Zitate aus dem Buch «Информационная безопасность. Национальные стандарты Российской Федерации»

Стандарт вводит ряд терминов в предметной области. Мера и средство контроля и управления – средство менеджмента риска, включающее в себя политики, процедуры, рекомендации, инструкции или организационные структуры, которые могут быть административного, технического, управленческого или правового характера. Политика – общее намерение и направление, официально выраженное руководством. Риск – сочетание вероятности события и его последствий. Анализ риска – систематическое использование информации для определения источников и количественной оценки риска. Обработка риска – процесс выбора и осуществления мер по модификации риска. Угроза – потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации. Уязвимость – слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами. Стандарт состоит из следующих разделов, посвященных мерам и средствам контроля и управления безопасностью: • политика безопасности; • организационные аспекты информационной безопасности; • менеджмент активов;

Стандарт содержит рекомендации по разработке и использованию измерений и мер измерения для оценки эффективности реализованной СМИБ, а также мер и средств контроля и управления по ИСО/МЭК 27001. Процесс измерений затрагивает политику, менеджмент риска информационной безопасности, меры и средства контроля и управления и цели их применения, процессы и процедуры, а также поддерживает процесс проверки СМИБ. Он реализуется в виде программы измерений, предназначенной для оказания помощи руководству организации в выявлении и оценивании несоответствующих требованиям и неэффективных процессов, мер, средств контроля и управления СМИБ.

• безопасность, связанная с персоналом; • физическая защита и защита от воздействия окружающей среды; • менеджмент коммуникаций и работ; • управление доступом; • приобретение, разработка и эксплуатация ИС; • менеджмент инцидентов информационной безопасности; • менеджмент непрерывности бизнеса; • соответствие.

Для внедрения и функционирования СМИБ стандарт обязывает руководство организации осуществлять следующие меры: • разработка политики СМИБ; • обеспечение разработки целей и планов СМИБ; • определение функций и ответственности в области ИБ;

и его клиентами). 6. Требования к процессу (общие требования к аудиту, время аудита, методология аудита, первоначальный аудит и сертификация, деятельность по надзору, повторная сертификация, специальные аудиты, приостановка, отмена и сокращение сферы действия сертификата, апелляции, документы заявителей). 7. Требования системы менеджмента к органам сертификации. Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27007–2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности» введен в действие с 01.06.2015 г. Он идентичен международному стандарту ISO/IEC 27007:2011 «Information technology – Security techniques – Guidelines for information security management systems auditing». Стандарт представляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности и проведению внутренних или внешних аудитов на соответствие ИСО/МЭК 27001, а также руководство по вопросу компетентности и оценки аудиторов СМИБ. В данном стандарте используются рекомендации международного стандарта ИСО 19011:2011 «Руководящие указания по аудиту систем менеджмента» (ISO 19011:2011 «Guidelines for auditing management systems»). Идентичная версия этого стандарта введена в действие в качестве национального стандарта России с 01.02.2013 г. ГОСТ Р ИСО 19011–2012 «Руководящие указания по аудиту систем менеджмента». В стандарте рассматриваются: 1. Принципы аудита. 2. Менеджмент программы аудита. 3. Проведение аудита. 4. Компетентность и оценка аудиторов. В приложении к стандарту дано практическое руководство по аудиту системы менеджмента ИБ. Оба стандарта используют нормативные ссылки на следующие стандарты: ИСО/МЭК 17021–2012 «Оценка соответствия. Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента». ГОСТ Р ИСО 19011–2012 «Руководящие указания по аудиту систем

реализации мер защиты информации, установленные в таблицах, обозначены следующим образом: • «О» – реализация путем применения организационной меры защиты информации; • «Т» – реализация путем применения технической меры защиты информации; • «Н» – реализация является необязательной.

отдельных выбранных мер ЗИ; • краткое изложение процесса оценки соответствия ЗИ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия ЗИ; • числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ; • подтверждение, что цель оценки соответствия ЗИ достигнута в области оценки соответствия ЗИ; • неразрешенные разногласия между проверяющей группой и проверяемой организацией; • перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия ЗИ; • сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия ЗИ: • опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них; • опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием их реквизитов и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

Национальный стандарт ГОСТ Р 57580.2–2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» введен в действие с 01.09.2018 г. Он устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации финансовой организации при выборе и реализации организационных и технических мер защиты в соответствии с требованиями стандарта ГОСТ Р 57580.1. Требования, устанавливаемые данным стандартом, предназначены для использования организациями, осуществляющими оценку соответствия ЗИ финансовых организаций, а также субъектов национальной платежной системы. Способом проверки соответствия защиты информации является оценка выбора и реализации финансовой организацией организационных и технических мер защиты информации независимой организацией. обладающей необходимым уровнем компетенции и имеющей лицензию на деятельность по технической защите конфиденциальной информации. Основными целями данного стандарта являются: • установление единых требований к методике и оформлению результатов оценки соответствия защиты информации финансовой организации; • установление способов оценки выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1; • определение итоговой оценки соответствия защиты информации. Под оценкой соответствия защиты информации в стандарте понимается «процесс оценки выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1, выполняемой проверяющей организацией». Проверяющая организация в стандарте определена как «организация, проводящая оценку соответствия ЗИ финансовой организации и являющаяся независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты

Пример базового состава мер по разграничению доступа субъектов логического доступа применительно к уровням защиты информации

уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации стандарт рекомендует обеспечить: • идентификацию и учет объектов информатизации, в том числе АС; • применение на различных уровнях информационной инфраструктуры выбранных мер защиты информации, направленных на непосредственное обеспечение защиты информации; • применение выбранных мер защиты информации, обеспечивающих приемлемые для финансовой организации полноту и качество защиты информации, входящих в систему организации и управления защитой информации; • применение выбранных мер защиты информации, направленных на обеспечение защиты информации на всех стадиях жизненного цикла АС и приложений; • оценку остаточного операционного риска, вызванного неполным или некачественным выбором и применением мер защиты информации, и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Банка России. Стандарт определяет три уровня защиты информации: • уровень 3 – минимальный; • уровень 2 – стандартный; • уровень 1 – усиленный.