С 1 января 2022 года вступил в силу стандарт ГОСТ Р ИСО/МЭК 27001:2021 «Информационные технологии.
Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности» (аутентичный перевод ISO/IEC ISO 27001:2013).
Это событие осталось не особо замеченным уважаемой общественностью, хотя любой специалист по информационной безопасности, стремящийся уменьшить хаос в области информационной безопасности в своей организации путем внедрения процессный подход должен не только понимать, но и уметь применять этот ГОСТ.
Кроме того, в отличие от предыдущей версии 2006 года, новый стандарт переведен на русский язык очень качественно.
К сожалению, этот стандарт, как и любой другой подобный документ, утомляет неподготовленного читателя своим сухим языком и не всегда очевидной терминологией.
Поэтому в этой статье мы кратко рассмотрим ключевые понятия и понятия, лежащие в основе стандарта.
По ходу разберем основные отличия новой версии от предыдущей и выясним, почему старая версия стандарта позволяла обманывать сертификационные центры, а с введением новой версии обмануть уже невозможно.
сделай это.
Процессно-ситуационный подход к управлению
Немного истории
Если вы уже давно в профессии, то можете смело пропустить этот раздел, но начинающим менеджерам по информационной безопасности он может быть интересен.В 1993 году Министерство торговли и промышленности Великобритании опубликовало документ, содержащий передовой опыт в области управления информационной безопасностью (Code of Practice for Information Security Management), который был разработан в тесном сотрудничестве с ведущими британскими корпорациями и банками.
Документ содержал описание более 127 мер информационной безопасности, которые были сгруппированы в 10 доменов.
В 1995 году этот документ был принят в качестве британского стандарта BS 7799. Четыре года спустя, в 1999 году, вышла вторая часть стандарта BS 7799-2, в которой уже предлагалась концепция системы управления информационной безопасностью (СУИБ), основанной на цикл Деминга-Шухарта (PDCA), а в 2006 году появилась третья часть BS 7799-3, посвященная ядру СМИБ – управлению рисками информационной безопасности.
Таким образом, британцы сформулировали перечень основных мер организационной безопасности и предоставили инструменты для их осознанного выбора в конкретной организации.
В 2000 году BS 7799-1 стал международным и получил код ISO/IEC 17799:2000, а с 2005 года целый Серия ISO 27000, которая сейчас содержит 60 документов.
.
Ключевые стандарты серии включают ISO 27000, содержащий описание основных понятий, ISO 27001, содержащий требования к СМИБ (развитие BS 7799-2) и ISO 27002, описывающий меры безопасности (развитие BS 7799-1).
).
Мало кто знает, но ISO 27000 можно скачать официально и бесплатно с сайта ISO: https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip
Базовые концепты
Ключевыми понятиями для понимания стандарта являются: актив, риск, мера безопасности и, конечно же, сама СМИБ.Под активом в контексте информационной безопасности понимается информация в любой форме и способах ее обработки, то есть все, что представляет ценность для организации и требует нашей неусыпной защиты.
Под риском официально понимают «следствие влияния неопределенности на достижение поставленных целей» (ГОСТ Р ИСО 31000-2019), но проще всего определить это понятие через сочетание вероятности события и его последствий.
, что, впрочем, также указано в примечаниях к упомянутому определению.
«Мера безопасности» или более подробно «мера обеспечения информационной безопасности» (из ГОСТ ИСО/МЭК 27001-2021) – это то, что может влиять на риск.
Меры могут быть организационными (распределение ответственности, принятие политики/процедуры/стандарта), техническими (установка межсетевого экрана, включение авторизации) и физическими (установка металлической двери в серверной комнате).
Система управления информационной безопасностью (СУИБ) – это совокупность внутренних организационно-распорядительных документов и ресурсов, необходимых для защиты активов.
СУИБ обеспечивает информированное принятие решений в области информационной безопасности посредством механизма управления рисками и не позволяет слепо следовать традиции, записанной в народной пословице «Пока гром не грянет, человек не перекрестится».
Также важно понимать, что стоит за оценкой рисков и аудитом, но об этом мы поговорим ниже.
Структура стандарта
ГОСТ Р ИСО/МЭК 27001-2021 состоит из двух частей - основного текста стандарта и приложения А.Основной текст стандарта состоит из разделов, легко сопоставляемых с этапами цикла PDCA, а приложение А содержит список мер безопасности, структурированный по доменам.
Цикл PDCA состоит из следующих фаз: планирование (Plan), исполнение (Do), проверка (Check) и корректировка (Act).
На этапе планирования организация определяет:
- Требования к СМИБ со стороны внешних и внутренних сторон, которые в конечном итоге устанавливают границы системы управления.
- Политика информационной безопасности.
- Роли и обязанности в области информационной безопасности.
- Процессы оценки и обработки рисков.
- Задачи информационной безопасности.
- Документы СМИБ.
- Ресурсы, необходимые для функционирования СМИБ.
- Управление процессами информационной безопасности.
- Выполнение задач по информационной безопасности.
- Оценка риска.
- Обработка рисков.
- Мониторинг деятельности в сфере информационной безопасности.
- Проведение внутренних проверок.
- Контроль управления.
- Проведение корректирующих действий по устранению несоответствий, выявленных на предыдущем этапе.
- Улучшение СМИБ.
- Политика информационной безопасности.
- Организация деятельности по обеспечению информационной безопасности.
- Безопасность персонала.
- Управление активами.
- Контроль доступа.
- Криптография.
- Физическая безопасность и защита от воздействия окружающей среды.
- Безопасность во время эксплуатации.
- Безопасность системы связи.
- Приобретение, разработка и поддержка систем.
- Отношения с поставщиками.
- Управление инцидентами информационной безопасности.
- Аспекты информационной безопасности в рамках управления непрерывностью организации.
- Соответствие требованиям.
Исключения из каждой меры безопасности должны быть обоснованы.
Отличия от предыдущей версии стандарта
Основные различия между ГОСТ Р ИСО/МЭК 27001:2021 и ГОСТ Р ИСО/МЭК 27001:2006 заключаются в следующем:- Структура стандарта была изменена.
- Появились новые концепции.
- Теперь для постоянного улучшения СМИБ можно использовать не только цикл PDCA (хотя сам PDCA, как мы видели, определяет структуру стандарта).
- Пересмотрен набор мер безопасности, а также их группировка: раньше было 11 доменов и 133 меры безопасности, теперь — 114 мер информационной безопасности и 14 доменов.
| Раздел ГОСТ Р ИСО/МЭК 27001:2021 | Раздел ГОСТ Р ИСО/МЭК 27001:2006. |
| 0. Введение | 0. Введение |
| 1 область использования | 1 область использования |
| 2 Нормативные ссылки | 2. Нормативные ссылки |
| 3 Термины и определения | 3 Термины и определения |
| 4 Контекст деятельности организации | |
| 4.1 Понимание внутренних и внешних факторов деятельности организации | 8.3 Превентивные действия |
| 4.2 Понимание потребностей и ожиданий заинтересованных сторон | 5.2.1 в) выявление и обеспечение соблюдения требований соответствующих законы, постановления, а также договорные обязательства в области информационная безопасность; |
| 4.3 Определение области применения системы управления информационной безопасностью | 4.2.1 а) определить область применения и границы СМИБ с учетом характеристик бизнес, организация, ее местоположение, активы и технологии, в том числе подробности и обоснование любых исключений из его объема (см.
1.2); 4.2.3 е) регулярный анализ со стороны руководства организации СМИБ в целях подтверждения адекватности ее функционирования и определения области для улучшения (см. 7.1) |
| 4.4 Система управления информационной безопасностью | 4.1 Общие требования |
| 5 Руководство | |
| 5.1 Лидерство и приверженность | 5.1 Обязанности руководства |
| 5.2 Политика | 4.2.1 б) определить политику СМИБ.
|
| 5.3 Роли, обязанности и полномочия в организации | 5.1 в) определение функций и ответственности в области информационной безопасности; |
| 6 Планирование | |
| 6.1 Действия по устранению рисков и возможностей | |
| 6.1.1 Общие сведения | 8.3 Превентивные действия |
| 6.1.2 Оценка рисков информационной безопасности | 4.2.1 в) определить подход к оценке рисков в организации, который требует. 4.2.1 г) выявлять риски, что требует. 4.2.1 д) анализировать и оценивать риски, что требует. |
| 6.1.3 Управление рисками информационной безопасности6 | 4.2.1 f) выявлять и оценивать различные варианты обработки рисков.
4.2.1 g) выбрать цели и средства контроля для обработки рисков. 4.2.1 h) получить одобрение руководства относительно ожидаемых остаточных рисков; 4.2.1 j) подготовить Заявление о применимости, которое включает следующее. 4.2.2 a) разработать план обработки рисков, который определяет соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении управления рисками информационной безопасности (см. раздел 5); |
| 6.2 Цели информационной безопасности и планы их достижения | 5.1 б) обеспечение разработки целей и планов СМИБ; |
| 7 Предоставление и поддержка | |
| 7.1 Ресурсы | 4.2.2 ж) управлять ресурсами СМИБ (см.
5.2); |
| 7.2 Квалификация | 5.2.2 Обучение, осведомленность и квалификация персонала |
| 7.3 Осведомленность | 4.2.2 д) реализовывать программы обучения и повышения квалификации работников 5.2.2 Обучение, осведомленность и квалификация персонала |
| 7.4 Взаимодействие | 4.2.4 в) доводить подробную информацию о действиях по совершенствованию СМИБ до всех заинтересованных лиц с уровнем детализации, соответствующим обстоятельствам, и при необходимости согласовывать дальнейшие действия; 5.1 г) доведение до всех работников организации информации о важности достижения целей информационной безопасности и соблюдения требований политики организации, их ответственности перед законом, а также необходимости постоянного совершенствования реализации мер информационной безопасности ; |
| 7.5 Документированная информация | 4.3 Требования к документации |
| 8 Эксплуатация | |
| 8.1 Оперативное планирование и контроль | 4.2.2 f) управлять работой СМИБ; |
| 8.2 Оценка риска информационной безопасности | 4.2.2 г) пересматривать оценки риска в установленные сроки, анализировать остаточные риски и установленные допустимые уровни риска с учетом изменений.
|
| 8.3 Управление рисками информационной безопасности | 4.2.2 b) реализовать план управления рисками для достижения намеченных целей управления, включая вопросы финансирования, а также распределения ролей и ответственности; 4.2.2 в) реализовать меры контроля, выбранные в соответствии с 4.2.1 д) для достижения целей управления; |
| 9 Оценка эффективности | |
| 9.1 Мониторинг, оценка безопасности, анализ и оценка | 4.2.2 г) пересматривать оценки риска в установленные сроки, анализировать остаточные риски и установленные допустимые уровни риска с учетом изменений.
4.2.3 б) проводить регулярный анализ эффективности СУИБ (включая проверку ее соответствия политике и целям СУИБ и анализ мер по управлению безопасностью) с учетом результатов проверок ИБ, ее инцидентов, результатов проверок ИБ. измерения эффективности СМИБ, а также предложения и другая информация от всех заинтересованных сторон; 4.2.3 c) измерять эффективность средств контроля для проверки соблюдения требований информационной безопасности; |
| 9.2 Внутренний аудит | 4.2.3 д) проводить внутренние аудиты СМИБ в установленные сроки (см.
п. 6).
|
| 9.3 Анализ со стороны руководства | 4.2.3 f) регулярно анализировать СМИБ руководством организации с целью подтверждение адекватности его функционирования и определение направлений улучшение (см.
7.1); 7. Анализ системы управления информационной безопасностью руководством.
|
| 10. Улучшение | |
| 10.1 Несоответствие и корректирующие действия | 4.2.4 Поддержание и совершенствование системы управления информационной безопасностью 8.2 Корректирующие действия |
| 10.2 Постоянное улучшение | 4.2.4 Поддержание и совершенствование системы управления информационной безопасностью 8.1 Постоянное улучшение |
- Контекст деятельности организации – это среда, в которой действует организация.
- Планы достижения целей информационной безопасности – это задачи, которые решает организация в процессе функционирования СМИБ.
- Владелец риска – это лицо из бизнеса, которое несет ответственность за актив и связанные с ним риски.
- Документированная информация – документы, записи, все, что обеспечивает функционирование СМИБ.
Манипулирование областью СМИБ осталось в прошлом.
ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 27001:2006 содержали одну интересную уязвимость, которая позволяла компаниям, подавшим заявку на сертификацию своих систем управления информационной безопасностью, сэкономить серьезные деньги.
Определение области действия СМИБ в соответствии с прошлыми версиями стандартов полностью оставалось на усмотрение заявителей, и многие мудро выбрали более мелкие процессы, такие как техническая поддержка, управление персоналом, бухгалтерская отчетность и т. д., и начали строить СМИБ исключительно вокруг них.
защищая, например, только данные в системе 1С:Кадри.
Новая редакция требует четкого определения внешних и внутренних сторон и выявления их требований, в соответствии с которыми уже определена область применения СМИБ.
Таким образом, теперь уже нельзя забывать о требованиях регуляторов по защите персональных данных и информационных данных при построении СМИБ.
Оценка риска
Ключевым механизмом определения необходимости реализации той или иной меры информационной безопасности является оценка рисков.Оценка риска включает в себя выявление риска, анализ риска и оценку риска.
В ходе идентификации рисков составляется перечень рисков, обычно связанных с конкретными активами, которые имеет смысл проанализировать.
В рамках анализа рисков изучается их природа, определяются вероятность, последствия и конечное значение каждого риска, которое может быть выражено словом (например, «высокий» - «средний» - «низкий»), цветом ( например, «красный» — «желтый» — «зеленый») или какое-либо числовое значение (например, в баллах, а иногда и в деньгах).
После получения значения риска его сравнивают с критериями приемлемости риска, проводя так называемую оценку риска, которая, в свою очередь, необходима для принятия решения о дальнейших шагах по обработке рисков.
Внутренняя проверка
Без правильно организованного контроля управление чем-либо невозможно.Важным компонентом этапа «Проверка» является внутренний аудит, в ходе которого специально обученный специалист проверяет, используя доступные ему методы аудита, что процессы СМИБ и реализованные меры безопасности соответствуют таким критериям аудита, как:
- Внутренние организационно-распорядительные документы в области информационной безопасности.
- Действующее законодательство (например, в сфере ПД, КИИ).
- ГОСТ Р ИСО/МЭК 27001:2021.
Заключение
В заключение можно отметить, что в области информационной безопасности ГОСТ Р ИСО/МЭК 27001:2021 является одним из наиболее практичных стандартов, поскольку в его основе лежит простой и понятный подход к структурированию деятельности организации.- цикл PDCA. Формулировки требований и мер безопасности за более чем 20 лет существования стандарта представлены в очень приличной и доступной форме.
Стоит отметить, что жизнь не стоит на месте и международные версии стандартов ISO 27001 и ISO 27002 обновляются в 2022 году.
ISO 27002 уже существует. опубликовано на сайте ISO , в течение года будет выпущена новая редакция ISO 27001. Основные разделы (4-10) ISO 27001:2022 останутся без изменений, но приложение А будет обновлено: оно будет содержать 11 новых мер безопасности, а формулировки многих других будут улучшены, а также будет изменен принцип их группировки.
, но это уже материал для отдельной статьи, если читателям будет интересно.
Если стандарт ГОСТ Р ИСО/МЭК 27001:2021 показался интересным, но 5 минут, потраченных на эту статью, оказалось недостаточно и вы хотите погрузиться в тему немного глубже, то вы можете присоединиться наши бесплатные вебинары , что скоро пройдет.
Полезные ссылки
Теги: #информационная безопасность #Менеджмент #ISO 27001 #СМИБ #СМИБ-
Ставим Cpu-Fan От Сокета 1155 На Lga775
19 Oct, 24 -
Первый Советский Спортивный Автомобиль
19 Oct, 24 -
Как Мы Полностью Изменили Интервью
19 Oct, 24 -
Робот, Который Вас Обгонит (Видео)
19 Oct, 24 -
Сравнение Поиска Google В Android 4.1 И Siri
19 Oct, 24 -
Хабровцы, Как Часто Вы Ругаетесь?
19 Oct, 24 -
Как Алгоритмы Формируют Нашу Жизнь
19 Oct, 24
