Автор книги: Юрий Родичев
Жанр: Компьютеры: прочее, Компьютеры
Возрастные ограничения: +16
сообщить о неприемлемом содержимом
Текущая страница: 7 (всего у книги 29 страниц) [доступный отрывок для чтения: 10 страниц]
Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27004–2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения» введен в действие с 01.01.2012 г. Он идентичен международному стандарту ISO/IEC 27004:2009 «Information technology – Security techniques – Information security management – Measurement».
Стандарт содержит рекомендации по разработке и использованию измерений и мер измерения для оценки эффективности реализованной СМИБ, а также мер и средств контроля и управления по ИСО/МЭК 27001.
Процесс измерений затрагивает политику, менеджмент риска информационной безопасности, меры и средства контроля и управления и цели их применения, процессы и процедуры, а также поддерживает процесс проверки СМИБ. Он реализуется в виде программы измерений, предназначенной для оказания помощи руководству организации в выявлении и оценивании несоответствующих требованиям и неэффективных процессов, мер, средств контроля и управления СМИБ.
Отправной точкой для разработки мер измерения и измерений являются доскональное понимание рисков ИБ, с которыми сталкивается организация, и корректное выполнение организацией действий по оценке риска в соответствии с требованиями ИСО/МЭК 27001.
Стандарт предлагает рекомендации, касающиеся следующей деятельности:
• разработка мер измерений;
• разработка и выполнение программы измерений;
• сбор и анализ данных;
• обработка результатов измерений;
• сообщение обработанных результатов измерений заинтересованным сторонам;
• использование результатов измерений для принятия решений, относящихся к СМИБ;
• использование результатов измерений для выявления потребностей в совершенствовании реализованной СМИБ;
• содействие постоянному совершенствованию программы измерений.
В структуре стандарта выделены следующие разделы:
• общий обзор программы измерений и модели измерений, связанных с информационной безопасностью;
• обязанности руководства в отношении измерений, связанных с информационной безопасностью;
• конструктивные элементы и процессы измерений, подлежащие реализации в рамках программы измерений (планирование и разработка, реализация и функционирование, а также совершенствование измерений).
Организация через запланированные интервалы времени должна оценивать эффективность реализованной программы измерений и полезность результатов измерений.
2.5.7. Национальный стандарт ГОСТ Р ИСО/МЭК 27005 – менеджмент риска ИБНациональный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» введен в действие с 01.12.2011 г. взамен двух ранее принятых стандартов ГОСТ Р ИСО/МЭК 13335-3–2007 и ГОСТ Р ИСО/МЭК 13335-4–2007. Он идентичен международному стандарту ISO/IEC 27005:2008 «Information technology – Security techniques – Information security risk management».
Стандарт представляет собой руководство по менеджменту риска информационной безопасности и поддерживает общие концепции, определенные в ИСО/МЭК 27001. Он предназначен для руководителей и персонала, занимающегося в организации вопросами менеджмента риска информационной безопасности.
В стандарте введен ряд новых терминов в области менеджмента риска.
Риск информационной безопасности – возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации.
Коммуникация риска – обмен информацией о риске или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами.
Количественная оценка риска – процесс присвоения значений вероятности и последствий риска.
Снижение риска – действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском.
В соответствующих разделах стандарт содержит подробное описание процесса менеджмента риска ИБ и связанных с ним видов деятельности:
1. Установление контекста.
2. Оценка риска.
3. Обработка риска.
4. Принятие риска.
5. Коммуникация риска.
6. Мониторинг и переоценка риска.
Процесс менеджмента риска информационной безопасности изображен на рис. 2.5 так, как он представлен в стандарте.
Установление контекста менеджмента риска ИБ включает определение основных критериев, необходимых для менеджмента риска ИБ, определение области применения и границ, а также создание соответствующей организационной структуры, занимающейся менеджментом риска ИБ.
Как видно из рисунка, в процессе менеджмента риска ИБ процедуры оценки риска и обработки риска могут выполняться итеративно.
Сначала устанавливается контекст, а затем проводится оценка риска. Если при этом удается получить информацию, достаточную для эффективного определения действий, требуемых для снижения риска до приемлемого уровня, то задача выполнена, после чего следует обработка риска. Если информация является недостаточной, то проводится очередная итерация оценки риска в условиях пересмотренного контекста (например, критериев оценки рисков, критериев принятия рисков) (первая точка принятия решения).
Эффективность обработки риска зависит от результатов оценки риска. Обработка риска может не обеспечить сразу же приемлемый уровень остаточного риска. В этой ситуации потребуется, если необходимо, еще одна итерация оценки риска с измененными параметрами контекста, за которой последует очередная процедура обработки риска (вторая точка принятия решения).
На рис. 2.6 иллюстрируется деятельность по обработке риска в рамках процесса менеджмента риска ИБ так, как это представлено в стандарте.
Для процесса менеджмента риска ИБ необходимо устанавливать и поддерживать организационную структуру и распределение обязанностей.
Далее перечисляются основные роли и области ответственности, присущие этой организационной структуре:
• разработка процесса менеджмента риска ИБ, подходящего для данной организации;
• выявление и изучение причастных сторон;
Рис. 2.5. Процесс менеджмента риска ИБ
• определение ролей и обязанностей всех сторон, как внутренних, так и внешних по отношению к организации;
• установление требуемых взаимосвязей между организацией и причастными сторонами, а также взаимодействия с другими значимыми проектами и видами деятельности;
• определение путей передачи принятия решений на более высокий уровень и/или другим специалистам;
• определение подлежащих ведению документов.
Вся информация о рисках, полученная в результате деятельности по менеджменту риска, должна подвергаться мониторингу и переоценке. Организации должны обеспечивать проведение непрерывного мониторинга следующих факторов:
• новых активов, которые были включены в область действия менеджмента риска;
• необходимой модификации ценности активов, например вследствие изменившихся бизнес-требований;
Рис. 2.6. Деятельность по обработке риска
• новых угроз, которые могут действовать вне и внутри организации и которые еще не были оценены;
• вероятности того, что новые или возросшие уязвимости могут сделать возможным использование их угрозами;
• выявленных уязвимостей для определения тех из них, которые становятся подверженными новым или повторно возникающим угрозам;
• возросшего влияния или последствий оцененных угроз, уязвимостей и рисков, объединенное действие которых имеет результатом неприемлемый уровень риска;
• инцидентов ИБ.
Таким образом, процесс менеджмента риска ИБ подлежит постоянному мониторингу, анализу и улучшению.
2.5.8. Национальные стандарты в области аудита СМИБ (ГОСТ Р ИСО/МЭК 27006, 27007)В области аудита СМИБ в настоящее время действуют два стандарта.
Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27006–2008 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности» введен в действие с 01.10.2009 г. Он идентичен международному стандарту ISO/IEC 27006:2007 «Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems».
Данный стандарт на основе стандартов ИСО/МЭК 17021 и ИСО/МЭК 27001 устанавливает требования к органам, осуществляющим аудит и сертификацию системы менеджмента информационной безопасности, и способствует проведению аккредитации органов сертификации. ИСО/МЭК 17021 – это международный стандарт, устанавливающий критерии для органов, осуществляющих аудит и сертификацию систем менеджмента организаций. Последняя версия этого стандарта введена в действие с 01.04.2018 г. в качестве национального стандарта России ГОСТ Р ИСО/МЭК 17021-1–2017 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования».
Под органом сертификации в стандарте понимается третья сторона, оценивающая и сертифицирующая СМИБ организации-клиента на соответствие действующим стандартам СМИБ и любой дополнительной документации, требуемой в рамках этой системы.
Стандарт содержит следующие разделы:
1. Принципы.
2. Общие требования (юридические и договорные вопросы, менеджмент беспристрастности, обязательства и финансирование).
3. Требования к структуре (структура организации и руководство, комитет по обеспечению защиты беспристрастности).
4. Требования к ресурсам (компетентность руководства и персонала, а также персонала, участвующего в сертификации, привлечение внешних аудиторов и экспертов, аутсорсинг).
5. Требования к информации (общедоступная информация, документы по сертификации, список сертифицированных клиентов, конфиденциальность, обмен информацией между органом сертификации и его клиентами).
6. Требования к процессу (общие требования к аудиту, время аудита, методология аудита, первоначальный аудит и сертификация, деятельность по надзору, повторная сертификация, специальные аудиты, приостановка, отмена и сокращение сферы действия сертификата, апелляции, документы заявителей).
7. Требования системы менеджмента к органам сертификации.
Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27007–2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности» введен в действие с 01.06.2015 г. Он идентичен международному стандарту ISO/IEC 27007:2011 «Information technology – Security techniques – Guidelines for information security management systems auditing».
Стандарт представляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности и проведению внутренних или внешних аудитов на соответствие ИСО/МЭК 27001, а также руководство по вопросу компетентности и оценки аудиторов СМИБ.
В данном стандарте используются рекомендации международного стандарта ИСО 19011:2011 «Руководящие указания по аудиту систем менеджмента» (ISO 19011:2011 «Guidelines for auditing management systems»). Идентичная версия этого стандарта введена в действие в качестве национального стандарта России с 01.02.2013 г. ГОСТ Р ИСО 19011–2012 «Руководящие указания по аудиту систем менеджмента».
В стандарте рассматриваются:
1. Принципы аудита.
2. Менеджмент программы аудита.
3. Проведение аудита.
4. Компетентность и оценка аудиторов.
В приложении к стандарту дано практическое руководство по аудиту системы менеджмента ИБ.
Оба стандарта используют нормативные ссылки на следующие стандарты:
ИСО/МЭК 17021–2012 «Оценка соответствия. Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента».
ГОСТ Р ИСО 19011–2012 «Руководящие указания по аудиту систем менеджмента».
2.5.9. Национальный стандарт по СМИБ в телекоммуникационных организациях (ГОСТ Р ИСО/МЭК 27011–2014)Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27011–2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002» введен в действие с 01.01.2014 г. Он идентичен международному стандарту ISO/IEC 27011:2008 «Information technology – Security techniques – Information security management guidelines for telecommunications organizations based on ISO/IEC 27002».
Стандарт предоставляет дополнительные рекомендации по реализации и менеджменту информационной безопасности в телекоммуникационных организациях на основе ИСО/МЭК 27002.
Под телекоммуникационной организацией в стандарте понимается коммерческая организация, предоставляющая телекоммуникационные услуги с целью удовлетворения потребностей других лиц.
Стандарт имеет структуру, сходную с ИСО/МЭК 27002. В тех случаях, когда определенные в ИСО/МЭК 27002 цели и меры и средства контроля и управления применимы без какой-либо дополнительной информации, дается только ссылка на ИСО/МЭК 27002. Характерные для телекоммуникационного сектора рекомендации и информация рассматриваются в следующих разделах стандарта:
• организационные аспекты информационной безопасности;
• менеджмент активов;
• безопасность, связанная с персоналом;
• физическая безопасность и защита от воздействий окружающей среды;
• менеджмент коммуникаций и работ;
• управление доступом;
• приобретение, разработка и эксплуатация информационных систем;
• менеджмент инцидентов информационной безопасности;
• менеджмент непрерывности бизнеса.
В приложении А представлены определения новых целей, новых мер и средств контроля и управления, а также новых рекомендаций по реализации в виде дополнительного перечня мер и средств контроля и управления для телекоммуникаций.
Помимо целей безопасности, мер и средств контроля и управления, описанных в ИСО/МЭК 27002, телекоммуникационные организации должны принимать во внимание следующие аспекты безопасности: конфиденциальность, целостность и доступность.
Конфиденциальность означает неразглашение сведений о наличии, содержании, источнике, адресе назначения, а также дате и времени переданной информации.
Целостность подразумевает обеспечение уверенности в подлинности, точности и полноте информации, переданной, отправленной или полученной с помощью проводной связи, радиосвязи или любыми другими способами.
Доступность подразумевает обеспечение только санкционированного доступа к телекоммуникационной информации, оборудованию и среде, которые используются для предоставления услуг связи.
Стандарт определяет следующие источники требований к безопасности в телекоммуникациях:
• клиенты/абоненты, нуждающиеся в доверии к сетям и предоставляемым услугам, включая доступность услуг в случае серьезных катастроф;
• органы государственной власти, требующие обеспечения безопасности в соответствии с нормами и законами;
• сетевые операторы и поставщики услуг, нуждающиеся в обеспечении безопасности для защиты своих практических интересов, а также для выполнения своих обязательств перед клиентами и обществом.
Кроме того, телекоммуникационные организации должны учитывать следующие инциденты, связанные с окружающей средой и безопасностью эксплуатации:
• телекоммуникационные услуги в большой степени зависят от различных взаимосвязанных средств связи (маршрутизаторов, коммутаторов, серверов и т. п.), следовательно, проблемы безопасности телекоммуникаций могут возникать в различном оборудовании и быстро распространяться через сеть на другое оборудование;
• в дополнение к телекоммуникационным средствам к серьезным нарушениям безопасности могут приводить также уязвимости сетевых протоколов и топологии сети;
• основное беспокойство телекоммуникационных организаций вызывает возможность компрометации безопасности, ведущая к простою сети, который может быть очень дорогостоящим с точки зрения отношений с клиентами, упущенной выгоды и расходов на восстановление. Умышленные атаки, нацеленные на доступность национальной телекоммуникационной инфраструктуры, могут рассматриваться как проблема национальной безопасности;
• системы и сети управления телекоммуникациями уязвимы для проникновений хакеров;
• организации, предоставляющие услуги связи, помимо внешних проникновений озабочены компрометацией безопасности из внутренних источников со стороны неуполномоченного персонала. Они могут быть случайными или намеренными.
В приложении А, в частности, описаны дополнительные меры по следующим направлениям:
• физическая безопасность и защита от воздействий окружающей среды (защита узлов связи, телекоммуникационных аппаратных, физически изолированных рабочих зон, безопасность мест, находящихся под контролем другой стороны);
• менеджмент безопасности сети;
• реагирование на спам;
• реагирование на DoS/DDoS-атаки;
• управление доступом к сети;
• неразглашение информации о соединениях.
Кроме того, в приложении рассматривается ситуация, когда телекоммуникационные организации должны учитывать возможность приостановления или ограничения части своей телекоммуникационной деятельности с целью обеспечения важнейших коммуникаций в случае стихийных бедствий и различных чрезвычайных ситуаций.
2.5.10. Национальный стандарт по СМИБ в здравоохранении (ГОСТ Р ИСО 27799)Национальный стандарт Российской Федерации ГОСТ Р ИСО 27799–2015 «Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002» введен в действие с 01.11.2016 г. Он идентичен международному стандарту ИСО 27799:2008 «Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002» («Health informatics – Information security management in health using ISO/IEC 27002»).
Стандарт представляет собой руководство для медицинских организаций и других хранителей персональной медицинской информации о том, как лучше всего сохранить конфиденциальность, целостность и доступность такой информации путем внедрения ИСО/МЭК 27002. В частности, данный стандарт касается особых потребностей в области менеджмента защиты информации в сфере здравоохранения и специфичных условиях его выполнения. Он распространяется на информацию о здоровье во всех ее аспектах, независимо от формы представления информации (слова и цифры, звукозаписи, рисунки, видео и медицинские снимки), средств, используемых для ее хранения (напечатанная или написанная на бумаге или в электронном виде), и средств, используемых для ее передачи.
В стандарте дается определение некоторых специфических терминов.
Информационная система здравоохранения – хранилище информации о здоровье субъекта, об оказании медицинской помощи в удобном для машинной обработки виде, которая безопасно хранится и передается и является доступной для нескольких уполномоченных пользователей.
Касаясь определения актива, стандарт включает в их состав следующие:
• медицинскую информацию;
• IT-сервисы;
• аппаратные средства;
• программное обеспечение;
• коммуникационные средства;
• средства информации;
• IT-средства;
• медицинские приборы, которые записывают данные или формируют отчеты данных.
Наряду с целями защиты информации, описанными в стандарте 27002, указаны дополнительные факторы, формирующие цели защиты медицинской информации, включающие в себя:
• соблюдение законодательных обязательств, закрепленных в действующих законах и положениях о защите данных, защищающих права объектов оказания медицинской помощи на неприкосновенность частной жизни;
• поддержание установленных в области информатизации здоровья рекомендованных методов конфиденциальности и защиты;
• поддержание подотчетности на уровне отдельного человека и организации среди медицинских организаций и медицинских работников;
• поддержку осуществления систематического управления рисками в медицинских организациях;
• удовлетворение требований защиты, выявленных в общих ситуациях сферы здравоохранения;
• снижение эксплуатационных расходов за счет содействия более широкому использованию технологии в безопасной, надежной, и хорошо управляемой манере, которая поддерживает, но не ограничивает текущую деятельность в сфере здравоохранения;
• поддержание общественного доверия к медицинским организациям и информационным системам, на которые эти организации полагаются;
• поддержание профессиональных стандартов и этики, установленных для здоровья, профессиональными организациями, связанными со здравоохранением;
• управление электронными информационными системами в области здравоохранения в среде, надлежащим образом защищенной от угроз;
• содействие возможности взаимодействия медицинских систем.
Стандарт содержит конкретные дополнительные рекомендации по одиннадцати пунктам управления защитой, описанным в ИСО/МЭК 27002:
1. Политика защиты информации.
2. Организация защиты информации.
3. Управление активами.
4. Безопасность человеческих ресурсов.
5. Физическая безопасность и безопасность среды.
6. Управление коммуникациями и деятельностью.
7. Контроль доступа.
8. Заказ, проектирование и обслуживание информационных систем.
9. Управление инцидентами защиты информации.
10. Аспекты защиты информации в управлении непрерывностью бизнеса.
11. Соответствие.
Правообладателям!
Данное произведение размещено по согласованию с ООО "ЛитРес" (20% исходного текста). Если размещение книги нарушает чьи-либо права, то сообщите об этом.Читателям!
Оплатили, но не знаете что делать дальше?