10. BSI (Bundesamt f

1.2.

В настоящий момент существует большое количество подходов к обеспечению и управлению информационной безопасностью. Наиболее эффективные из них формализованы в стандарты.

Международные стандарты и методологии в области ИБ и управления информационными технологиями (ИТ) являются ориентиром при построении информационной безопасности, а также помогают в решении связанных с этой деятельностью задач всех уровней, как стратегических и тактических, так и операционных.

Зачем нужны стандарты ИБ

Каждому специалисту, имеющему отношение к информационной безопасности, желательно ознакомиться с наиболее известными методологиями в области ИБ, а также научиться применять их на практике. Изучение лучших практик дает возможность узнать:

-терминологию в сфере ИБ;

-общие подходы к построению ИБ;

-общепринятые процессы ИБ и рекомендации по их выстраиванию;

-конкретные меры защиты — контроли ИБ;

-роли и зоны ответственности при построении процессов ИБ;

-подходы к измерению зрелости процессов ИБ;

-многое другое.

Международные стандарты ИБ развиваются годами, и за это время успели усовершенствоваться и вобрать в себя лучший опыт практикующих специалистов, в том числе лучшие практики в области развития ИТ.

Еще одним преимуществом изучения стандартов является возможность продуктивного взаимодействия в сообществе ИБспециалистов — общепризнанные стандарты международного уровня позволяют им общаться между собой и с внутренними подразделениями компании на одном языке с использованием устоявшихся терминов и определений. В том числе это помогает обосновывать руководству необходимость тех или иных ИБ-мер формулировками, понятными бизнесу. Стоит отметить, что ИБ всегда идет бок о бок с ИТ, и для повышения эффективности работы очень

важно уметь устанавливать коммуникации с ИТ. В этом ИБспециалисту помогает изучение таких стандартов, как ITIL и COBIT.

Какие бывают ИБ-стандарты

Существует множество систем взглядов и разных способов группировки стандартов. Методы классификации различаются по целям и задачам применения.

Рассмотрим стандарты с прикладной и процессной точек зрения. Стандарты можно поделить на:

1.Технические или контрольные (control), регламентирующие различные аспекты реализации мер защиты.

2.Процессно-ориентированные, описывающие поход к выстраиванию процессов и построению ИБ в целом.

Технические стандарты помогают провести выстраивание технической защиты информации — выбрать необходимый комплекс защитных мер и провести их грамотную настройку.

Процессно-ориентированные стандарты описывают поход к выстраиванию отдельных процессов.

Если процессно-ориентированные стандарты позволяют ответить на вопросы «что делать?», то технические дают практические рекомендации и отвечают на вопрос «как это реализовать?».

Кпроцессно-ориентированным стандартам относятся: серия ISO/IEC 27XXX, руководство ITIL, методология COBIT и так далее.

В части технических стандартов стоит отметить проект

OWASP top 10, CIS Controls, а также CIS Benchmarks, которые содержат детальную информацию по обеспечению безопасности ИТэлементов инфраструктуры, что помогает противодействовать широкому спектру угроз.

Тем не менее, не всегда стоит однозначно делить стандарты на категории. Один стандарт может агрегировать в себе информацию по нескольким направлениям. Так, например, стандарт PCI DSS (стандарт безопасности данных индустрии платежных карт) отражает комплексный подход к обеспечению ИБ и содержит как требования к управлению безопасностью, правилам и процедурам, так и большой перечень технических требований к критически важным мерам защиты.