книги / Управление информационной безопасностью

мощи организациям в обеспечении безопасности их информации и информационных систем при взаимоотношениях с поставщиками. Является идентичным актуальной версии международного стандарта ISO/IEC 27036-1:2014.

ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме». Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии № 1028-ст от 9 сентября 2014 г. Предоставляет руководство в распространенных ситуациях, возникающих в процессе обращения со свидетельствами, представленными в цифровой форме, а также содействует организациям в их дисциплинарных процедурах и в облегчении обмена потенциальными свидетельствами, представленными в цифровой форме, между юрисдикциями.

ГОСТ Р 56045-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Рекомендации по оценке мер обеспечения информационной безопасности». Ут-

вержден приказом руководителя Росстандарта № 421-ст от 20 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит рекомендации по оценке реализации и применения мер обеспечения ИБ, включая оценку технического соответствия мер обеспечения ИБ информационных систем, согласно установленным в организации требованиям по ИБ.

ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции».

Утвержден приказом руководителя Росстандарта № 413-ст от 20 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Устанавливает терминологию по управлению идентичностью, основные концепции идентичности и управления идентичностью, а также их взаимосвязь. Не является эквивалентным актуальной версии международного стандарта ISO/IEC 24760-1:2019.

21

ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы». Ут-

вержден приказом руководителя Росстандарта № 412-ст от 20 мая 2021 г. Дата введения в действие – 30 ноября 2021 г. Содержит руководство по управлению идентичностью и обеспечению уверенности в том, что система управления идентификационными данными соответствует его требованиям. Не является эквивалентным актуальной версии международного стандарта

ISO/IEC 24760-3:2016.

Вкачестве примера отраслевых стандартов по обеспечению ИБ и управлению ею целесообразно рассмотреть стандарты Центрального Банка Российской Федерации.

СТО БР ИББС – комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учетом требований российского законодательства, разработанный с учетом основных отечественных и зарубежных стандартов в сфере ИБ.

Внастоящее время действуют следующие отраслевые стандарты Банка России в области обеспечения ИБ:

−СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»;

−СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности»;

−СТО БР ИББС-1.2-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014»;

−СТО БР ИББС-1.3-2016 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при выявлении и

22

расследовании инцидентов информационной безопасности при осуществлении переводов денежных средств»;

−СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге»;

−СТО БР БФБО-1.5-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований кобеспечениюзащиты информации»;

−СТО БР ФАПИ.СЕК-1.6-2020 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID. Требования»;

−СТО БР ФАПИ.ПАОК-1.0-2021 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования».

Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации по обеспечению информационной безопасности организаций банковской системы Российской Федерации:

– РС БР ИББС-2.0-2007 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0»;

– РС БР ИББС-2.1-2007 «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0»;

– РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности»;

23

–РС БР ИББС-2.5-2014 «Менеджмент инцидентов информационной безопасности»;

–РС БР ИББС-2.6-2014 «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем»;

–РС БР ИББС-2.7-2015 «Ресурсное обеспечение информационной безопасности»;

–РС БР ИББС-2.8-2015 «Обеспечение информационной безопасности при использовании технологии виртуализации»;

–РСБРИББС-2.9-2016 «Предотвращениеутечекинформации». Примером стандартизации и оценки качества процессов

управления является CoBiT (Control Objectivesfor Information and Related Technology – «Задачи информационных и смежных технологий») – пакет открытых документов, включающий около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности.

Данная система стандартов позволяет оценивать эффективность процессов управления:

−вводит показатели (метрики) для оценки эффективности реализации системы управления IT для аудиторов IT-систем;

−позволяет оценивать показатели соответствия компьютерной IT-системы принятым стандартам и требованиям: достоверность информации, действенность, конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Разработанные в соответствии с ISO/IEC 13335 стандарты представляют собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливают концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывают общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

К данной серии стандартов относятся следующие:

−ГОСТ Р ИСО/МЭК 13335-1–2006. «Информационная технология (ИТ). Методы и средства обеспечения безопасности.

24

Концепция и модели менеджмента безопасности информационных технологий»;

−ГОСТ Р ИСО/МЭК 13335-3–2007 «ИТ. Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий»;

−ГОСТ Р ИСО/МЭК 13335-4–2007«ИТ. Методы и средства обеспечения безопасности. Выбор защитных мер»;

−ГОСТ Р ИСО/МЭК 13335-5–2007«ИТ. Методы и средства обеспечения безопасности. Руководство по менеджменту безопасности сети».

Кроме того, к стандартам, регулирующим требования по обеспечениюИБв областиинформационных технологий, относятся:

−стандарт ISO/IEC TR 18044:2004 (ГОСТ Р ИСО/МЭК ТО

18044-2007) «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;

−ГОСТ Р ИСО/МЭК 18045-2013 «Методология оценки безопасности информационных технологий». Идентичен международному стандарту ИСО/МЭК 18045:2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий».

В качестве примеров национальных стандартов иностранных государств в области управления информационной безопасностью можно привести стандарты Великобритании и ФРГ.

Стандарты Великобритании:

– BS 25999-1:2006 «Управление непрерывностью бизнеса – Часть 1: Практические правила». Определяет процесс, принципы

итерминологию в области управления непрерывностью бизнеса. Описывает набор механизмов контроля и охватывает весь жизненный цикл процесса управления непрерывностью бизнеса;

– BS 25999-2:2007 «Управление непрерывностью бизнеса – Часть 2: Спецификация». Устанавливает требования к системе управления непрерывностью бизнеса, соблюдение которых мо-

25

жет быть объективно проверено. Используя эти требования, компании могут проводить оценку существующей системы управления непрерывностью бизнеса как самостоятельно, так и с привлечением внешних консультантов;

–BS 25777:2008 «Управление непрерывностью информационных и коммуникационных технологий – Практические правила». Разработан на базе существующих стандартов обеспечения непрерывности бизнеса BS 25999 и дополняющей их публичной спецификации;

–PAS 77:2006 «Управление непрерывностью ИТ-сервисов». Руководство по управлению непрерывностью ИТ-сервисов объясняет принципы и некоторые рекомендуемые методы управления ИТ-сервисами. Предназначено для использования лицами, ответственными за управление непрерывностью ИТ-сервисами в организации. Соответствует ГОСТ Р 53647.8-2013 «Менеджмент непрерывности бизнеса. Управление человеческими ресурсами».

Серия стандартов ФРГ в области управления информацион-

ной безопасностью BSI 100 IT-Grundschutz:

−100-1 Information Security Management Systems;

−100-2: IT-Grundschutz Methodology;

−100-3: Risk Analysis based on IT-Grundschutz;

−100-4: Business Continuity Management;

−IT-Grundschutz Catalogues.

Приведенный перечень стандартов в сфере управления информационной безопасностью не является исчерпывающим, но в значительной мере отражает специфические направления деятельности в данной сфере.

Вопросы для контроля знаний

1.РаскройтеосновныесведенияобISO ицелиеедеятельности.

2.Перечислите преимущества и недостатки внедрения СМИБ в соответствии со стандартами.

3.Укажите основные национальные стандарты РФ в области управления ИБ.

26

4.Назовите преимущества внедрения системы управления ИБ на основе стандартов серии ISO/IEC.

5.Раскройте общие сведения о СТО БР ИББС РФ и основные цели их внедрения в Банке России.

6.Перечислите отраслевые стандарты Банка России по ИБ.

7.Раскройте направления стандартизации серии СТО БР ИББС РФ.

8.Раскройтеназначение стандартовCoBiT дляуправления ИБ.

9.Перечислите стандарты, регулирующие требования по обеспечению ИБ в области информационных технологий.

10.Приведите примеры национальных стандартов иностранных государств в области управления информационной безопасностью.

27

3. РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Традиционно понятие «политика информационной безо-

пасности» подразумевает совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют защиту и распределение ценной информации на разных уровнях, а также управление этими процессами. Политика – это принципы, которые закреплены в документах. Так, отраслевой стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» определяет Политику информацион-

ной безопасности банковской системы РФ как документацию,

определяющую высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенную для организаций банковской системы РФ в целом.

Как правило, политика ИБ организации включает несколько уровней, детализирующих требования ИБ до отдельных (частных) случаев. Подобная детализация предполагает разработку ча-

стных политик. Например, частная политика информационной безопасности банковской системы РФ – документация, детали-

зирующая положения политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организаций банковской системы РФ.

Учитывая опыт разработки и внедрения правил обеспечения ИБ, целесообразно определить, что политика информационной безопасности – это система документации, определяющая высокоуровневые цели, содержание и основные направления и устанавливающая правила, процедуры, практические приемы и руководящие принципы обеспечения ИБ активов организации, которыми она руководствуется в своей деятельности [3].

Основаниями для разработки политики ИБ в организации являются:

28

−требованиеруководства(демонстрациязаинтересованности);

−требования законодательства и отраслевых стандартов;

−требования клиентов и партнеров;

−необходимость сертификации по стандартам;

−требования аудиторов;

−обеспечение конкурентноспособности;

−создание корпоративной культуры;

−уменьшение стоимости страхования (экономическая целесообразность);

−следование тенденциям мировой практики.

Целью разработки политики ИБ является создание единой и общей основы для защиты информации на предприятии (в организации), включающей формирование единых правил работы с активами, защиты информации для всех участников информационного обмена, решения вопросов обеспечения ИБ в пределах корпоративной системы, а также вовлечение руководства и всего трудового коллектива в процесс обеспечения ИБ.

Политика безопасности, как правило, зависит от конкретной технологии обработки информации, используемых технических и программных средств, а также расположения организации и т.д.

Традиционно могут быть разработаны и внедрены следующие разновидности политики ИБ:

−организационная / административная (organizational security policy) политика ИБ;

−техническая (technical security policy) политика ИБ.

В зависимости от принятого подхода в реализации политики ИБ могут быть использованы следующие модели политики ИБ:

1)либеральная (доверять всем и всегда);

2)запретительная (не доверять никому и никогда);

3)компромиссная (доверять некоторым, степень доверия пересматривать).

Как правило, основными задачами реализации политики ИБ являются описание целей и задач обеспечения ИБ на понятном

29

пользователю языке, а также определение направления работы подразделения ИБ.

Разработка политики ИБ производится на основе:

−опыта организации, сформировавшегося в области обеспечения ИБ;

−особенностей бизнес-процессов иприменяемых технологий;

−идентификации и оценки защищаемых активов;

−проведенной оценки угроз, нарушителей и рисков ИБ;

−требований законодательства и руководящих документов

вобласти ИБ;

−конкретных интересов и целей организации.

Основными требованиями по внедрению политики ИБ в организации (на предприятии) являются следующие:

−утверждениевысшимруководствоморганизациии издание;

−реализуемость;

−краткость;

−обеспечение ИБ при отсутствии влияния на эффективность бизнес-процессов;

−установление ответственности руководства;

−регулярный анализ содержания политики;

−доведение до сведения всех сотрудников организации в доступной и понятной для них форме.

В политике ИБ должны быть даны ответы на ключевые вопросы обеспечения ИБ:

−какой ресурс подлежит защите;

−на каких должностных лиц распространяется действие политики ИБ;

−какова область действия политики ИБ;

−каковы основные правила обеспечения политики ИБ;

−каким образом оценивается выполнение требований политики ИБ;

−когда политика вступает в действие;

−какова необходимость внедрения политики ИБ.

30