Текст книги "Информационная безопасность. Национальные стандарты Российской Федерации"

Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27031–2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса» введен в действие с 01.01.2014 г. Он идентичен международному стандарту ISO/IEC 27031:2011 «Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity».

Сбои услуг информационно-коммуникационных технологий (ИКТ), включая возникновение таких проблем безопасности, как вторжение в систему или инфицирование вредоносной программой, оказывают существенное влияние на непрерывность операций бизнеса. Следовательно, менеджмент ИКТ и связанная с ними непрерывность, а также другие аспекты безопасности формируют ключевую часть требований по обеспечению непрерывности бизнеса. Кроме того, в большинстве случаев критические функции бизнеса, которые необходимы для обеспечения непрерывности бизнеса, обычно зависят от ИКТ. Такая зависимость означает, что нарушения ИКТ могут создавать стратегические риски для репутации организации и ее возможности функционирования.

В данном стандарте описываются концепции и принципы готовности ИКТ к обеспечению непрерывности бизнеса (ОНБ) и предоставляется система методов и процессов определения и точного изложения всех аспектов для совершенствования готовности ИКТ организации к обеспечению непрерывности бизнеса.

Под менеджментом непрерывности бизнеса (МНБ) в стандарте понимается «целостный управленческий процесс, идентифицирующий потенциальные угрозы для организации и их влияние на операции бизнеса и обеспечивающий основу для повышения устойчивости организации с возможностью эффективного реагирования, что обеспечивает защиту интересов основных причастных сторон организации, ее репутации, бренда и деятельности по созданию ценностей».

Готовность ИКТ к обеспечению непрерывности бизнеса (ГИКТОНБ) определена как «способность организации поддерживать свои операции бизнеса путем предупреждения, обнаружения, реагирования на нарушения и восстановления услуг ИКТ».

ГИКТОНБ основывается на следующих ключевых принципах:

• предупреждение инцидентов – защита услуг ИКТ от таких угроз, как неблагоприятное влияние внешней среды и аппаратные сбои, операционные ошибки, злоумышленные атаки и природные бедствия, является крайне важной для поддержки желаемых уровней доступности систем в организации;

• обнаружение инцидентов – самое быстрое обнаружение инцидентов будет сводить к минимуму их влияние на услуги, сокращать работы по восстановлению и сохранять качество услуг;

• реагирование – реагирование на инцидент наиболее подходящим способом приведет к более эффективному восстановлению и уменьшит любые простои. Неудачное реагирование может привести к перерастанию незначительного инцидента в нечто более серьезное;

• восстановление – определение и реализация соответствующей стратегии восстановления будут обеспечивать уверенность в своевременном возобновлении услуг и поддержке целостности данных. Понимание приоритетов восстановления позволит восстанавливать в первую очередь наиболее критические услуги. Услуги, носящие менее критический характер, могут восстанавливаться позднее или, при некоторых условиях, вообще не восстанавливаться;

• совершенствование – уроки, усвоенные из реагирования на мелкие и крупные инциденты, должны документироваться, анализироваться и пересматриваться. Понимание этих уроков даст возможность организации лучше подготавливаться, контролировать и избегать инцидентов и нарушений.

Ключевые элементы ГИКТОНБ можно обобщить следующим образом:

• кадры (специалисты, обладающие соответствующими навыками и знаниями, и компетентный резервный персонал);

• сооружения (физическая среда, в которой расположены ресурсы ИКТ);

• техническое оснащение (аппаратные средства, сети, программные средства);

• данные (данные прикладных программ, голосовые данные и другие виды данных);

• процессы (восстановления и поддержки услуг ИКТ, включая поддерживающую документацию для описания конфигурации ресурсов ИКТ и создания возможности эффективного функционирования);

• поставщики (компоненты цепочки поставки услуг, где предоставление услуг ИКТ зависит от внешнего поставщика услуг, например поставщик данных по финансовым рынкам, поставщик телекоммуникационных услуг или поставщик интернет-услуг).

Чтобы программа ГИКТОНБ была эффективной, она должна быть процессом, полностью интегрированным с управленческой деятельностью верхнего звена организации, одобренным и поддержанным высшим руководством. Организация должна иметь документально оформленную политику ГИКТОНБ. Политика должна:

• устанавливать и демонстрировать заинтересованность высшего руководства в программе ГИКТОНБ;

• включать цели ГИКТОНБ организации или ссылаться на них;

• определять область применения ГИКТОНБ, включая ограничения и исключения;

• утверждаться и одобряться высшим руководством;

• доводиться до сведения соответствующих внутренних и внешних причастных сторон;

• определить и обеспечить для соответствующих структур доступность ресурсов, таких как бюджетные средства, персонал, необходимый для осуществления деятельностей в соответствии с политикой ГИКТОНБ;

• подвергаться проверке через запланированные интервалы времени и в случае возникновения значительных изменений, таких как изменения внешней среды, изменения бизнеса и структуры организации.

ГИКТОНБ предполагает создание в организации процессов разработки и совершенствования ключевых элементов ГИКТОНБ посредством использования подхода «Планирование – Осуществление – Проверка – Действие». Подробное описание этапов данного подхода описано в соответствующих разделах стандарта:

• планирование ГИКТОНБ (Раздел 6);

• реализация и функционирование (Раздел 7);

• мониторинг и проверка (Раздел 8);

• совершенствование ГИКТОНБ (Раздел 9).

Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27034-1–2014 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия» введен в действие с 01.06.2015 г. Он идентичен международному стандарту ИСО/МЭК 27034-1:2011 «Информационная технология. Методы обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия» (ISO/IEC 27034-1:2011 «Information technology – Security techniques – Application security – Part 1: Overview and concepts»).

Традиционно защита информации в организациях происходила на уровне информационных технологий путем защиты периметра и таких компонентов технологических структур, как компьютеры и сети. Однако в настоящее время организации сталкиваются с постоянно растущей потребностью защиты своей информации на уровне приложений. Необходимо обеспечивать защиту приложений от уязвимостей, которые могут быть свойственны самому приложению, могут появляться в течение жизненного цикла приложений (например, в результате изменений приложения) или возникать в результате использования приложений в не предназначенных для них условиях.

Целью данного стандарта является содействие организациям в планомерной интеграции безопасности на протяжении жизненного цикла приложений посредством:

• предоставления общих понятий, принципов, структур, компонентов и процессов;

• обеспечения процессно-ориентированных механизмов для установления требований безопасности, оценки рисков безопасности, присвоения целевого уровня доверия и выбора соответствующих мер и средств контроля и управления безопасностью, а также верификационных мер;

• предоставления рекомендаций для установления критериев приемки для организаций, осуществляющих аутсорсинг разработки или оперирования приложениями, и для организаций, приобретающих приложения у третьей стороны;

• обеспечения процессно-ориентированных механизмов для определения, формирования и сбора свидетельств, необходимых для демонстрации того, что их приложения безопасны для использования в определенной среде;

• поддержки общих концепций, определенных в ИСО/МЭК 27001, и содействия соответствующей реализации информационной безопасности, основанной на менеджменте риска;

• предоставления структуры, содействующей реализации мер и средств контроля и управления безопасностью, определенных в ИСО/МЭК 27002 и других стандартах.

Стандарт полезен для следующих групп лиц при осуществлении ими своих организационных ролей:

• руководителей (ответственные за информационную безопасность, руководители проектов, администраторы, руководители разработки программ и т. п.);

• членов групп подготовки к работе и эксплуатации (аналитики, программисты, тестировщики и т. п.);

• лиц, отвечающих за приобретение продуктов и услуг;

• поставщиков;

• аудиторов;

• пользователей.

Под приложением в стандарте понимается «решение в области ИТ, включающее прикладное программное средство, прикладные данные и процедуры, предназначенные для содействия пользователям организации в осуществлении определенных задач или обработке конкретных видов задач ИТ посредством автоматизации процесса или функции бизнеса».

Мера и средство контроля и управления безопасностью приложения – структура данных, содержащая четкое перечисление и описание видов деятельности по обеспечению безопасности и их соответствующего верификационного измерения, подлежащего выполнению в конкретный момент жизненного цикла приложения.

Процесс менеджмента безопасности приложений – используемый организацией общий процесс менеджмента в отношении видов деятельности по обеспечению безопасности, действующих субъектов, артефактов и аудита каждого приложения.

Обеспечение безопасности приложений – это процесс применения мер и средств контроля и управления, а также измерений к приложениям организации с целью осуществления менеджмента риска, возникающего в результате их использования. Меры и средства контроля и управления, а также измерений могут применяться к самому приложению, его данным и ко всей технологии, процессам и действующим субъектам, вовлеченным в жизненный цикл приложения.

Процесс менеджмента безопасности приложений включает пять шагов:

• определение требований и среды приложений;

• оценка рисков безопасности приложений;

• создание и поддержка нормативной структуры приложений;

• подготовка к работе и эксплуатация приложений;

• аудит безопасности приложений.

В соответствующих разделах стандарта по каждому шагу даны соответствующие рекомендации.

ПРИМЕЧАНИЕ

В качестве источника для формирования мер и средств контроля и управления безопасностью программного обеспечения в соответствии с данным стандартом можно применять национальный стандарт ГОСТ Р 56939–2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», введенный в действие с 01.06.2017 г.

Он устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного (защищенного) программного обеспечения и формированием (поддержанием) среды обеспечения оперативного устранения выявленных пользователями ошибок программного обеспечения и уязвимостей программы. Этот стандарт предназначен для разработчиков и производителей программного обеспечения, а также для организаций, выполняющих оценку соответствия процесса разработки программного обеспечения требованиям этого стандарта. В соответствующих разделах стандарта ГОСТ Р 56939 описаны конкретные меры и требования по разработке безопасного программного обеспечения, реализуемые в конкретных процессах разработки и менеджмента.

Стандарт вводит ряд терминов.

Безопасное программное обеспечение – программное обеспечение, разработанное с использованием совокупности мер, направленных на предотвращение появления и устранение уязвимостей программы.

Динамический анализ кода программы – вид работ по инструментальному исследованию программы, основанный на анализе кода программы в режиме непосредственного исполнения (функционирования) кода.

Статический анализ исходного кода программы – вид работ по инструментальному исследованию программы, основанный на анализе исходного кода программы с использованием специализированных инструментальных средств (статических анализаторов) в режиме, не предусматривающем реального выполнения кода.

Программа – данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма.

ПРИМЕЧАНИЕ

В статье 1261 части четвертой «Гражданского кодекса Российской Федерации» дано следующее определение: «Программой для ЭВМ является представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения».

Уязвимость программы – недостаток программы, который может быть использован для реализации угроз безопасности информации.

Электронный документ – документ, выполненный программно-техническим средством на электронном носителе.

ПРИМЕЧАНИЕ

В Федеральном законе от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» данный термин определен как «документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах».

ПРИМЕЧАНИЕ

В 2018 г. подготовлена к принятию окончательная редакция проекта стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения». Описание проекта этого стандарта приведено ниже в разделе «Проекты и планы».

Национальный стандарт Российской Федерации ГОСТ Р 56045–2014/ISO/IEC TR 27008:2011 «Информационная технология. Методы и средства обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью» введен в действие с 01.06.2015 г. Он идентичен международному стандарту ISO/IEC TR 27008:2011 «Information technology – Security techniques – Guidelines for auditors on information security controls».

Стандарт поддерживает определенный в ИСО/МЭК 27001 и ИСО/МЭК 27005 процесс менеджмента риска системы менеджмента информационной безопасности, а также меры и средства контроля и управления, включенные в ИСО/МЭК 27002. Он предоставляет руководство по проверке реализации и функционирования мер и средств контроля и управления, включая проверку технического соответствия мер и средств контроля и управления информационных систем, согласно установленным в организации стандартам по информационной безопасности.

В стандарте представлен общий обзор проверок мер и средств контроля и управления информационной безопасностью, а также представлены методы проверок. Один из разделов стандарта посвящен вопросам организации деятельности по проверке и анализу результатов.

В приложении к стандарту приведено практическое руководство по проверке технического соответствия с использованием технических мер и средств контроля и управления, описанных в ИСО/МЭК 27002.

Кроме описанных выше в данной главе национальных стандартов к вопросам менеджмента процессов защиты информации можно отнести еще ряд документов. В данном разделе дается их краткая характеристика.

Национальный стандарт ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство» введен в действие с 01.09.2011 г. Он идентичен международному стандарту ISO 31000:2009 «Risk management – Principles and guidelines».

Стандарт устанавливает принципы и общее руководство по риск-менеджменту. Он не является специфическим для какой-либо промышленности или отрасли и может применяться к любому типу риска, независимо от его характера, и для широкого спектра деятельности организации.

Стандарт необходимо использовать для гармонизации процессов управления риском, описанных в существующих стандартах. Он устанавливает общий подход для поддержки стандартов, распространяющихся на конкретные риски и/или отрасли, и не заменяет эти стандарты. Поэтому при рассмотрении рисков в области информационной безопасности можно использовать принципы, изложенные в данном стандарте.

Национальный стандарт ГОСТ Р ИСО 31010–2011 «Менеджмент риска. Методы оценки риска» введен в действие с 01.12.2012 г. Он идентичен международному стандарту ISO/IEC 31010:2009 «Risk management – Risk assessment techniques».

Стандарт разработан в дополнение к ИСО 31000 и содержит рекомендации по выбору и применению методов оценки риска. Он является основополагающим стандартом в области менеджмента риска.

В стандарте представлены методы оценки риска и даны ссылки на другие международные стандарты, в которых более подробно описано применение конкретных методов оценки риска.

Национальный стандарт ГОСТ Р ИСО/МЭК 27013–2014 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1» введен в действие с 01.09.2015 г. Он идентичен международному стандарту ISO/IEC 27013:2012 «Information technology – Security techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1».

Национальный стандарт ГОСТ Р ИСО/МЭК 20000-1–2013 «Информационная технология (ИТ). Управление услугами. Часть 1. Требования к системе управления услугами» содержит требования к поставщику услуг по планированию, созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию системы управления услугами. Он предназначен для применения организациями, использующими или предоставляющими услуги.

ИСО/МЭК 27001 представляет модель для установления, реализации, эксплуатации, мониторинга, проверки, поддержки и совершенствования СМИБ, используемой для защиты информационных активов.

Менеджмент информационной безопасности и менеджмент услуг рассматривают очень похожие процессы и деятельности. Совместное использование стандартов позволяет реализовать интегрированную систему менеджмента. Стандарт ИСО/МЭК 27013 предоставляет руководство по совместному использованию ИСО/МЭК 27001 и ИСО/МЭК 20000-1.

Национальный стандарт ГОСТ Р ИСО/МЭК 27037–2014 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме» введен в действие с 01.11.2015 г. Он идентичен международному стандарту ISO/IEC 27037:2012 «Information technology – Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence».

Стандарт предоставляет руководства по конкретным видам деятельности, касающимся обращения со свидетельствами, представленными в цифровой форме, к которым относится идентификация, сбор, получение и сохранение потенциальных свидетельств, которые могут иметь доказательную ценность. Он предоставляет руководство по распространенным ситуациям, возникающим в процессе обращения со свидетельствами, а также содействует организациям в их дисциплинарных процедурах.

Стандарт предоставляет рекомендации относительно следующих устройств, используемых при различных обстоятельствах:

• цифровые носители данных, используемые в типовых компьютерах (жесткие диски, дискеты, оптические диски и устройства с аналогичными функциями);

• мобильные телефоны, «карманные» персональные компьютеры, персональные электронные устройства, карты памяти;

• мобильные навигационные системы;

• цифровые фотоаппараты и видеокамеры (включая системы видеонаблюдения);

• типовые компьютеры с сетевыми соединениями;

• сети на основе протоколов TCP/IP и других цифровых протоколов;

• устройства с функциями, аналогичными перечисленным.

Использование свидетельств, представленных в цифровой форме, может требоваться в целом ряде различных сценариев, каждый из которых характеризуется соотношением между достижением качества доказательств, своевременностью анализа, восстановлением услуг и расходами на сбор свидетельств. В большинстве юрисдикций и организаций свидетельства, представленные в цифровой форме, обусловлены тремя основополагающими принципами: значимость, достоверность и достаточность. Эти три принципа важны для всех расследований. В стандарте рассмотрены все ключевые компоненты идентификации, сбора, получения и сохранения свидетельств, представленных в цифровой форме.

Национальный стандарт ГОСТ Р 57640–2017/ISO/IEC TS 33052:2016 «Информационные технологии. Эталонная модель процесса (ЭМП) для управления информационной безопасностью» введен в действие с 01.09.2018 г. Он идентичен международному стандарту ISO/IEC TS 33052:2016 «Information technology – Process reference model (PRM) for information security management».

Эталонная модель процесса, определенная в данном стандарте, описывает ряд процессов, включая процессы системы управления информационной безопасностью, приведенные в ИСО/МЭК 27001.

В стандарте приведены подробные описания процессов для управления информационной безопасностью.

Национальный стандарт ГОСТ Р ИСО/МЭК 29100–2013 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Основы обеспечения приватности» введен в действие с 01.01.2015 г. Он идентичен международному стандарту ISO/IEC 29100:2011 «Information technology – Security techniques – Privacy framework».

Стандарт предоставляет высокоуровневую структуру для защиты персональной идентификационной информации в пределах системы информационно-коммуникационной технологии. Он определяет место организационных, технических и процедурных аспектов в общей структуре обеспечения приватности.

В структуре обеспечения приватности стандарт выделяет следующие компоненты:

• субъекты и роли;

• взаимодействие;

• распознавание персональной идентификационной информации;

• требования к мерам защиты приватности;

• политики обеспечения приватности;

• меры и средства контроля и управления приватностью.

В стандарте описаны следующие принципы обеспечения приватности:

1. Согласие и выбор.

2. Законность цели и ее спецификация.

3. Ограничение на сбор информации.

4. Минимизация данных.

5. Ограничения в отношении использования, хранения и раскрытия.

6. Точность и качество.

7. Открытость, прозрачность и уведомление.

8. Индивидуальное участие и доступ.

9. Ответственность.

10. Информационная безопасность.

11. Соответствие обеспечения приватности.

Национальный стандарт ГОСТ Р ИСО/МЭК 38500–2017 «Информационные технологии (ИТ). Стратегическое управление ИТ в организации» введен в действие с 01.09.2018 г. Он идентичен международному стандарту ИСО/МЭК 38500:2015 «Информационные технологии. Стратегическое управление ИТ в организации» (ISO/IEC 38500:2015 «Information technology – Governance of IT for the organization».

Целью данного стандарта является предоставление руководящим органам принципов, определений и модели для оценки, руководства, анализа и отслеживания использования информационных технологий в своих организациях. Он представляет собой высокоуровневый рекомендательный документ, определяющий принципы стратегического управления ИТ. Кроме того, он обеспечивает общие инструкции в отношении роли руководящих органов, а также помогает организациям использовать соответствующие стандарты для осуществления стратегического управления ИТ.