Первого января 2022 года был введен в действие стандарт ГОСТ Р ИСО/МЭК 27001:2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» (аутентичный перевод ISO/IEC ISO 27001:2013). Данное событие осталось не особо замеченным уважаемой публикой, хотя любому специалисту по информационной безопасности, стремящемуся к уменьшению бардака в сфере ИБ в своей организации с помощью внедрения процессного подхода, стоит не только понимать, но и уметь применять данный ГОСТ. К тому же в отличие от предыдущей версии 2006 года новый стандарт очень качественно переведен на русский язык.
К сожалению, на неподготовленного читателя данный стандарт, как и любой другой подобный документ, нагнетает скуку своим сухим языком и не всегда очевидной терминологией. Поэтому в этой статье кратко рассмотрим ключевые понятия и концепции, лежащие в основе стандарта. По ходу изложения разберем основные отличия новой версии от предыдущей и узнаем, почему старая версия стандарта позволяла обмануть центры по сертификации, а с вводом новой версии такое провернуть уже невозможно.
Урок 1 1 Что такое система менеджмента информационной безопасности согл. I ISO/IEC 27001:2013
Немного истории
Если вы уже давно в профессии, то этот раздел можно смело пропустить, а начинающим менеджерам по ИБ он может быть интересен.
В 1993 году Министерство торговли и промышленности Великобритании опубликовало документ, содержащий лучшие практики в области менеджмента ИБ (Code of Practice for Information Security Management), который был разработан в тесном сотрудничестве с ведущими британскими корпорациями и банками. Документ содержал описание более 127 мер информационной безопасности, которые были сгруппированы в 10 доменов. В 1995-м году данный документ приняли в качестве британского стандарта BS 7799. Четырьмя годами позже в 1999-м вышла вторая часть стандарта BS 7799-2, в которой уже была предложена концепция системы менеджмента информационной безопасности (СМИБ) на базе цикла Деминга-Шухарта (PDCA), а в 2006-м году появилась и третья часть BS 7799-3, посвященная ядру СМИБ – управлению рисками информационной безопасности. Таким образом британцы сформулировали перечень базовых организационных мер безопасности и дали инструментарий для их обоснованного выбора в конкретной организации.
В 2000-м году BS 7799-1 становится международным и получает код ISO/IEC 17799:2000, а с 2005 года под стандарты в области информационной безопасности уже выделяют целую серию ISO 27000, которая сейчас содержит уже 60 документов.
Ключевыми стандартами серии можно назвать ISO 27000, который содержит описание основных понятий, ISO 27001, содержащий требования к СМИБ (развитие BS 7799-2) и ISO 27002, описывающий меры безопасности (развитие BS 7799-1).
Основные понятия
Ключевыми понятиями для понимания стандарта являются: актив, риск, мера безопасности и, конечно же, сама СМИБ.
Под активом в контексте информационной безопасности понимается информация в любой форме и средства ее обработки, то есть все то, что представляет ценность для организации и требует нашей неусыпной защиты.
Под риском официально понимается «следствие влияния неопределенности на достижение поставленных целей» (ГОСТ Р ИСО 31000-2019), но проще всего данное понятие определить через комбинацию вероятности события и его последствий, о чем, впрочем, также сказано в примечаниях к упомянутому определению.
«Мера безопасности» или более многословно — «мера обеспечения информационной безопасности» (из ГОСТ ИСО/МЭК 27001-2021) представляет собой нечто, что может влиять на риск. Меры могут быть организационными (назначение ответственных, принятие политики/процедуры/стандарта), техническими (установка межсетевого экрана, включение
Если стандарт ГОСТ Р ИСО/МЭК 27001:2021 показался интересным, но 5 минут, потраченных на данную статью оказалось недостаточно и есть желание чуть глубже погрузиться в тему, то можно присоединиться к нашим бесплатным вебинарам, которые уже скоро пройдут.
Полезные ссылки
- Руководство по переходу с ISO/IEC 27001:2005 и ISO/IEC 27001:2013 от BSI
- ISO/IEC 27000:2018
Источник: habr.com
ГОСТ Р ИСО/МЭК 27000-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
Система менеджмента информационной безопасности (СМИБ) включает в себя политику, процедуры, руководящие принципы и связанные с ними ресурсы и мероприятия, коллективно управляемые организацией в целях защиты ее информационных активов. СМИБ обеспечивает системный подход к созданию, внедрению, функционированию, мониторингу, анализу, поддержке и усилению ИБ организации для достижения бизнес-целей. Она основывается на оценке рисков и уровнях принятия рисков организацией, предназначенных для эффективной обработки рисков и управления ими. Анализ требований по защите информационных активов и применение соответствующих мер, обеспечивающих необходимую защиту этих активов, способствуют успешному внедрению СМИБ. Для успешного внедрения СМИБ организации должны соблюдать следующие основные принципы:
a) понимание необходимости использования СМИБ;
b) назначение ответственности за обеспечение ИБ;
c) обеспечение баланса между обязательствами руководства и потребностями заинтересованных сторон;
d) повышение социальной значимости;
e) оценивание рисков, чтобы применять необходимые меры обеспечения ИБ для достижения допустимых уровней рисков;
f) обеспечение безопасности неотъемлемых элементов информационных сетей и систем;
g) активное предупреждение и выявление инцидентов ИБ;
h) применение комплексного подхода к менеджменту ИБ;
i) регулярное переоценивание уровня ИБ и внесение соответствующих изменений.
4.2.2 Информация
Информация — это актив, который наряду с другими важными активами представляет собой огромную ценность для бизнеса организации и, следовательно, должен быть надежно защищен. Информация может существовать в различной форме, в том числе в цифровом формате (например, в виде файлов с данными, записанных на электронных или оптических носителях), в материальном виде (например, быть записанной или напечатанной на бумаге), а также в нематериальном виде — знания сотрудников. Информация может передаваться различными способами: с помощью курьера, систем электронной почты или голосовой связи. Независимо от формы и способа передачи информации она должна быть надежно защищена.
Во многих организациях существует зависимость между информацией и информационно-коммуникационными технологиями (ИКТ). ИКТ-технологии являются важнейшим элементом любой организации. Они облегчают создание, обработку, хранение, передачу, защиту и уничтожение информации.
4.2.3 Информационная безопасность
ИБ обеспечивает конфиденциальность, доступность и целостность информации. Чтобы гарантировать успешное ведение бизнеса в долгосрочной перспективе и свести к минимуму негативное воздействие, ИБ предусматривает применение и администрирование соответствующих мер обеспечения ИБ, учитывающих широкий диапазон угроз.
ИБ достигается посредством внедрения соответствующих мер обеспечения ИБ, определенных в ходе выбранного процесса менеджмента рисков и управляемых с помощью СМИБ. Данные меры охватывают политику, процессы, процедуры, организационные структуры, программное и аппаратное обеспечение и предназначены для защиты идентифицированных информационных активов. Меры обеспечения информационной безопасности необходимо определить, внедрить, проверить, проанализировать и при необходимости улучшить, чтобы гарантировать соответствие уровня ИБ бизнес-целям организации. Меры обеспечения ИБ должны быть интегрированы в бизнес-процессы организации.
4.2.4 Менеджмент
Менеджмент включает в себя действия по управлению организацией, ее контролю и непрерывному совершенствованию в рамках соответствующих структур. Менеджмент охватывает действия, методы или практики формирования и обработки ресурсов, обращения с ресурсами, наблюдения за ними, а также управления ими. Масштаб управленческой структуры варьируется от одного человека в небольших организациях до управленческой иерархии, состоящей из многих людей, в крупных организациях.
Применительно к СМИБ менеджмент включает в себя наблюдение и принятие решений, необходимых для достижения бизнес-целей посредством защиты информационных активов организации. Менеджмент ИБ выражается через формулирование и использование политик ИБ, стандартов, процедур и рекомендаций, которые применяются повсеместно в организации всеми лицами, связанными с ней.
4.2.5 Система менеджмента
Система менеджмента использует совокупность ресурсов для достижения целей организации. Система менеджмента включает в себя организационную структуру, политику, планирование действий, обязательства, методы, процедуры, процессы и ресурсы.
В части ИБ система менеджмента позволяет организации:
a) удовлетворять требования безопасности потребителей и других заинтересованных сторон;
b) совершенствовать планы и деятельность организации;
c) обеспечивать соответствие целям ИБ организации;
d) соответствовать требованиям регулирующих и законодательных органов, а также отраслевым нормативным документам;
e) управлять информационными активами системным образом, чтобы упростить процессы непрерывного совершенствования и регулирования текущих организационных целей.
Источник: npalib.ru
ГОСТ Р ИСО МЭК 27000 Фатьянов П А гр
Скачать презентацию ГОСТ Р ИСО МЭК 27000 Фатьянов П А гр 27000.ppt
- Количество слайдов: 11
ГОСТ Р ИСО/МЭК 27000 Фатьянов П. А. гр. УК-0901
Содержание 0 Введение 0. 1 Общие положения 0. 2 Семейство стандартов СМИБ 0. 3 Назначение этого международного стандарта 1 Область применения 2 Термины и определения 3 Системы менеджмента информационной безопасности 3. 1 Введение 3. 2 Что такое СМИБ? 3. 3 Процессный подход 3. 4 Важность СМИБ 3. 5 Внедрение, контроль, поддержка и улучшение СМИБ 3. 6 Критические факторы успеха СМИБ 3. 7 Преимущества внедрения стандартов семейства СМИБ 4 Семейство стандартов СМИБ 4. 1 Общая информация 4. 2 Стандарты, содержащие общий обзор и терминологию 4. 3 Стандарты, задающие требования 4. 4 Стандарты, содержащие общие рекомендации 4. 5 Стандарты, содержащие специальные рекомендации
Область применения Стандарт применим ко всем типам организаций (например, коммерческие предприятия, правительственные учреждения, некоммерческие организации) стандарт содержит: • обзор семейства стандартов СМИБ; • введение в систему менеджмента информационной безопасности (СМИБ); • краткое описание процесса «План (Plan) – Осуществление (Do) – Проверка (Check) – Действие (Act)» (PDCA); • термины и определения для использования в семействе стандартов СМИБ.
Системы менеджмента информационной безопасности Информация – это актив, который наряду с другими важными деловыми активами важен для бизнеса организации и, следовательно, должен быть соответственно защищен. СМИБ – представляет модель для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения защиты информационных активов для достижения деловых целей, основанную на оценке риска и на принятии уровней риска организации, разработанную для эффективного рассмотрения и управления рисками.
Системы менеджмента информационной безопасности Принятие СМИБ позволяет организации: • повысить гарантии того, что её информационные активы в достаточной мере на непрерывной основе защищены от угроз информационной безопасности; • поддерживать структурированную и всестороннюю систему для идентификации и оценки угроз информационной безопасности, выбора и применения соответствующих средств управления и измерения и улучшения их эффективности; • непрерывно улучшать её среду контроля; • соответствовать юридическим и регулирующим требованиям.
Системы менеджмента информационной безопасности Преимущества, полученные от принятия семейства стандартов СМИБ, включает в себя следующие: • поддержка процесса определения, реализации, функционирования и поддержания работоспособности полной и экономически эффективной комплексной СМИБ, которая удовлетворяет потребности организации; • помощь для менеджмента в структурировании его подхода к менеджменту информационной безопасности в контексте корпоративного менеджмента рисков и управления, включая обучение и тренинг по единому управлению информационной безопасностью; • продвижение общепринятых лучших методов информационной безопасности в необязывающей форме, предоставляя организациям свободу для принятия и улучшения средств управления, которые соответствуют их особенностям и оказывают им поддержку перед лицом внутренних и внешних изменений; • предоставление общего языка и концептуального основания для информационной безопасности, облегчая взаимопонимание с деловыми партнерами, особенно если они требуют свидетельства соответствия ISO/IEC 27001 от аккредитованного органа сертификации.
Семейство стандартов СМИБ
Стандарты, содержащие общий обзор и терминологию ISO/IEC 27000 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
Стандарты, задающие требования ISO/IEC 27001 Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования ISO/IEC 27006 Информационные технологии. Средства обеспечения безопасности. Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности
Стандарты, содержащие общие рекомендации ISO/IEC 27002 Информационные технологии. Средства обеспечения безопасности. Свод правил по управлению защитой информации ISO/IEC 27003 Информационные технологии. Средства обеспечения безопасности. Руководство по внедрению системы менеджмента информационной безопасности ISO/IEC 27004 Информационные технологии. Средства обеспечения безопасности.
Измерения ISO/IEC 27005 Информационные технологии. Средства обеспечения безопасности. Управление рисками информационной безопасности ISO/IEC 27007 Информационные технологии. Средства обеспечения безопасности. Руководство для аудитора СМИБ
Стандарты, содержащие специальные рекомендации ISO/IEC 27011 Информационные технологии. Средства обеспечения безопасности. Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002 ISO 27799 Информатика в здравоохранении. Менеджмент информационной безопасности по стандарту ISO/IEC 27002
Источник: present5.com
