УИБ Тема 1
Нормативная база управления ИБ: Стандарты серии 27000
Номер и год принятия
27000:2014
27001:2013/ Cor 1:2014
27002:2013
27003:2010
27004:2009
27005:2011
27006:2011
27007:2011
27008:2011
27009
27010:2012
27011:2008
27013:2012
27014:2013
27015:2012
27016:2014
Название
СУИБ. Обзор и основные термины
СУИБ. Требования (на основе BS 7799–2:2005)
Практические правила управления ИБ (ранее ISO/IEC 17799:2005) Руководство по внедрению СУИБ (готовится новая редакция)
Управление ИБ. Оценка СУИБ (готовится новая редакция)
Управление рисками ИБ (на основе BS 7799–3:2006)
Требования к органам, обеспечивающим аудит и сертификацию СУИБ Руководство по аудиту СУИБ (готовится новая редакция)
Руководство по аудиту средств управления ИБ, реализованных в СУИБ
Использование и применение ISO/IEC 27001 при сертификации аккредитованных третьих сторон для отдельного сектора/сервиса
Управление ИБ при коммуникации между секторами (в нескольких частях, предоставляющих руководство по совместному использованию информации о рисках ИБ, средствах управления, проблемах и/или инцидентах ИБ, выходящих за границы отдельных секторов экономики и государств, особенно в части, касающейся критичных инфраструктур)
Руководство по управлению ИБ для телекоммуникационных компаний на основе ISO/IEC 27002 (готовится новая редакция)
Руководство по интегрированному внедрению ISO 27000 и ISO 20000-1 Руководство ИБ
Руководство по внедрению СУИБ для финансовых сервисов (банков, страховых компаний, кредитных организаций и т.д.)
Управление ИБ. Экономика организации
УИБ Тема 1
Нормативная база управления ИБ: Стандарты серии 27000
27017
27018:2014 27019:2013 27031:2011
Практические правила для средств управления ИБ для сервисов облачных вычислений на основе ISO/IEC 27002
Практические правила для средств управления защитой данных в общедоступных сервисах облачных вычислений
Руководство по управлению ИБ на базе ISO/IEC 27002 для систем управления процессами, характерными для энергетической промышленности
Руководство по готовности информационных и телекоммуникационных технологий для обеспечения непрерывности бизнеса (на основе BS 25699:2006/2007)
27032:2012 Руководство по обеспечению кибербезопасности
27033–1:2009 Безопасность сетей. Часть 1. Общие положения и концепции (готовится новая редакция)
27033–2:2012 Руководство по проектированию и внедрению системы обеспечения безопасности сетей
27033–3:2010 Базовые сетевые сценарии – угрозы, методы проектирования и средства 27033 управления
27033–4:2014 Обеспечение безопасности межсетевых взаимодействий при помощи шлюзов безопасности
27033–5:2013 Обеспечение безопасности связи в сетях на основе использования виртуальных частных сетей
27033–6 Защита беспроводного доступа к IP-сетям
27034–1:2011/Cor1:2014 Безопасность приложений. Часть 1. Обзор и основные концепции в области обеспечения безопасности приложений
|
27034–2 Нормативная база организации |
|
27034 |
27034–3 Процесс управления безопасностью приложений |
|
27034–4 Оценка безопасности приложений |
||
|
27034–5 Протоколы и структура управляющей информации для обеспечения безопасности приложений (XML-схема)
27034–6 Руководство по обеспечению безопасности конкретных приложений
УИБ Тема 1
Нормативная база управления ИБ: Стандарты серии 27000
27035:2011 Управление инцидентами безопасности (заменил ISO/IEC ТR 18044) (готовится 3 новых части)
|
27036-1:2014 ОИБ при взаимоотношениях с другими организациями (поставщиками). |
|
Часть 1: Обзор и концепции |
27036 |
27036-2:2014 Требования |
|
27036-3:2013 Руководство по защите цепи поставок информационных и |
коммуникационных технологий
27037:2012 Руководство по идентификации, сбору и/или получению и обеспечению сохранности свидетельств, представленных в электронной форме (на основе BS 10008:2008)
27038:2014 Спецификация для изданий, представленных в электронной форме
27039
27040
27041
27042
27043
27044
27050
Выбор, размещение и функционирование систем обнаружения вторжений (будет вместо 18043:2006)
Безопасность хранения данных
Руководство по обеспечению применимости и адекватности методов исследования свидетельств, представленных в электронной форме
Руководство по анализу и интерпретации свидетельств, представленных в электронной форме
Принципы и процессы исследования свидетельств, представленных в электронной форме
Руководство по управлению информацией и событиями безопасности (SIEM) Электронное исследование
27789:2013 Аудит электронных медицинских записей 27799:2008 Управление ИБ в сфере здравоохранения
29147:2014 Обнаружение уязвимостей 30111:2013 Процессы устранения уязвимостей
20004:2012 Усовершенствование анализа уязвимостей ПО на базе ISO/IEC 15408 и ISO/IEC 18045
18045:2008 Методология оценки безопасности ИТ (стандарт, сопровождающий ISO/IEC 15408)
УИБ Тема 1
Нормативная база управления ИБ: Стандарты серии 27000
Российский стандарт
ГОСТ Р ИСО/МЭК 27000-2012 ГОСТ Р ИСО/МЭК 27001-2006 ГОСТ Р ИСО/МЭК 27002-2012 ГОСТ Р ИСО/МЭК 27003-2012 ГОСТ Р ИСО/МЭК 27004-2011 ГОСТ Р ИСО/МЭК 27005-2010 ГОСТ Р ИСО/МЭК 27006-2008 ГОСТ Р ИСО/МЭК 27011-2012 ГОСТ Р ИСО/МЭК 27031-2012 ГОСТ Р ИСО/МЭК 27033-1-2011
ГОСТ Р ИСО/МЭК 18045-2013 ГОСТ Р ИСО/МЭК 15408-1-2008 ГОСТ Р ИСО/МЭК 15408-2-2013 ГОСТ Р ИСО/МЭК 15408-3-2013
Международный |
Британский |
стандарт |
стандарт |
BS ISO/IEC 27000:2009 |
|
ISO/IEC 27001:2005 |
BS 7799-2:2002 |
ISO/IEC 27002:2005 |
|
BS ISO/IEC 27003:2010 |
|
BS ISO/IEC 27004:2009 |
|
ISO/IEC 27005:2008 |
BS 7799-3:2005 |
BS ISO/IEC 27006:2007
BS ISO/IEC 27011:2008
BS ISO/IEC 27031:2011
BS ISO/IEC 27033-1:2009
BS ISO/IEC 18045:2008
BS ISO/IEC 15408-1:2005
BS ISO/IEC 15408-2:2008
BS ISO/IEC 15408-3:2008
52
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ
Нормативная база управления ИБ: Стандарты серии ГОСТ Р ИСО/МЭК 27000:
1.ГОСТ Р ИСО/МЭК 27001-2006 ИТ. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
2.ГОСТ Р ИСО/МЭК 17799-2006 ИТ. Методы и средства обеспечения безопасности. Практические правила менеджмента информационной безопасности.
3.ГОСТ Р ИСО/МЭК 27004-2011 ИТ. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.
4.ГОСТ Р ИСО/МЭК 27005-2010 ИТ. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
5.ГОСТ Р ИСО/МЭК 27006-2008 ИТ. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности.
6.ГОСТ Р ИСО/МЭК 27033-1-2011 ИТ. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции.
53
ООНиИББ |
Тема 4.2 |
Концептуальные подходы к управлению ИБ
Нормативная база управления ИБ: Стандарты «управление ИБ ИТТ»
1.ГОСТ Р ИСО/МЭК 13335-1-2006 ИТ. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
2.ГОСТ Р ИСО/МЭК ТО 13335-3-2007 ИТ. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.
3.ГОСТ Р ИСО/МЭК 13335-4-2006 ИТ. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер.
4.ГОСТ Р ИСО/МЭК ТО 13335-5-2006 ИТ. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети.
5.ГОСТ Р ИСО/МЭК ТО 18044 – 2007 ИТ. Методы и средства
обеспечения безопасности. Менеджмент инцидентов |
|
информационной безопасности. |
54 |
|
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ
Термины и определения Обеспечение ИБ – это системный процесс, а не состояние.
Определения:
Процессом надо управлять!
«процесс» – это совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы и требующая для этого определенных ресурсов и управляющих воздействий (управления);
«бизнес-процесс» - множество из одной или нескольких упорядоченных во времени, логически связанных и завершенных видов деятельности, в совокупности поддерживающих деятельность организации и реализующих ее
политику, направленную на достижение «управление» - осуществление совокупности непрерывных поставленных целей; взаимосвязанных воздействий на объект (управляемую
систему), выбранных из множества возможных воздействий на
основании информации о поведении объекта и состоянии |
|
внешней среды для достижения заданной цели; |
|
«система управления» - система, в которой реализуются |
|
функции управления. |
55 |
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Термины и определения
Определения –пояснения
•Control – исторически первый из применяемых в информационных технологиях (ИТ) терминов, отражающий самые простейшие операции в области управления, в большей степени с точки зрения технического аспекта деятельности.
•Management – термин, который первоначально употреблялся в отношении управления человеческими ресурсами; в настоящее время встречается в сочетании с множеством понятий из области ИТ и имеет смысл организации и регулирования какой-либо деятельности, т. е. ее администрирования.
•Governance – термин, который стал активно использоваться применительно к ИТ только в последнем десятилетии; под ним обычно понимается руководство по организации и контролю за какой-либо деятельностью. Это слово
переводится на русский как «власть, руководство, |
|
управление». |
56 |
|
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Термины и определения
Определения – пояснения
•Менеджмент –
•как особый вид профессионально осуществляемой (осуществляемой профессионалами – профессиональными управляющими) деятельности, направленной на достижение определенных целей путем рационального использования материальных и трудовых ресурсов с применением определенных научных подходов, принципов, функций и методов;
•объединение управленческой деятельности с кадровой политикой;
•состояние всей управленческой инфраструктуры в различных масштабах;
•процесс оптимизации человеческих, материальных и финансовых ресурсов для достижения организационных целей;
•теория и практика научного и хозяйственного управления организацией в условиях рынка;
•система научных знаний, составляющих теоретическую базу практического опыта в области управления и имеющих междисциплинарный характер;
•совокупность лиц, идентифицируемых с менеджерами, а также с органами или аппаратом управления и т. п.
57
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Термины и определения
Определения –пояснения
•Менеджмент –
•способ (манера) обращения с людьми, власть и искусство управления, особого рода административные навыки, орган управления;
•совокупность принципов, форм, методов, приемов и средств управления производством и производственным персоналом с использованием достижений науки управления ;
•искусство управления интеллектуальными, финансовыми, материальными ресурсами ;
•эффективное и результативное достижение целей организации посредством планирования, организации, лидерства (руководства) и контроля над организационными ресурсами ;
•скоординированная деятельность по руководству и управлению организацией [ГОСТ Р ИСО 9000-2001].
Поэтому иногда делают вывод, что понятие менеджмента шире, чем просто управление.
58
УИБ |
Тема 1 |
Концептуальные подходы к ИБ Термины и определения
Управление: процессный подход (улучшение процессов)
Процессный подход: циклическая модель (для структурирования всех процессов управления и для обеспечения учета всех значимых элементов процессного подхода) PDCA (от англ. Plan- Do-Check-Act – планируй – выполняй – проверяй – действуй»)
Циклическая модель:
Предложена и развита двумя американскими учеными и специалистами в теории управления качеством. Шухарт (Walter A. Shewhart) (1939 г. «Статистические методы с точки зрения управления качеством»)
Пропагандировалась: Деминг (William Edwards Deming) в качестве основного способа достижения непрерывного улучшения процессов (цикл PDSA).
59
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ |
|
Термины и определения |
|
Управление ИБ – Управление обеспечением ИБ |
|
Управление ИБ: |
|
• |
техническую составляющую процесса управления с единой |
|
консоли распределенной системой агентов, решающих в |
|
сетевой среде различные задачи по ОИБ – обнаружение |
|
вторжений и вирусов, управление настройками систем |
• |
защиты и т. д. |
управление программными или аппаратными СЗИ. |
Более правильно рассматривать управление ИБ как совокупность целенаправленных действий,
осуществляемых для обеспечения нормального функционирования основных процессов и, в конечном счете, достижения бизнес-целей организации посредством обеспечения защищенности ее информационной сферы.
Определение:
«информационная сфера» - представляет собой совокупность информации, информационной инфраструктуры (состоит из банков данных и знаний, систем связи и т. п.), субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
60
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Термины и определения
Управление ИБ – Управление обеспечением ИБ
Различают:
Управление ИБ организации Управление ИБ технологии (ИТТ)
Определение:
«Управление ИБ организации» - управление ИБ организации как циклический процесс, состоящий из совокупности целенаправленных действий, осуществляемых для достижения заявленных бизнес-целей организации посредством обеспечения защищенности ее информационной сферы, и включающий :
• осознание необходимости ОИБ,
• постановку задачи по ОИБ,
• оценку текущей ситуации и состояния объекта управления,
• планирование мер по обработке рисков ИБ,
• реализацию, внедрение и оценку эффективности
соответствующих защитных мероприятий и средств управления,
• распределение ролей и ответственности в области ОИБ,
• обучение и мотивацию сотрудников, выбор управляющих и
корректирующих воздействий и их реализацию.
61
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ
Управление ИБ организации
Управление (обеспечением) ИБ организации
– это не разовое мероприятие. Его следует рассматривать
как непрерывную деятельность по постоянному поддержанию требуемого организацией уровня ИБ, так как правильно управляемая ИБ – инструмент успешного ведения бизнеса.
Основным предметом управления ИБ в организации являются следующие области деятельности:
•планирование работ по ОИБ, включая разработку и продвижение соответствующей документации;
•поддержка и участие в эксплуатации защитных мер;
•осуществление контроля за ОИБ и уровнем ИБ;
•совершенствование работ по ОИБ на основе собственного опыта и лучших практик.
62
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Управление ИБ организации
В целом процесс управления ИБ организации, носящий циклический характер, заключается в следующем:
•описание объектов управления и защищаемых активов организации и сбор данных об их состоянии;
•выявление и формализация возможных угроз ИБ и анализ рисков ИБ;
•оценка защищенности объектов управления (с выявлением уязвимостей) и ее сравнение с требованиями по ОИБ организации, сформулированными в Политике ИБ организации (ПолИБ);
•формирование управляющих воздействий;
•оценка результирующей деятельности по управлению ИБ. Определение:
«Политика ИБ организации» - документация, определяющая высокоуровневые цели, содержание и основные направления и устанавливающая правила, процедуры, практические приемы и
руководящие принципы обеспечения ИБ активов организации,
которыми она руководствуется в своей деятельности. |
63 |
|
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Управление ИБ организации
Цель управления ИБ в организации:
заключается в гарантировании того, что соответствующие мероприятия по обеспечению ИБ осуществляются таким образом, что в текущий момент надлежащим образом:
1)снижены риски ИБ;
2)осуществляются инвестиции в обеспечение ИБ;
3)руководство ознакомлено со всеми осуществляемыми мероприятиями;
4)верно сформулированы критерии оценки
эффективности обеспечения ИБ. |
64 |