Текст книги "Информационная безопасность. Национальные стандарты Российской Федерации"

2.4. Национальный стандарт по менеджменту безопасности сетей ГОСТ Р ИСО/МЭК 13335-5–2006

Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК ТО 13335-5–2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети» введен в действие с 01.06.2007 г. Он полностью идентичен международному ISO/IEC TR 13335-5:2001 «Information technology – Guidelines for the management of IT Security – Part 5: Management guidance on network security». Стандарт представляет собой руководство по управлению безопасностью сетей и содержит основные положения по выявлению и анализу факторов, имеющих отношение к компонентам безопасности связи. Эти факторы следует учитывать при установлении требований по безопасности сети.

В стандарте приведено описание трех основных критериев идентификации потенциальных контролируемых зон. Эти критерии распознают:

1) разные типы сетевых соединений;

2) характеристики разной организации сети;

3) потенциальные виды рисков обеспечения безопасности, связанного с сетевыми соединениями.

Цель данного стандарта – дать руководство для идентификации и анализа факторов, относящихся к безопасности средств связи.

Для того чтобы идентифицировать заданные требования безопасности сети и контролируемые зоны, необходимо решить следующие задачи:

• анализ общих требований к обеспечению безопасности сетевых соединений, изложенных в политике безопасности ИТ организации;

• анализ сетевой структуры и ее применение;

• идентификация типов соединения сети;

• анализ характеристик объединения в сеть;

• определение видов рисков безопасности;

• идентификация потенциально контролируемых зон;

• разработка документации и анализ вариантов структуры обеспечения безопасности;

• распределение задач по детальному выбору защитных мер.

Анализ требований политики безопасности ИТ организации позволяет выявить типы угроз и требования безопасности, имеющие непосредственное отношение к сетевым соединениям.

Виды рисков безопасности, с которыми может встретиться организация, касаются:

• конфиденциальности информации;

• целостности информации;

• доступности информации и услуг;

• отказа от подтверждения обязательств;

• подотчетности транзакций;

• достоверности информации;

• надежности информации.

Более подробно аспекты безопасности сетей изложены в национальных стандартах серии ГОСТ Р ИСО/МЭК 27033, которые рассмотрены ниже.

2.5. Семейство стандартов системы менеджмента ИБ серии 27000

Все организации собирают, обрабатывают, хранят и передают большое количество информации, которая является важнейшим ресурсом. Однако эта информация является объектом различных угроз, а следовательно, являясь важнейшим активом, имеющим ценность, требует соответствующей защиты, например, от потери доступности, конфиденциальности и целостности. Защита информационных активов посредством определения, достижения, поддержания и улучшения информационной безопасности является важным аспектом деятельности организации, позволяющим достигать целей бизнеса и поддерживать репутацию.

Так как угрозы активам, следовательно, и риски информационной безопасности постоянно меняются в зависимости от изменяющихся обстоятельств, то организациям необходимо:

• контролировать и оценивать эффективность имеющихся средств управления;

• идентифицировать появляющиеся новые угрозы и риски;

• выбирать, реализовывать и улучшать должным образом соответствующие меры и средства контроля и управления.

Эти скоординированные действия являются элементами системы менеджмента информационной безопасности (СМИБ). Такая система представляет модель для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения защиты информационных активов.

В первой половине 90-х гг. прошлого века в Великобритании был разработан стандарт BS 7799, который в 1995 г. в качестве свода норм и правил по отношению к обеспечению ИБ получил статус государственного.

Первая часть стандарта BS 7799, которая называлась «Практические правила управления информационной безопасностью», была разработана в 1995 г. по заказу правительства Великобритании. Она стала практическим руководством по управлению информационной безопасностью в организации.

В 1998 г. была принята вторая часть стандарта BS 7799 «Системы менеджмента информационной безопасности. Спецификация и руководство по применению», которая определила общую модель построения системы менеджмента информационной безопасности (СМИБ) и набор обязательных требований, на соответствие которым должна производиться ее сертификация.

В 2000 г. после пересмотра первой части стандарта технический комитет ISO принял его в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000).

Вторая часть BS 7799 в 2005 г. была принята ИСО в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

В том же году была обновлена первая часть стандарта, которая стала версией ISO/IЕС 17799:2005, а затем переименована в ISO/IЕС 27002–2005.

На сегодняшний момент опыт построения эффективных систем менеджмента информационной безопасности зафиксирован в целой серии международных стандартов серии 27000. На основе международных стандартов этой серии приняты соответствующие идентичные национальные стандарты Российской Федерации:

ГОСТ Р ИСО/МЭК 27000–2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология» (аналог ISO/IEC 27000:2009 «Information technology – Security techniques – Information security management systems – Overview and vocabulary»). Введен в действие 01.12.2013 г.

ГОСТ Р ИСО/МЭК 27001–2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» (аналог ISO/IEC 27001:2005 «Information technology – Security techniques – Information security management systems – Requirements»). Введен в действие 01.02.2008 г.

ГОСТ Р ИСО/МЭК 27002–2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» (аналог ISO/IEC 27002:2005 «Information technology – Security techniques– Code of practice for information security management»). Введен в действие 01.01.2014 г.

ГОСТ Р ИСО/МЭК 27003–2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности» (аналог ISO/IEC 27003:2010 «Information technology – Security techniques – Information security management systems implementation guidance»). Введен в действие 01.12.2013 г.

ГОСТ Р ИСО/МЭК 27004–2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения» (аналог ISO/IEC 27004:2009 «Information technology – Security techniques – Information security management – Measurement»). Введен в действие 01.01.2012 г.

ГОСТ Р ИСО/МЭК 27005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» (аналог ISO/IEC 27005:2008 2008 «Information technology – Security techniques – Information security risk management»). Введен в действие 01.12.2011 г.

ГОСТ Р ИСО/МЭК 27006–2008 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности» (аналог ISO/IEC 27006:2007 «Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems»). Введен в действие 01.10.2009 г.

ГОСТ Р ИСО/МЭК 27007–2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности» (аналог ISO/IEC 27007:2011 «Information technology – Security techniques – Guidelines for information security management systems auditing»). Введен в действие 01.06.2015 г.

ГОСТ Р ИСО/МЭК 27011–2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002» (аналог ISO/IEC 27011:2008 «Information technology – Security techniques – Information security management guidelines for telecommunications organizations based on ISO/IEC 27002»). Введен в действие с 01.01.2014 г.

К данной серии можно отнести и стандарт, представляющий рекомендации в специфической области: ГОСТ Р ИСО 27799–2015 «Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002». Введен в действие с 01.11.2016 г.

Он идентичен международному стандарту ИСО 27799:2008 «Health informatics – Information security management in health using ISO/IEC 27002».

Семейство национальных стандартов России СМИБ поддерживает взаимосвязь со многими другими стандартами и классифицируется по следующим признакам:

• стандарты, содержащие общий обзор и терминологию;

• стандарты, задающие требования;

• стандарты, содержащие общие рекомендации.

Семейство стандартов СМИБ состоит из взаимосвязанных стандартов и содержит несколько существенных структурных компонентов:

• стандарты, содержащие общий обзор и терминологию;

• стандарты, описывающие требования СМИБ и требования для организаций, сертифицирующих соответствие стандарту;

• стандарты, обеспечивающие руководство при различных аспектах реализации СМИБ.

Семейство стандартов СМИБ содержит стандарты, которые:

• определяют требования к СМИБ и к сертификации таких систем;

• содержат прямую поддержку, детальное руководство и/или интерпретацию полных процессов «План – Осуществление – Проверка – Действие»;

• включают в себя специальные руководящие принципы для СМИБ;

• руководят проведением оценки соответствия СМИБ.

Взаимосвязь стандартов семейства ИСО/МЭК 27000 представлена на рис. 2.3.

Терминологию и основы системы менеджмента информационной безопасности определяет стандарт ИСО/МЭК 27000.

Рис. 2.3. Взаимосвязь стандартов семейства СМИБ

Стандарт ИСО/МЭК 27001 содержит нормативные требования для создания, внедрения, эксплуатации СМИБ.

Стандарт ИСО/МЭК 27002 является руководством по внедрению средств управления защитой информации.

Стандарт ИСО/МЭК 27003 содержит описание процессного подхода к внедрению СМИБ.

Стандарт ИСО/МЭК 27004 содержит систему измерений, позволяющую определять оценку эффективности СМИБ.

Стандарт ИСО/МЭК 27005 содержит руководство по внедрению процессного подхода к управлению рисками.

Стандарт ИСО/МЭК 27006 задает требования и является руководством для органов, проводящих аудит и сертификацию СМИБ.

Стандарт ИСО/МЭК 27007 содержит руководство для организаций, которым необходимо проводить внутренний или внешний аудит СМИБ или управлять программой проведения аудита СМИБ.

Стандарт ИСО/МЭК 27011 содержит дополнительные рекомендации по реализации и менеджменту информационной безопасности в организациях, предоставляющих телекоммуникационные услуги, на основе стандарта ISO/IEC 27002.

Стандарт ГОСТ Р ИСО 27799–2015 представляет собой руководство для медицинских организаций и других хранителей персональной медицинской информации о том, как лучше всего сохранить конфиденциальность, целостность и доступность такой информации путем внедрения ИСО/МЭК 27002. Он распространяется на информацию о здоровье независимо от формы представления информации, а также средств, используемых для ее хранения и передачи. Стандарт позволяет последовательно применить ИСО/МЭК 27002 в условиях здравоохранения и при этом особое внимание уделить специальным задачам, поставленным сферой здравоохранения.

Национальный стандарт ГОСТ Р ИСО/МЭК 27000–2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология» введен в действие с 01.12.2013 г. Он идентичен международному стандарту ISO/IEC 27000:2009 2009 «Information technology – Security techniques – Information security management systems – Overview and vocabulary».

Данный стандарт семейства содержит:

• обзор семейства стандартов СМИБ;

• введение в систему менеджмента информационной безопасности;

• краткое описание процесса «План (Plan) – Осуществление (Do) – Проверка (Check) – Действие (Act)»;

• термины и определения для использования в семействе стандартов СМИБ.

В стандарте введен ряд терминов, в частности следующие.

Атака – попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу или его несанкционированного использования.

Конфиденциальность – свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.

Информационная безопасность – сохранение конфиденциальности, целостности и доступности информации.

ПРИМЕЧАНИЕ

Также сюда могут быть включены другие свойства, такие как подлинность, подотчетность, неотказуемость и достоверность.

Подлинность – свойство, гарантирующее, что субъект или ресурс идентичен заявленному.

Подотчетность — ответственность субъекта за его действия и решения.

Неотказуемость – способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение.

Достоверность – свойство соответствия предусмотренному поведению и результатам.

Система менеджмента информационной безопасности (СМИБ) – часть общей системы менеджмента, основанная на подходе бизнес-рисков по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности.

Риск – сочетание вероятности события и его последствий.

Угроза – возможная причина нежелательного инцидента, который может нанести ущерб системе или организации.

Уязвимость – слабое место актива или меры и средства контроля и управления, которое может быть использовано угрозой.

Инцидент информационной безопасности – одно или несколько нежелательных или неожиданных событий информационной безопасности, которые со значительной степенью вероятности приводят к компрометации операций бизнеса и создают угрозы для информационной безопасности.

Менеджмент инцидента информационной безопасности – процессы обнаружения, информирования, оценки, реагирования, рассмотрения и изучения инцидентов информационной безопасности.

Основными принципами успешной реализации СМИБ согласно стандарту являются:

• понимание необходимости системы ИБ;

• назначение ответственных за информационную безопасность;

• соединение административных обязанностей и интересов заинтересованных лиц;

• оценка риска, определяющая соответствующие меры и средства контроля и управления для достижения допустимых уровней риска;

• безопасность как неотъемлемый существенный элемент информационных сетей и систем;

• активное предупреждение и выявление инцидентов ИБ;

• обеспечение комплексного подхода к менеджменту ИБ;

• непрерывная переоценка и соответствующая модификация системы ИБ.

В стандарте приведена краткая характеристика процессного подхода для СМИБ «План – Осуществление – Проверка – Действие». Элементы такого подхода означают:

 план – постановка целей и разработка планов (провести анализ ситуации в организации, наметить общие цели, поставить задачи и разработать планы для их достижения);

 осуществление – реализация планов;

 проверка – проверка результатов (измерение/контроль степени соответствия достигнутых результатов плану);

 действие – коррекция и улучшение работы.

Организация должна предпринимать следующие меры по внедрению, контролю, поддержке и улучшению ее СМИБ:

• определение информационных активов и связанных с ними требований безопасности;

• оценка рисков информационной безопасности;

• выбор и реализация соответствующих средств управления для управления неприемлемыми рисками;

• контроль, поддержка и повышение эффективности средств управления безопасностью, связанных с информационными активами организации.

Национальный стандарт ГОСТ Р ИСО/МЭК 27001–2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» введен в действие с 01.02.2008 г. Стандарт идентичен международному ISO/IEC 27001:2005 «Information technology – Security techniques – Information security management systems – Requirements».

Стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности.

Стандарт использует процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации. Схема такого подхода изображена в стандарте и представлена на рис. 2.4.

Для разработки СМИБ организация должна осуществить следующее:

• определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий;

• определить политику СМИБ;

Рис. 2.4. Модель процессного подхода

• определить подход к оценке риска в организации (определить методологию оценки риска, разработать критерии принятия риска и определить приемлемые уровни риска);

• идентифицировать риски (идентифицировать активы, угрозы этим активам, уязвимости активов, последствия воздействия на активы);

• проанализировать и оценить риски;

• определить и оценить различные варианты обработки рисков;

• выбрать цели и меры управления для обработки рисков.

Стандарт дает рекомендации в отношении конкретных мер по:

• внедрению и функционированию СМИБ;

• проведению мониторинга и анализа СМИБ;

• поддержке и улучшению СМИБ.

Для внедрения и функционирования СМИБ стандарт обязывает руководство организации осуществлять следующие меры:

• разработка политики СМИБ;

• обеспечение разработки целей и планов СМИБ;

• определение функций и ответственности в области ИБ;

• доведение до всех сотрудников организации информации о важности достижения целей ИБ, об их ответственности перед законом, а также о необходимости непрерывного совершенствования в реализации мер ИБ;

• выделение необходимых и достаточных ресурсов для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ;

• установление критериев принятия рисков и уровней их приемлемости;

• обеспечение проведения внутренних аудитов СМИБ;

• проведение анализа СМИБ.

Руководство должно в соответствии с утвержденным графиком периодически (не менее одного раза в год) проводить анализ СМИБ организации в целях обеспечения ее постоянной пригодности, адекватности и результативности. Результаты анализа должны содержать предложения по изменению СМИБ и оценку их реализации в интересах обеспечения выполнения требований политики и целей информационной безопасности. Результаты таких проверок должны быть зафиксированы документально.

В приложении к стандарту приведен перечень примерных мер управления и контроля, который должен быть осуществлен для реализации и управления СМИБ:

• разработка политики ИБ, ее пересмотр и реализация;

• организация информационной безопасности (организационные меры управления);

• управление активами;

• правила безопасности, связанные с персоналом;

• физическая защита и защита от воздействия окружающей среды (включая безопасность оборудования);

• управление средствами коммуникаций и их функционированием;

• контроль доступа (к информации, сервисам, устройствам и т. п.);

• меры при разработке, внедрении и обслуживании информационных систем;

• управление инцидентами ИБ;

• управление непрерывностью бизнеса;

• соответствие требованиям (нормативно-правовым документам, политикам и стандартам).