1. Понятие «управление иб». Причины построения систем уиб. Компоненты уиб.

Управление информационной безопасностью заключается в планировании, развертывании и поддержании комплекса регламентов и процедур, направленных на минимизацию рисков нарушения информационной безопасности. То есть, по своей сути управление информационной безопасностью является управлением информационными рисками, нацеленным на достижение приемлемого уровня этих рисков.

Основные функции систем управления информационной безопасностью (СУИБ) – это:

• выявление и анализ рисков информационной безопасности

• планирование и практическая реализация процессов, направленных на минимизацию рисков ИБ

• контролирование этих процессов

• внесение в процессы минимизации информационных рисков необходимых корректировок.

Надо понимать, что прежде всего СУИБ- это инструмент.Цель этого инструмента связать воедино организационные меры и технические компоненты, отвечающие за ИБ, а также эффективно в дальнейшем ими управлять. В общем виде СУИБ можно представить как следующий слоеный пирог:

2. Процессный подход к управлению безопасностью, модель pdca системы управления. Системы менеджмента безопасности, компоненты, цели управления и средства управления.

PDCA (англ. «Plan-Do-Check-Act» - планирование-действие-проверка-корректировка) циклически повторяющийся процесс принятия решения, используемый в управлении качеством.

Цикл PDCA

Методология PDCA представляет собой простейший алгоритм действий руководителя по управлению процессом и достижению его целей. Цикл управления начинается с планирования.

Планирование 

установление целей и процессов, необходимых для достижения целей, планирование работ по достижению целей процесса и удовлетворения потребителя, планирование выделения и распределения необходимых ресурсов.

Выполнение 

выполнение запланированных работ.

Проверка 

сбор информации и контроль результата на основе ключевых показателей эффективности (KPI), получившегося в ходе выполнения процесса, выявление и анализ отклонений, установление причин отклонений.

Воздействие (управление, корректировка) 

принятие мер по устранению причин отклонений от запланированного результата, изменения в планировании и распределении ресурсов.

Современная системы менеджмента ИБ (СМИБ) представляет собой процессно-ориентированную систему управления, включающую организационный, документальный и программно-аппаратный компоненты. Можно выделить следующие разрезы СМИБ: процессный, документальный и зрелостный.

Информационный менеджмент — технология, компонентами которой являются документная информация, персонал, технические и программные средства обеспечения информационных процессов, а также нормативно установленные процедуры формирования и использования информационных ресурсов.

Система менеджмента безопасности— часть системы менеджмента предприятия, которая управляет причинами возникновения опасных факторов на протяжении всей цепи информационной системы.

3. Нормативное обеспечение управления безопасностью: гост семейства 27000.

Нормативный подход заключается в том, что разрабатывается стандарт, в котором

определены основные понятия и требования, которые образуют шкалу оценки степени

защищенности. Далее определяют местоположение оцениваемой системы на этой

шкале и говорят о том, насколько система безопасна.

Недостаток тут в том, что стандарт он не один и по этому получается некая

субъективность в общем плане.

Преимущество же в том, что для систем, которые отвечают одному стандарту

появляется объективный критерий сравнения безопасности.

Плюсы

• общепринятость, межнациональность

• две системы в рамках одной системы формализованно можно сравнить

• общая база знаний

Минусы:

• стандарты устаревают, не учитывая аспектов

• есть бумага, но не средства защиты

По стандарту ISO 27001:2005 информационная безопасность – это: “обеспечение конфиденциальности, целостности и доступности информации; также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надёжность”

Вот чем занимается группа стандартов ISO 27000 - обеспечением информационной безопасности организации.

На сегодняшний день есть 17 утвержденных и опубликованных стандартов группы ISO 27000.

Есть 4 вида групп стандартов:

• Стандарты для обзора и введения в терминологию

• Стандарты, которые определяют обязательные требования к СУИБ (система управления информационной безопасностью)

• Стандарты, определяющие требования и рекомендации для аудита СУИБ

• Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.

Далее идёт ОЧЕНЬ полезная информация. Приготовьтесь.

Стандарты для обзора и введения в терминологию:

ISO/IEC 27000:2009 – Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь

Данный стандарт обеспечивает определение основной терминологии, которая используется в стандартах по информационной безопасности.

Стандарты, которые определяют обязательные требования к СУИБ:

ISO/IEC 27001:2005 – Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

Это основной стандарт группы. Он определяет требования к разработке, внедрению, поддержке и улучшению систем менеджмента информационной безопасности В данный момент разрабатывается новая версия стандарта ISO 27001.

Стандарты, определяющие требования и рекомендации для аудита СУИБ:

ISO/IEC 27006:2011 - Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности

Этот стандарт расширяет требований стандарта ISO 17021 специально для органов, проводящих аудит и сертификацию СУИБ

ISO/IEC 27007:2011 - Информационные технологии. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности

Стандарт ISO 27007 предлагает рекомендации по проведению аудитов СУИБ со стороны сертификационных организаций. Он полезен для аудиторов этих организаций.

ISO/IEC TR 27008:2011 - Информационные технологии. Методы обеспечения безопасности - Руководство для аудиторов по мерам и средствам обеспечения информационной безопасности

Данный стандарт, как и ISO 27007 является дополнительным стандартом к ISO 19011:2011 специально для СУИБ. Он специализирован для аудита средств управления информационной безопасностью в организации

Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ:

ISO/IEC 27002:2005 - Информационные технологии. Средства обеспечения. Свод практики для менеджмента информационной безопасности

Самый популярный стандарт группы после ISO 27001. Он дает отличные указания для разработки, внедрения, поддержки и совершенствовании СУИБ. Он является библией для консультантов.

ISO/IEC 27003:2010 - Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности

Стандарт дает указания и методику для процессов разработки и внедрения СУИБ.

ISO/IEC 27004:2009 - Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности

Стандарт является руководством для выбора, проектирования, управления и улучшения средств и методов измерения эффективности и результативности системы

ISO/IEC 27005:2011 - Информационные технологии . Методы защиты. Менеджмент рисков информационной безопасности.

Этот стандарт является одним из самых важных в группе. Несмотря на то, что он только указательный, а не обязательный стандарт, его назначение состоит в том, что управление рисками - один из самых важных процессов для информационной безопасности.

ISO/IEC 27011:2010 - Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций на основе ISO / IEC 27002

Это специализированное руководство по СУИБ в телекоммуникационных организациях.

ISO/IEC 27031:2011 - Информационные технологии - Методы обеспечения защиты – Руководство для готовности информационных и коммуникационных технологий по обеспечению непрерывности бизнеса

Новый, интересный стандарт - руководство по обеспечению непрерывности бизнеса в ИКТ

ISO/IEC 27033-1:2009 - Информационные технологии - Методы обеспечения защиты – Сетевая безопасность – Част 1 – Обзор и понятия

Первый из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры

ISO/IEC 27033-3:2010 - Информационные технологии - Методы обеспечения защиты – Сетевая безопасность – Част 3 – Сетевые сценарии - Угрозы, методы проектирования и управления вопросами

Другой стандарт из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры - с практическим значением

ISO/IEC 27034-1:2011 - Информационные технологии - Методы обеспечения защиты – Безопасность приложений – Част 1: Обзор и понятия

Первый из другой группы специализированных стандартов в области обеспечения информационной безопасности прикладного программного обеспечения.

ISO/IEC 27035:2011 - Информационные технологии - Методы обеспечения защиты – Управление инцидентами по информационной безопасности

Один из ценных стандартов в группе с практической стоимостью в области управления инцидентами по информационной безопасностью

ISO 27799:2008 - Информатика в здравоохранении. Менеджмент безопасности информации по стандарту ISO/IEC 27002

Это специализированное руководство по СУИБ в здравоохранении.

ISO/IEC 24762:2008 - Информационные технологии - Методы обеспечения защиты – Рекомендации по услугами для аварийного восстановления информационных и коммуникационных технологий

Группа стандартов ISO 27000 получила очень серьезное развитие в последние годы. В настоящее время в различных стадиях подготовки находятся еще 25 новых стандартов, которые обеспечат необходимую помощь при разработке, внедрении, поддержании и улучшении СУИБ.