книги / Управление информационной безопасностью

–единства распорядительства в управлении;

–экономии времени;

–делегирования полномочий;

–централизации и децентрализации;

–экономичности;

–единоначалия и коллегиальности;

–мотивации.

Рассмотрение вышеупомянутых понятий во взаимосвязи (рис. 4) позволяет раскрыть сущность процесса управления ИБ и определить его основные цели.

Рис. 4. Взаимосвязь терминологии управления ИБ

Управление информационной безопасностью – вид дея-

тельности, целями которого являются:

−контроль процессов обеспечения информацией;

−предотвращение несанкционированного доступа к ней;

−исключение несанкционированного использования информации.

Достижение требуемых целей УИБ предполагает реализацию следующих этапов управления ИБ:

1)целеполагание,

2)стабилизация,

3)выполнение программы,

11

4)контроль,

5)оптимизация.

Процесс управления ИБ направлен на решение основных задач обеспечения информационной безопасности, к которым относятся:

1)оценка рисков и принятие решения по совершенствованию ИБ;

2)подготовка и внедрение решений в области ИБ;

3)анализ инцидентов ИБ;

4)аудит ИБ в процессе эксплуатации ИС;

5)поддержание процессов обеспечения ИБ в заданных параметрах.

Таким образом, управление информационной безопасностью является многогранным и разносторонним процессом, предполагающим решение различных задач, основанное на применении системного подхода.

Вопросы для контроля знаний

1.Раскройтевзаимосвязь понятий «управление» и «система».

2.В чем заключается сущность системного подхода и что он предполагает?

3.Охарактеризуйтепонятия«процесс» и«процессныйподход».

4.Сформулируйте понятие системы управления и раскройте его структуру.

5.В чем заключается сущность процесса управления?

6.В чем заключаются функции управления?

7.Опишите содержание модели управления информационной безопасностью.

8.В чем заключаются принципы управления?

9.Сформулируйте цели управления информационной безопасностью.

10.Перечислите основные задачи управления информационной безопасностью.

12

2. СТАНДАРТИЗАЦИЯ В ОБЛАСТИ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Стандартные подходы и решения в сфере информационной безопасности гарантируют базовую основу защищенности информационных систем и объектов. Развитие стандартов в области управления ИБ осуществляется последовательно и обусловлено технологическими решениями в области безопасности информационных отношений.

Основную деятельность по разработке и внедрению стандар-

тов осуществляет ISO (International Organization for Standardization) – Международная организация по стандартизации. Данная организация разрабатывает технические стандарты по всем направлениям бизнеса, отраслям промышленности и технологиям. Основные цели ее деятельности следующие:

−содействие развитию стандартизации;

−облегчение международного товарообмена и взаимопо-

мощи;

−расширение сотрудничества в области интеллектуальной, научной, технической и экономической деятельности.

ISO создана 26 октября 1946 г. и имеет штаб-квартиру в Женеве (Швейцария). Ежегодно данной организацией принимаются более 1000 международных стандартов. Комитетами-членами ISO являются национальные организации по стандартизации.

ISO разрабатывает серии стандартов, в том числе:

−ISO 9000 – для менеджмента качества;

−ISO 14000 – для экологического менеджмента;

−ISO 27000 – для менеджмента информационной безопасности.

Внедрение стандартов обеспечения ИБ дает следующие преимущества [2]:

−приобщение к лучшим мировым и отечественным прак-

тикам;

13

−упорядочение бизнес-процессов организации в рамках предметной области стандарта и более строгое их исполнение сотрудниками.

В то же время необходимо учитывать и недостатки стандартизации, к которым относятся [2]:

−излишняя формализация деятельности;

−бюрократизация;

−возрастающая нагрузка на исполнителей и аудиторов;

−несовершенство самих стандартов.

Основными национальными стандартами РФ в области управления информационной безопасностью являютсяследующие:

ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий об-

зор и терминология». Утвержден приказом руководителя Росстандарта № 392-ст от 19 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит общий обзор системы менеджмента информационной безопасности (СМИБ), а также термины и определения, используемые в данной области. Является базовым стандартом в группе стандартов, устанавливающих требования по менеджменту ИБ.

ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии № 1653-ст от 30 ноября 2021 г. Дата введения в действие – 1 января 2022 г. Стандарт подготовлен с целью установления требований по созданию, внедрению, поддержке и постоянному улучшению системы менеджмента информационной безопасности.

ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности». Утвержден приказом руководителя Росстандарта

14

№416-ст от 20 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит рекомендации по созданию и практическому использованию в организации СМИБ, включая вопросы выбора, внедрения и применения полноценного набора мер обеспечения ИБ, соответствующих совокупности имеющихся в данной организации рисков ИБ. Предназначен для использования организациями, которые намерены выбрать меры обеспечения ИБ в процессе внедрения СМИБ на основе ИСО/МЭК 27001, внедрить общепринятые меры обеспечения ИБ или разработать свои собственные руководства по менеджменту ИБ. Стандарт является идентичным актуальной версии международногостандартаISO/IEC 27002:2013.

ГОСТ Р ИСО/МЭК 27003-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации». Утвержден приказом руководителя Росстандарта

№387-ст от 19 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит пояснения и руководство по применению требований международного стандарта ISO/IEC 27001:2013 в конкретной организации.

ГОСТ Р ИСО/МЭК 27004-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание». Утвержден приказом руко-

водителя Росстандарта № 388-ст от 19 мая 2021 г. Дата введения в

действие – 30 ноября 2021 г. Содержит рекомендации по оценке деятельности по обеспечению ИБ в организациях, а также результативности СМИБ в целях выполнения требований, изложенных в подразделе 9.1 ISO/IEC 27001:2013.

ГОСТ Р ИСО/МЭК 27005-2010 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». Утвержден прика-

зом Федерального агентства по техническому регулированию и метрологии № 632-ст от 30 ноября 2010 г. Дата введения в действие – 1 декабря 2010 г. Представляет собой руководство по менеджменту

15

риска ИБ в организации, не предоставляя какой-либо конкретной методологии. Данный стандарт идентичен международному стандарту ISO/IEC 27005:2008. Но в настоящее время на международном уровне действует стандарт ISO/IEC 27005:2018 «Information technology – Security techniques – Information security risk management» («Информационные технологии – Техники обеспечения безопасности– Управлениерискамиинформационнойбезопасности»).

ГОСТ Р ИСО/МЭК 27006-2020 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности». Утвержден прика-

зом Федерального агентства по техническому регулированию и метрологии № 628-ст от 8 сентября 2020 г. Дата введения в действие – 1 июля 2021 г. Данный стандарт идентичен международному стандарту ISO/IEC 27006:2015. Любой орган, осуществляющий сертификациюСМИБ, долженсоответствоватьтребованиям, содержащимсяв настоящем стандарте, на основе компетентности и надежности аккредитованного лица, а содержащиеся в стандарте руководящие указания – обеспечивать дополнительную интерпретацию этих требованийкоргану, осуществляющему сертификацию СМИБ.

ГОСТ Р ИСО/МЭК 27007-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безо-

пасности». Утвержден приказом Федерального агентства по техническому регулированию и метрологии № 563-ст от 11 июня 2014 г. Дата введения в действие – 1 июня 2015 г. Предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности (СМИБ), по проведению аудитов и по определению компетентности аудиторов СМИБ.

ГОСТ Р 56045-2014/ISO/IEC TR 27008:2011 «СМИБ. Реко-

мендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью». Утвержден прика-

зом Федерального агентства по техническому регулированию и метрологии№ 569-ст. Дата введения вдействие– 11 июня2014 г.

16

ГОСТ Р ИСО/МЭК 27010-2020 «Информационные технологии. Методы и средства обеспечения безопасности при обмене информацией между отраслями и организациями». Ут-

вержден приказом руководителя Госстандарта № 1041-ст от 10 ноября 2020 г. Дата введения в действие – 1 июня 2021 г. Положения стандарта дополняют общие указания, приведенные в других стандартах серии ИСО/МЭК 27000, и представляют собой методические материалы, предназначенные для применения при инициировании и реализации обеспечения безопасности, а также для поддержания и улучшения информационной безопасности при информационном обмене между отраслями и организациями. Стандарт может применяться для обмена и совместного использования информации ограниченного доступа на национальном и международном уровнях как в рамках одной отрасли промышленности или сектора рынка, так и между отраслями и секторами.

ГОСТ Р ИСО/МЭК 27017-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб».

Утвержден приказом руководителя Росстандарта № 389-ст от 19 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит дополнительные по отношению к ISO/IEC 27002 рекомендации по мерам обеспечения ИБ, применимые при использовании облачных служб. Является идентичным актуальной версии международного стандарта ISO/IEC 27017:2015.

ГОСТ Р ИСО/МЭК 27018-2020 «Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по защите персональных данных в публичных облаках, используемых для их обработки». Утвержден приказом руково-

дителя Росстандарта № 1040-ст от 10 ноября 2020 г. Дата введения в действие – 1 июня 2021 г. Стандарт устанавливает цели, меры обеспечения информационной безопасности и рекомендации по реализации мер защиты персональных данных в соответствии с правилами конфиденциальности ISO/ЕС 29100 для вы-

17

числительной среды публичных облаков. Разработан для использования организациями в качестве справочника при выборе мер защиты персональных данных в процессе реализации системы менеджмента информационной безопасности облачных вычислений на основе ISO/IЕС 27001, а также в качестве рекомендаций по реализации общепринятых мер защиты персональных данных для организаций, выступающих в качестве обработчиков персональных данных публичного облака.

ГОСТ Р ИСО/МЭК 27019-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике

(неатомной)». Утвержден приказом руководителя Росстандарта № 411-ст от 20 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Определяет основные принципы применения стандарта ИСО/МЭК 27002:2013 к системам управления технологическими процессами, используемым в энергетике для контроля и мониторинга выработки или производства, передачи, хранения и распределения электроэнергии, тепла, газа, нефти и нефтепродуктов, а также для контроля связанных с ними вспомогательных процессов. Является идентичным актуальной версии международного стандарта ISO/IEC 27019:2017.

ГОСТ Р ИСО/МЭК 27021-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности». Утвержден при-

казом руководителя Росстандарта № 390-ст от 19 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Устанавливает требования к компетенции специалистов по СМИБ, выполняющих разработку, реализацию, осуществление контроля и постоянное совершенствование одного или нескольких процессов менеджмента ИБ, соответствующих требованиям ИСО/МЭК 27001. Является идентичным актуальной версии международного стандар-

та ISO/IEC 27021:2017.

18

ГОСТ Р ИСО/МЭК 27033-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей». Утвержден прика-

зом руководителя Росстандарта № 368-ст от 18 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит рекомендации по проектированию и реализации систем обеспечения безопасности сетей в организации, а также по разработке необходимой документации, регламентирующей указанные процессы. Является идентичным актуальной версии международного стан-

дарта ISO/IEC 27033-2:2012.

ГОСТ Р ИСО/МЭК 27033-4-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 4. Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасно-

сти». Утвержден приказом руководителя Росстандарта № 391-ст от 19 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит руководство по обеспечению безопасности межсетевого взаимодействия с использованием шлюзов безопасности (межсетевых экранов, межсетевых экранов уровня приложений, систем предотвращения вторжений). Является идентичным актуальной версии международного стандарта ISO/IEC 27033-4:2014.

ГОСТ Р ИСО/МЭК 27033-5-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 5. Обеспечение безопасности межсетевого взаимодействия с помощью виртуальных частных сетей

(ВЧС)». Утвержден приказом руководителя Росстандарта № 417-ст от 20 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит рекомендации по выбору, реализации и мониторингу технических средств управления, необходимых для обеспечения безопасности сетей посредством виртуальных частных сетей, используемых для установки сетевых соединений и подключения удаленных пользователей к сетям. Является идентичным актуальной версии между-

народного стандартаISO/IEC 27033-5:2013.

19

ГОСТ Р ИСО/МЭК 27034-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 2. Нормативная структура ор-

ганизации». Утвержден приказом руководителя Росстандарта № 350-ст от 14 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит подробное описание нормативной структуры организации и рекомендации по ее проектированию, реализации, анализу и улучшению. Является идентичным актуальной версии международного стандарта ISO/IEC 27034-2:2015.

ГОСТ Р ИСО/МЭК 27034-3-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безо-

пасности приложений». Утвержден приказом руководителя Росстандарта № 351-ст от 14 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит подробное описание процесса обеспечения безопасности приложений и руководство по его внедрению в организации. Является идентичным актуальной версии международного стандарта ISO/IEC 27034-3:2018.

ГОСТ Р ИСО/МЭК 27034-6-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 6. Практические примеры». Ут-

вержден приказом руководителя Росстандарта № 369-ст от 18 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит примеры использования мер обеспечения безопасности информации в определенных приложениях (например, Java). Является идентичным актуальной версии международного стандарта

ISO/IEC 27034-6:2016.

ГОСТ Р ИСО/МЭК 27036-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия». Утвержден приказом руководителя Росстандарта № 418-ст от 20 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит обзор основополагающих положений, предназначенных для оказания по-

20