Вы находитесь на странице: 1из 3

ТЕМА 4.

КАК СПАСТИСЬ ОТ КИБЕРУГРОЗ В НОВУЮ


ЭПОХУ? ВОПРОСЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

4.3. Стандарты в области информационной безопасности

В этой теме мы поговорим о нормативной базе, руководящих документах, которые используют в


организациях эксперты в своей работе.

Основные стандарты в области информационной безопасности:

Стандарты построения и управления ИБ


• ISO 17799:2000 (BS 7799:2000)
• СТОБР ИБСС-1.0-2014 – обеспечение ИБ организаций банковской системы РФ, общие
положения
• ГОСТ 15408-1-2008 – критерии оценки безопасности информационных технологий
• ГОСТ 27001:2005 – система менеджмента ИБ
• ГОСТ 27002:2005 – свод правил по менеджменту ИБ

Риски
• ГОСТ/ISO 27005-2010 – менеджмент риска ИБ
• NIST 800-37 – Risk management framework

«Практическая безопасность», непрерывность


• PCI DSS
• NIST cybersecurity framework
• SANS
• ГОСТ 22301-2014 – система менеджмента непрерывности бизнеса
• ГОСТ 53647-2009 – менеджмент непрерывности бизнеса
• ГОСТ 18044-2007 – менеджмент инцидентов ИБ
• ISO 27035:2016 – управление инцидентами ИБ

Вы можете видеть, что этих стандартов существует огромное количество. При этом далеко не все
из них здесь перечислены. Это те, которые наиболее часто используются для обеспечения
процессов информационной безопасности.

Всю нормативную базу можно разделить на несколько больших блоков.

Первый блок – это то, что касается стандартов построения и управления информационной
безопасностью. Возьмем простую домашнюю сеть. Через маршрутизатор обеспечивается
подключение наших устройств, соединенных сетью Интернет: смарт-телевизора, микроволновки,

1
телефона, часов, компьютера. Мы решили, что эту систему необходимо защищать. Поставили
защищенный маршрутизатор, настроили сервисы безопасности.

Но сегодня появились новые подключенные устройства: интеллектуальный выключатель,


интеллектуальный нагреватель, система домашнего кинотеатра, которая управляется технологией
Умный дом. И это уже новые IT-системы, которые были внедрены. И, соответственно, требуется
пересмотр так называемой модели угроз. И в том числе модели нарушителя. Для этого система
безопасности должна модернизироваться. Она должна быть не просто системой защиты, а
системой управления информационной безопасностью. И вот этим большим блоком посвящена
первая группа стандартов. Здесь в основном стандарты ГОСТ 27001:2005, ГОСТ 27002:2005 – это
то, что изначально было в международной организации по стандартизации ISО, а потом перешло
в наши государственные стандарты.

Вторая часть нормативных документов касается рисков. Риски – это то, что мы воспринимаем как
потенциальный ущерб, который может в нашей организации возникнуть в результате какой-то
угрозы или уязвимости. Мы либо строим систему защиты, либо ищем компенсирующие меры, если
какой-то из рисков, точки уязвимости, проникновения мы физически не имеем возможности
закрыть. Стандарты, которые позволяют управлять рисками в области информационной
безопасности, — это ГОСТ/ISO 27005-2010. Или есть модель управления рисками
информационной безопасности у компании NIST. Это американский университет, который
занимается разработкой таких практических документов в области информационной безопасности.
На сайте есть очень интересные документы, рекомендую с ними ознакомиться.

Третья группа стандартов – это то, что касается практической безопасности и определенных
специфических аспектов информационной безопасности. Здесь мы упираемся в стандарты,
например, связанные с обработкой платежных карт, – PCI DSS. Или стандарт, который создает
Центральный Банк, который регламентирует работу информационных систем финансовых
организаций.

Если же мы говорим не только о реализации механизмом информационной безопасности в


специфической сфере, а об обеспечении непрерывности процесса функционирования
организации, в том числе непрерывности процесса информационной безопасности, то это
стандарты, которые касаются управления инцидентами и поддержании непрерывности бизнеса,
процессов и систем информационной безопасности. Стандарты серии ГОСТ, 18-я серия (ГОСТ
18044-2007), 22-я серия (ГОСТ 22301-2014) и 27-я серия (ГОСТ 27001:2005, ГОСТ 27002:2005).

Инцидент – это то, что уже произошло в результате определенного события. И мы должны решить,
что делать. Если обнаружена вредоносная уязвимость, нам необходимо исправить последствия
организации данного инцидента. Но это могут быть и ошибочное срабатывание или событие,
которое требует внесение изменений в сам процесс защиты.

Если говорить о практических аспектах построения системы информационной безопасности в


крупных организациях, особенно о тех, которые работают с государством или государственными
институтами, в этом случае есть четко регламентированная база. Это два основных регулятора –
ФСТЭК (Федеральная служба технического и экспертного контроля) и ФСБ (Федеральная служба
безопасности), которые разрабатывают методологические документы и обеспечивают процесс
защиты в критических системах и организациях и в государственных организациях.

Есть целый раздел нормативных документов, касающийся объектов критической информационной


инфраструктуры.

2
Объекты критической информационной инфраструктуры – информационные системы,
информационно-телекоммуникационные сети, автоматизированные системы управления
субъектов критической информационной инфраструктуры.

Это железнодорожные станции, аэропорты, финансовая система, государственные учреждения.


То, где реализация угроз информационной безопасности может иметь значимые последствия не
только для отдельного человека, но и для города или даже для страны в целом.

И второй момент – это государственные организации, непосредственно службы, управления. Все


то, где может обрабатываться не только конфиденциальная информация, но и государственная
тайна.

Стандарты, разработанные регуляторами в области построения систем информационной


безопасности в крупных организациях:
• 149-ФЗ, 2006 – «об информации, информационных технологиях и защите информации»
• 152-ФЗ, 2006 – «о персональных данных»
• Доктрина ИБ РФ (от 5 декабря 2016г.)
• ФЗ-187, 2017 – о безопасности КИИ РФ
• Приказ 489, 2010 – Об утверждении требований о защите информации, содержащейся в
информационных системах общего пользования
• Приказ 17, 2013 – Об утверждении Требований о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных системах
• Приказ 21, 2013 – Об утверждении Состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных при их обработке
в информационных системах персональных данных

Важно отметить, что и ФСТЭК, и ФСБ обеспечивают аттестацию такого рода систем, чтобы
убедиться в том, что построенная система информационной безопасности действительно
соответствует нормативным требованиям, которые прописаны в документах, регламентирующих
организацию работы данной отрасли.

В этой лекции мы поговорили о том, какие стандарты и нормативные документы по


информационной безопасности существуют и разбили их на несколько категорий. Отдельно
отметили, что для государственных организаций и для критических микроструктур, где реализация
угроз информационной безопасности может привести к значимым последствиям, используется
специальный блок нормативных документов, разрабатываемыми регуляторами. И, более того,
организация систем безопасности в такого рода объектах требует дополнительного элемента
контроля, аттестации систем защиты, проверки корректности их построения и последующего
функционирования в соответствии с требованиями нормативных документов. Т. е. нормативные
документы – это то, на что мы опираемся и чьими принципами мы руководствуемся для того, чтобы
построить нашу систему информационной безопасности.

В следующей лекции поговорим о том, кто такие нарушители, какие они бывают и что в терминах
информационной безопасности нам необходимо обеспечивать для объектов информационной
безопасности.