LEKTsIYa 2-2020 Metody I Standarty Otsenki Zaschischennosti Kompyuternykh Sistem MENEDZhMNGT

МИРЭА РТУ
МЕТОДЫ И СТАНДАРТЫ ОЦЕНКИ
ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ
СИСТЕМ
МЕТОДЫ И СТАНДАРТЫ ОЦЕНКИ
ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ
Лекция № 1-2020. Национальные стандарты Российской

Федерации по различным аспектам защищенности компьютерных
систем
Лекция № 2-2020.
Нормативное регулирование
менеджмента защищенности
компьютерных систем
ЛЕКЦИЯ № 2-2020
НОРМАТИВНОЕ РЕГУЛИРОВАНИЕ
МЕНЕДЖМЕНТА ЗАЩИЩЕННОСТИ
КОМПЬЮТЕРНЫХ СИСТЕМ
Программа курса
4
Лекция № 2-2020.
Нормативное регулирование менеджмента
защищенности компьютерных систем
Цель занятия: рассмотреть и

проанализировать особенности
нормативного регулирования менеджмента
Учебные вопросы:
ВВЕДЕНИЕ
Вопрос 1. Причины инцидентов
информационной безопасности
Вопрос 1. Обзор национальных стандартов,
описывающих системы менеджмента
5
Лекция № 2-2020.

ВВЕДЕНИЕ
6
Лекция № 2-2020.
ВВЕДЕНИЕ
В России значительно
выросло количество
мошеннических схем с
использованием электронной
подписи.

Так, по итогам первого
полугодия 2020 года, число
обращений граждан России по
поводу займов, оформленных
на третье лицо таким путем,
превысило 15% от общего
объема.
Для сравнения, в 2018

году данная цифра достигла
уровня4,7%.
Сессия 1
PKI и ЭП в инфраструктурных проектах России
Сессия 2
Доверенные PKI-сервисы
Сессия 3
Роль и место технологий ЭП, PKI, СКЗИ в приоритетных направлениях
международной цифровой повестки
Сессия 4
Использование PKI-технологий в финансовой сфере. Единая биометрическая
система
Сессия 5
Стандартизация в области PKI: отечественные и мировые новости
Сессия 6
Перспективные технологии PKI
Круглый стол № 1
Социальные аспекты ЭП: заблуждения, истерия, взаимодействие со СМИ, судебная
и правоохранительная практика по делам с ЭП
Круглый стол № 2
Нормативные и технологические аспекты архивного хранения ЭД.
9
В В Е Д Е Н И Е
С внедрением информационных технологий в

управление в целом и управлении документами в
частности, вопросы защиты информации
приобрели принципиально иное значение.
Сам спектр этих вопросов существенно
расширяется за счет включения в него
методологических, терминологических,
технологических и технических аспектов.
Вместе с тем, проблемы защиты информации
вышли за пределы компетенции специалистов ИТ и
распространились на специалистов всех
направлений деятельности организации, и, прежде
всего, на специалистов, решающих вопросы
документационного обеспечения управления.
10
В В Е Д Е Н И Е
Однако, очевиден разрыв в понимании роли

специалистов различных сфер деятельности в
решении этих проблем, степени их ответственности
и полномочий.
На современном этапе нормативно-правовое
регулирование защиты информации довольно
обширно, но не все правовые и нормативные акты
согласованы между собой в достаточной степени.
Особняком в этом многообразии нормативного
регулирования стоят теперь уже методические
документы - национальные стандарты.
11
Лекция № 2-2020.

ВВЕДЕНИЕ
12
Лекция № 2-2020.
Вопрос 1.
Причины инцидентов
13
Вопрос 1. Причины инцидентов информационной безопасности
Инциденты ИБ могут быть преднамеренными или

случайными (например, являться следствием какой-либо
человеческой ошибки или природных явлений) и
вызваны как техническими, так и нетехническими
средствами.
Их последствиями могут быть такие события, как
несанкционированные раскрытие или изменение
информации, ее уничтожение или другие события,
которые делают ее недоступной, а также нанесение
ущерба активам организации или их хищение.
Инциденты ИБ, о которых не было сообщено, но
которые были определены как инциденты, расследовать
невозможно и защитных мер для предотвращения
повторного появления этих инцидентов применить
нельзя.
14
ИНЦИДЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

(information security incident)
— появление одного или нескольких нежелательных или
неожиданных событий ИБ, с которыми связана значительная
вероятность компрометации бизнес-операций и создания
угрозы ИБ.
СОБЫТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
(information security event):
— идентифицированное появление определенного состояния
системы, сервиса или сети, указывающего на возможное
нарушение политики ИБ или отказ защитных мер, или
возникновение неизвестной ранее ситуации, которая может
иметь отношение к безопасности.
ГОСТ Р ИСО/МЭК ТО 18044-2007
15
1. ГОСТ Р ИСО/МЭК ТО 18044-2007

"Информационная технология. Методы и средства
обеспечения безопасности. Менеджмент инцидентов
информационной безопасности".
Стандарт содержит положения по вопросам:
- преимущества структурного подхода и ключевые
аспекты менеджмента инцидентов информационной
безопасности;
- примеры инцидентов информационной безопасности
и их причин, включая несанкционированный доступ;
- политики менеджмента инцидентов информационной
безопасности, включая вопросы политики
менеджмента рисков в этой сфере;
- обеспечения осведомленности и обучения персонала
- и т.п.
16 Вопрос 1. Причины инцидентов информационной безопасности
Виды инцидентов информационной безопасности
Отказ в Сбор Несанкционирова

обслуживании информации нный доступ
17
Для того, чтобы блокировать негативные события

рассмотрим примеры инцидентов ИБ.
А) Отказ в обслуживании
Отказ в обслуживании является обширной категорией
инцидентов ИБ, имеющих одну общую черту.
Подобные инциденты ИБ приводят к неспособности
систем, сервисов или сетей продолжать функционирование с
прежней производительностью, чаще всего при полном
отказе в доступе авторизованным пользователям.
Существует два основных типа инцидентов ИБ,
связанных с отказом в обслуживании, создаваемых
техническими средствами:
— уничтожение ресурсов,
— истощение ресурсов.
18
Типичные примеры
преднамеренных технических
инцидентов ИБ
"ОТКАЗ В ОБСЛУЖИВАНИИ"
- зондирование сетевых
широковещательных адресов с целью
полного заполнения полосы пропускания
сети трафиком ответных сообщений;
- передача данных в
непредусмотренном формате в систему,
сервис или сеть в попытке разрушить
или нарушить их нормальную работу;
- одновременное открытие нескольких

сеансов с конкретной системой, сервисом
или сетью в попытке исчерпать их
ресурсы (то есть замедление их работы,
блокирование или разрушение).
19
Технические инциденты ИБ "ОТКАЗ В ОБСЛУЖИВАНИИ" могут
возникать случайно, например в результате ошибки в конфигурации,
допущенной оператором, или из-за несовместимости прикладного
программного обеспечения, а другие - преднамеренными.
Некоторые технические инциденты ИБ "ОТКАЗ В
ОБСЛУЖИВАНИИ" инициируются намеренно с целью разрушения
системы, сервиса и снижения производительности сети, тогда как другие
- всего лишь побочными продуктами иной вредоносной деятельности.
Например, отдельные наиболее распространенные методы скрытого
сканирования и идентификации могут приводить к полному разрушению
старых или ошибочно сконфигурированных систем или сервисов при их
сканировании.
Многие преднамеренные технические инциденты типа "отказ в
обслуживании" часто инициируются анонимно (то есть источник
атаки неизвестен), поскольку злоумышленник обычно не получает
информации об атакуемой сети или системе.
20
Инциденты ИБ "ОТКАЗ В ОБСЛУЖИВАНИИ", создаваемые
нетехническими средствами и приводящие к утрате информации,
сервиса и (или) устройств обработки информации, могут вызываться,
например, следующими ФАКТОРАМИ:
- нарушениями систем физической защиты, приводящими к
хищениям, преднамеренному нанесению ущерба или разрушению
оборудования;
- случайным нанесением ущерба аппаратуре и (или) ее
местоположению от огня или воды/наводнения;
- экстремальными условиями окружающей среды, например
высокой температурой (вследствие выхода из строя системы
кондиционирования воздуха);
- неправильным функционированием или перегрузкой системы;
- неконтролируемыми изменениями в системе;
- неправильным функционированием программного или аппаратного
обеспечения.
21
Б) Сбор информации
В общих чертах инциденты ИБ "СБОР ИНФОРМАЦИИ"

подразумевают действия, связанные с определением
потенциальных целей атаки и получением представления о
сервисах, работающих на идентифицированных целях атаки.
Подобные инциденты ИБ предполагают проведение разведки с
целью определения:
- наличия цели, получения представления об окружающей ее
сетевой топологии и о том, с кем обычно эта цель связана
обменом информации;
- потенциальных уязвимостей цели или непосредственно
окружающей ее сетевой среды, которые можно использовать для
атаки.
Типичные примеры атак,

направленных на сбор информации техническими
средствами
- сбрасывание записей DNS (системы

доменных имен) для целевого домена
Интернета (передача зоны DNS);
- отправка тестовых запросов по

случайным сетевым адресам с целью
найти работающие системы;
- зондирование системы с целью

идентификации (например, по контрольной
сумме файлов) операционной системы хоста;
- сканирование доступных сетевых портов на протокол передачи

файлов системе с целью идентификации соответствующих
сервисов (например электронная почта, протокол FTP, сеть и т. д.)
и версий программного обеспечения этих сервисов;
- сканирование одного или нескольких сервисов с

известными уязвимостями по диапазону сетевых
адресов (горизонтальное сканирование).
23
В некоторых случаях технический СБОР

ИНФОРМАЦИИ расширяется и переходит в
несанкционированный доступ, если, например,
злоумышленник при поиске уязвимости пытается
получить несанкционированный доступ.
Обычно это осуществляется автоматизированными
средствами взлома, которые не только производят
поиск уязвимости, но и автоматически пытаются
использовать уязвимые системы, сервисы и(или) сети.
24
Инциденты, направленные на сбор информации, создаваемые

нетехническими средствами, приводят к:
- прямому или косвенному раскрытию или модификации
информации;
- хищению интеллектуальной собственности, хранимой в
электронной форме;
- нарушению учетности, например, при регистрации учетных
записей;
- неправильному использованию информационных систем
(например, с нарушением закона или политики организации).
25
Факторы вызывающие инциденты вида «СБОР

ИНФОРМАЦИИ»:
- нарушениями физической защиты безопасности,
приводящими к несанкционированному доступу к информации и
хищению устройств хранения данных, содержащих значимые
данные, например ключи шифрования;
- неудачно и (или) неправильно конфигурированными
операционными системами по причине неконтролируемых
изменений в системе или неправильным функционированием
программного или аппаратного обеспечения, приводящим к тому,
что персонал организации или посторонний персонал получает
доступ к информации, не имея на это разрешения.
В) Несанкционированный доступ
Несанкционированный доступ как тип инцидента включает в
себя инциденты, не вошедшие в первые два типа.
Главным образом этот тип инцидентов состоит из
несанкционированных попыток доступа в систему или
неправильного использования системы, сервиса или сети.
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП:
— доступ к информации или к ресурсам автоматизированной
информационной системы, осуществляемый с нарушением
установленных прав и (или) правил доступа.
Примечания
1 Несанкционированный доступ может быть осуществлен
преднамеренно или непреднамеренно.
2 Права и правила доступа к информации и ресурсам
информационной системы устанавливаются для процессов
обработки информации, обслуживания автоматизированной
информационной системы, изменения программных, технических и
информационных ресурсов, а также получения информации о них.
ГОСТ Р 53114-2008
Примеры несанкционированного
доступа с помощью технических
средств:
- атаки - попытки расширить

переполнения - использование
- попытки буфера с целью уязвимостей
привилегии доступа
к ресурсам или
протокола для
извлечь получения
привилегированног
перехвата соединения
информации по
сравнению с
или ложного
файлы с о (например, на направления
легитимно
имеющимися у
уровне системного легитимных сетевых
паролями; администратора) соединений;
пользователя или
администратора.
доступа к сети;
В) Несанкционированный доступ
Инциденты НСД, создаваемые нетехническими

средствами, приводят:
— к прямому или косвенному раскрытию или модификации
информации,
— нарушениям учетности
— или неправильному использованию информационных
систем,
могут вызываться следующими факторами:
- разрушением устройств физической защиты с
последующим несанкционированным доступом к информации;
- неудачной и (или) неправильной конфигурацией
операционной системы вследствие неконтролируемых
изменений в системе или неправильного функционирования
программного или аппаратного обеспечения, приводящих к
результатам, подобным тем, которые описаны при
рассмотрении инцидента типа Сбор информации.
29
В стандарте ГОСТ Р ИСО/МЭК ТО 18044-2007

содержатся рекомендации:
— по менеджменту инцидентов информационной
безопасности в организациях
— для руководителей подразделений, отвечающих за
обеспечение информационной безопасности при
применении информационных технологий,
информационных систем, сервисов и сетей.
Стандарт также может быть использован
специалистами сферы управления в социальных и
экономических системах.
30
Лекция № 2-2020.

ВВЕДЕНИЕ
31
Лекция № 2-2020.
Вопрос 2.
Обзор национальных стандартов,
описывающих системы
менеджмента информационной
безопасности
32 Вопрос 2. Обзор национальных стандартов, описывающих системы менеджмента
информационной безопасности.
2. ГОСТ Р ИСО/МЭК 27000-2012

обеспечения безопасности. Системы менеджмента
информационной безопасности. Общий обзор и
терминология".
Стандарт содержит:
— положения по основополагающим вопросам
системы менеджмента информационной безопасности,
— включая основные термины и их определения,
используемые в этой сфере.
Стандарт также содержит:
— описание процессного подхода для систем
менеджмента информационной безопасности,
— целей внедрения этих систем,
— а также методологию внедрения, контроля,
поддержки и улучшения систем менеджмента
информационной безопасности и т.п.
В стандарте ГОСТ Р ИСО/МЭК 27000-2012 подчеркнуты

преимущества от внедрения семейства стандартов ИСО серии 27000,
среди которых существуют стандарты:
— содержащие общий обзор и терминологию,
— задающие требования к системам менеджмента
информационной безопасности,
— содержащие общие рекомендации
— и описывающие рекомендации для специальной области.
При использовании этих стандартов организации могут
реализовывать и совершенствовать систему управления защитой
информации и подготовиться к независимой оценке их систем
менеджмента информационной безопасности, применяемой для
защиты информации, такой как:
— финансовая информация,
— интеллектуальная собственность,
— информация о персонале,
— а также информация, доверенная клиентами или третьей
стороной.
Стандарт предназначен для помощи организациям любого типа
и величины в реализации и функционировании системы
менеджмента информационной безопасности.
3. ГОСТ Р ИСО/МЭК 27001-2006 "Информационная

технология. Методы и средства обеспечения безопасности. Системы
менеджмента информационной безопасности. Требования"
Стандарт одержит положения по вопросам:
— внедрения системы менеджмента информационной
безопасности применительно ко всей деловой деятельности
организации,
— разработке системы менеджмента информационной
безопасности и управлению этой системой с учетом характеристик
деловой активности организации, ее размещения и активов;
— внедрению и функционированию системы менеджмента
информационной безопасности;
— проведению мониторинга и анализа этой системы,
— поддержке и улучшению системы менеджмента
информационной безопасности и ответственности руководства,
— внутреннему аудиту системы менеджмента информационной
безопасности и анализу этой системы менеджмента со стороны
руководства,
— улучшению системы менеджмента информационной
безопасности и т.п.
Стандарт ГОСТ Р ИСО/МЭК 27001-2006 подготовлен в

качестве модели для разработки, внедрения,
функционирования, мониторинга, анализа, поддержки и
улучшения системы менеджмента информационной
безопасности.
Стандарт предназначен для применения организациями
любой формы собственности (например, коммерческими,
государственными и некоммерческими организациями).
Стандарт устанавливает требования по разработке,
внедрению, функционированию, мониторингу, анализу,
поддержке и улучшению документированной системы
менеджмента информационной безопасности для
минимизации бизнес-рисков организации.
Кроме этого, стандарт устанавливает требования по
внедрению мер управления информационной безопасностью
и ее контроля, которые могут быть использованы
организациями или их подразделениями в соответствии с
установленными целями и задачами обеспечения

технология. Методы и средства обеспечения безопасности. Свод
норм и правил менеджмента информационной безопасности"
Стандарт содержит положения по вопросам ИБ, включая:
— цели ее создания,
— определение требований к информационной безопасности,
— оценку рисков,
— а также выбор мер и средств контроля и управления ИБ.
В стандарте:
— описаны "отправная точка информационной безопасности",
факторы успеха;
— даны рекомендации по разработке локальных нормативных
актов организации по вопросам ее информационной безопасности;
— представлены основные категории безопасности;
—даны рекомендации по оценке и обработке рисков
безопасности,
— а также разработке политики безопасности в целом
— и политики информационной безопасности в частности.
В стандарте ГОСТ Р ИСО/МЭК 27002-2012 уделено

особое внимание:
1. организационным аспектам информационной
2. задачам, решаемым внутри организации;
3. аспектам взаимодействия со сторонними организациями;
4. менеджменту активов и ответственности за активы;
5. классификации информации;
6. безопасности, связанной с персоналом (перед
трудоустройством, в течение занятости, прекращении или
смены занятости);
7. физической безопасности, включая вопросы защиты от
воздействий окружающей среды;
8. зонам безопасности;
9. безопасности оборудования;

10. менеджменту коммуникаций и работ:
— эксплуатационные процедуры и обязанности,
— менеджменту оказания услуг третьей стороной,
— планированию и приемке систем,
— защите от вредоносной и мобильной программы,
— резервированию,
— менеджменту безопасности сети,
— обращению с носителями информации,
— обмену информацией,
— услугам электронной торговли,
— мониторингу;

11. управлению доступа:
— требования бизнеса по управлению доступом,
— менеджмент доступа пользователей,
— обязанности пользователя,
— управление доступом к сети,
— управление доступом к эксплуатируемой системе,
— управление доступом к информации и прикладным
программам,
— мобильная вычислительная техника
— и дистанционная работа;

12. приобретения, разработки и эксплуатации
информационных систем:
— требования безопасности информационных систем,
— корректная обработка в прикладных программах,
— криптографические меры и средства контроля и
управления,
— безопасность системных файлов,
— безопасность в процессах разработки и поддержки,
— менеджмент технических уязвимостей;

13. менеджменту инцидентов информационной безопасности:
— оповещение о событиях и уязвимостях информационной
безопасности,
— менеджмент инцидентов информационной безопасности и
необходимое совершенствование,
— менеджмент непрерывности бизнеса,
— аспекты информационной безопасности в рамках
менеджмента непрерывности бизнеса;
14. соответствию требованиям законодательства;
15. соответствию политикам безопасности и стандартам,
включая техническое соответствие;
16. вопросам аудита информационных систем.
В стандарте ГОСТ Р ИСО/МЭК 27002-2012

особый интерес представляют разделы:
— 15.1.3 "Защита документов организации" и
— 15.1.4 "Защита данных и конфиденциальность
персональных данных",
содержащие рекомендации по реализации
политики в отношении обеспечения защиты
данных и персональных данных от:
- потери,
- разрушения
- и фальсификации.
Стандарт ГОСТ Р ИСО/МЭК 27002-2012 состоит из 11

разделов, посвященных мерам и средствам контроля и
управления безопасности, которые все вместе содержат, в
целом, 39 основных категорий безопасности, и одного
вводного раздела, знакомящего с оценкой и обработкой
рисков.
Стандарт предлагает рекомендации и основные принципы
введения, реализации, поддержки и улучшения менеджмента
информационной безопасности в организации.
Цели, изложенные в данном стандарте, обеспечивают
полное руководство по общепринятым целям менеджмента
Стандарт может служить практическим руководством по
разработке стандартов безопасности организации для
эффективной практики менеджмента безопасности
организаций и способствует укреплению доверия в
отношениях между организациями.
Стандарт имеет важнейшее значение для специалистов
сферы управления.

технология. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности.
Руководство по реализации системы менеджмента
Стандарт содержит положения по вопросам определения
приоритетов организации для разработки систем
менеджмента информационной безопасности, включая:
— разработку технического обоснования и плана проекта;
— определение области действия и границ политики
системы информационной безопасности;
— разработку этой политики;
— проведение анализа требований к системе
информационной безопасности и проведение оценки этой
системы;
— правила разработки системы информационной
безопасности организации и создание условий для
обеспечения ее надежного функционирования.
В стандарте рассматриваются важнейшие аспекты,

необходимые для успешной разработки и внедрения системы
менеджмента информационной безопасности в соответствии
со стандартом ISO/IEC 27001:2005.
В нем описывается процесс определения и разработки
системы информационной безопасности от "запуска" до
составления планов внедрения.
В стандарте ГОСТ Р ИСО/МЭК 27003-2012:
— описывается процесс получения одобрения внедрения
системы информационной безопасности руководством
организации;
— определяются требования к проекту внедрения этой
системы
— и даются рекомендации по планированию проекта
системы информационной безопасности,
в результате которого формируется окончательный план
внедрения этой системы в организации.
Особого внимания заслуживают приложения к стандарту,

включающие готовые решения по целям, принципам
действия и методикам внедрения политики информационной
Стандарт ГОСТ Р ИСО/МЭК 27003-2012 предназначен
для использования организациями, применяющими системы
информационной безопасности, то есть ко всем типам
организаций (например:
- коммерческим предприятиям,
- правительственным органам,
- некоммерческим организациям) любых размеров.
Важно отметить, что четко выстроенное управление
документами в организации является неотъемлемой частью
системы ИБ, которая предполагает защиту и контроль
документов как информационных активов организации,
определение и защиту важной для организации информации.

Менеджмент информационной безопасности. Измерения".
Стандарт содержит положения по:
— вопросам обзора измерений, связанных с ИБ,
— методу измерений,
— показателям аналитической модели,
— обучению,
— осведомлённости и компетентности персонала,
— процессу измерений,
— сбору,
— хранению и верификации данных,
— анализу данных и отчетности по результатам
измерений,
— мониторингу,
— проверке и оцениванию программы измерений.
ГОСТ Р ИСО/МЭК 27004-2011 "Информационная

Менеджмент информационной безопасности. Измерения"
Стандарт устанавливает рекомендации по разработке и
использованию измерений и мер для оценки эффективности
реализованной системы менеджмента информационной
безопасности, мер и средств контроля и управления в
соответствии с ИСО/МЭК 27001.
Стандарт предназначен для организаций всех
организационно-правовых форм и форм собственности.
7. ГОСТ Р ИСО/МЭК 27005-2010

обеспечения безопасности. Менеджмент риска
Стандарт содержит положения по вопросам
менеджмента рисков информационной
безопасности, включая:
— процессы и организационную структуру;
— оценку рисков и их предотвращение;
— мониторинг,
— анализ
— и переоценку риска информационной
Стандарт ГОСТ Р ИСО/МЭК 27005-2010 представляет

руководство по менеджменту рисков информационной
безопасности и содержит положения по его
совершенствованию.
Стандарт поддерживает общие концепции, определенные
в ИСО/МЭК 27001, и предназначен для соответствующего
обеспечения защиты информации на основе подхода,
связанного с менеджментом риска.
Стандарт применим для организаций всех типов
(например:
— коммерческих предприятий,
— государственных учреждений,
— некоммерческих организаций), планирующих
осуществлять менеджмент рисков, которые могут
скомпрометировать информационную безопасность
организации.

технология. Методы и средства обеспечения безопасности
требования к органам, осуществляющим аудит и
сертификацию систем менеджмента информационной
безопасности".
Стандарт содержит положения по:
— юридическим и договорным вопросам, возникающим в
ходе данного вида деятельности;
— требованиям к компетентности органов по
сертификации;
— привлечению отдельных внешних аудиторов или
внешних технических экспертов и вопросам аутсорсинга;
— сертификационным документам системы менеджмента
— методологии проведения аудита;
— внедрению системы менеджмента информационной
Стандарт ГОСТ Р ИСО/МЭК 27006-2008 разработан на

основе стандартов ИСО/МЭК 17021 и ИСО/МЭК 27001,
устанавливает требования к органам, осуществляющим аудит
и сертификацию системы менеджмента информационной
безопасности, и способствует проведению аккредитации
органов сертификации.
В стандарте подчеркнуто, что любая организация,
осуществляющая сертификацию систем менеджмента
информационной безопасности, должна продемонстрировать
свое соответствие требованиям стандарта ГОСТ Р ИСО/МЭК
27006-2008, а содержащиеся в стандарте указания
дополнительно разъясняют эти требования.
Стандарт может использоваться в качестве документа,
содержащего критерии для:
— аккредитации,
— экспертной оценки
— или других процессов аудита систем менеджмента ИБ.

Руководства по аудиту систем менеджмента
информационной безопасности"
Стандарт содержит положения, описывающие:
— принципы проведения аудита;
— роли,
— обязанности и компетенции лиц, осуществляющих
менеджмент программы аудита;
— аспекты реализации программы аудита и организацию
его проведения;
— сбор и верификацию информации, используемую для
проведения аудита;
— аспекты формирования выводов аудита и подготовки
заключений по аудиту систем информационной
Стандарт ГОСТ Р ИСО/МЭК 27007-2014

содержит руководство по менеджменту программы
аудита системы менеджмента информационной
безопасности, ее проведению и определению
компетентности аудиторов.
Стандарт применим для тех организаций,
которые нуждаются в проведении внутренних или
внешних аудитов систем менеджмента
информационной безопасности, вне зависимости
от их форм собственности.
8. ГОСТ Р 56045-2014 «Информационная

технология. Методы и средства обеспечения
безопасности. Рекомендации для аудиторов в
отношении мер и средств контроля и управления
информационной безопасностью».
Стандарт содержит положения по вопросам,
касающимся:
— обзора проверок мер и средств контроля и
управления информационной безопасностью;
— процесса и методам проверки;
— подбора персонала;
— видам тестирования;
— информационным активам организации
— и т.п.
Стандарт ГОСТ Р 56045-2014 предоставляет

руководство по проверке реализации и
функционирования мер и средств контроля и
управления, включая проверку технического
соответствия мер и средств контроля и управления
информационных систем согласно установленным
в организации стандартам по ИБ.
Стандарт применим для организаций всех видов
и любой величины, включая:
— акционерные общества открытого и
закрытого типа,
— государственные учреждения
— и коммерческие организации, проводящие
проверки информационной безопасности и
технического соответствия.

Руководства по менеджменту информационной безопасности
для телекоммуникационных организаций на основе ИСО/МЭК
27002".
Стандарт содержит положения по вопросам, касающимся:
1. системы менеджмента информационной безопасности в
телекоммуникационном бизнесе;
2. информационным активам, требующим защиты;
3. политики безопасности и организационным аспектам
4. распределения обязанностей по обеспечению
5. аспектам взаимодействия со сторонними организациями;
6. идентификации рисков, являющихся следствием работы
со сторонними организациями;
7. вопросам безопасности при работе с клиентами и
требований безопасности в договорах с третьей стороной;
8. классификации информации;

безопасности. Руководства по менеджменту
информационной безопасности для телекоммуникационных
организаций на основе ИСО/МЭК 27002".
9. физической безопасности и защите от воздействий
окружающей среды;
10. зон безопасности (безопасность зданий,
производственных помещений и оборудования, защита от
внешних угроз и угроз со стороны окружающей среды,
безопасности оборудования);
11. мер и средств контроля и управления сетями, а также
безопасности сетевых услуг;
12. обращения с носителями информации;
13. обмена информацией и менеджмента доступа
пользователей;
ГОСТ Р ИСО/МЭК 27011-2012 "Информационная

безопасности. Руководства по менеджменту
информационной безопасности для телекоммуникационных
организаций на основе ИСО/МЭК 27002".
14.разработки и эксплуатации информационных систем и
требованиям безопасности к ним;
15.криптографических мер и средств контроля и управления;
16.аспектов ИБ в рамках менеджмента непрерывности
бизнеса.
Стандарт содержит рекомендации, поддерживающие
реализацию менеджмента ИБ в телекоммуникационных
организациях.
Применение стандарта позволит телекоммуникационным
организациям выполнять базовые требования менеджмента
ИБ в отношении конфиденциальности, целостности,
доступности и любых других аспектов безопасности.
11. ГОСТ Р ИСО/МЭК 27013-2014

обеспечения безопасности. Руководство по
совместному использованию стандартов ИСО/МЭК
27001 и ИСО/МЭК 20000-1"
— планирования и развития услуг,
— оценке риска,
— менеджменту отношений с поставщиками,
— составлению бюджета и учета.
Стандарт предоставляет руководство по
совместному использованию ИСО/МЭК 27001 и
ИСО/МЭК 20000-1 для организаций, планирующих
реализовать ИСО/МЭК 27001 или реализовать
одновременно оба стандарта: ИСО/МЭК 27001 и
ИСО/МЭК 20000-1.

Руководство по готовности информационно-
коммуникационных технологий к обеспечению
непрерывности бизнеса"
Стандарт ГОСТ Р ИСО/МЭК 27031-2012 содержит
положения по вопросам, касающимся:
— роли ИКТ в менеджменте непрерывности бизнеса;
— принципам, элементам, политике, обеспечивающим
готовность ИКТ к обеспечению непрерывности бизнеса;
— планированию работ и компетентности персонала,
обеспечивающего готовность ИКТ к обеспечению
непрерывности бизнеса;
— вариантам стратегии создания и развития, улучшению
возможностей, реализации и функционированию,
внутреннему аудиту, количественным и качественным
критериям эффективности ИКТ к обеспечению
непрерывности бизнеса.
В стандарте ГОСТ Р ИСО/МЭК 27031-2012

описываются концепции и принципы готовности ИКТ к
обеспечению непрерывности бизнеса и предоставляется
система методов и процессов определения и точного
изложения всех аспектов (таких как критерии эффективности,
проектирование и реализация) для совершенствования
готовности ИКТ организации к обеспечению непрерывности
бизнеса.
Стандарт ГОСТ Р ИСО/МЭК 27031-2012 адресован
организации любого размера и формы собственности:
— разрабатывающей программу готовности ИКТ к
обеспечению непрерывности бизнеса
— и требующей от своих инфраструктур ИКТ готовности к
поддержке операций бизнеса в случае возникновения
событий, инцидентов и связанных с ними нарушений,
которые могут оказывать влияние на непрерывность
критических функций бизнеса, включая их безопасность.
Стандарт ГОСТ Р ИСО/МЭК 27031-2012 также

дает возможность организации измерять параметры
эффективности, связанные с готовностью
информационно-коммуникационных технологий к
обеспечению непрерывности бизнеса согласованным и
признанным способом.
Стандарт ГОСТ Р ИСО/МЭК 27031-2012
охватывает все события и инциденты (в том числе
связанные с безопасностью), которые могут оказывать
влияние на инфраструктуры и системы ИКТ.
Стандарт ГОСТ Р ИСО/МЭК 27031-2012 включает
и развивает практические приемы урегулирования и
менеджмента инцидентов информационной
безопасности, а также услуг ИКТ и планирования
готовности ИКТ.
13. ГОСТ Р ИСО/МЭК 27033-1-2011 "Информационная

Безопасность сетей. Часть 1 Обзор и концепции".
― планирования и менеджмента сетевой безопасности;
― идентификации рисков и подготовки к идентификации мер и
средств контроля и управления безопасностью;
― менеджмента сетевой безопасности;
― обнаружения и предотвращения вторжений;
― защиты от вредоносных программ; услугам, основанным на
криптографии;
― рекомендациям по проектированию и реализации сетевой
― сетевой поддержке для пользователей, находящихся в
разъездах;
― сетевой поддержке домашних офисов и офисов малых
предприятий;
― реализации, мониторингу и проверке эксплуатации комплекса
программных и технических средств и услуг по обеспечению
Стандарт ГОСТ Р ИСО/МЭК 27033-1-2011:

― определяет и описывает концепции,
связанные с сетевой безопасностью,
― предоставляет рекомендации по
менеджменту сетевой безопасности.
В дополнение к безопасности информации,
передаваемой по линиям связи, сетевая
безопасность затрагивает:
― безопасность устройств,
― безопасность деятельности по менеджменту
данных устройств, приложений / услуг,
― а также безопасность конечных
пользователей.
Стандарт предназначен, в том числе, для
пользователей, не имеющих технической
подготовки.
Стандарт ГОСТ Р ИСО/МЭК 27033-1-2011:

― представляет рекомендации по идентификации и
анализу рисков сетевой безопасности и дает определение
требований сетевой безопасности, основанных на этом
анализе;
― представляет обзор мер и средств контроля и
управления, поддерживающих специализированные
архитектуры сетевой безопасности, и связанные с ними
технические меры и средства контроля и управления, а также
технические и нетехнические меры и средства контроля и
управления, применяемые не только к сетям;
― знакомит с тем, как добиться высокого качества
сетевой безопасности,
― содержит краткое рассмотрение вопросов, связанных с
реализацией и функционированием мер и средств контроля и
управления сетевой безопасностью, постоянным
мониторингом и проверкой их реализации.
В целом, международные стандарты системы

менеджмента ИБ служат моделью для создания и
функционирования системы управления ИБ в организациях
любых организационно-правовых форм и форм
собственности.
При использовании данного семейства стандартов
организации могут внедрять и совершенствовать систему
управления информацией и готовиться к независимой оценке
их систем ИБ, используемой для ЗИ, такой как финансовая
информация, интеллектуальная собственность, информация
о персонале и информация, которой доверяют клиенты, или
третьи стороны.
Рассмотренные выше стандарты разработаны с целью
помощи организациям всех типов и размеров в создании и
функционировании подсистемы управления ИБ, в рамках
которой подсистемы управления документами социальных и
экономических систем играют важнейшую роль.
14. ГОСТ Р ИСО/МЭК 13335-1-2006

обеспечения безопасности. Часть 1. Концепция и
модели менеджмента безопасности информационных и
телекоммуникационных технологий"
Стандарт содержит положения по таким вопросам,
как:
• принципы безопасности, (угрозы, уязвимости,
воздействие, риск, защитные меры, ограничения);
• взаимосвязь компонентов безопасности;
• цели, стратегии и политика безопасности
информационно-телекоммуникационных технологий
(элементы политики безопасности информационных и
телекоммуникационных технологий (далее - ИТТ),
• организационные аспекты безопасности ИТТ);
• должностные обязанности и ответственность,
• а также организационные принципы.
Стандарт ГОСТ Р ИСО/МЭК 13335-1-2006 представляет

собой:
• руководство по управлению безопасностью
информационных и телекоммуникационных технологий;
• устанавливает концепцию и модели, лежащие в основе
базового понимания безопасности ИТТ;
• раскрывает общие вопросы управления, которые важны
для успешного планирования, реализации и поддержки
безопасности ИТТ.
Целью стандарта является формирование общих понятий
и моделей управления безопасностью ИТТ.
Приведенные в нем положения носят общий характер и
применимы к различным методам управления и
организациям.
Стандарт разработан так, что позволяет приспосабливать
его положения к потребностям организации и свойственному
ей стилю управления.
15. ГОСТ Р ИСО/МЭК ТО 13335-5-2006 "Информационная

технология. Методы и средства обеспечения безопасности. Часть 5.
Руководство по менеджменту безопасности сети".
Стандарт содержит положения по таким вопросам, как:
1. анализ требований политики безопасности ИТ организации;
2. анализ структур сети и их применения, включая типы и
протоколы сети, сетевые приложения, идентификация типов
сетевого соединения, характеристики сети и т.п.;
3. определение видов риска безопасности и управление
безопасностью услуг;
4. идентификация и аутентификация;
5. обнаружение вторжения;
6. управление безопасностью сети, включая конфиденциальность
обмена данными по сетям, целостность данных, передаваемых
по сетям, подтверждение отправки/приема информации,
виртуальные частные сети и т.п.;
7. непрерывность бизнеса, включая восстановления после
стихийного бедствия.
Стандарт ГОСТ Р ИСО/МЭК ТО 13335-5-2006

представляет собой:
― руководство по управлению безопасностью
сетей для персонала, ответственного за эту
деятельность,
― и содержит основные положения по
выявлению и анализу факторов, имеющих
отношение к компонентам безопасности связи в
целом.
Несмотря на то, что данный стандарт адресован
прежде всего специалистам по информационной
безопасности, знания аспектов защиты сетей будут
полезны и специалистам по управлению в
социальных и экономических системах,
использующим сеть для коммуникации.
Следует отметить, что при создании многих

представленных выше национальных стандартов
были использованы международные стандарты
ИСО и МЭК, но в большинстве случаев их
положения были включены в текст национальных
стандартов, т.е. осуществлена была гармонизация
национальных стандартов с международными, что
является жизненно важным для продвижения
отечественной продукции на международный
рынок .
Это говорит о том, что в сфере стандартизации
ИТ специалисты сохранили национальный подход
к вопросам защиты информации, что крайне важно
в этой сфере.
Исключением здесь являются национальные

стандарты на системы менеджмента информационной
безопасности серии ИСО/МЭК 27000, но это обоснованно
спецификой этих документов.
В качестве преимуществ, полученных от принятия
семейства стандартов в области защиты информации,
можно назвать:
1. единое управление информационной
безопасностью организации,
2. продвижение общепринятых лучших методов
информационной безопасности из международного
опыта,
3. предоставление общего концептуального языка для
информационной безопасности с деловыми
партнерами, особенно если они требуют
свидетельства соответствия серии ISO/IEC 27001.
15. ГОСТ Р ИСО 15489-1-2007 "СИБИД, Управление

документами. Общие требования"
В заключение следует отметить важность популяризации
национальных стандартов сферы ИТ среди специалистов
сферы по управлению документами в целом и специалистов
документационного обеспечения управления, т.к. ведение
современного электронного документооборота без знаний
вопросов защиты информации очень опасно с точки зрения
безопасности информации, ее сохранности и неизменности.
Данный стандарт регулирует процессы управления
документами государственных, коммерческих и
общественных организаций, предназначаемыми для
внутреннего или внешнего пользования.
Положения настоящего стандарта являются
рекомендациями по созданию систем управления
документами, включению в нее документов, а также
обеспечению соответствия документов установленным в
стандарте характеристикам.
75 В контексте создания и внедрения систем электронного
документооборота, в которых в соответствии с ГОСТ Р ИСО
15489-1-2007 специалисты по управлению в социальных и
экономических системах должны играть одну из ключевых ролей
данный стандарт:
- распространяется на управление документами (всех
форматов и на всех носителях), создаваемыми или получаемыми
государственной, коммерческой или общественной организацией в
процессе ее деятельности или лицом, на которого возложена
обязанность создавать и сохранять документы (далее -
организации);
- содержит положения об ответственности, политике,
процедурах, системах и процессах, связанных с документами
организаций;
- содержит руководящие указания по управлению документами
в рамках процессов управления качеством и управления
окружающей средой в соответствии с международными
стандартами ИСО 9001 и ИСО14001;
Незнание этого семейства стандартов может серьезно
осложнить (если не поставить под угрозу) деятельность
организации.
Последние события всемирных кибератак это наглядно
демонстрируют.
76
Лекция № 2-2020.

ВВЕДЕНИЕ
77
Лекция № 2-2020.
Менеджмент методов и стандартов оценки
CПАСИБО ЗА ВНИМАНИЕ

LEKTsIYa 2-2020 Metody I Standarty Otsenki Zaschischennosti Kompyuternykh Sistem MENEDZhMNGT

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

LEKTsIYa 2-2020 Metody I Standarty Otsenki Zaschischennosti Kompyuternykh Sistem MENEDZhMNGT

Загружено:

Авторское право:

Доступные форматы

МИРЭА РТУ

МЕТОДЫ И СТАНДАРТЫ ОЦЕНКИ

Лекция № 1-2020. Национальные стандарты Российской

Цель занятия: рассмотреть и

Цель занятия: рассмотреть и

Для​ сравнения,​ в​ 2018​

С внедрением информационных технологий в

Однако, очевиден разрыв в понимании роли

Цель занятия: рассмотреть и

Инциденты ИБ могут быть преднамеренными или

ИНЦИДЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1. ГОСТ Р ИСО/МЭК ТО 18044-2007

Виды инцидентов информационной безопасности

Отказ в Сбор Несанкционирова

Для того, чтобы блокировать негативные события

- одновременное открытие нескольких

В общих чертах инциденты ИБ "СБОР ИНФОРМАЦИИ"

Типичные примеры атак,

- сбрасывание записей DNS (системы

- отправка тестовых запросов по

- зондирование системы с целью

- сканирование доступных сетевых портов на протокол передачи

- сканирование одного или нескольких сервисов с

В некоторых случаях технический СБОР

Инциденты, направленные на сбор информации, создаваемые

Факторы вызывающие инциденты вида «СБОР

- атаки - попытки расширить

Инциденты НСД, создаваемые нетехническими

В стандарте ГОСТ Р ИСО/МЭК ТО 18044-2007

Цель занятия: рассмотреть и

Обзор национальных стандартов,

2. ГОСТ Р ИСО/МЭК 27000-2012

В стандарте ГОСТ Р ИСО/МЭК 27000-2012 подчеркнуты

3. ГОСТ Р ИСО/МЭК 27001-2006 "Информационная

Стандарт ГОСТ Р ИСО/МЭК 27001-2006 подготовлен в

4. ГОСТ Р ИСО/МЭК 27002-2012 "Информационная

В стандарте ГОСТ Р ИСО/МЭК 27002-2012 уделено

В стандарте ГОСТ Р ИСО/МЭК 27002-2012 уделено

В стандарте ГОСТ Р ИСО/МЭК 27002-2012 уделено

В стандарте ГОСТ Р ИСО/МЭК 27002-2012 уделено

В стандарте ГОСТ Р ИСО/МЭК 27002-2012 уделено

В стандарте ГОСТ Р ИСО/МЭК 27002-2012

Стандарт ГОСТ Р ИСО/МЭК 27002-2012 состоит из 11

5. ГОСТ Р ИСО/МЭК 27003-2012 "Информационная

В стандарте рассматриваются важнейшие аспекты,

Особого внимания заслуживают приложения к стандарту,

6. ГОСТ Р ИСО/МЭК 27004-2011 "Информационная

ГОСТ Р ИСО/МЭК 27004-2011 "Информационная

7. ГОСТ Р ИСО/МЭК 27005-2010

Стандарт ГОСТ Р ИСО/МЭК 27005-2010 представляет

8. ГОСТ Р ИСО/МЭК 27006-2008 "Информационная

Стандарт ГОСТ Р ИСО/МЭК 27006-2008 разработан на

9. ГОСТ Р ИСО/МЭК 27007-2014 "Информационная

Стандарт ГОСТ Р ИСО/МЭК 27007-2014

8. ГОСТ Р 56045-2014 «Информационная

Стандарт ГОСТ Р 56045-2014 предоставляет

9. ГОСТ Р ИСО/МЭК 27011-2012 "Информационная

10. ГОСТ Р ИСО/МЭК 27011-2012 "Информационная

ГОСТ Р ИСО/МЭК 27011-2012 "Информационная

11. ГОСТ Р ИСО/МЭК 27013-2014

12. ГОСТ Р ИСО/МЭК 27031-2012 "Информационная

В стандарте ГОСТ Р ИСО/МЭК 27031-2012

Стандарт ГОСТ Р ИСО/МЭК 27031-2012 также

Для сравнения, в 2018