Стандартизация систем и

процессов управления
информационной безопасностью
 Международная Организация по Стандартам ISO и Международная
Электротехническая Комиссия IEC формируют специализированную
систему всемирной стандартизации.
В соответствии со стандартами ОИБ в любой организации заключается в:
- определение целей ОИБ,
- создание эффективной СУИБ,
- расчёт совокупности детализированных качественных и
количественных показателей для оценки соответствия уровня ИБ целям,
- применение инструментария ОИБ и оценки её текущего состояния,
- использование методик с понятной системой критериев и защитных
мер в процессе анализа и у управления рисками для объективной
оценки текущего состояния дел в организации.

Основоположник подобной стандартизации – серия стандартов ISO 9000,

которые предъявляют требования к системам менеджмента качества.
При разработке стандартов на СУИБ многое было взято за основу из
серии стандартов ISO 9000.
Перечислим серию стандартов ISO/IEC 27000:
(продолжение)
(продолжение)
Рассмотрим логическую взаимосвязь стандартов серии 27000:
Рассмотрим взаимосвязь российских, международных и британских
стандартов, посвящённых СУИБ:
 Проблематикой СУИБ занимается также Федеральное агентство по ИБ
немецкого правительства BSI. BSI является признанным разработчиком
решений в области ИБ. Агентство разработало и регулярно обновляет 4
стандарта в области ОИБ:
1. BSI-Standard 100-1 содержит общие требования к СУИБ;
2. BSI-Standard 100-2 освящает вопросы поэтапного построения СУИБ и её
использования на практике и содержит подробные руководства по ОИБ
применительно к различным аспектам функционирования ИС и областям ИТ. В
стандарте выделяются функции СУИБ и организационная структура ОИБ,
даются подробные практические рекомендации по разработке политики ИБ и
выбору защитных мер.
3. BSI-Standard 100-3 посвящён анализу рисков ИБ на основе BSI-Standard 100-2
4. BSI-Standard 100-4 рассматривает вопросы управления непрерывностью
бизнеса (УНБ).

BSI разработало самый объёмный и детальный Каталог по безопасности ИТ. Он

содержит конкретные практические рекомендации для оценки рисков ИБ,
выбора и применения защитных мер.
 ISO/IEC 27000:2009 (Information technology. Security techniques.
Information security management systems. Overview and vocabulary)

Стандарт содержит термины и определения, которые используются во всех

стандартах серии 27000. Основная цель стандарта – подробное описание
основных принципов, концепций и определений для серии документов
ISO/IEC 27000, регламентирующих всё, что связано с СУИБ.
В стандарте СУИБ определяется как часть общей системы управления,
основанная на использовании методов оценки бизнес-рисков для разработки,
внедрения, функционирования, мониторинга, анализа,
сопровождения (поддержания) и улучшения ИБ. СУИБ определяет модель
защиты информационных активов организации для достижения её бизнес-
целей на основе оценки рисков и установления уровня приемлемых для
организации рисков. При это ИБ – сохранение конфиденциальности,
целостности и доступности информации, а система управления – совокупность
политик, процедур, руководящих принципов и ресурсов, необходимых для
достижения бизнес-целей организации.
 ISO/IEC 27001:2005 (Information technology. Security techniques.
Information security management systems. Requirements)

Стандарт содержит модель создания, внедрения, эксплуатации, мониторинга,

анализа, сопровождения и улучшения СУИБ.
В России принят стандарт ГОСТ Р ИСО/МЭК 27001-2006 “Информационная
технология. Методы и средства обеспечения безопасности. Системы
менеджмента информационной безопасности. Требования”, идентичный
стандарту ISO/IEC 27001:2005. Основной объект рассмотрения этого
стандарта – “система менеджмента ИБ” (СМИБ). Цель построения этой системы –
выбор соответствующих мер управления ИБ, предназначенных для защиты
информационных активов и гарантирующих доверие заинтересованных сторон.
Управление конфиденциальностью, целостностью и доступностью основано на
процессном подходе. В связи с этим особую значимость приобретают такие
факторы, как понимание требований по ОИБ и необходимости установления
политики и целей ИБ, внедрение и использование мер для управления рисками
ИБ, мониторинг и проверка эффективности СУИБ, её непрерывное улучшение,
основанное на результатах измерений.
 ISO/IEC 27002:2005 “Information technology. Security techniques.
Code of practice for information security management”

Разработан на основе стандарта ISO/IEC 17799:2005 .

В России принят аналогичный стандарт ГОСТ Р ИСО/МЭК 17799-2005. Он
содержит 10 основных разделов: ПолИБ; организационные вопросы
безопасности; классификация и управление активами; вопросы безопасности,
связанные с персоналом; физическая защита и защита от воздействий
окружающей среды; управление передачей данных и операционной
деятельностью; контроль доступа; разработка и обслуживание систем;
управление непрерывностью бизнеса; соответствие требованиям.
ГОСТ Р ИСО/МЭК 17799-2005 – совокупность практических правил по
управлению ИБ, может быть использован в качестве критериев для оценки
механизмов безопасности. Он не является техническим стандартом, не зависит
от конкретных средств защиты или технологий. Он описывает концептуальные
основы управления ИБ и является признанным набором “лучших практик” по
ОИБ.
 ISO/IEC 27003:2010 “Information Technology. Security Techniques.
Information Security Management Systems Implementation Guidance”

Это общее руководство по практическому применению стандартов серии 27000

и базируется на ISO/IEC 27000 и 27001. Цель стандарта – обеспечение
руководства по проектированию такой СУИБ, на основе которой риски ИБ для
информационных активов поддерживаются в пределах приемлемых границ с
учётом реализации требований к СУИБ в ISO/IEC 27001. Стандарт описывает
процесс разработки спецификации и проектирования СУИБ, включая поддержку
со стороны руководства, установление целей и приоритетов внедрения СУИБ,
границ её действия и политики использования, анализ требований по ОИБ и к
поддерживающимся СУИБ процессам, оценку рисков ИБ и их снижение с
определение требований к средствам управления.
В России принят национальный стандарт ГОСТ Р ИСО/МЭК 27003-201х.
 ISO/IEC 27004:2009 “Information Technology. Security Techniques.
Information Security Management. Measurement”

Стандарт предназначен для помощи организациям в оценке и повышении

результативности деятельности по управлению ИБ в рамках имеющихся СУИБ
за счёт предоставления единого руководства по применению механизмов
получения оценки в результате измерений и введения показателей.
В России принят идентичный стандарт ГОСТ Р ИСО/МЭК 27004-2011. Он
содержит следующие основные разделы: 1. обзор измерений, связанных с ИБ;
2. обязанности руководства; 3. разработка измерений и мер измерений;
4. процесс измерений; 5. анализ данных и отчётность по результатам
измерений; 6. оценивание и улучшение программы измерений в организации.
В приложениях к стандарту предложен шаблон описания измерений и
приведены некоторые рабочие примеры.
Само измерение определяется как процесс получения информации об
эффективности СУИБ и элементах управления ИБ с использованием метода,
функций измерения, аналитической модели и критериев принятия решений.
 ISO/IEC 27005:2011 “Information technology. Security techniques.
Information security risk management”

Стандарт содержит общее руководство по управлению рисками ИБ, которое

может быть использовано в разных организациях (некоммерческих,
коммерческих, государственных). Он предназначен для организации
адекватного бизнес-потребностям ОИБ на основе риск-ориентированного
подхода. Для правильного использования стандарта нужно изучить стандарты
27001 и 27002. В стандарте развиты идеи устаревших стандартов,
посвящённых управлению безопасностью информационных и
телекоммуникационных технологий (ИТТ).
В России принят стандарт ГОСТ Р ИСО/МЭК 27005-2010, идентичный стандарту
ISO/IEC 27005:2008. Стандарт состоит из разделов: 1. обзор процесса
управления рисками ИБ как непрерывного процесса; 2. установление
контекста управления рисками ИБ; 3. оценка рисков ИБ; 4. обработка
рисков ИБ; 5. принятие рисков ИБ; 6. коммуникация рисков ИБ; 7. мониторинг
и пересмотр рисков ИБ.
ISO/IEC 27006:2011 “Information technology. Security techniques.
Requirements for bodies providing audit and certification of
information security management systems”

Это руководство по формализованному процессу сертификации или

регистрации СУИБ организаций для аккредитованных для этого органов.
В России введён ГОСТ Р ИСО/МЭК 27006-2008 идентичен стандарту ISO/IEC
27006:2007. Цель этого стандарта – установить общие требования к
сертификации или регистрации СУИБ организаций, которым должны
удовлетворять эти СУИБ, чтобы быть признанными надёжными для
выполнения заявленных функций по управлению ИБ, а также способствовать
проведению аккредитации органов сертификации. Стандарт содержит
следующие разделы: 1. принципы; 2. общие требования; 3. требования к
структуре; 4. требования к ресурсам; 5. требования к информации; 6.
требования к процессу; 7. требования системы управления к органам
сертификации.
 ISO/IEC 27007:2011 “Information technology. Security techniques.
Guidelines for Information Security Management Systems Auditing”

Стандарт содержит руководство для аккредитованных органов сертификации,

внутренних аудиторов, внешних аудиторов/третьих лиц и других органов,
проводящих аудит СУИБ на соответствие требованиям стандарта ISO/IEC 27001.
В стандарте сформулированы рекомендации для аудиторов в областях: 1.
подтверждение области действия СУИБ; 2. проверка того, что был использован
соответствующий подход оценки рисков ИБ; 3. исследование результатов
оценки рисков ИБ, 4. проверка того, что были выбраны соответствующие
средства управления; 5. сбор объективных доказательств реализации
контрольных мероприятий; 6. разработка путей и сопровождение аудита СУИБ.
В стандарте рассматриваются принципы аудита, управление его программой,
деятельность в рамках аудита, компетентность и оценка аудиторов.
 ISO/IEC 27008:2011 “Information technology. Security techniques.
Guidelines for auditors on ISMS controls”

Этот стандарт дополняет предыдущий стандарт ISO/IEC 27007:2011 в

части аудита средств управления ИБ, используемых в рамках СУИБ. Такой
аудит выявляет, насколько хорошо СУИБ справляется с выполнением
функций по ОИБ в любой организации. Основа аудита – риск-
ориентированный подход к управлению ИБ. Стандарт ISO/IEC 27008:2011
фокусируется на проверке средств управления ИБ, используемых в
рамках СУИБ и описанных в ISO/IEC 27002. Стандарт представляет собой
руководящие указания по анализу реализации и функционирования
средств управления ИБ, включая техническую проверку их соответствия
указанным выше и установленным в организации стандартам.
Проведённый в соответствии с эти стандартом аудит позволит
удостовериться в том, что СУИБ действительно функционирует.
 ISO/IEC 27011:2008 “Information technology. Security techniques.
Information security management guidelines for telecommunications
organizations based on ISO/IEC 27002”

Назначение стандарта – определить руководящие принципы, обеспечивающие

реализацию управления ИБ для телекоммуникационных компаний (ТК), тех, кто
отвечает за ИБ, аудиторов и т.п. и соблюдение ими базовых требований
конфиденциальности, целостности, доступности и т.д.
Стандарт содержит следующие разделы: 1. обзор (структура рекомендаций,
система управления ИБ); 2. ПолИБ; 3. организацию ИБ; 4. управление активами;
5. безопасность персонала; 6. физическую и экологическую безопасность;
7. управление средствами связи и их функционированием; 8. управление
доступом; 9. приобретение, развитие и сопровождение ИС; 10. управление
инцидентами ИБ; 11. управление непрерывностью бизнеса; 12. соответствие.
 ISO/IEC 27013 “Information technology. Security techniques.
Guidelines on the integrated implementation of ISO/IEC 20000-1
and ISO/IEC 27001”

Это руководство по системам интегрированного управления ИБ и ИТ-

сервисами как взаимодополняющих и поддерживающих друг друга систем
управления. Стандарт опирается на положения стандартов
ISO/IEC 27001 и ISO/IEC 20000:2005.
Стандарт ISO/IEC 27013 создаст основу для организации деятельности в
следующих направлениях: 1. координация задач улучшения и управления
для ИБ и сервисов; 2. координация междисциплинарной деятельности,
ведущей к внедрению интегрированного подхода;
3. создание общей системы процессов и их документирования; 4. выработка
единой терминологии и единых точек зрения; 5. объединение преимуществ
для бизнеса клиентов и сервис-провайдеров и извлечение дополнительной
выгоды; 6. совместный аудит систем управления ИБ и ИТ-сервисами и
сокращение затрат на его проведение.
 ISO/IEC 27014 “Information technology. Security techniques.
Information security governance framework”

Стандарт помогает организациям руководить их ИБ, определяющим для них

базовую инфраструктуру эффективного управления ИБ и показывающим, как
её использовать для оценки, задания основных направлений деятельности и
мониторинга функционирования СУИБ. Стандарт учитывает следующие
факторы:
- бизнес-стратегии, политики и задачи организации в отношении ИБ, рисков и
средств управления ИБ,
- соответствие государственным нормативным документам и законам в
отношении обязательств в области ИБ,
- соблюдение соответствия контрактным и др. правовым обязательствам в
отношении третьих лиц и самими третьими лицами в области ИБ,
- требования к аудиту и сертификации с целью обеспечения гарантии для
третьих лиц.
 ISO/IEC 27015 “Information technology. Security techniques.
Information security management guidance for financial services”

Стандарт посвящён вопросам управления ИБ в сфере предоставления

финансовых услуг и призван помочь внедрять СУИБ в этой сфере с учётом
требования стандартов серии 27000. Стандарт соответствует всем
требованиям ISO/IEC 27001 и ISO/IEC 27002. Стандарт ISO/IEC 27015 направлен
на поддержку специфической деятельности финансовых, заинтересованных в
ОИБ организаций, для которых таким образом будет создана международно
признанная и одобренная основа для ведения бизнеса, отвечающая всем
правовым требованиям и требованиям регуляторов.
 ISO/IEC 27031:2011 “Information technology. Security techniques.
Guidelines for information and communications technology readiness
for business continuity”

Стандарт содержит концепции и принципы, возлагаемые на ИТТ как на

необъемлемую часть критической инфраструктуры организации по обеспечению
непрерывности её бизнеса. Стандарт раскрывает такие вопросы:
- управление программой управления непрерывности ИТТ,
- внедрение принципов управления непрерывностью ИТТ в культуру
организации,
- документирование системы управления непрерывностью ИТТ,
- определение требований к непрерывности ИТТ,
- разработка и реализация стратегии обеспечения к непрерывности ИТТ,
- разработка и тестирование планов обеспечения непрерывности ИТТ,
- проведение обучения и повышения осведомлённости в области восстановления
сервисов ИТТ,
- сопровождение, анализ и улучшение системы управления непрерывностью ИТТ.
 ISO/IEC 27033 “Information technology. Security techniques.
Network security”

Стандарт освещает вопросы обеспечения безопасности в сетях. Стандарт

по плану должен состоять из 7 частей, не все из них опубликованы.
Стандарт включает идентификацию и анализ факторов, связанных с
сетевыми взаимодействиями, которые следует учитывать при
определении требований к безопасности сетей, выделяет необходимые
средства управления при подключении к сетям, включая проектирование
и внедрение.
 ISO/IEC 27035:2011 “Information technology. Security
techniques. Information security incident management”

Стандарт содержит структурированный и планомерный подход к:

- обнаружению, составлению отчётов и оценке инцидентов ИБ,
- осуществлению ответной реакции и управлению инцидентами ИБ,
- обнаружению, оценке и устранению уязвимостей,
- постоянному улучшению управления ИБ и инцидентами ИБ.
Стандарт всесторонне рассматривает управление уязвимостями и
инцидентами ИБ. Приводятся шаблоны для подготовки отчётов по
событиям, инцидентам ИБ и уязвимостям.
 ISO/IEC 27037“Information technology. Security techniques.
Guidelines for identification, collection and/or acquisition and
preservation of digital evidence”
Это детальное руководство по идентификации, сбору, пометке, хранению,
транспортировке и сохранению доказательств компьютерных преступлений,
представленных в электронной форме. Будет определён и описан процесс
распознавания и идентификации, документирования “места преступления”,
сбора и сохранения, упаковки и транспортировки доказательств.
Спасибо за внимание!