УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Вопросы:
Вопрос 1: «Развитие стандартов в области управления ИБ»
Некоторые сведения об ISO
ISO разрабатывает серии стандартов:
Появление первого стандарта ИБ: IDC 1989
Британский стандарт (BS) 7799
Появление ISO 17799
Утверждение 27001 и 27002
Преимущества и недостатки внедрения СМИБ в соответствии со стандартами
Недостатки стандартизации
Вопрос 2: «Основные стандарты по управлению ИБ»
НАЦИОНАЛЬНЫЕ СТАНДАРТЫ РФ
Система управления ИБ на основе стандарта ISO 27001 для предприятия позволяет:
Достоинства ISO 27001-27002
Недостатки ISO 27001
ГОСТ Р 54472-2011
Вопрос 3: «Отраслевые стандарты и стандарты на отдельные процессы управления ИБ»
СТО БР ИББС
Стандарты Банка России
Стандарты ЦБ РФ 2024 года
Рекомендации в области стандартизации
Рекомендации в области стандартизации
Рекомендации в области стандартизации 2015, 2016 г.г.
Стандарты CoBiT
Показатели эффективности CoBiT
Реализация CoBiT в ИББС (пример)
Стандарт ISO 18044
Стандарт ISO 18045
Британские стандарты серии BS 25999 и BS 25777
BS 25999-2:2007 «Управление непрерывностью бизнеса - Часть 2: Спецификация»
BS 25777:2008, "Управление непрерывностью информационных и коммуникационных технологий – Практические правила"
PAS 77:2006, "Управление непрерывностью ИТ сервисов"
ISO/IEC 13335
Серия стандартов BSI 100 IT-Grundschutz https://www.bsi.bund.de/EN/
5.56M
Category: lawlaw
Similar presentations:
Стандартизация в области управления ИБ
Стандартизация в области управления ИБ
Особенности современных подходов к управлению информационной Безопасностью. Система менеджмента информационной безопасности
Особенности современных подходов к управлению информационной Безопасностью. Система менеджмента информационной безопасности
Обзор стандартов и методических документов в области защиты информации
Обзор стандартов и методических документов в области защиты информации
Обзор стандартов и методических документов в области защиты информации
Обзор стандартов и методических документов в области защиты информации
Роль и обзор стандартов и спецификаций информационной безопасности
Роль и обзор стандартов и спецификаций информационной безопасности
Нормативная база по управлению рисками информационной безопасности. Лекция 6
Нормативная база по управлению рисками информационной безопасности. Лекция 6
Концептуальные подходы к управлению рисками информационной безопасности
Концептуальные подходы к управлению рисками информационной безопасности
Концептуальные подходы к управлению рисками информационной безопасности
Концептуальные подходы к управлению рисками информационной безопасности
Система управления информационной безопасностью РФ
Система управления информационной безопасностью РФ
Нормативно-правовые основы оценки рисков информационной безопасности. Лекция 4
Нормативно-правовые основы оценки рисков информационной безопасности. Лекция 4

Лекция 2 УИБ (Стандартизация в области УИБ)

1. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Лекция 2
«Стандартизация в
области управления ИБ»

2. Вопросы:

1. Развитие стандартов в области
управления ИБ.
2. Основные стандарты по
управлению ИБ.
3. Отраслевые стандарты и
стандарты на отдельные
процессы управления ИБ.

3. Вопрос 1: «Развитие стандартов в области управления ИБ»

ISO
(International
Organization
for
Standardization) – Международная организация
по стандартизации. Разрабатывает технические
стандарты по всем направлениям бизнеса,
отраслям промышленности и технологиям.
Цели деятельности:
содействие развитию стандартизации;
облегчение международного товарообмена и
взаимопомощи;
расширение
сотрудничества
в
области
интеллектуальной, научной, технической и
экономической деятельности.

4. Некоторые сведения об ISO

Дата открытия – 26
октября 1946 г.
Штаб
квартира
в
Женеве, Швейцария.
Ежегодно - более 1000 международных
стандартов.
Комитетами-членами
ISO
являются
национальные
организации
по
стандартизации.

5. ISO разрабатывает серии стандартов:

ISO
9000 – для менеджмента
качества,
ISO 14000 – для экологического
менеджмента,
ISO
27000 - для менеджмента
информационной безопасности.

6. Появление первого стандарта ИБ: IDC 1989

Министерство
торговли
и
промышленности
Великобритании
(DTI) разработало свод лучших
практик
по
обеспечению
безопасности».
IDC - подразделение DTI.
DTI
опубликовало в 1989 году
стандарт «User Code of Practice».

7. Британский стандарт (BS) 7799

В
1995 г. национальный британский
стандарт BS 7799.
BS 7799 часть 1. Рекомендательный
характер, набор лучших практик в
области обеспечения ИБ.
BS 7799 часть 2. Для сертификации.
Обязательные
требования,
не
входившие в часть 1.

8. Появление ISO 17799

В
1999 г. ISO принимает за базу BS
7799: часть 1.
В 2000 году BS 7799:1:
стал ISO 17799,
получил статус международного
стандарта.
Изначально сертификации по ISO
17799 предусмотрено не было.

9. Утверждение 27001 и 27002

После
выпуска
новой
версии
стандарта BS 7799:2002, Часть 2
стандарт ISO 17799 пересмотрен
как ISO 17799:2005, затем название
изменено на ISO 27002:2005.
В июле 2007 года стандарт BS 7799,
Часть 2 выпущен ISO как стандарт
ISO 27001:2005.

10.

11. Преимущества и недостатки внедрения СМИБ в соответствии со стандартами

Внедрение стандартов обеспечения
ИБ, дает преимущества:
приобщение к лучшим мировым и
отечественным практикам;
упорядочение
бизнес-процессов
организации в рамках предметной
области стандарта и более строгое
их исполнение сотрудниками.

12. Недостатки стандартизации

Излишняя формализация
деятельности;
Бюрократизация;
Возрастающая нагрузка на
исполнителей и аудиторов;
Несовершенство стандартов.

13. Вопрос 2: «Основные стандарты по управлению ИБ»

Стандарт
ISO/IEC
Описание
27000
Обзор и словарь
27001
Системы менеджмента информационной безопасности Требования
27002
Свод правил по менеджменту информационной безопасности
27003
Руководство по внедрению системы менеджмента
информационной безопасности
27004
Менеджмент информационной безопасности – Измерения
27005
Менеджмент рисков
27006
Требования к органам аудита и сертификации

14.

15. НАЦИОНАЛЬНЫЕ СТАНДАРТЫ РФ

ГОСТ Р ИСО/МЭК 27000-2021 (Информационные
технологии. Методы и средства обеспечения
безопасности. Системы менеджмента
информационной безопасности.) Общий обзор и
терминология.
ГОСТ Р ИСО/МЭК 27001-2021 (…)Требования.
ГОСТ Р ИСО/МЭК 27002-2021 Свод норм и
правил менеджмента информационной
безопасности.
ГОСТ Р ИСО/МЭК 27003-2021 Системы
менеджмента информационной безопасности.
Руководство по реализации.

16.

ГОСТ Р ИСО/МЭК 27004-2021 Мониторинг,
оценка защищенности, анализ и оценивание.
ГОСТ Р ИСО/МЭК 27005-2010. Менеджмент
риска информационной безопасности.
ГОСТ Р ИСО/МЭК 27006-2020. Требования к
органам, осуществляющим аудит и
сертификацию систем менеджмента
информационной безопасности
ГОСТ Р ИСО/МЭК 27007-2014 Руководства по
аудиту систем менеджмента ИБ.
ГОСТ Р 56045-2014/ISO/IEC TR 27008:2011
Рекомендации для аудиторов в отношении
мер и средств контроля и управления
информационной безопасностью.

17.

ГОСТ Р ИСОМЭК 27010-2020 Методы и средства
безопасности при обмене информацией между
отраслями и организациями.
ГОСТ Р ИСО/МЭК 27011-2012 Руководства по
менеджменту ИБ для телекоммуникационных
организаций на основе ИСО/МЭК 27002.
ГОСТ Р ИСО/МЭК 27013-2014 Руководство
по совместному использованию стандартов
ИСО/МЭК 27001 и ИСО/МЭК 20000-1.
ГОСТ Р ИСО/МЭК 27017-2021 Правила
применения мер обеспечения информационной
безопасности на основе ИСО/МЭК 27002 при
использовании облачных служб.

18.

ГОСТР ИСО/МЭК 27018-2020 Свод правил по
защите ПДн в публичных облаках,
используемых для их обработки.
ГОСТ Р ИСО/МЭК 27019-2021 Меры
обеспечения информационной безопасности
в энергетике (неатомной).
ГОСТ Р ИСО/МЭК 27021-2021 Требования к
компетентности специалистов по системам
менеджмента информационной
безопасности.
ГОСТ Р ИСО/МЭК 27031-2012 Руководство
по готовности информационнокоммуникационных технологий к
обеспечению непрерывности бизнеса.

19.

ГОСТ Р ИСО/МЭК 27033-2011 Безопасность
сетей.
ГОСТ Р ИСО/МЭК 27033-2-2021
Безопасность сетей. Часть 2. Рекомендации
по проектированию и реализации
безопасности сетей.
ГОСТ Р ИСО/МЭК 27033-4-2021
Безопасность сетей. Часть 4. Обеспечение
безопасности межсетевого взаимодействия с
использованием шлюзов безопасности.
ГОСТ Р ИСО/МЭК 27033-5-2021
Безопасность сетей. Часть 5. Обеспечение
безопасности межсетевого взаимодействия с
помощью виртуальных частных сетей (ВЧС)».

20.

ГОСТ Р ИСО/МЭК 27034-2-2021
Безопасность приложений. Часть 2.
Нормативная структура организации.
ГОСТ Р ИСО/МЭК 27034-3-2021
Безопасность приложений. Часть 3.
Процесс менеджмента безопасности
приложений
ГОСТ Р ИСО/МЭК 27034-6-2021
Безопасность приложений. Часть 6.
Практические примеры».

21.

ГОСТ Р ИСО/МЭК 27036-2-2020
Информационная безопасность во
взаимоотношениях с поставщиками. Часть 2.
Требования
ГОСТ Р ИСО/МЭК 27036-4-2020
Информационная безопасность во
взаимоотношениях с поставщиками. Часть 4.
Рекомендации по обеспечению безопасности
облачных услуг.
ГОСТ Р ИСО/МЭК 27037-2014 Руководства по
идентификации, сбору, получению и
хранению свидетельств, представленных в
цифровой форме.

22.

ГОСТ Р ИСО/МЭК 27038-2016 —
«СМИБ. Требования и методы
электронного цензурирования»
ISO ISO/IEC 27040-2015 Безопасность
хранения
ISO ISO/IEC 27042-2015 Инструкции для
анализа и интерпретации цифрового
доказательства
ГОСТ Р ИСО/МЭК 27050-1-2019—
«Информационные технологии. Методы
обеспечения безопасности. Выявление и
раскрытие электронной информации.
Часть 1. Обзор и концепции»

23.

Межгосударственный стандарт ГОСТ
ISO/IEC 27014-2021 "Информационные
технологии. Информационная
безопасность, кибербезопасность и защита
конфиденциальности. Руководство
деятельностью по обеспечению
информационной безопасности" (введен в
действие приказом Федерального агентства
по техническому регулированию и
метрологии от 2 июля 2021 г. N 613-ст)

24.

25. Система управления ИБ на основе стандарта ISO 27001 для предприятия позволяет:

Сделать
большинство
информационных
активов
наиболее
понятными
для
менеджмента компании;
Выявлять основные угрозы безопасности для
существующих бизнес-процессов;
Рассчитывать риски и принимать решения на
основе бизнес-целей компании;
Обеспечить
эффективное
управление
системой в критичных ситуациях;
Находить
и исправлять слабые места в
системе ИБ).

26.

Определить личную ответственность.
Достигнуть
снижения
и
оптимизации
стоимости поддержки системы безопасности.
Продемонстрировать
клиентам, партнерам,
владельцам бизнеса свою приверженность к
информационной безопасности.
Получить
международное
признание
и
повышение авторитета компании, как на
внутреннем рынке, так и на внешних рынках
Подчеркнуть прозрачность и чистоту бизнеса
перед законом благодаря соответствию
стандарту.

27. Достоинства ISO 27001-27002

Гибкость и универсальность.
Набор
лучших практик применим к
любой организации, независимо от
формы
собственности,
вида
деятельности, размера и внешних
условий.
Помогает
определить
верное
направление и не упустить из виду
существенные моменты.

28. Недостатки ISO 27001

Является слишком абстрактным и
нечетко структурированным.
Недостаточно
основательное его
применение может давать ложное
чувство защищенности.
Описывает меры по обеспечению
безопасности в общем виде, но не
говорит о технических аспектах их
реализации (USB-ключи, смарткарты, и т.п.)

29. ГОСТ Р 54472-2011

ISO 27799:2008 Health informatics
- Information security management
in health using ISO/IEC 27002
ГОСТ Р 54472-2011
Информатизация здоровья.
Передача электронных
медицинских карт. Часть 4.
Безопасность

30. Вопрос 3: «Отраслевые стандарты и стандарты на отдельные процессы управления ИБ»

СТО БР ИББС РФ;
Стандарты CoBiT
ISO\IEC 18044/18045;
Британские стандарты BS
25999/25777 и стандарты
Германии BSI 100 ITGrundschutz.

31. СТО БР ИББС

— комплекс документов Банка
России, описывающий единый подход к
построению
системы
обеспечения
ИБ
организаций банковской сферы с учётом
требований российского законодательства.
Цель - обеспечить повышение доверия ко всей
банковской системе РФ посредством установки
единых требований по обеспечению ИБ
кредитных организаций.
Разработан с учетом основных отечественных
и зарубежных стандартов в этой сфере.

32. Стандарты Банка России

СТО БР ИББС-1.0-2014. «Обеспечение ИБ
организаций БС РФ. Общие положения»;
СТО БР ИББС-1.1-2007. «Аудит
информационной безопасности»;
СТО БР ИББС-1.2-2014. Методика оценки
соответствия информационной безопасности
организаций банковской системы РФ
требованиям СТО БР ИББС-1.0-2014»;
СТО БР ИББС-1.3-2016 «Сбор и анализ
технических данных при выявлении и
расследовании инцидентов ИБ при
осуществлении переводов денежных средств»;

33.

СТО БР ИББС-1.4-2018 «Управление риском
информационной безопасности при
аутсорсинге»;
СТО БР БФБО-1.5-2018 «Безопасность
финансовых (банковских) операций управление
инцидентами ИБ…»;
СТО БР ФАПИ.СЕК-1.6-2020 «Прикладные
программные интерфейсы обеспечения
безопасности финансовых сервисов на основе
протокола OpenID. Требования»;
СТО БР ФАПИ.ПАОК-1.0-2021 «Обеспечение
безопасности финансовых сервисов
при инициации OpenID Connect клиентом потока
аутентификации по отдельному каналу.
Требования».

34.

СТО БР БФБО-1.5-2023 «Безопасность
финансовых (банковских) операций.
Управление инцидентами, связанными
с реализацией информационных угроз,
и инцидентами операционной надежности.
О формах и сроках взаимодействия БР
с участниками информационного обмена
при выявлении инцидентов, связанных
с реализацией информационных угроз,
и инцидентов операционной надежности»
СТО БР БФБО-1.7-2023 «Безопасность
финансовых (банковских) операций.
Обеспечение безопасности финансовых
сервисов с использованием технологии
цифровых отпечатков».

35. Стандарты ЦБ РФ 2024 года

СТО БР БФБО-1.8-2024 «Безопасность
финансовых (банковских) операций.
Обеспечение безопасности финансовых
сервисов при проведении дистанционной
идентификации и аутентификации. Состав
мер защиты информации»
СТО БР ФАПИ.СЕК-1.6-2024 «Безопасность
финансовых (банковских) операций.
Прикладные программные интерфейсы
обеспечения безопасности финансовых
сервисов на основе протокола
OpenID Connect. Требования»

36.

СТО БР ФАПИ.ПАОК-1.0-2024
«Безопасность финансовых (банковских)
операций. Прикладные программные
интерфейсы. Обеспечение безопасности
финансовых сервисов
при инициации OpenID Connect клиентом
потока аутентификации по отдельному
каналу. Требования»
СТО БР БФБО-1.9-2024 «Безопасность
финансовых (банковских) операций.
Обеспечение безопасности использования
QR-кодов при осуществлении переводов
денежных средств»

37. Рекомендации в области стандартизации

Обеспечение ИБ организаций БС РФ.
Методические рекомендации по документации в
области обеспечения ИБ в соответствии с
требованиями СТО БР ИББС-1.0 (РС БР ИББС-2.02007)
Обеспечение ИБ организаций БС РФ. Руководство
по самооценке соответствия ИБ организаций
банковской системы РФ требованиям стандарта
СТО БР ИББС-1.0 (РС БР ИББС-2.1-2007)
Обеспечение ИБ организаций БС РФ. Методика
оценки рисков нарушения ИБ (РC БР ИББС-2.22009)

38. Рекомендации в области стандартизации

Обеспечение ИБ организаций БС РФ.
Менеджмент инцидентов
информационной безопасности (РС
БР ИББС-2.5-2014)
Обеспечение ИБ организаций БС РФ.
Обеспечение информационной
безопасности на стадиях
жизненного цикла
автоматизированных банковских
систем (РС БР ИББС-2.6-2014).

39. Рекомендации в области стандартизации 2015, 2016 г.г.

Обеспечение ИБ организаций БС РФ.
Ресурсное обеспечение информационной
безопасности (РС БР ИББС-2.7-2015)
Обеспечение ИБ организаций БС РФ.
Обеспечение информационной
безопасности при использовании
технологии виртуализации (РС БР ИББС2.8-2015).
Обеспечение ИБ организаций БС РФ.
ПРЕДОТВРАЩЕНИЕ УТЕЧЕК ИНФОРМАЦИИ
(РС БР ИББС-2.9-2016)

40. Стандарты CoBiT

CoBiT
(Control
Objectives
for
Information and Related Technology
(«Задачи
информационных
и
смежных технологий») - пакет
открытых документов, около 40
международных и национальных
стандартов и руководств в области
управления
IT,
аудита
и
ITбезопасности.

41. Показатели эффективности CoBiT

Вводит
показатели (метрики) для оценки
эффективности
реализации
системы
управления IT для аудиторов IT-систем.
Оцениваются
показатели
соответствия
компьютерной
IT-системы
принятым
стандартам и требованиям:
достоверность информации, действенность,
конфиденциальность,
целостность
и
доступность
обрабатываемой
в
системе
информации.

42. Реализация CoBiT в ИББС (пример)

БР ставит своей задачей соответствовать уровню
не ниже 4 "модели зрелости управления
информационными технологиями" в соответствии
с классификацией стандарта COBIT.
Четвертый уровень ("управляемый")
подразумевает, что:
обеспечиваются мониторинг и оценка соответствия
используемых в организации процессов.
при выявлении низкой эффективности реализуемых
процессов управления ИБ обеспечивается их оптимизация.
процессы управления ИБ находятся в стадии непрерывного
совершенствования и основываются на хорошей практике.
средства автоматизации управления ИБ используются
частично и в ограниченном объеме.

43. Стандарт ISO 18044

Стандарт ISO/IEC TR 18044:2004 (ГОСТ Р
ИСО/МЭК ТО 18044-2007) Информационная технология - Методы и
средства обеспечения безопасности –
Менеджмент инцидентов
информационной безопасности.
Предназначен
для
использования
организациями всех сфер деятельности
при
обеспечении
информационной
безопасности в процессе менеджмента
инцидентов.

44. Стандарт ISO 18045

ГОСТ Р ИСО/МЭК 18045-2013
Методология оценки безопасности
информационных технологий
Сопровождает ИСО/МЭК 15408
«Информационная технология – методы и
средства обеспечения безопасности –
критерии оценки безопасности
информационных технологий»

45. Британские стандарты серии BS 25999 и BS 25777

BS 25999-1:2006, «Управление
непрерывностью бизнеса - Часть 1:
Практические правила»
Определяет
процесс,
принципы
и
терминологию в области управления
непрерывностью бизнеса.
Описывает набор механизмов контроля и
охватывает
весь
жизненный
цикл
процесса управления непрерывностью
бизнеса.
1.

46. BS 25999-2:2007 «Управление непрерывностью бизнеса - Часть 2: Спецификация»

Устанавливает
требования
к
системе
управления
непрерывностью
бизнеса,
соблюдение которых может быть объективно
проверено.
Используя эти требования, компании могут
проводить оценку существующей системы
управления непрерывностью бизнеса, как
самостоятельно, так и привлекая внешних
консультантов.
На основании второй части стандарта
сертификационные
органы
выдают
заключение
о
соответствии
системы
управления
непрерывностью
бизнеса
требованиям стандарта BS 25999.

47. BS 25777:2008, "Управление непрерывностью информационных и коммуникационных технологий – Практические правила"

Разработан
на
базе
существующих
стандартов обеспечения непрерывности
бизнеса BS 25999 и дополняющей их
публичной спецификации PAS 77, - лучшая
мировая практика в области обеспечения
непрерывности ИТ сервисов.
Управление непрерывностью ИКТ
обеспечивает их жизнеспособность,
возможность их восстановления до заранее
определенного уровня в необходимые
сроки, согласованные с руководством
организации.

48. PAS 77:2006, "Управление непрерывностью ИТ сервисов"

Руководство по управлению непрерывностью
ИТ
сервисов
объясняет
принципы
и
некоторые
рекомендуемые
методы
управления ИТ сервисами.
Предназначено для использования людьми,
ответственными
за
управление
непрерывностью
ИТ
сервисами
в
организации.
ГОСТ Р 53647.8-2013
Менеджмент непрерывности бизнеса.
Управление человеческими ресурсами

49. ISO/IEC 13335

ГОСТ Р ИСО/МЭК 13335-1-2006. «ИТ. Методы и
средства обеспечения безопасности. Концепция и
модели менеджмента безопасности ИТ технологий».
ГОСТ Р ИСО/МЭК 13335-3 2007 «ИТ. Методы и
средства обеспечения безопасности. Методы
менеджмента безопасности информационных
технологий»
ГОСТ Р ИСО/МЭК 13335-4 2007«ИТ. Методы и
средства обеспечения безопасности. Выбор
защитных мер».
ГОСТ Р ИСО/МЭК 13335-5 2007«ИТ. Методы и
средства обеспечения безопасности. Руководство по
менеджменту безопасности сети».

50. Серия стандартов BSI 100 IT-Grundschutz https://www.bsi.bund.de/EN/

100-1 Information Security
Management Systems
100-2: IT-Grundschutz Methodology
100-3: Risk Analysis based on ITGrundschutz
100-4: Business Continuity
Management
IT-Grundschutz Catalogues
English     Русский Rules