книги / Управление информационной безопасностью
..pdfмощи организациям в обеспечении безопасности их информации и информационных систем при взаимоотношениях с поставщиками. Является идентичным актуальной версии международного стандарта ISO/IEC 27036-1:2014.
ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме». Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии № 1028-ст от 9 сентября 2014 г. Предоставляет руководство в распространенных ситуациях, возникающих в процессе обращения со свидетельствами, представленными в цифровой форме, а также содействует организациям в их дисциплинарных процедурах и в облегчении обмена потенциальными свидетельствами, представленными в цифровой форме, между юрисдикциями.
ГОСТ Р 56045-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Рекомендации по оценке мер обеспечения информационной безопасности». Ут-
вержден приказом руководителя Росстандарта № 421-ст от 20 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит рекомендации по оценке реализации и применения мер обеспечения ИБ, включая оценку технического соответствия мер обеспечения ИБ информационных систем, согласно установленным в организации требованиям по ИБ.
ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции».
Утвержден приказом руководителя Росстандарта № 413-ст от 20 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Устанавливает терминологию по управлению идентичностью, основные концепции идентичности и управления идентичностью, а также их взаимосвязь. Не является эквивалентным актуальной версии международного стандарта ISO/IEC 24760-1:2019.
21
ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы». Ут-
вержден приказом руководителя Росстандарта № 412-ст от 20 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит руководство по управлению идентичностью и обеспечению уверенности в том, что система управления идентификационными данными соответствует его требованиям. Не является эквивалентным актуальной версии международного стандарта
ISO/IEC 24760-3:2016.
Вкачестве примера отраслевых стандартов по обеспечению ИБ и управлению ею целесообразно рассмотреть стандарты Центрального Банка Российской Федерации.
СТО БР ИББС – комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учетом требований российского законодательства, разработанный с учетом основных отечественных и зарубежных стандартов в сфере ИБ.
Внастоящее время действуют следующие отраслевые стандарты Банка России в области обеспечения ИБ:
−СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»;
−СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности»;
−СТО БР ИББС-1.2-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014»;
−СТО БР ИББС-1.3-2016 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при выявлении и
22
расследовании инцидентов информационной безопасности при осуществлении переводов денежных средств»;
−СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге»;
−СТО БР БФБО-1.5-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований кобеспечениюзащиты информации»;
−СТО БР ФАПИ.СЕК-1.6-2020 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID. Требования»;
−СТО БР ФАПИ.ПАОК-1.0-2021 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования».
Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации по обеспечению информационной безопасности организаций банковской системы Российской Федерации:
– РС БР ИББС-2.0-2007 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0»;
– РС БР ИББС-2.1-2007 «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0»;
– РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности»;
23
–РС БР ИББС-2.5-2014 «Менеджмент инцидентов информационной безопасности»;
–РС БР ИББС-2.6-2014 «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем»;
–РС БР ИББС-2.7-2015 «Ресурсное обеспечение информационной безопасности»;
–РС БР ИББС-2.8-2015 «Обеспечение информационной безопасности при использовании технологии виртуализации»;
–РСБРИББС-2.9-2016 «Предотвращениеутечекинформации». Примером стандартизации и оценки качества процессов
управления является CoBiT (Control Objectivesfor Information and Related Technology – «Задачи информационных и смежных технологий») – пакет открытых документов, включающий около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности.
Данная система стандартов позволяет оценивать эффективность процессов управления:
−вводит показатели (метрики) для оценки эффективности реализации системы управления IT для аудиторов IT-систем;
−позволяет оценивать показатели соответствия компьютерной IT-системы принятым стандартам и требованиям: достоверность информации, действенность, конфиденциальность, целостность и доступность обрабатываемой в системе информации.
Разработанные в соответствии с ISO/IEC 13335 стандарты представляют собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливают концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывают общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.
К данной серии стандартов относятся следующие:
−ГОСТ Р ИСО/МЭК 13335-1–2006. «Информационная технология (ИТ). Методы и средства обеспечения безопасности.
24
Концепция и модели менеджмента безопасности информационных технологий»;
−ГОСТ Р ИСО/МЭК 13335-3–2007 «ИТ. Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий»;
−ГОСТ Р ИСО/МЭК 13335-4–2007«ИТ. Методы и средства обеспечения безопасности. Выбор защитных мер»;
−ГОСТ Р ИСО/МЭК 13335-5–2007«ИТ. Методы и средства обеспечения безопасности. Руководство по менеджменту безопасности сети».
Кроме того, к стандартам, регулирующим требования по обеспечениюИБв областиинформационных технологий, относятся:
−стандарт ISO/IEC TR 18044:2004 (ГОСТ Р ИСО/МЭК ТО
18044-2007) «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;
−ГОСТ Р ИСО/МЭК 18045-2013 «Методология оценки безопасности информационных технологий». Идентичен международному стандарту ИСО/МЭК 18045:2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий».
В качестве примеров национальных стандартов иностранных государств в области управления информационной безопасностью можно привести стандарты Великобритании и ФРГ.
Стандарты Великобритании:
– BS 25999-1:2006 «Управление непрерывностью бизнеса – Часть 1: Практические правила». Определяет процесс, принципы
итерминологию в области управления непрерывностью бизнеса. Описывает набор механизмов контроля и охватывает весь жизненный цикл процесса управления непрерывностью бизнеса;
– BS 25999-2:2007 «Управление непрерывностью бизнеса – Часть 2: Спецификация». Устанавливает требования к системе управления непрерывностью бизнеса, соблюдение которых мо-
25
жет быть объективно проверено. Используя эти требования, компании могут проводить оценку существующей системы управления непрерывностью бизнеса как самостоятельно, так и с привлечением внешних консультантов;
–BS 25777:2008 «Управление непрерывностью информационных и коммуникационных технологий – Практические правила». Разработан на базе существующих стандартов обеспечения непрерывности бизнеса BS 25999 и дополняющей их публичной спецификации;
–PAS 77:2006 «Управление непрерывностью ИТ-сервисов». Руководство по управлению непрерывностью ИТ-сервисов объясняет принципы и некоторые рекомендуемые методы управления ИТ-сервисами. Предназначено для использования лицами, ответственными за управление непрерывностью ИТ-сервисами в организации. Соответствует ГОСТ Р 53647.8-2013 «Менеджмент непрерывности бизнеса. Управление человеческими ресурсами».
Серия стандартов ФРГ в области управления информацион-
ной безопасностью BSI 100 IT-Grundschutz:
−100-1 Information Security Management Systems;
−100-2: IT-Grundschutz Methodology;
−100-3: Risk Analysis based on IT-Grundschutz;
−100-4: Business Continuity Management;
−IT-Grundschutz Catalogues.
Приведенный перечень стандартов в сфере управления информационной безопасностью не является исчерпывающим, но в значительной мере отражает специфические направления деятельности в данной сфере.
Вопросы для контроля знаний
1.РаскройтеосновныесведенияобISO ицелиеедеятельности.
2.Перечислите преимущества и недостатки внедрения СМИБ в соответствии со стандартами.
3.Укажите основные национальные стандарты РФ в области управления ИБ.
26
4.Назовите преимущества внедрения системы управления ИБ на основе стандартов серии ISO/IEC.
5.Раскройте общие сведения о СТО БР ИББС РФ и основные цели их внедрения в Банке России.
6.Перечислите отраслевые стандарты Банка России по ИБ.
7.Раскройте направления стандартизации серии СТО БР ИББС РФ.
8.Раскройтеназначение стандартовCoBiT дляуправления ИБ.
9.Перечислите стандарты, регулирующие требования по обеспечению ИБ в области информационных технологий.
10.Приведите примеры национальных стандартов иностранных государств в области управления информационной безопасностью.
27
3. РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Традиционно понятие «политика информационной безо-
пасности» подразумевает совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют защиту и распределение ценной информации на разных уровнях, а также управление этими процессами. Политика – это принципы, которые закреплены в документах. Так, отраслевой стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» определяет Политику информацион-
ной безопасности банковской системы РФ как документацию,
определяющую высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенную для организаций банковской системы РФ в целом.
Как правило, политика ИБ организации включает несколько уровней, детализирующих требования ИБ до отдельных (частных) случаев. Подобная детализация предполагает разработку ча-
стных политик. Например, частная политика информационной безопасности банковской системы РФ – документация, детали-
зирующая положения политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организаций банковской системы РФ.
Учитывая опыт разработки и внедрения правил обеспечения ИБ, целесообразно определить, что политика информационной безопасности – это система документации, определяющая высокоуровневые цели, содержание и основные направления и устанавливающая правила, процедуры, практические приемы и руководящие принципы обеспечения ИБ активов организации, которыми она руководствуется в своей деятельности [3].
Основаниями для разработки политики ИБ в организации являются:
28
−требованиеруководства(демонстрациязаинтересованности);
−требования законодательства и отраслевых стандартов;
−требования клиентов и партнеров;
−необходимость сертификации по стандартам;
−требования аудиторов;
−обеспечение конкурентноспособности;
−создание корпоративной культуры;
−уменьшение стоимости страхования (экономическая целесообразность);
−следование тенденциям мировой практики.
Целью разработки политики ИБ является создание единой и общей основы для защиты информации на предприятии (в организации), включающей формирование единых правил работы с активами, защиты информации для всех участников информационного обмена, решения вопросов обеспечения ИБ в пределах корпоративной системы, а также вовлечение руководства и всего трудового коллектива в процесс обеспечения ИБ.
Политика безопасности, как правило, зависит от конкретной технологии обработки информации, используемых технических и программных средств, а также расположения организации и т.д.
Традиционно могут быть разработаны и внедрены следующие разновидности политики ИБ:
−организационная / административная (organizational security policy) политика ИБ;
−техническая (technical security policy) политика ИБ.
В зависимости от принятого подхода в реализации политики ИБ могут быть использованы следующие модели политики ИБ:
1)либеральная (доверять всем и всегда);
2)запретительная (не доверять никому и никогда);
3)компромиссная (доверять некоторым, степень доверия пересматривать).
Как правило, основными задачами реализации политики ИБ являются описание целей и задач обеспечения ИБ на понятном
29
пользователю языке, а также определение направления работы подразделения ИБ.
Разработка политики ИБ производится на основе:
−опыта организации, сформировавшегося в области обеспечения ИБ;
−особенностей бизнес-процессов иприменяемых технологий;
−идентификации и оценки защищаемых активов;
−проведенной оценки угроз, нарушителей и рисков ИБ;
−требований законодательства и руководящих документов
вобласти ИБ;
−конкретных интересов и целей организации.
Основными требованиями по внедрению политики ИБ в организации (на предприятии) являются следующие:
−утверждениевысшимруководствоморганизациии издание;
−реализуемость;
−краткость;
−обеспечение ИБ при отсутствии влияния на эффективность бизнес-процессов;
−установление ответственности руководства;
−регулярный анализ содержания политики;
−доведение до сведения всех сотрудников организации в доступной и понятной для них форме.
В политике ИБ должны быть даны ответы на ключевые вопросы обеспечения ИБ:
−какой ресурс подлежит защите;
−на каких должностных лиц распространяется действие политики ИБ;
−какова область действия политики ИБ;
−каковы основные правила обеспечения политики ИБ;
−каким образом оценивается выполнение требований политики ИБ;
−когда политика вступает в действие;
−какова необходимость внедрения политики ИБ.
30