую информацию, которая может потребоваться для рассмотрения, например, юридические соображения и ссылки на другие стандарты.

Материалы к курсу «Защита компьютерной информации» Кузнецова Г.В.

Основной процедурой, лежащей в основе выбора механизмов защиты, является оценка рисков. Перед рассмотрением проблемы обработки рисков организация должна определить критерии определения принятия или неприятия рисков. Риски могут приниматься, если, например, сделана оценка, что риск незначителен или что стоимость обработки нерентабельна для организации. Подобные решения должны регистрироваться. Для каждого из идентифицированных рисков, следующих за оценкой рисков, необходимо принимать решение по обработке риска.

Возможными вариантами для обработки риска включают: − применение подходящих мер контроля для уменьшения рисков; − сознательное и объективное принятие рисков при условии, что они соответствуют политике организации и критериям принятия рисков; − избежание рисков путём недопущения действий, вызывающих возникновение рисков; − передачу ассоциированных рисков другим сторонам, например, страховщикам или поставщикам. Для рисков, где решение по обработке рисков принималось относительно соответствующих мер контроля, эти меры контроля должны выбираться и реализовываться для удовлетворения требований, идентифицированных оценкой рисков. Меры контроля должны обеспечивать снижение рисков до приемлемого уровня, учитывая: − требования и ограничения национальных и международных законодательств и положений; − организационные цели; − эксплуатационные требования и ограничения; − затраты на реализацию и эксплуатацию относительно снижаемых рисков и соответствия оставшихся рисков требованиям и ограничениям организации; − необходимость сопоставления вложений в реализацию и эксплуатацию мер контроля с вероятным ущербом как следствием отказа в обеспечении в обеспечении безопасности. Меры контроля могут выбираться из этого стандарта или других наборов мер контроля, а для удовлетворения специфических потребностей организации могут создаваться новые мер контроля. Надо признать, что некоторые меры контроля могут не подходить к каждой информационной системе или среде и могут быть невыполнимы для всех организаций. Например, способ разделения обязанностей для предотвращения мошенничества или ошибок может оказаться невозможным для небольших организаций. Способ мониторинга использования системы и сбора свидетельств может вступить в конфликт с существующим законодательством относительно защиты частной жизни заказчиков или на рабочем месте. Меры контроля информационной безопасности должны рассматриваться на стадии создания спецификаций и требований для систем и проектов. Неспособность осуществления

Материалы к курсу «Защита компьютерной информации» Кузнецова Г.В.

этого может привести к дополнительным расходам, принятию менее эффективных решений, и, в худшем случае, к неспособности обеспечения адекватной безопасности. Необходимо понимать, что ни один набор мер контроля не может обеспечить полную безопасность, и для поддержки целей организации, необходимо реализовать дополнительные действия по управлению.

Взаимосвязь стандартов

Взаимосвязь стандартов по безопасности показана в стандарте ГОСТ Р ИСО МЭК ТО 19791, который на настоящее время можно рассматривать как «интегратор» существующих стандартов ИБ (рис. 11). С одной стороны, требования ГОСТ Р ИСО МЭК ТО 19791 включают в себя существующие требования и оценки более конкретных (технических) стандартов, к которым относится ИСО/МЭК 15408.

В состав ИСО/МЭК 15408 входят три части. В части 1 ИСО/МЭК 15408 определяется структура задания по безопасности и профиля защиты. Эти понятия служат основой для

Материалы к курсу «Защита компьютерной информации» Кузнецова Г.В.

профиля защиты системы (ПЗС) задания по безопасности системы (ЗБС), которые включают эксплуатационные аспекты безопасности.

Построение СУИБ. Применение стандартов семейства ИСО 27000

Во второй части ИСО/МЭК 15408 определяются критерии оценки функциональных требований. Эти критерии применимы непосредственно к техническим мерам безопасности, требуемым для автоматизированных систем, и применяются как основа для определения новых дополнительных классов, семейств и компонентов, сосредоточенных на эксплуатационных мерах безопасности. В третьей части ИСО/МЭК 15408 определяются критерии оценки требований доверия. Эти критерии используются как основа для построения новых классов доверия для оценки безопасности автоматизированной системы как единой интегрированной единицы. Новые классы доверия включают в себя требования к свидетельствам политик и процедур, которые будут реализовываться эксплуатационными мерами безопасности в среде эксплуатации. С другой стороны, существует категория стандартов, определяющая требования в более общем виде. В первую очередь, это стандарты ИСО/МЭК 13335, 17799, 27000 и NIST SP 800-53. В ИСО/МЭК 13335 сформулированы требования к безопасности. Эти требования сформулированы на слишком высоком уровне, чтобы применяться в качестве источника конкретных требований к эксплуатационным мера
м безопасности. ИСО/МЭК 17799 является сводом правил, рекомендующим меры безопасности, которые должны рассматриваться организацией для управления безопасностью информационных активов. Эти стандарты также сформулированы в общем виде и требуют уточнения. NIST SP 800-53 предназначенных для использования в федеральных системах правительства США. Системы управления штатами и местные самоуправления, а также организации частного сектора, составляющие критически важную инфраструктуру США, стимулируются к применению этих руководств. Меры минимальной безопасности федеральных информационных систем. NIST SP 800-53 использует не только определение мер безопасности из ИСО/МЭК 17799, но также охватывает другие области, не связанные непосредственно с менеджментом информационной безопасности. Следовательно, NIST SP 800-53 использовался как второй основной источник для эксплуатационных мер безопасности, особенно в областях эксплуатационной безопасности, которые находятся вне области применения ИСО/МЭК 17799. Примером подобного ведомственного документа является стандарт Банка России, рассмотренный в настоящем обзоре.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *