Лекции Толстого / Толстой риски

• 3-1-2-5-4

3-2-1-5-4

1. Какой стандарт (серия стандартов) стал основоположником стандартизации систем управления ИБ?

На текущий момент можно с уверенностью сказать, что мировое сообщество проделало существенную работу в направлении стандартизации СУИБ и отдельных процессов управления ИБ, и по-прежнему весьма активно продолжает эту работу. В соответствие с этими стандартами ОИБ в любой организации заключается в выполнении следующих действий:

•определение целей ОИБ;

•создание эффективной СУИБ;

•расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия уровня ИБ заявленным целям;

•применение инструментария ОИБ и оценки ее текущего состояния;

•использование методик (с понятной системой критериев и защитных мер, или мер ОИБ) в процессе управления рисками ИБ, позволяющих объективно оценить текущее состояние дел в организации.

Основоположником подобной стандартизации стала серия стандартов ISO 9000, предъявляющих требования к системам менеджмента качества, соблюдение которых позволяет контролировать качество выпускаемой продукции или предоставляемых услуг. При разработке стандартов на СУИБ многое было взять за основу именно из стандартов серии ISO 9000, например, основной подход – процессный подход и использование циклической модели PDCA для непрерывного совершенствования как самой системы, так и отдельных ее процессов. Помимо этого отличительной особенностью стандартов ISO 9000, которая была перенята при стандартизации СУИБ, является то, что они устанавливают степень ответственности руководства компании за качество. Причем руководство предприятия отвечает как за разработку политики в области качества, так и за внедрение и поддержание в рабочем состоянии системы менеджмента качества. Очень большое количество процессов управления из систем менеджмента качества с некоторыми изменениями присутствует и в СУИБ, например,

Таким образом, основную цель ГОСТ Р ИСО/МЭК 27001–2006 можно сформулировать как создание общей методологии разработки, внедрения и оценки эффективности СУИБ.

Общие руководящие указания по управлению информационной безопасностью для организаций электросвязи представлены в Рекомендации ITU-T X.1051, которая основана на стандартах ISO/IEC 27001 и ISO/IEC 27002.

На предприятии должна существовать официальная система управления информационной безопасностью, внедренная в целях выявления рисков нарушения информационной безопасности для деятельности операторов связи и управления ими. В Рекомендации ITU-T X.1051 содержатся руководящие указания и описание передового опыта, необходимые для реализации такой системы.

Основное требование к поставщику услуг электросвязи, которое следует учитывать при внедрении ITU-T X.1051, – это наличие на данном предприятии системы ИБ, позволяющей перманентно (т.е. на постоянной основе) выявлять, оценивать, интерпретировать риски нарушения ИБ, связанные с представляемыми им услугами, причем как непосредственно конечным пользователям, так и опосредованно – через потребителей услуг. Кроме того, такая система должна обладать возможностями управления этими рисками. Используя непрерывные процессы управления рисками, поставщики услуг повышают наглядность своих профилей рисков и смогут продемонстрировать регуляторным органам и другим заинтересованным сторонам безопасность своих сетей и услуг. В данной рекомендации есть положение, по которому поставщики могут также рассматривать вопрос о своей официальной сертификации на соответствие рекомендациям ISMS-T по системе сертификации ISO/IEC 27001.

6. Какой из стандартов серии ISO/IEC 27000 признан каталогом «лучших» практик по ИБ?

ISO/IEC 27001:2005. «Information technology. Security techniques. Information security management systems.Requirements».

7. В каком стандарте серии ISO/IEC 27000 содержится руководство по внедрению СУИБ?

Руководство по внедрению СУИБ содержится в стандарте ISO/IEC 27003:2010

8. На основании чего может проводиться оценка эффективности СУИБ?

Эффективность процесса определяется достигнутыми результатами в сравнении с использованными ресурсами и может оцениваться посредством внутренних и внешних процессов контроля (проверки).

основную цель ГОСТ Р ИСО/МЭК 27001–2006 можно сформулировать как создание общей методологии разработки, внедрения и оценки эффективности СУИБ.

9. Можно ли проводить аудит (или сертификацию) на соответствие стандарту ISO/IEC 27002 (бывший ISO/IEC 17799)?

Для этих целей предусмотрен стандарт ISO 27001. 27002 является совокупностью практических правил по управлению ИБ и может быть использован в качестве критериев для оценки механизмов безопасности. В соответствии со стандартом при создании эффективной системы безопасности особое внимание следует уделить комплексному подходу к управлению ИБ. По этим причинам в качестве элементов управления рассматриваются не только технические, но и организационноадминистративные меры, направленные на обеспечение следующих требований к информации: конфиденциальность,

целостность, доступность, аутентичность.

10. Каковы основные идеи руководства по аудиту СУИБ и средств управления ИБ, реализованных в СУИБ?

Стандарт ISO/IEC 27008:2011 – руководство по аудиту средств управления, реализованных в СУИБ

Стандарт ISO/IEC 27008:2011 «Information technology. Security techniques.

Guidance for auditors on ISMS controls» (Информационная технология. Методы и средства обеспечения безопасности. Руководство для аудиторов средств управления СУИБ) [39] дополняет ISO/IEC 27007:2011 в части аудита именно средств управления ИБ, используемых в рамках СУИБ. Такой аудит выявляет, насколько хорошо СУИБ справляется с выполнением функций по ОИБ в организации любого размера и типа – общественной и частной, государственной и некоммерческой и т.п. Основой рассматриваемого в стандарте аудита выбран риск-ориентированный подход к управлению ИБ.

В то время как ISO/IEC 27007:2011 ориентирован на аудит всей СУИБ в целом, как это описано в ISO/IEC 27001, стандарт ISO/IEC 27008:2011 фокусируется на проверке средств управления, используемых в рамках СУИБ, описанных в ISO/IEC 27002 и перечисленных в приложении А ISO/IEC 27001. Он предоставляет собой руководящие указания по анализу реализации и функционирования средств управления, включая техническую проверку их соответствия вышеназванным стандартам и установленным в организации стандартам ИБ.

Стандарт ISO/IEC 27008:2011 не предназначен для аудита систем управления в целом, поскольку он ориентирован на процесс управления рисками ИБ в рамках СУИБ, определенный в стандартах ISO/IEC 27001 и ISO/IEC 27005.

Проведенный в соответствии ISO/IEC 27008:2011 аудит позволит удостовериться, что СУИБ существует не только «на бумаге», но и предоставляет реальные свидетельства своего функционирования, поддающиеся проверке. Полученные результаты аудита могут быть использованы для усовершенствования СУИБ за счет оптимизации взаимодействия между отдельными процессами в рамках функционирования СУИБ и необходимым контролем уровня ИБ, обеспечиваемого этой СУИБ. В качестве примера таких мероприятий можно привести реализацию механизмов снижения вреда, причиненного сбоями в защите информации, за счет чего возможно появление ошибочных финансовых отчетов и некорректных документов, выпущенных организацией, а также негативное воздействие на нематериальные ценности, такие как репутация и имидж организации, частная жизнь, навыки и опыт людей.

11. Почему подход к проведению аудитов систем менеджмента качества и окружающей среды, изложенный в стандарте 12. ISO/IEC 19011, может быть применен для проведения внутренний аудитов СУИБ?

Стандарт ISO/IEC 27007:2011 «Information technology. Security techniques. Guidelines for Information Security Management Systems auditing»

(Информационная технология. Методы и средства обеспечения безопасности. Руководство по аудиту систем менеджмента ИБ) содержит руководство для аккредитованных органов сертификации, внутренних аудиторов, внешних аудиторов/третьих лиц и других организаций, проводящих аудит СУИБ на

соответствие требованиям стандарта ISO/IEC 27001.

Стандарт ISO/IEC 27007:2011 в значительной степени основывается на

пересматриваемом в настоящее время стандарте ISO 19011:2011 «Guidelines for auditing management systems» (Рекомендации по аудиту систем менеджмента).

Следует отметить, что с выходом стандарта ISO/IEC TS 17021-2:2012

«Conformity assessment. Requirements for bodies providing audit and certification of management systems. Part 2: «Competence requirements for auditing and certification of environmental management systems» (Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 2: Требования к компетентности специалистов по аудиту и сертификации систем управления окружающей средой) может возникнуть необходимость

отказа от стандарта ISO 19011:2011, за чем может последовать пересмотр стандарта ISO/IEC 27007:2011.

13. В каком стандарте серии ISO/ IEC 27000 описана инфраструктура руководства ИБ?

ISO/ IEC 27014:2013. Базовая структура управления ИБ.

14. Какой стандарт серии ISO/IEC 27000 рассматривает вопросы управления безопасностью сетей?

Стандарты серии ISO/IEC 27033 по безопасности сетей:

ISO/IEC 27033-1, Обзор и концепции

ISO/IEC 27033-2, Руководство по проектированию и внедрению сетевой безопасности

ISO/IEC 27033-3, Риски, методы проектирования и контроля референтных сценариев использования сети

ISO/IEC 27033-4, Риски, методы проектирования и контроля безопасности при взаимодействии через сетевые шлюзы

ISO/IEC 27033-5, Риски, методы проектирования и контроля безопасности для виртуальных частных сетей

ISO/IEC 27033-6, IP конвергенция

ISO/IEC 27033-7, Беспроводные сети

15.В чем состоят преимущества использования (учета) требований российских и международных стандартов по управлению ИБ при построении СУИБ или отдельных процессов управления ИБ?

Всоответствие с этими стандартами ОИБ в любой организации заключается в выполнении следующих действий:

·определение целей ОИБ;

·создание эффективной СУИБ;

·расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия уровня ИБ заявленным целям;

·применение инструментария ОИБ и оценки ее текущего состояния;

·использование методик (с понятной системой критериев и защитных мер, или мер ОИБ) в процессе управления рисками ИБ, позволяющих объективно оценить текущее состояние дел в организации.

Основоположником подобной стандартизации стала серия стандартов ISO 9000, предъявляющих требования к системам менеджмента качества,

соблюдение которых позволяет контролировать качество выпускаемой продукции или предоставляемых услуг. При разработке стандартов на СУИБ многое было взять за основу именно из стандартов серии ISO 9000, например,

основной подход – процессный подход и использование циклической модели PDCA для непрерывного совершенствования как самой системы, так и отдельных ее процессов. Помимо этого отличительной особенностью стандартов

ISO 9000, которая была перенята при стандартизации СУИБ, является то, что они устанавливают степень ответственности руководства компании за качество.

Причем руководство предприятия отвечает как за разработку политики в области качества, так и за внедрение и поддержание в рабочем состоянии системы менеджмента качества. Очень большое количество процессов управления из систем менеджмента качества с некоторыми изменениями присутствует и в СУИБ, например, внутренние аудиты ИБ, корректирующие и предупреждающие действия и т.д

16.Каковы преимущества одновременного учета требований стандартов, предъявляемых как к СУИБ в целом, так и стандартов, предъявляющих требования к отдельным процессам, разрабатываемым в рамках СУИБ?

Построение и внедрение СУИБ в целом

Как правило, при данной схеме внедрения СУИБ большой объем работ идет параллельно. При внедрении СУИБ в целом осуществляется разработка и практически одновременное внедрение перечислены ранее процессов управления ИБ, реализуемых в рамках функционирования СУИБ: управление рисками ИБ, инцидентами ИБ и т.д. В такой ситуации важную роль играют

грамотное планирование работ и их хорошая координация.

Из преимуществ можно выделить то, что если такой проект реально запускается, то, скорее всего, имеется действительная заинтересованность руководства в нем и для построения и внедрения СУИБ все управленческие решения будут приниматься своевременно, а все необходимые ресурсы предоставляться вовремя.

Построение и внедрение процессов СУИБ по отдельности

При выборе стратегии внедрения процессов СУИБ по отдельности с последующим их объединением в СУИБ последовательность работ и разработки и внедрения процессов будет примерно такой же, как и при внедрении СУИБ в целом. За исключением того, что цели внедрения отдельных процессов должны определяться на этапе их разработки и потом их выполнение должно четко отслеживаться. Возможно, потребуется оформление политик для каждого из процессов, которые будут по структуре совпадать со структурой общей Политики СУИБ.

При внедрении отдельных процессов необходимо делать это постепенно, отводя время на внедрение процесса в культуру, обучение пользователей, внесение изменений в процесс по результатам первых циклов его работы. Именно в таком случае будут достигнуты преимущества данной стратегии внедрения СУИБ.

17. В чем состоят основные сходства и различия между стандартами на СУИБ и на отдельные процессы управления ИБ?

Основные существующие на момент разработки ЭОК стандарты в области управления ИБ можно условно разделить на два типа – стандарты, регламентирующие процессы построения, внедрения, эксплуатации, мониторинга, анализа, постоянного улучшения СУИБ в целом, а также стандарты, регламентирующие отдельные процессы управления ИБ.

Все рассмотренные стандарты являются рекомендательными, и, следовательно, выполнение их требований не обязательно, если перед организацией не стоит задача сертификации своей СУИБ.

18. Какие методы и средства ОИБ для ИТ рассматриваются в стандартах ISO/IEC 13335 и идентичных им ГОСТ Р ИСО/МЭК 13335?

Стандарт ГОСТ Р ИСО/МЭК 13335–1–2006 представляет собой руководство по управлению безопасностью ИТТ. Он определяет концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

Этот стандарт определяет, что для создания эффективной программы ОИБ ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:

• менеджмент риска – активы должны быть защищены путем принятия соответствующих мер, которые должны выбираться и применяться на основании соответствующей методологии управления рисками, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливающей допустимые риски и учитывающей существующие ограничения;

•обязательства организации в области ОИБ ИТТ и управлении рисками ИБ, для формирования которых следует разъяснить преимущества от реализации защиты ИТТ;

•служебные обязанности и ответственность за ОИБ активов, которые должны быть определены и доведены до сведения персонала;

•цели, стратегии и политика, которые должны учитываться при управлении рисками, связанными с ОИБ ИТТ организации;

•управление жизненным циклом – управление ИБ ИТТ должно быть непрерывным в течение всего их жизненного цикла.

Дополнительно (в книжке нет, в документе есть):

Защитные меры могут выполнять одну или несколько из след. Функций:

•предотвращение

•сдерживание

•обнаружение

•ограничение

•исправление

•восстановление

•мониторинг

•осведомление

19.Как оценивается ИБ ИТ согласно стандартам ISO/IEC 15408 и 18045 и идентичных им ГОСТ Р ИСО/МЭК?

Стандарт ГОСТ Р ИСО/МЭК 15408–1–2008 (идентичный ISO/IEC 15408–1:2005) устанавливает общий подход к формированию требований к оценке безопасности, основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ.

Стандарт ГОСТ Р ИСО/МЭК 15408–2–2008 (идентичный ISO/IEC 15408–2:2005) содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и

расширения по определенным правилам.

Стандарт ГОСТ Р ИСО/МЭК 15408–3–2008 (идентичный ISO/IEC 15408–3:2005) включает в себя систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они

удовлетворяют предъявленным к ним функциональным требованиям. Здесь же содержатся оценочные уровни доверия, определяющие шкалу требований, которые позволяют с возрастающей степенью полноты и строгости оценить проектную, тестовую и эксплуатационную документацию, правильность реализации функций безопасности объекта оценки, уязвимости продукта или системы ИТ, стойкость механизмов защиты и сделать заключение об уровне доверия к безопасности объекта оценки.

ГОСТ Р ИСО/МЭК 18045–2008, как и ISO/IEC 18045:2008, описывает минимальный набор действий, выполняемых оценщиком и органом сертификации, подтверждающим действия оценщика, при проведении оценки безопасности ИТ по ГОСТ ИСО/МЭК 15408 с использованием определенных в последнем критериев и свидетельств оценки.

Стандарт также предназначен для заявителей оценки, разработчиков, авторов профилей защиты и заданий по безопасности и других сторон, заинтересованных в безопасности ИТ.

20. Какие из рассмотренных стандартов затрагивают аспекты анализа рисков ИБ?

Примечание. Вероятно, реально имеют значение только ISO и ГОСТ Р ИСО/МЭК стандарты. Кроме того, скорее всего для ISO достаточно выписать серию стандартов 27000 и не упоминать каждый конкретный стандарт. Но это не точно.

BSI-Standard 100-3 «Risk Analysis based on IT-Grundschutz» посвящен анализу рисков ИБ на основе методики IT-Grundschutz.

Британский стандарт BS 7799–3:2006 «Information security management systems. Part 3: Guidelines for information security risk management» (Системы менеджмента ИБ. Руководство по управлению рисками ИБ) определяет процессы оценки и управления рисками ИБ как составные элементы системы управления организации. При этом используется циклическая модель PDCA.

Стандарт ISO/IEC 27004:2009 – измерения для управления ИБ. В стандарте содержатся общее руководство и рекомендации по разработке и использованию измерений и мер измерений для проведения оценки эффективности и результативности внедренной в организации СУИБ, а также мерам и средствам управления ИБ (и их группам), определенным в ISO/IEC 27001, включая политику, управление рисками ИБ, средства управления и цели их применения, процессы и процедуры. Процесс измерений поддерживает процесс оценки СУИБ и помогает определить, требуется ли изменять или совершенствовать какие-либо из процессов или средств управления СУИБ. Сам процесс измерений реализуется на основе программы измерений, связанных с ИБ.

С января 2012 г. в России введен в действие ГОСТ Р ИСО/МЭК 27004–2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения», идентичный ISO/IEC 27004:2009.

Стандарт ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management» (Информационная технология. Методы и средства обеспечения безопасности. Управление рисками ИБ) содержит общее руководство по управлению рисками ИБ, которое может быть использовано в различных типах организаций – коммерческих, некоммерческих, государственных.

Сдекабря 2011 г. в России введен в действие ГОСТ Р ИСО/МЭК 27005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», идентичный ISO/IEC

27005:2008 и заменяющий ГОСТ Р ИСО/МЭК ТО 13335–3–2007 «Методы менеджмента безопасности информационных технологий» и ГОСТ Р ИСО/МЭК ТО 13335–4–2007 «Выбор защитных мер».

21. Каковы основные цели построения системы УНБ, соответствующей требованиям стандартов BS 25999 и 25777?

Управление непрерывностью бизнеса (УНБ) – целостный процесс управления, в ходе которого выявляются потенциальные угрозы для организации и определяются возможные последствия для хозяйственных операций в случае осуществления этих угроз, а также создается основа обеспечения способности организации восстанавливаться и эффективно реагировать на инциденты, что гарантирует соблюдение интересов основных заинтересованных сторон, сохранение репутации, брэнда и деятельности по созданию добавленной стоимости. УНБ включает управление восстановлением и продолжением хозяйственной деятельности в случае нарушения нормального хода бизнеса, а также управление общей программой обеспечения непрерывности бизнеса посредством проведения обучения, учений и анализа с целью поддержания плана(ов) обеспечения непрерывности бизнеса в актуальном состоянии.

BS 25999-1:2006, «Управление непрерывностью бизнеса - Часть 1: Практические правила»

BS 25999-1:2006 определяет процесс, принципы и терминологию в области управления непрерывностью бизнеса, закладывая основы для понимания, разработки и внедрения системы непрерывности бизнеса в организации и обеспечения уверенности в ее надежности со стороны клиентов и партнеров. Этот стандарт описывает всеобъемлющий набор механизмов контроля и охватывает весь жизненный цикл процесса управления непрерывностью бизнеса. Он был разработан специалистами-практиками, представителями всего мирового сообщества, на основе передового опыта в данной области, и пригоден для организаций всех типов и размеров.

BS 25999-2:2007, «Управление непрерывностью бизнеса - Часть 2: Спецификация»

В то время, как первая часть стандарта (BS 25999-1:2006) содержит общие рекомендации по управлению непрерывностью бизнеса, вторая часть устанавливает требования к системе управления непрерывностью бизнеса, причем только те, соблюдение которых может быть объективно проверено. Используя эти требования, компании могут проводить оценку существующей системы управления непрерывностью бизнеса, как самостоятельно, так и привлекая внешних консультантов. На основании именно второй части стандарта сертификационные органы будут выдавать заключение о соответствии системы управления непрерывностью бизнеса требованиям стандарта BS 25999.

BS 25777:2008, "Управление непрерывностью информационных и коммуникационных технологий – Практические правила"

Британский стандарт BS 25777 был разработан на базе существующих стандартов обеспечения непрерывности бизнеса BS 25999 и дополняющей их публичной спецификации PAS 77, обобщающей лучшую мировую практику в области обеспечения непрерывности ИТ сервисов.

Управление непрерывностью ИКТ обеспечивает необходимую жизнеспособность информационно-коммуникационных технологий и сервисов и возможность их восстановления до заранее определенного уровня в