5.73M
Category: lawlaw
Similar presentations:
Концептуальные подходы к управлению рисками информационной безопасности
Концептуальные подходы к управлению рисками информационной безопасности
Система управления информационной безопасностью РФ
Система управления информационной безопасностью РФ
Нормативная база по управлению рисками информационной безопасности. Лекция 6
Нормативная база по управлению рисками информационной безопасности. Лекция 6
Концептуальные подходы к управлению рисками информационной безопасности
Концептуальные подходы к управлению рисками информационной безопасности
Стандарты управления информационной безопасностью
Стандарты управления информационной безопасностью
Система управления информационной безопасностью. Управление активами
Система управления информационной безопасностью. Управление активами
Менеджмент информационной безопасности
Менеджмент информационной безопасности
Стандартизация в области управления ИБ
Стандартизация в области управления ИБ
Управление информационной безопасностью. Лекция 9. Сущность аудита информационной безопасности
Управление информационной безопасностью. Лекция 9. Сущность аудита информационной безопасности
Управление информационной безопасностью. Политика информационной безопасности
Управление информационной безопасностью. Политика информационной безопасности

Особенности современных подходов к управлению информационной Безопасностью. Система менеджмента информационной безопасности

1.

Раздел Особенности современных подходов к управлению
информационной Безопасностью. Система менеджмента
информационной безопасности.
Нормы, причинно-следственные связи и требования обеспечения
информационной безопасности. Состав требований по защите.
Стандартизация в сфере информационной безопасности.
Лекция 5. Стандартизация в сфере информационной безопасности.

2.

Рассматриваемые вопросы
1). Стандартизация в сфере информационной безопасности.
2) Системы международных стандартов по информационной безопасности.
3) Международные корпоративные стандарты по информационной безопасности.
4) Зарубежные национальные системы стандартизации по информационной безопасности.
5) Российская система стандартов в области информационной безопасности.

3.

Что это и зачем?
Станда́рт (от англ. standard) — нормативный технический документ, устанавливающий нормы, правила,
требования к объекту стандартизации. Может содержать правовые нормы, не имеющие технического
содержания, но не содержит санкций. Один из видов стандарта: технические условия — содержит
только требования.
Цели стандартизации
• повышение степени
соответствия продукции, процессов и
услуг их
функциональному
назначению
• устранение барьеров
в торговле
• содействие научнотехническому
сотрудничеству

4.

История возникновения структур по стандартизации
1. Национальный уровень
Великобритания:1901г. –BSI (первый стандарт на марки стали)
США: 1901 г. - NIST
Германия: 1917 –DIN
СССР: 1925г. – Госстандарт
2. Международный уровень
МЭК: 1906г.
ИСО 1947г.
PCI Counsil 2004г.
3Dsecure 1999г. /виза, мастеркард корпоративный протокол, органа
по стандартизации нет.

5.

Современные направления стандартизации в сфере ИБ и управления.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
Требования по ИБ
Правил проверки выполнения требований, включая аудит ИТ и аудит систем
менеджмента
Правила управления СОИБ
Правила сбора информации
Требования к квалификации проверяющих
Правила проверки свойств безопасности продуктов
Правила безопасной разработки
Правила менеджмента риска.
Управление деятельностью по обеспечению ИБ
Менеджмент информационной безопасности.
Мониторинг, оценка защищенности, анализ и оценивание
Менеджмент и регистрация инцидентов информационной безопасности
Требования к органам сертификации

6.

Иерархия стандартизации
Международный уровень
Международные организации
по стандартизации
ISO
IEC (МЭК)
Отраслевые организации
по стандартизации
Bank for International Settlements
Корпоративные
Организации
VISA
Региональные
организации
Национальный уровень
Национальные организации
по стандартизации
Ростандарт
Отраслевые организации
По стандартизации
ТК122/ПК1
Корпоративные
Организации
АБИСС
Предприятия, отрасли
Банк России

7.

Виды стандартов
1.
2.
3.
4.
5.
6.
7.
8.
9.
Гармонизированные стандарты
Идентичные стандарты
Модифицированные стандарты
Неэквивалентные стандарты
Сопоставимые стандарты
Предварительный национальный стандарт ПНСТ
Стандарты предприятий
Стандарты объединений
Международные корпоративные стандарты

8.

Обозначения
Обозначение национальных стандартов состоит из индекса (ГОСТ, ГОСТ Р, ПНСТ),
регистрационного номера и отделенных тире двух или четырех цифр года утверждения стандарта.
Национальный стандарт будет иметь индекс ГОСТ Р, стандарт межнационального (регионального)
уровня — ГОСТ, предварительный стандарт — ПНСТ.
Если стандарт входит в комплекс стандартов, то в его регистрационном номере первые цифры с точкой
определяют комплекс стандартов.

9.

Правовой статус стандартов
• Рекомендательный после 1991 года. ФЗ « О техническом
регулировании» предусмотрена специальная процедура придания
стандарту обязательного статуса.
• Обязательный статус имеют технические регламенты. В ИБ не
используются.
• ФЗ предусмотрена отдельная ветвь регулирования в сфере ИБ.
(НПА регуляторов)

10.

История возникновения современных стандартов по ИБ
Прародитель международных стандартов управления информационной безопасностью — британский стандарт
(руководящий документ, правила) BS 7799.
Разработан по заказу Правительства Великобритании.
Первая его часть — BS 7799-1 «Практические правила управления информационной безопасностью» — была
разработана BSI в 1995 г. Как следует из названия, этот документ является практическим руководством по управлению
информационной безопасностью в организации. Он описывает 10 областей и 127 механизмов контроля, необходимых
для построения СУИБ, определенных на основе лучших примеров из мировой практики.
В 1998 году появилась вторая часть этого британского стандарта — BS 7799-2 «Системы управления информационной
безопасностью. Спецификация и руководство по применению», определившая общую модель построения СУИБ и
набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй
части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы
сертификации в области управления безопасностью.
В 1999 году обе части BS 7799 были пересмотрены и гармонизированы с международными стандартами систем
управления ISO 9001 и ISO 14001, а год спустя технический комитет ISO без изменений принял BS 7799-1 в качестве
международного стандарта ISO/IEC 17799:2000.
Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного
стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы
управления информационной безопасностью — Требования». В это же время была обновлена и первая часть
стандарта.

11.

Современная общая конструкция системы стандартов по ИБ,
используемых в России
Российские национальные стандарты
Международные корпоративные стандарты
PCI DSS
SWIFT
3D SECUR
стандарты банковских карт VISA/MasterCard
NIST – условно
Применяется по факту для
WSTG - v4.2
PEN-тестирования
OSSTM
ГОСТ/ИСО 900х
Стандарт качества
ГОСТ Р 13335
Базовый менеджмент ИБ
Серия ГОСТ Р 15408.х Оц. Соотв. продуктов Треб. ИБ
Серия ГОСТ Р 15504.х
Оц. Уровня зрелости
процессов
ГОСТ 19011
Аудит систем менеджмента
Серия стандартов ГОСТ Р 27ххх
Гарм.ст. по ИБ
Серия ГОСТ Р 34ххх
Разработка ИС
ГОСТ Р 51583
Созд. АС ЗИ
Серия ГОСТ Р 53ххх
Менеджмент непр.бизнеса
Стандарты серии ГОСТ Р 5758х
Банк. ИБ и ОНБ
ГОСТ Р 5971х
Упр. инцидентами
Корпоративные Стандарты серии СТО ИББС БР

12.

Российская система стандартизации по информационной безопасности
РОСТАНДАРТ
ТК26
Криптография
б/о Инфотекс
ТК 27
международные
стандарты
б/о Ростандарт
ТК 362 Стандарты
по ИБ ГОСТ Р
б/о ГНИИПЗТИ
Программно-аппаратные комплексы для критической
информационной инфраструктуры и программное
обеспечение для них», б/о АО «НПО КИС» Росатома
ПК1/ТК 122
Стандарты в банковской
деятельности
б/о ЦБ РФ

13.

Вопросы практического использования стандартов в РФ.
Вид документа
Форма использования
Пример
ГОСТ
Общепринятая-рекомендательная
Серия 27ххх
Практически используется для
разработки внутренних обязывающих
документов
Обязательная по закону
Серия 59580.х
ЦБ РФ, на основании ФЗ о ЦБ
Обязательная по договору
Серия 27ххх
По договору с зарубежным
партнером как общепринятый
механизм оценки соответствия
Постановление Правительства
ПП 1119
Обязательная для всех субъектов ПД
Обязателен для операторов ПД
Приказы регулятора
ФСТЭК (235,3.239 и т.д.)
ФСБ 196, 860 и т.д.
Обязательная для выделенных групп
субъектов КИИ
ЗО КИИ

14.

Системы международных стандартов по информационной безопасности
27013
Совм. Исп. стандартов
27014
Руководство деятельностью
27031
Обесп. Непр. бизнеса
27037
Сбор цифр. Док.
27035
менеджмент инцидентов

15.

16.

Устанавливает требования по
защите, сгруппированные в 17
групп

17.

18.

19.

20.

21.

22.

ISO/IEC 27004:2016 И ГОСТ Р ИСО/МЭК 27004-2021 – Оценка
функционирования СУИБ
ГОСТ Р ИСО/МЭК 27004-2021 содержит следующие основные разделы:
1) Обзор измерений, связанных с ИБ (цели, программа, факторы успеха, модель измерений)
2) Обязанности руководства
3) Разработка измерений и мер измерений (процессов их сбора и показателей)
4) Процесс измерений
5) Анализ данных и отчетность по результатам измерений 6) Оценивание и совершенствования
программы измерений в организации
В приложениях есть шаблон описания измерений и приведены некоторые рабочие примеры

23.

ISO/IEC 27004:2016 И ГОСТ Р ИСО/МЭК 27004-2021 – Оценка
функционирования СУИБ

24.

ISO/IEC 27005:2008 И ГОСТ Р ИСО/МЭК 27005-2010 –
Управление рисками ИБ
Стандарт ISO/IEC 27005:2008 «Информационная технология. Методы и средства обеспечения
безопасности. Управление рисками ИБ» и ГОСТ Р ИСО/МЭК 27005-2010 содержат общее руководство
по
управлению рисками ИБ, которое может быть использовано в различных типах организаций —
коммерческих, некоммерческих, государственных
ГОСТ Р ИСО/МЭК 27005-2010 носит описательный характер и не содержит какой-либо конкретной
методологии и не называет конкретные методы управления рисками ИБ, хотя и устанавливает
структурированный, систематический и строгий метод анализа рисков ИБ посредством создания плана
их обработки
Стандарт позволяет применяющей его организации самостоятельно учесть различные аспекты СУИБ,
идентифицировать уровни своих рисков, определить критерии для принятия риска, идентифицировать
приемлемые риски и т. д.
Организация сама должна выбрать из имеющихся свой подход к управлению рисками ИБ, зависящий,
например, от целей использования СУИБ, области ее действия, содержания процесса управления
рисками ИБ и сферы своей деятельности

25.

ГОСТ Р ИСО/МЭК 27005-2010 состоит из:
1. Обзора процесса управления рисками ИБ как непрерывного процесса
2. Установления контекста управления рисками
3. Оценки рисков ИБ (описание оценки рисков ИБ, анализ рисков ИБ, включая
идентификацию,
оценивание значительности и вычисление рисков ИБ)
4. Обработки рисков ИБ (общее описание обработки рисков, снижение, сохранение, избежание
и передача
рисков)
5. Принятия рисков ИБ
6. Коммуникации рисков ИБ
7. Мониторинга и пересмотра рисков ИБ
В приложениях к стандарту есть ряд сведений информативного характера: определение целей
и границ
процесса управления рисками ИБ, определение и оценка активов и воздействия на них,
примеры типичных
угроз ИБ, уязвимости и методы их оценки, подходы к оценке рисков ИБ, ограничения для
снижения рисков

26.

27.

28.

29.

30.

31.

32.

ГОСТ 27011-2012 Руководство по менеджменту информационной
безопасности для телекоммуникационных организаций на основе
ИСО/МЭК 27002
1 Область применения
Настоящий стандарт определяет рекомендации, поддерживающие реализацию менеджмента
информационной безопасности в телекоммуникационных организациях.
Применение данного национального стандарта позволит телекоммуникационным организациям
выполнять базовые требования менеджмента информационной безопасности в отношении
конфиденциальности, целостности, доступности и любых других аспектов безопасности.
2. Данный национальный стандарт имеет структуру, сходную с ИСО/МЭК 27002. В тех случаях,
когда определенные в ИСО/МЭК 27002 цели и меры и средства контроля и управления применимы без
какой-либо дополнительной информации, дается только ссылка на ИСО/МЭК 27002. Характерная для
телекоммуникационного сектора совокупность мер и средств контроля и управления, а также
рекомендаций описана в приложении A (обязательном).
В тех случаях, когда меры и средства контроля и управления требуют дополнительной характерной для
телекоммуникаций рекомендации по реализации, мера и средство контроля и управления, а также и
рекомендация по их реализации повторяются из ИСО/МЭК 27002 без изменений, а за ними следует
характерная для телекоммуникаций рекомендация, связанная с этой мерой и средством контроля и
управления.

33.

34.

35.

36.

37.

38.

39.

40.

41.

42.

43.

44.

45.

46.

47.

48.

49.

50.

51.

52.

53.

54.

55.

56.

Результаты деятельности ТК362
• Перечень национальных стандартов, разработанных ТК 362 и
принятых Ростехрегулированием (Росстандартом)
• На сегодняшний день 62 стандарта
• Перечень рассмотреть.

57.

Задание. В выступлении раскрыть не только информацию о самом
документе, но и его докладе содержание, цели, область регулирования,
содержание глав и приложений.
1. ГОСТ Р ИСО/МЭК 27001 -2021
2. ГОСТ Р ИСО/МЭК 27002- 2021.
3. ГОСТ Р ИСО/МЭК 27005 - 2010.
4. ГОСТ Р 51583-2014
5. Система стандартов Банка России. Основные документы.
6. ГОСТ Р 57580.1-2017
English     Русский Rules