Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Лекции Толстого / Tolstoy_voprosy

.pdf
Скачиваний:
200
Добавлен:
03.02.2018
Размер:
344.89 Кб
Скачать

1. Какой стандарт (серия стандартов) стал основоположником стандартизации систем управления ИБ?

Следующей его версией стал стандарт ISO/IEC 17799:2005, который в связи с формирование группы стандартов 27000 был преобразован в стандарт ISO/IEC 27002:2005. «Information technology. Security techniques. Code of practice for information security management» (Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления ИБ).

2. Для организаций какой сферы применимы стандарты серии ISO/IEC 27000?

ГОСТ Р ИСО/МЭК 27001–2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»

Дальнейшее развитие стандартов серии 27000 включает в себя появление стандартов, более подробно раскрывающих требования к отдельным процессам управления ИБ.

3. Каковы отличительные черты серии стандартов ISO/IEC 27000?

Дальнейшее развитие стандартов серии 27000 включает в себя появление стандартов, более подробно раскрывающих требования к отдельным процессам управления ИБ. Базируясь на единой структуре и методологии, заложенной в ISO/IEC 27001:2005, они предоставляют руководства по управлению ИБ для различных сфер деятельности, включая финансовый и страховой сектор, здравоохранение, телекоммуникации и т.д.

4. Какой из стандартов серии ISO/IEC 27000 содержит требования к созданию, внедрению, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ?

27003:201 Руководство по внедрению СУИБ 0

5. В чем состоят основные различия и сходства стандартов ISO/IEC 27001 (СУИБ. Требования ) и ITU-T X.1051?

ITU - T Rec.X.1051 | ISO/IEC 27011 (Руководство по управлению ИБ для телекоммуникационных компаний на основе ISO/IEC 27002)

6. Какой из стандартов серии ISO/IEC 27000 признан каталогом «лучших» практик по ИБ?

ГОСТ Р ИСО/МЭК 17799–2005 не является техническим стандартом и не зависит от конкретных средств защиты или технологий. Он описывает концептуальные основы управления ИБ и является признанным

набором «лучших практик» по ОИБ.

7. В каком стандарте серии ISO/IEC 27000 содержится руководство по внедрению СУИБ?

27003:201 Руководство по внедрению СУИБ 0

8. На основании чего может проводиться оценка эффективности СУИБ?

ISO 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации http://www.klubok.net/pageid499.html

9. Можно ли проводить аудит (или сертификацию) на соответствие стандарту ISO/IEC 27002 (бывший ISO/IEC 17799)?

Многие до сих пор спрашивают меня, можно ли пройти сертификацию по ISO 27002. Здесь положение дел с выходом новой редакции останется прежним – как сейчас, так и потом нельзя будет получить сертификат соответствия ISO 27002, поскольку, в отличие от ISO 27001, он не является стандартом системы менеджмента.

Это означает, что ISO 27002 останется сводом практики (или наилучшей практики) реализации мер безопасности. http://rusrim.blogspot.ru/2011/12/iso-27002.html

10. Каковы основные идеи руководства по аудиту СУИБ и средств управления ИБ, реализованных в СУИБ?

ISO/I ЕС 27007:2011 5.2 Разработка целей программы аудита ссылается на Применять руководство подраздела 5.2 ИСО 19011:2011, там:

5.2 Разработка целей программы аудита Высшему руководству следует обеспечить разработку целей программы аудита, для того чтобы

руководить планированием и проведением аудитов, ему также следует обеспечить результативное внедрение программы аудита. Цели программы аудита должны согласовываться и содействовать реа

лизации политики и целей системы менеджмента.

Цели могут быть основаны на рассмотрении следующего:

a)приоритетов руководства;

b)коммерческих и/или деловых намерений;

c)характеристик процессов, продуктов и проектов, а также любых изменений к ним;

d)требований системы (систем) менеджмента;

e)правовых и других требований, которые организация принимает на себя;

f)необходимости в оценке поставщиков;

д) потребностей и ожиданий заинтересованных сторон (включая потребителей);

h)показателей и характеристик деятельности проверяемой организации, что отражается в случа ях возникновения нарушений, дефектов, инцидентов или жалоб потребителей;

i)рисков для проверяемой организации;

j)результатов предыдущих аудитов;

k)уровня достигнутого развития системы менеджмента.

11. Почему подход к проведению аудитов систем менеджмента качества и окружающей среды, изложенный в стандарте 12. ISO/IEC 19011, может быть применен для проведения внутренний аудитов СУИБ?

13. В каком стандарте серии ISO/IEC 27000 описана инфраструктура руководства ИБ?

Стандарт ISO/IEC 27014:2013 «Information technology. Security techniques. Information security governance framework» (Информационная технология. Методы и средства обеспечения безопасности. Базовая структура руководства ИБ) стал руководством, помогающим организациям руководить (англ. govern) их ИБ, определяющим для них базовую инфраструктуру

эффективного управления ИБ

14. Какой стандарт серии ISO/IEC 27000 рассматривает вопросы управления безопасностью сетей?

http://wiki.informationsecurity.club/doku.php/документы:стандарты:серия_гост_р_исо_мэк_270 00

ГОСТ Р

Информационная технология. Методы и средства обеспечения

ИСО/МЭК

безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии.

27033-3-2014

Угрозы, методы проектирования и вопросы управления

15. В чем состоят преимущества использования (учета) требований российских и международных стандартов по управлению ИБ при построении СУИБ или отдельных процессов управления ИБ?

Помимо этого отличительной особенностью стандартов ISO 9000, которая была перенята при стандартизации СУИБ, является то, что они устанавливают степень ответственности руководства компании за качество.

16.Каковы преимущества одновременного учета требований стандартов, предъявляемых как к СУИБ в целом, так и стандартов, предъявляющих требования к отдельным процессам, разрабатываемым в рамках СУИБ?

17.В чем состоят основные сходства и различия между стандартами на СУИБ и на отдельные процессы управления ИБ?

18.Какие методы и средства ОИБ для ИТ рассматриваются в стандартах ISO/IEC 13335 и идентичных им ГОСТ Р ИСО/МЭК 13335?

Описания методов и средств нет в описании стандарта на сайте. Есть

Этот стандарт определяет, что для создания эффективной программы ОИБ ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:

·менеджмент риска – активы должны быть защищены путем принятия соответствующих мер, которые должны выбираться и применяться на основании соответствующей методологии управления рисками, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливающей допустимые риски и учитывающей существующие ограничения;

·обязательства организации в области ОИБ ИТТ и управлении рисками ИБ, для формирования которых следует разъяснить преимущества от реализации защиты ИТТ;

·служебные обязанности и ответственность за ОИБ активов, которые должны быть определены и доведены до сведения персонала;

·цели, стратегии и политика, которые должны учитываться при управлении рисками, связанными с ОИБ ИТТ организации;

·управление жизненным циклом – управление ИБ ИТТ должно быть непрерывным в течение всего их жизненного цикла.

В тексте стандарта перечислений методов и средств тоже нет.

19. Как оценивается ИБ ИТ согласно стандартам ISO/IEC 15408 и 18045 и идентичных им ГОСТ Р ИСО/МЭК?

Стандарт ГОСТ Р ИСО/МЭК 15408, как и ISO/IEC 15408, определяет:

·классы функций безопасности ИТ (их 11: аудит, идентификация и аутентификация, криптографическая защита, конфиденциальность, передача данных, защита пользовательских данных, управление безопасностью, защита функций безопасности системы, использование ресурсов, доступ к системе, надежность средств);

·четырехуровневую иерархическую структуру функций: класс – семейство – компонент – элемент;

·оценку безопасности ИТ, основанную на моделях системы безопасности, состоящих из перечисленных функций.

ГОСТ Р ИСО/МЭК 18045–2008, как и ISO/IEC 18045:2008, описывает минимальный набор действий, выполняемых оценщиком и органом сертификации, подтверждающим действия оценщика, при проведении оценки безопасности ИТ по ГОСТ ИСО/МЭК 15408 с использованием определенных в

последнем критериев и свидетельств оценки.

20. Какие из рассмотренных стандартов затрагивают аспекты анализа рисков ИБ?

27005:2011 Управление рисками ИБ (на основе BS 7799–3:2006)

ГОСТ Р ИСО/МЭК 17799–2005 «Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью».

ГОСТ Р ИСО/МЭК 27001–2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». М.: Стандартинформ, 2008.

ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements».

ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management».

ГОСТ Р ИСО/МЭК 51897–2002 «Менеджмент риска. Термины и определения».

21. Каковы основные цели построения системы УНБ, соответствующей требованиям стандартов BS 25999 и 25777?

... На базе изложенных требований с целью обеспечения непрерывности ключевых бизнес-процессов в

рамках области действия СУИБ можно построить процесс УНБ

22. В чем может заключаться различие между требованиями к системам управления непрерывностью бизнеса и к процессу управления непрерывностью бизнеса?

Система управления: система, в которой реализуются функции управления. Управление: осознанная целенаправленная деятельность человека, с помощью которой он

упорядочивает и подчиняет своим интересам элементы внешней среды – общества, живой и неживой природы, техники.

Управление непрерывностью бизнеса (УНБ) (англ. business continuity management): полный

процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействие на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против них, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности,

добавляющей ценность.

23. Каковы основные цели следования модели PDCA при построении процесса управления инцидентами ИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК ТО 18044?

Целями следования этой модели является обеспечение уверенности в том, что:

·события и инциденты ИБ выявляются и обрабатываются эффективным образом, в особенности в части классификации событий ИБ;

·выявленные в организации инциденты ИБ учитываются и обрабатываются наиболее подходящим и эффективным для них образом;

·последствия инцидентов ИБ могут быть минимизированы в процессе реагирования на инциденты, возможно с привлечением процессов ОНБ;

·за счет анализа событий и инцидентов ИБ повышается вероятность предотвращения инцидентов в будущем, улучшаются механизмы и процессы ОИБ.

24. Какие тенденции характерны для развития стандартизации управления ИБ в Российской Федерации?

В настоящее время российская стандартизация в области управления ИБ проходит некоторую промежуточную стадию своего формирования и является еще недостаточно зрелой, однако, уже сейчас намечаются положительные тенденции в развитии данной области. После некоторого перерыва были

приняты национальные стандарты, идентичные определенным международным стандартам или стандартам других стран.

25. В чем состоят преимущества использования «отраслевых» стандартов на СУИБ по сравнению, например, со стандартом ISO/IEC 27001, требования которого применимы к любой организации независимо от отрасли или сферы деятельности?

ГОСТ Р ИСО/МЭК 27001–2006 может использоваться для защиты любых видов информации, включая финансовую, персональные данные, информацию по поставщикам и клиентам, другие данные компании и, что немаловажно, информацию, принадлежащую ее партнёрам/клиентам – всё, что является значимым информационным активом, и всё, что подвержено угрозам ИБ.

Требования стандарта не накладывают каких-либо технических требований на ИТ-средства или СЗИ – стандарт не устанавливает ограничения на выбор программно-аппаратных средств и оставляет организации полную свободу выбора технических решений по защите информации.

Решение о создании СУИБ является стратегическим решением организации. На проектирование и внедрение СУИБ оказывают влияние потребности и бизнес-цели организации, используемые бизнеспроцессы, а также ее структура и размер, что, в свою очередь, ведет к выработке конкретных

требований по обеспечению безопасности в широком смысле ее понимания.

???

26. Каково значение стандартов серии СТО БР ИББС в рамках развития стандартизации управления ИБ в России?

Особую роль в БС РФ играет Банк России. Целями функционирования Банка России является развитие и укрепление БС РФ, обеспечение эффективного и бесперебойного функционирования платежной системы РФ. Важнейшее условие реализации этих целей: обеспечение необходимого и достаточного уровня ИБ, который во многом определяется уровнем ИБ банковских технологических процессов (платежных, информационных) и автоматизированных банковских систем (АБС), поддерживающих эти

процессы.

Упорядочение их (банков) функционирования возможно за счет разработки и внедрения комплекса нормативных документов, а также контроля за полнотой выполнения требований, сформулированных в

этих документах.

Деятельность, относящаяся к ОИБ в организациях БС РФ, должна контролироваться путем регулярного проведения оценки уровня ИБ, рисков ИБ и принятия мер, необходимых для управления этими рисками. Для этих целей был разработан комплекс документов, положенный в основу стандартизации

обеспечения и управления ИБ для организаций БС РФ.

27. Какие аспекты регламентируют стандарты серии СТО БР ИББС, если говорить об управлении ИБ?

Деятельность, относящаяся к ОИБ в организациях БС РФ, должна контролироваться путем регулярного проведения оценки уровня ИБ, рисков ИБ и принятия мер, необходимых для управления этими

рисками. Для этих целей был разработан комплекс документов, положенный в основу стандартизации обеспечения и управления ИБ для организаций БС РФ.

28. Каковы основные цели и задачи стандартизации по ОИБ организаций БС РФ?

развитие и укрепление БС РФ, обеспечение эффективного и бесперебойного функционирования платежной системы РФ.

Упорядочение их (банков) функционирования возможно за счет разработки и внедрения комплекса нормативных документов, а также контроля за полнотой выполнения требований, сформулированных в этих документах.

29. Каковы основные цели проведения аудита ИБ организаций БС РФ?

Основными целями аудита ИБ как важнейшего процесса в непрерывном цикле процессов управления ИБ организации являются:

·повышение доверия к этим организациям;

·оценка соответствия ИБ организаций критериям аудита ИБ, установленным согласно требованиям СТО БР ИББС-1.0.

30. На основе какой методики рекомендуется проводить оценку соответствия уровня ИБ организации БС РФ требованиям стандарта СТО БР ИББС-1.0?

Стандарт Банка России СТО БР ИББС-1.2 – методика оценки соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0

Для оценки соответствия ИБ организаций БС РФ стандарт Банка России СТО ИББС-1.2 определяет показатели ИБ и способы их оценивания. Используются групповые и частные показатели ИБ.

Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки по ним. Оценки групповых показателей используются для получения оценки по направлениям.

Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки, которые затем формируют оценки групповых показателей. Частные показатели разделены на две категории: выполнение которых обязательно и рекомендовано в организации. Также установлены критерии выставления оценок частных показателей ИБ, в которых оценивается степень документированности и/или выполнения требований по ОИБ.

31. Какие определения ПолИБ даются в различных международных стандартах?

Согласно самому первому определению, приведенному в стандарте «Оранжевая книга» (Trusted Compute System Evaluation Criteria), ПолИБ набор норм, правил и практических приемов,

которые регулируют управление, защиту и распределение ценной информации

Гостехкомиссия России определила такую ПолИБ как правила разграничения доступа, представляющие собой совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа

В ГОСТ Р ИСО/МЭК 13335–1–2006 отдельно выделена ПолИБ ИТТ (англ. ITТ security policy) – правила,

директивы, сложившаяся практика, которые определяют, как в пределах организации и ее ИТТ управлять, защищать и распределять активы, в том числе критичную информацию

ПолИБ сети (англ. network security policy) в различных англоязычных стандартах определяется

как документ, в рамках единой информационной инфраструктуры и СОИБ организации

формально устанавливающий правила доступа к ее компьютерной сети, на основе которых пользователи этой сети (сотрудники и бизнес-партнеры организации) накапливают,

применяют и распоряжаются ее активами.

32. В чем различие политик, стандартов, правил и процедур ОИБ?

ПолИБ набор норм, правил и практических приемов, которые регулируют управление,

защиту и распределение ценной информации

Стандарт (англ. standard) представляет собой правило, указывающее конкретное направление действий или ответную реакцию на данную ситуацию. Стандарты являются директивными указаниями (директивами), которые должны выполняться в соответствии с политиками и которые используются для определения соответствия этим политикам. Стандарты служат спецификациями для осуществления политик. Стандарты разработаны в целях содействия осуществлению высокоуровневой политики организации.

При разработке стандартов используются лучшие практики, накопленные в данной области. Тоже самое относится и к процедурам

Процедуры (англ. procedures) определяют конкретно, как политики, стандарты будут реализованы в данной ситуации. Процедуры – это технологии или процессы, зависимые от и имеющие отношение к конкретным платформам, приложениям или процессам. Они используются для выработки шагов, которые должны быть предприняты на организационном уровне для ОИБ отдельных систем и процессов. Процедуры, как правило, разработаны, реализованы и обеспечены организацией, владеющей процессом или системой. С целью обеспечения конкретных технических или процедурных требований внутри организации, где они применяются, процедуры как должны можно точнее поддерживать организационные политики, стандарты руководства. Примеры процедур: сертификация и аккредитация, оценка рисков ИБ, обнаружение вторжений, тесты на проникновение, реагирование на чрезвычайные ситуации, восстановление после аварий, резервирование, реагирование на инциденты ИБ.

Руководства (руководящие принципы, директивы) (англ. guidelines) содержат рекомендации по тому, как должны выполняться другие требования. Они уточняют, что должно быть сделано и как с целью достижения целей, установленных в ПолИБ. Руководство является общим заявлением, используемым в

качестве рекомендации или предлагающим подход к осуществлению политики и стандартов, например, при ОИБ.

33. Что такое трастовые модели?

В основе любой политики лежат модели доверия, или трастовые модели (англ. trusted models).

Для ИС наиболее точно смысл понятие «доверие» передает следующая формулировка: можно сказать, что один субъект «доверяет» другому, когда предполагает, что второй субъект будет вести себя точно так, как ожидает от него первый на основе их взаимодействия

34. С каких точек зрения и как можно описать виды ПолИБ?

ПолИБ в широком смысле определяется как система документированных управленческих решений по ОИБ организации.

ПолИБ в узком смысле – отдельный нормативный документ, определяющий требования безопасности, систему мер и/или порядок действий, а также ответственность сотрудников организации и средства управления для определенной области ОИБ.

1)корпоративную ПолИБ – ПолИБ организации в целом; такие политики называют также ПолИБ верхнего, или программного, уровня (англ. programlevel) [86];

2)частные ПолИБ [9] или ПолИБ по конкретным вопросам или проблемам (англ. issue-specific)

или ПолИБ по конкретным системам (англ. system-specific) [87], ориентированная на отдельную область ОИБ или технологию, используемую в организации/ее подразделении.

3) ПолИБ подразделений организации; могут даже создаваться ПолИБ для отдельных пользователей (роли/должности) или для группы пользователей внутри организации или за ее пределами (для партнеров, клиентов, аудиторов и т.п.).

35. Что понимают под ПолИБ в широком и узком смыслах?

ПолИБ в широком смысле определяется как система документированных управленческих решений по ОИБ организации.

ПолИБ в узком смысле – отдельный нормативный документ, определяющий требования безопасности, систему мер и/или порядок действий, а также ответственность сотрудников организации и средства управления для определенной области ОИБ.

36. Для чего разрабатываются организационные (административные) и технические ПолИБ?

Административная или организационная ПолИБ (англ. organisational security policy) и есть ПолИБ в выше определенном понимании. Она обычно излагается в документах трех уровней. Документы

верхнего уровня носят общий характер и определяют ПолИБ для организации в целом. Второй уровень выделяют в случае структурной сложности организации или при необходимости обозначить специфичные области деятельности, подразделения, технологии, подсистемы и т.п. Третий уровень относится к конкретным службам или подразделениям организации и детализирует верхние уровни ПолИБ. На данном уровне определяются конкретные цели, частные критерии и показатели ИБ, задаются права групп пользователей, формулируются условия доступа к информации, выводятся правила ОИБ и т.п.

Техническая ПолИБ (англ. technical security policy) – совокупность законов, правил и практических методов, регулирующих обработку чувствительной информации и использование ресурсов ПО и АО ИС.

Техническая ПолИБ базируется на правилах двух видов:

а) первая группа связана с заданием правил разграничения доступа ко всем информационным ресурсам организации;

б) вторая – основана на правилах анализа сетевого трафика как внутри интранета, так и при его выходе или входе из интранета.

37. Перечислите основные требования, предъявляемые в различных источниках к ПолИБ?

ПолИБ должна быть:

·обязательно согласована с общепризнанными основами теории ИБ, со всеми существующими нормативными и правовыми документами, соблюдение которых требуется от организации в стране ее функционирования, а также директивами, законами, приказами и общими задачами самой организации;

·интегрирована в общую политику организации и согласована с другими политиками (например, политикой приема/найма на работу);

·краткой (лучшие практики указывают на объем не более 10 страниц), простой для понимания и не допускать двойного толкования ее положений;

·наглядной. Это способствует ее эффективной реализации, помогая гарантировать ее знание и понимание всеми сотрудниками организации. Видеофильмы, семинары, статьи во внутренних изданиях организации или на ее внутреннем веб-узле увеличивают такую наглядность;

·надлежащим образом доведена в доступной и понятной форме до сведения всех сотрудников организации, с которой они должны ознакомиться чаще всего под расписку. Программа обучения в области ИБ и контрольные проверки действий в тех или иных ситуациях могут достаточно эффективно демонстрировать всем пользователям действенность соблюдения ПолИБ;

·реализуема (т.е. содержать только те положения, которые могут быть реализованы на практике), а ее реализация контролируема;

·утверждена высшим руководством организации и издана.

акже ПолИБ должна:

·обеспечивать разумный баланс между защитой и при этом не влиять на эффективность работы сотрудников организации, т.е. не снижать результативность их работы;

·устанавливать ответственность руководства и излагать подход организации к управлению ИБ;

·регулярно (через запланированные промежутки времени, по графику) анализироваться. Анализ должен включать в себя оценивание возможностей для улучшения ПолИБ и подходов к управлению ИБ в ответ на изменения в окружении организации, бизнес-обстоятельствах, юридических условиях или в технической среде. Анализ ПолИБ должен учитывать результаты ее анализа со стороны руководства;