Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 3)

Обзор ‎стандартов‏ ‎по ‎информационной ‎безопасности

В ‎сфере ‎информационной‏ ‎безопасности ‎сформировался‏ ‎ряд‏ ‎нормативных ‎документов ‎и‏ ‎стандартов, ‎ориентированных‏ ‎на ‎различные ‎целевые ‎группы‏ ‎и‏ ‎тематические ‎области.

Применение‏ ‎норм ‎и‏ ‎стандартов ‎информационной ‎безопасности ‎(их ‎ещё‏ ‎называют‏ ‎— ‎лучшие‏ ‎практики) ‎в‏ ‎компаниях ‎не ‎только ‎повышает ‎уровень‏ ‎ЗИК,‏ ‎но‏ ‎и ‎облегчает‏ ‎согласование ‎между‏ ‎различными ‎институтами‏ ‎относительно‏ ‎внедрения ‎конкретных‏ ‎мер ‎защиты.

Представленный ‎ниже ‎обзор ‎демонстрирует‏ ‎специфику ‎ключевых‏ ‎норм‏ ‎и ‎стандартов ‎в‏ ‎данной ‎сфере:

Стандарты‏ ‎информационной ‎безопасности ‎ISO

В ‎рамках‏ ‎деятельности‏ ‎международных ‎организаций‏ ‎по ‎стандартизации‏ ‎ISO ‎и ‎IEC, ‎нормативные ‎документы‏ ‎в‏ ‎сфере ‎информационной‏ ‎безопасности ‎унифицированы‏ ‎и ‎объединены ‎в ‎серию ‎стандартов‏ ‎2700x,‏ ‎которая‏ ‎постоянно ‎расширяется.‏ ‎На ‎глобальном‏ ‎уровне ‎данные‏ ‎нормы‏ ‎принято ‎обозначать‏ ‎как ‎международные ‎стандарты. ‎При ‎этом‏ ‎часть ‎этих‏ ‎международных‏ ‎стандартов ‎также ‎представлена‏ ‎в ‎виде‏ ‎переведённых ‎и ‎адаптированных ‎версий,‏ ‎выступающих‏ ‎в ‎качестве‏ ‎национальных ‎стандартов‏ ‎России ‎— ‎ГОСТ ‎Р ‎ИСО/МЭК.

Основной‏ ‎состав‏ ‎серии ‎стандартов‏ ‎ISO/IEC ‎27000x‏ ‎включает ‎следующие ‎ключевые ‎нормативные ‎документы:

ISO/IEC‏ ‎27000‏ ‎—‏ ‎Системы ‎менеджмента‏ ‎информационной ‎безопасности:‏ ‎Термины ‎и‏ ‎определения

Данный‏ ‎международный ‎стандарт‏ ‎предоставляет ‎концептуальный ‎обзор ‎систем ‎управления‏ ‎информационной ‎безопасностью‏ ‎(СУИБ)‏ ‎и ‎детально ‎рассматривает‏ ‎взаимосвязи ‎между‏ ‎различными ‎стандартами ‎серии ‎ISO/IEC‏ ‎27000.‏ ‎Помимо ‎этого,‏ ‎стандарт ‎содержит‏ ‎всеобъемлющий ‎глоссарий ‎ключевых ‎терминов ‎и‏ ‎определений,‏ ‎связанных ‎с‏ ‎управлением ‎информационной‏ ‎безопасностью.

ISO/IEC ‎27001 ‎— ‎Системы ‎управления‏ ‎информационной‏ ‎безопасности:‏ ‎Требования

Данный ‎международный‏ ‎стандарт ‎устанавливает‏ ‎нормативные ‎требования‏ ‎к‏ ‎внедрению, ‎функционированию‏ ‎и ‎постоянному ‎улучшению ‎документированной ‎системы‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎в ‎компаниях. ‎Стандарт‏ ‎состоит ‎примерно‏ ‎из ‎9 ‎страниц ‎требований‏ ‎и‏ ‎включает ‎нормативное‏ ‎приложение ‎с‏ ‎перечислением ‎более ‎100 ‎возможных ‎мер‏ ‎контроля,‏ ‎которые ‎должны‏ ‎быть ‎выбраны‏ ‎и ‎внедрены ‎с ‎учётом ‎соответствующих‏ ‎рисков‏ ‎информационной‏ ‎безопасности. ‎Необходимо‏ ‎отметить, ‎что‏ ‎ISO/IEC ‎27001‏ ‎не‏ ‎предоставляет ‎практические‏ ‎рекомендации ‎относительно ‎реализации ‎данных ‎требований.

Ранее‏ ‎структура ‎требований‏ ‎в‏ ‎ISO/IEC ‎27001 ‎была‏ ‎ориентирована ‎на‏ ‎модель ‎управленческого ‎цикла ‎PDCA‏ ‎(Plan-Do-Check-Act).‏ ‎Однако ‎при‏ ‎последнем ‎пересмотре‏ ‎стандарта ‎явное ‎упоминание ‎этого ‎цикла‏ ‎было‏ ‎исключено. ‎Это‏ ‎было ‎сделано‏ ‎с ‎целью ‎подчеркнуть, ‎что ‎порядок‏ ‎изложения‏ ‎отдельных‏ ‎требований ‎в‏ ‎стандарте ‎не‏ ‎отражает ‎их‏ ‎относительную‏ ‎важность ‎или‏ ‎рекомендуемую ‎последовательность ‎внедрения. ‎Тем ‎не‏ ‎менее ‎мероприятия‏ ‎по‏ ‎построению ‎и ‎функционированию‏ ‎СУИБ ‎по-прежнему‏ ‎могут ‎осуществляться ‎в ‎соответствии‏ ‎с‏ ‎циклом ‎PDCA.

ISO/IEC‏ ‎27002 ‎—‏ ‎Свод ‎правил ‎для ‎средств ‎управления‏ ‎информационной‏ ‎безопасностью

Данный ‎международный‏ ‎стандарт ‎оказывает‏ ‎практическую ‎поддержку ‎компаниям ‎в ‎выборе‏ ‎и‏ ‎внедрении‏ ‎мер ‎контроля,‏ ‎описанных ‎в‏ ‎ISO/IEC ‎27001,‏ ‎с‏ ‎целью ‎построения‏ ‎эффективно ‎функционирующей ‎системы ‎управления ‎информационной‏ ‎безопасностью ‎и‏ ‎её‏ ‎интеграции ‎в ‎общую‏ ‎систему ‎менеджмента‏ ‎компании. ‎Соответствующие ‎меры ‎безопасности‏ ‎описаны‏ ‎на ‎90‏ ‎страницах ‎стандарта‏ ‎ISO/IEC ‎27002. ‎Рекомендации ‎в ‎первую‏ ‎очередь‏ ‎ориентированы ‎на‏ ‎уровень ‎менеджмента‏ ‎и ‎содержат ‎минимум ‎технических ‎деталей.

ISO/IEC‏ ‎27004‏ ‎—‏ ‎Мониторинг, ‎измерение,‏ ‎анализ ‎и‏ ‎оценка

Международный ‎стандарт‏ ‎ISO/IEC‏ ‎27004 ‎посвящён‏ ‎методологическим ‎аспектам ‎мониторинга, ‎измерения, ‎анализа‏ ‎и ‎оценки‏ ‎эффективности‏ ‎внедрения ‎и ‎функционирования‏ ‎системы ‎управления‏ ‎информационной ‎безопасностью ‎в ‎компаниях.

Основное‏ ‎назначение‏ ‎данного ‎стандарта‏ ‎заключается ‎в‏ ‎регламентации ‎процедур ‎по ‎разработке ‎и‏ ‎реализации‏ ‎программы ‎мониторинга‏ ‎СУИБ, ‎которая‏ ‎должна ‎обеспечивать ‎поддержку ‎управленческих ‎решений‏ ‎и‏ ‎демонстрировать‏ ‎результативность ‎внедрённой‏ ‎системы ‎менеджмента.

В‏ ‎стандарте ‎рассматриваются‏ ‎вопросы‏ ‎определения ‎соответствующих‏ ‎метрик ‎и ‎ключевых ‎показателей ‎для‏ ‎оценки ‎эффективности‏ ‎мер‏ ‎контроля ‎информационной ‎безопасности‏ ‎и ‎общей‏ ‎результативности ‎СУИБ. ‎Особое ‎внимание‏ ‎уделяется‏ ‎методам ‎сбора,‏ ‎анализа ‎и‏ ‎интерпретации ‎данных, ‎полученных ‎в ‎ходе‏ ‎мониторинга,‏ ‎с ‎целью‏ ‎выявления ‎тенденций,‏ ‎областей ‎для ‎улучшения ‎и ‎обоснования‏ ‎достигнутого‏ ‎уровня‏ ‎ЗИК.

Применение ‎положений‏ ‎ISO/IEC ‎27004‏ ‎позволяет ‎компаниям‏ ‎обеспечивать‏ ‎объективную ‎оценку‏ ‎и ‎демонстрировать ‎заинтересованным ‎сторонам ‎эффективность‏ ‎функционирования ‎их‏ ‎системы‏ ‎менеджмента ‎информационной ‎безопасности‏ ‎на ‎постоянной‏ ‎основе.

ISO/IEC ‎27005 ‎— ‎Менеджмент‏ ‎рисков‏ ‎информационной ‎безопасности

Международный‏ ‎стандарт ‎ISO/IEC‏ ‎27005 ‎«Менеджмент ‎рисков ‎информационной ‎безопасности»‏ ‎содержит‏ ‎рекомендации ‎по‏ ‎разработке ‎структурированного‏ ‎подхода ‎к ‎управлению ‎рисками ‎в‏ ‎сфере‏ ‎информационной‏ ‎безопасности. ‎Данный‏ ‎стандарт, ‎в‏ ‎частности, ‎оказывает‏ ‎методологическую‏ ‎поддержку ‎при‏ ‎реализации ‎требований ‎стандарта ‎ISO/IEC ‎27001.‏ ‎Следует ‎отметить,‏ ‎что‏ ‎ISO/IEC ‎27005 ‎не‏ ‎предписывает ‎какую-либо‏ ‎конкретную ‎методику ‎управления ‎рисками.

Рассматриваемый‏ ‎стандарт‏ ‎во ‎многом‏ ‎базируется ‎на‏ ‎положениях ‎международного ‎стандарта ‎ISO/IEC ‎31000‏ ‎«Менеджмент‏ ‎рисков ‎—‏ ‎Принципы ‎и‏ ‎руководящие ‎указания». ‎Дополняющий ‎стандарт ‎ISO/IEC‏ ‎31010‏ ‎«Методы‏ ‎оценки ‎рисков»‏ ‎подробно ‎раскрывает‏ ‎вопросы ‎интеграции‏ ‎процедур‏ ‎оценки ‎рисков‏ ‎в ‎систему ‎риск-менеджмента, ‎а ‎также‏ ‎методологии ‎идентификации,‏ ‎анализа,‏ ‎оценки ‎и ‎обработки‏ ‎рисков. ‎Приложение‏ ‎B ‎стандарта ‎ISO/IEC ‎31010‏ ‎предоставляет‏ ‎всесторонний ‎обзор‏ ‎более ‎30‏ ‎различных ‎методов ‎оценки ‎рисков.

Комплексное ‎применение‏ ‎изложенных‏ ‎в ‎данных‏ ‎взаимосвязанных ‎стандартах‏ ‎подходов ‎позволяет ‎компаниям ‎формировать ‎эффективные‏ ‎системы‏ ‎менеджмента‏ ‎рисков ‎информационной‏ ‎безопасности ‎на‏ ‎основе ‎признанных‏ ‎международных‏ ‎методологий.

ISO/IEC ‎27006‏ ‎— ‎Требования ‎к ‎органам, ‎проводящим‏ ‎аудит ‎и‏ ‎сертификацию‏ ‎систем ‎управления ‎информационной‏ ‎безопасностью

Стандарт ‎ISO/IEC‏ ‎27006 ‎регламентирует ‎требования ‎к‏ ‎органам,‏ ‎осуществляющим ‎аудит‏ ‎и ‎сертификацию‏ ‎систем ‎управления ‎информационной ‎безопасностью. ‎Данный‏ ‎стандарт‏ ‎устанавливает ‎чёткие‏ ‎критерии ‎для‏ ‎аккредитации ‎органов ‎по ‎сертификации ‎СУИБ,‏ ‎а‏ ‎также‏ ‎подробно ‎рассматривает‏ ‎специфику ‎процессов‏ ‎сертификации ‎СУИБ.

ISO/IEC‏ ‎27009‏ ‎— ‎Отраслевое‏ ‎применение ‎ISO/IEC ‎27001 ‎— ‎Требования

Стандарт‏ ‎ISO/IEC ‎27009‏ ‎описывает‏ ‎механизмы ‎адаптации ‎стандарта‏ ‎ISO/IEC ‎27001‏ ‎к ‎особенностям ‎различных ‎секторов‏ ‎экономики.‏ ‎Он ‎регламентирует,‏ ‎каким ‎образом‏ ‎могут ‎быть ‎интегрированы ‎отраслевые ‎расширения‏ ‎(например,‏ ‎для ‎энергетики,‏ ‎облачных ‎вычислений,‏ ‎финансовой ‎сферы) ‎в ‎структуру ‎СУИБ,‏ ‎построенной‏ ‎на‏ ‎базе ‎ISO/IEC‏ ‎27001, ‎и‏ ‎учтены ‎в‏ ‎качестве‏ ‎дополнительных ‎требований.‏ ‎Для ‎этого ‎предусматривается ‎возможность ‎расширения‏ ‎или ‎дополнения‏ ‎отдельных‏ ‎мер ‎контроля, ‎содержащихся‏ ‎в ‎приложении‏ ‎к ‎ISO/IEC ‎27001.

Другие ‎стандарты‏ ‎серии‏ ‎ISO/IEC ‎27000,‏ ‎вероятно, ‎в‏ ‎долгосрочной ‎перспективе ‎будут ‎охватывать ‎диапазон‏ ‎номеров‏ ‎от ‎27000‏ ‎до ‎271xx.‏ ‎Все ‎эти ‎стандарты, ‎так ‎или‏ ‎иначе,‏ ‎связаны‏ ‎с ‎различными‏ ‎аспектами ‎управления‏ ‎информационной ‎безопасностью,‏ ‎и‏ ‎призваны ‎способствовать‏ ‎более ‎глубокому ‎пониманию ‎и ‎эффективному‏ ‎практическому ‎применению‏ ‎требований‏ ‎ISO/IEC ‎27001. ‎Среди‏ ‎таких ‎стандартов‏ ‎можно ‎выделить ‎документы, ‎посвящённые‏ ‎вопросам‏ ‎практической ‎реализации‏ ‎СУИБ ‎и‏ ‎обеспечения ‎непрерывности ‎бизнес-процессов.

Следует ‎отметить, ‎что‏ ‎отраслевые‏ ‎стандарты, ‎такие‏ ‎как ‎ISO/IEC‏ ‎27019 ‎для ‎энергетического ‎сектора, ‎также‏ ‎разрабатываются‏ ‎на‏ ‎основе ‎концепций,‏ ‎заложенных ‎в‏ ‎ISO/IEC ‎27009,‏ ‎что‏ ‎обеспечивает ‎их‏ ‎согласованность ‎с ‎базовыми ‎требованиями ‎информационной‏ ‎безопасности.

COBIT ‎5

COBIT‏ ‎5‏ ‎рассматривает ‎информационные ‎технологии‏ ‎как ‎ключевую‏ ‎основу ‎для ‎достижения ‎организационных‏ ‎целей‏ ‎бизнеса ‎и‏ ‎предписывает, ‎чтобы‏ ‎цели ‎ИТ, ‎а ‎следовательно ‎и‏ ‎информационной‏ ‎безопасности ‎проистекали‏ ‎из ‎бизнес-стратегии,‏ ‎а ‎предоставляемые ‎ИТ-услуги ‎отвечали ‎требованиям‏ ‎качества‏ ‎бизнес-процессов‏ ‎для ‎всей‏ ‎компании. ‎Аналогично‏ ‎методологии ‎ITIL,‏ ‎COBIT‏ ‎5 ‎ориентируются‏ ‎на ‎целенаправленные, ‎оптимизированные ‎ИТ-процессы. ‎Кроме‏ ‎того, ‎COBIT‏ ‎5‏ ‎вводит ‎концепцию ‎«потенциала‏ ‎процесса», ‎которая‏ ‎позволяет ‎оценить ‎способность ‎организации‏ ‎надёжно‏ ‎и ‎устойчиво‏ ‎достигать ‎требуемых‏ ‎целей. ‎Комплексная ‎оценка ‎зрелости ‎всех‏ ‎37‏ ‎процессных ‎областей,‏ ‎разделённых ‎на‏ ‎пять ‎доменов, ‎даёт ‎возможность ‎сделать‏ ‎выводы‏ ‎о‏ ‎профессионализме ‎поддерживающих‏ ‎ИТ-процессов ‎должностных‏ ‎лиц. ‎Документы‏ ‎COBIT‏ ‎издаются ‎Ассоциацией‏ ‎по ‎аудиту ‎и ‎контролю ‎информационных‏ ‎систем ‎(ISACA).‏ ‎При‏ ‎разработке ‎COBIT ‎авторы‏ ‎ориентировались ‎на‏ ‎существующие ‎международные ‎стандарты ‎в‏ ‎области‏ ‎управления ‎информационной‏ ‎безопасностью, ‎в‏ ‎частности, ‎на ‎стандарт ‎ISO/IEC ‎27002.

ITIL

Библиотека‏ ‎информационных‏ ‎технологий ‎и‏ ‎инфраструктуры ‎(Information‏ ‎Technology ‎Infrastructure ‎Library, ‎ITIL) ‎представляет‏ ‎собой‏ ‎комплекс‏ ‎взаимосвязанных ‎методических‏ ‎материалов, ‎посвящённых‏ ‎вопросам ‎управления‏ ‎ИТ-услугами.‏ ‎Данная ‎инициатива‏ ‎была ‎разработана ‎Офисом ‎правительственной ‎торговли‏ ‎(Office ‎of‏ ‎Government‏ ‎Commerce, ‎OGC) ‎соединённого‏ ‎королевства ‎Великобритании.

Основная‏ ‎цель ‎ITIL ‎заключается ‎в‏ ‎оптимизации‏ ‎качества ‎и‏ ‎эффективности ‎ИТ-услуг‏ ‎с ‎позиции ‎ИТ-провайдера, ‎будь ‎то‏ ‎внутреннее‏ ‎ИТ-подразделение ‎компании‏ ‎или ‎сторонний‏ ‎сервис-провайдер. ‎Особое ‎внимание ‎в ‎рамках‏ ‎данного‏ ‎методологического‏ ‎подхода ‎уделяется‏ ‎вопросам ‎информационной‏ ‎безопасности, ‎которые‏ ‎рассматриваются‏ ‎с ‎операционной‏ ‎точки ‎зрения ‎(операционной ‎деятельности). ‎В‏ ‎свою ‎очередь,‏ ‎надлежащее‏ ‎функционирование ‎ИТ-инфраструктуры ‎выступает‏ ‎ключевым ‎фактором‏ ‎эффективного ‎функционирования ‎системы ‎управления‏ ‎информационной‏ ‎безопасностью, ‎в‏ ‎результате ‎чего‏ ‎многие ‎дисциплины ‎ITIL ‎в ‎той‏ ‎или‏ ‎иной ‎мере‏ ‎коррелируют ‎с‏ ‎принципами ‎обеспечения ‎информационной ‎безопасности, ‎закреплёнными‏ ‎в‏ ‎соответствующих‏ ‎стандартах.

На ‎базе‏ ‎методологии ‎ITIL‏ ‎был ‎разработан‏ ‎международный‏ ‎стандарт ‎ISO/IEC‏ ‎20000, ‎который ‎устанавливает ‎требования ‎к‏ ‎системе ‎управления‏ ‎ИТ-услугами‏ ‎и ‎может ‎быть‏ ‎использован ‎в‏ ‎качестве ‎основы ‎для ‎сертификации.

PCI‏ ‎DSS

Стандарт‏ ‎безопасности ‎платёжных‏ ‎карт ‎(PCI‏ ‎DSS) ‎является ‎инструментом ‎для ‎обеспечения‏ ‎информационной‏ ‎безопасности ‎в‏ ‎сфере ‎платежей‏ ‎с ‎использованием ‎банковских ‎карт. ‎Он‏ ‎был‏ ‎разработан‏ ‎Советом ‎по‏ ‎стандартам ‎безопасности‏ ‎платёжных ‎карт,‏ ‎консорциумом‏ ‎ведущих ‎платёжных‏ ‎систем, ‎и ‎определяет ‎требования ‎к‏ ‎защите ‎данных‏ ‎держателей‏ ‎карт ‎для ‎всех‏ ‎компаний, ‎участвующих‏ ‎в ‎обработке, ‎хранении ‎или‏ ‎передаче‏ ‎этих ‎данных.‏ ‎Соблюдение ‎стандарта‏ ‎PCI ‎DSS ‎является ‎обязательным ‎для‏ ‎торговых‏ ‎предприятий, ‎принимающих‏ ‎платежи ‎по‏ ‎картам, ‎а ‎также ‎для ‎провайдеров‏ ‎услуг,‏ ‎оказывающих‏ ‎услуги ‎обработки‏ ‎таких ‎платежей.

NIST

Национальный‏ ‎институт ‎стандартов‏ ‎и‏ ‎технологий ‎(NIST)‏ ‎является ‎федеральным ‎агентством ‎США, ‎ответственным‏ ‎за ‎разработку‏ ‎официальных‏ ‎стандартов ‎и ‎руководств‏ ‎в ‎сфере‏ ‎информационной ‎безопасности. ‎Серия ‎специальных‏ ‎публикаций‏ ‎NIST ‎SP‏ ‎800 ‎содержит‏ ‎обширные ‎рекомендации ‎по ‎различным ‎аспектам‏ ‎информационной‏ ‎безопасности, ‎которые‏ ‎оказывают ‎значительное‏ ‎влияние ‎на ‎формирование ‎передовых ‎практик‏ ‎в‏ ‎этой‏ ‎области ‎на‏ ‎международном ‎уровне.‏ ‎В ‎частности,‏ ‎документ‏ ‎NIST ‎SP‏ ‎800-53 ‎представляет ‎собой ‎всеобъемлющий ‎свод‏ ‎средств ‎управления‏ ‎информационной‏ ‎безопасностью, ‎структурированный ‎по‏ ‎тематическим ‎областям.

ISF‏ ‎— ‎Стандарт ‎надлежащей ‎практики

Форум‏ ‎информационной‏ ‎безопасности ‎(ISF)‏ ‎является ‎независимой‏ ‎международной ‎организацией, ‎специализирующейся ‎на ‎информационной‏ ‎безопасности.‏ ‎ISF ‎публикует‏ ‎Стандарт ‎надлежащей‏ ‎практики ‎(SoGP) ‎— ‎практико-ориентированное ‎руководство‏ ‎по‏ ‎информационной‏ ‎безопасности, ‎основанное‏ ‎на ‎признанных‏ ‎передовых ‎практиках‏ ‎и‏ ‎охватывающее ‎требования‏ ‎ведущих ‎стандартов, ‎таких ‎как ‎ISO/IEC‏ ‎27002, ‎COBIT‏ ‎5,‏ ‎PCI ‎DSS ‎и‏ ‎NIST ‎SP‏ ‎800-53.

Настоящие ‎рекомендации ‎основаны ‎на‏ ‎ИСО‏ ‎27001, ‎а‏ ‎также ‎других‏ ‎стандартах ‎указанных ‎выше.

Внимание! ‎Материал ‎охраняется‏ ‎авторским‏ ‎правом ‎на‏ ‎основании ‎ст.‏ ‎1259 ‎ГК ‎РФ.