嶋・4-15
.ppt
УИБ |
Тема 4 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Нормативная база проверки и оценки деятельности по обеспечению ИБ: международные, национальные и отраслевые стандарты (лучшая практика)
Международные и национальные стандарты
Устанавливает:
•общие требования к сертификации или регистрации СУИБ
организаций, которым должны удовлетворять их СУИБ (признанные достаточными и надежными для выполнения заявленных функций по управлению ИБ), а также способствовать проведению аккредитации органов сертификации);
•требования к аудиту систем управления (направленные на повышение
ценности сертификации системы управления для государственных и частных организаций по всему миру) и к квалификации аудиторов, выполняющих сертификацию, а также способов организации их
работы.
ГОСТ Р ИСО/МЭК 27006:2008 «Информационная технология. Методы и средства
обеспечения безопасности. Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента ИБ» (ISO/IEC 27006:2011)
Является: руководством по формализованному процессу сертификации или регистрации СУИБ организаций для органов, осуществляющих такую сертификацию.
Предназначен: для поддержки аккредитации органов сертификации, осуществляющих сертификацию СУИБ. 21
Определяет: требования и дается руководство по осуществлению
УИБ |
Тема 4 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Нормативная база проверки и оценки деятельности по обеспечению ИБ: международные, национальные и отраслевые стандарты (лучшая практика)
Международные и национальные стандарты
Содержит:
•руководство для аккредитованных органов сертификации, внутренних
аудиторов, внешних аудиторов/третьих лиц и других организаций, проводящих аудит СУИБ на соответствие требованиям стандарта ISO/IEC 27001;
•советы по аудиту или анализу имеющейся в организации СУИБ на ее
соответствии стандарту ISO/IEC 27002 (например, проводящим аудит средств управления на их применимость к управлению рисками ИБ).
Рассматривает такие вопросы, как:
•принципы аудита, управление программой аудита (включая постановку задач, определение ответственности, необходимых ресурсов и процедур, реализацию, документы, мониторинг и анализ);
•деятельность в рамках проводимого аудита (начиная с инициализации процесса, проведения анализа предоставленных документов, подготовки к аудиту на месте, и заканчивая подготовкой отчета по результатам аудита, завершению аудита и последующих действий), компетентность и оценка аудиторов.
ISO/IEC 27007:2011 «Information technology. Security techniques. Guidelines for Information Security Management Systems auditing» (Информационная технология. Методы и средства обеспечения безопасности. Руководство по аудиту систем менеджмента ИБ)
22
УИБ |
Тема 4 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Нормативная база проверки и оценки деятельности по обеспечению ИБ: международные, национальные и отраслевые стандарты (лучшая практика)
Международные и национальные стандарты
Дополняет:
•ISO/IEC 27007:2011 в части аудита средств управления ИБ, используемых в
рамках СУИБ. Такой аудит выявляет, насколько хорошо СУИБ справляется с выполнением функций по обеспечению ИБ в организации (общественной и частной, государственной и некоммерческой и т. п.). Основой рассматриваемого в стандарте аудита выбран риск-ориентированный подход к управлению ИБ Фокусируется:
•на проверке средств управления ИБ, используемых в рамках СУИБ, описанных в ISO/IEC 27002 и перечисленных в приложении А ISO/IEC 27001. Не предназначен:
•для аудита систем управления в целом, поскольку он ориентирован на процесс управления рисками ИБ в рамках СУИБ, определенный в ISO/IEC 27001 и 27005, и средства управления ИБ, перечисленные в ISO/IEC 27002. Предоставляет собой:
•руководящие указания по анализу реализации и функционирования средств управления ИБ, включая техническую проверку их соответствия вышеназванным стандартам и установленным в организации стандартам
ИБISO/IEC. 27008:2011 «Information technology. Security techniques. Guidance for
auditors on ISMS controls» |
23 |
(Информационная технология. Методы и средства обеспечения безопасности.
Руководство для аудиторов системы менеджмента ИБ)
УИБ |
Тема 4 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Нормативная база проверки и оценки деятельности по обеспечению ИБ: международные, национальные и отраслевые стандарты (лучшая практика)
Отраслевые стандарты
Стандарты Банка России:
•СТО БР ИББС-1.0 «Обеспечение информационной
безопасности организаций банковской системы Российской Федерации. Общие положения» – четвертая редакция введена в действие с 21 июня 2010 г.
•СТО БР ИББС-1.1 «Обеспечение информационной
безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» – первая редакция введена в действие с 1 мая 2007 г.
•СТО БР ИББС-1.2 «Обеспечение информационной
безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций БС РФ требованиям СТО БР ИББС- 1.0» – третья редакция введена в действие с 21 июня 2010 г.
Рекомендации в области стандартизации Банка России:
•РС БР ИББС-2.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. 24
УИБ |
Тема 4 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Нормативная база проверки и оценки деятельности по обеспечению ИБ: международные, национальные и отраслевые стандарты (лучшая практика)
Отраслевые стандарты
Корпоративная система нормативно-методических документов в области комплексных систем
безопасности объектов ОАО «Газпром».
Система обеспечения информационной безопасности ОАО «Газпром»:
Стандарты на методы контроля:
•СТО Газпром 4.2-5-001-2009 «Оценка соответствия
объектов защиты».
Рекомендации организации (на методы контроля):
•Р Газпром 4.2-5-001-2009 «Методика
сертификационных испытаний информационно- управляющих систем предприятия».
•Р Газпром 4.2-5-002-2009 «Методика
сертификационных испытаний автоматизированных 25
систем управления технологическими процессами».
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Место проверки и оценки деятельности по обеспечению ИБ в СУИБ: Работа с процессами СУИБ: Основные процессы СУИБ
УИБ |
Тема 4 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Место проверки и оценки деятельности по обеспечению ИБ в СУИБ: Методологическая основа СУИБ: процессный подход в рамках
управления ИБ: 1.Планирование СУИБ; 2.Реализация СУИБ; 3.Проверка СУИБ; 4.Совершенствование СУИБ
27
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Место проверки и оценки деятельности по обеспечению ИБ в СУИБ: Методологическая основа СУИБ: процессный подход в рамках
управления ИБ:
28
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Место проверки и оценки деятельности по обеспечению ИБ в СУИБ:
Рис. 2.1. Взаимосвязь мониторинга ИБ и управления инцидентами ИБ:
29
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Оценка деятельности по управлению ИБ
Мониторинг |
|
|
|
Мониторинг |
|
Показатели |
|
||
эффективности защитных |
|
|
эффективности процессов |
|
|
(метрика) |
|
||
мер |
|
|
управления ИБ |
|
|
|
|
||
|
|
|
Оценка/переоценка рисков ИБ |
|
Оценка/переоценка уровней |
|
остаточных и приемлемых рисков ИБ |
|
•повышение эффективности используемых и внедряемых |
|
защитных мер; |
|
•повышение эффективности процессов, реализуемых в |
|
рамках СУИБ; |
|
•предоставление данных руководству для анализа |
|
эффективности процесса ОИБ в организации. |
30 |