Краткий обзор ИБ-стандартов
COBIT
Международная ассоциация ISACA (Information Systems Audit and Control Association), известная разработкой стандартов по управлению ИТ в корпоративной среде и проводимыми сертификациями (например, CISA, CISM, CRISC), и Институт руководства ИТ (IT Governance Institute — ITGI) совместно разработали подход к управлению информационными технологиями. В 1996 году на его основе организация ISACF выпустила первую версию стандарта COBIT. С течением времени и с развитием подходов к управлению ИТ концепция COBIT пересматривалась и расширялась. Сегодня самой новой версией методологии является COBIT 2019, ставшая продуктом эволюции пятой версии стандарта (пересмотр состоялся в декабре 2018 года). COBIT 2019 описывает набор процессов, лучших практик и метрик для выстраивания эффективного управления и контроля, а также достижения максимальной выгоды от использования ИТ.
Основой стандарта являются 40 высокоуровневых задач контроля, сгруппированных в четыре домена, два из которых посвящены информационной безопасности):
1.«COBIT 2019 Framework: Introduction and Methodology» — «COBIT 2019 Бизнес-модель: Введение и методология».
2.«COBIT 2019 Framework: Governance and Management Objectives» — «COBIT 2019 Бизнес-модель: Задачи руководства и управления.
3.«COBIT 2019 DESIGN GUIDE: Designing an Information and Technology Governance Solution — «Проектирование решения по руководству информацией и технологиями».
4.«COBIT 2019 IMPLEMENTATION GUIDE: Implementing and Optimizing an Information and Technology Governance Solution» — «Внедрение и оптимизация решения по руководству информацией и технологиями».
Таким образом, стандарт охватывает всю деятельность компании и позволяет широко взглянуть на управление ИТ и ИБ. Стандарт носит высокоуровневый характер, то есть говорит, что должно быть достигнуто, но не объясняет, как. С помощью принципов COBIT 2019 можно минимизировать риски и контролировать возврат инвестиций в ИТ и средства информационной защиты.
ITIL и ITSM
Библиотека инфраструктуры информационных технологий или
ITIL (The |
IT |
Infrastructure |
Library) |
— |
это |
набор |
|
публикаций (библиотека), |
описывающий |
общие |
принципы |
||||
эффективного использования ИТ-сервисов. Библиотека ITIL |
|||||||
применяется |
|
для |
практического |
внедрения |
подходов |
||
IT Service Management (ITSM) — проектирования сервисов |
и ИТ- |
||||||
инфраструктуры компании, а также обеспечения их связности.
ITIL можно рассматривать в том числе с точки зрения информационной безопасности, так как для успешного использования ИТ и поддерживаемых услуг необходимо обеспечивать доступность, целостность и конфиденциальность ИТ-инфраструктуры. Это достигается правильным управлением ИТ-безопасностью. Библиотека содержит раздел, посвященный вопросам безопасности в структуре процессов ITIL. В материалах ITIL не прописаны конкретные требования к средствам защиты, а лишь дается описание общей организации безопасной работы ИТ-сервисов. В библиотеке можно найти как основные принципы выстраивания самого процесса управления ИБ, так и ключевые рекомендации по поддержанию СУИБ
— Системы управления информационной безопасностью (Information
Security Management System или ISMS). Если COBIT определяет ИТ-
цели, то ITIL указывает шаги на уровне процессов. Кроме того, библиотека содержит рекомендации по выстраиванию смежных процессов, например, по управлению инцидентами, что позволяет комплексно взглянуть на выстраивание процессов и их интеграцию в ИТ-среду. Библиотека ITIL полезна специалистам, в задачи которых входит выстраивание процесса управления ИТ-услугами и интеграция ИБ в этот подход. Знание документа позволяет им разговаривать с ИТслужбой на одном языке — языке ИТ-сервисов.
ISO
Серия ISO/IEC 27XXX
Наиболее известным и популярным набором стандартов среди, как зарубежных, так и российских ИБ-специалистов, к которому обращаются в первую очередь при внедрении СУИБ, являются документы из серии ИБ-стандартов ISO/IEC 27XXX.
Самый известный стандарт серии — ISO/IEC 27001:2013, определяющий аспекты менеджмента информационной безопасности и
содержащий лучшие практики по выстраиванию процессов для повышения эффективности управления ИБ. Стандарт декларирует риск-ориентированный подход, который позволяет выбрать необходимые меры и средства защиты, наилучшим образом соответствующие потребностям и интересам бизнеса. По результатам
внедрения стандарта ISO/IEC 27001:2013 компания |
может пройти |
|
сертификацию. Так же, как и концепция ITIL, ISO/IEC 27001:2013 в |
||
качестве модели управления качеством берет за основу Цикл Деминга- |
||
Шухарта PDCA (англ. «Plan-Do-Check-Act» |
— |
«планирование- |
действие-проверка-корректировка»), что |
означает |
непрерывное |
совершенствование ИБ-процессов.
Стандарт ISO/IEC 27001:2013 состоит из двух частей: - Описание подхода к созданию СУИБ;
-Приложение А (требования ИБ и средства их реализации ,
структурированные по разделам). |
|
|
|
|
|
|||||
Стандарт |
ISO/IEC |
27001:2013 |
имеет |
российский аналог |
||||||
ГОСТ Р ИСО/МЭК 27001. |
|
|
|
|
|
|
|
|||
Также |
специалисты |
|
часто |
обращаются |
к |
стандарту |
||||
ISO/IEC 27002:2013 (ранее |
выходил под номером |
ISO/IEC 17799), |
||||||||
более подробно раскрывающему высокоуровневые требования |
||||||||||
ISO/IEC 27001:2013 к выстраиванию процессов |
в СУИБ. Документ |
|||||||||
описывает рекомендуемые практические меры в области управления |
||||||||||
информационной безопасностью. |
|
|
|
|
|
|||||
|
|
|
|
|||||||
ISO/IEC 27000:2013 |
Information |
Термины и определения. |
|
|||||||
technology. |
Security |
techniques. |
|
|
|
|
|
|
||
Information |
security |
management |
|
|
|
|
|
|
||
systems. Overview and vocabulary |
|
|
|
|
|
|
||||
|
|
|
|
|
||||||
ISO/IEC 27001:2013 |
Information |
Системы |
обеспечения |
информационной |
||||||
technology. |
Security |
techniques. |
безопасности. |
Документ |
описывает |
|||||
Information |
security |
management |
требования к СУИБ и средства их |
|||||||
systems. Requirements |
|
реализации. |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
Методы |
и |
средства |
обеспечения |
||
ISO/IEC 27002:2013 |
Information |
информационной безопасности. Стандарт |
||||||||
technology. |
Security |
techniques. |
разъясняет |
практические |
аспекты |
|||||
Code of practice for information |
управления ИБ с более детальным |
|||||||||
security management |
|
|
описанием |
средств |
реализации, |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
приведенных в ISO/IEC 27001:2013. |
|
|||
|
|
|
|
|
||||
ISO/IEC 27003:2017 |
Information |
Реализация систем менеджмента |
|
|
||||
technology. |
Security |
techniques. |
информационной безопасности. |
|
|
|||
Information |
security |
management |
Руководство по реализации СУИБ, |
|
|
|||
system implementation guidance |
описывающее все этапы внедрения. |
|
||||||
|
|
|
|
|
|
|||
|
|
|
|
рение эффективности |
информационной |
|||
|
|
|
|
асности. |
Описывает |
подход |
к |
|
|
|
|
|
ьзованию |
метрик |
для |
оценки |
|
ISO/IEC 27004:2016 |
Information |
ктивности СУИБ. Стандарт применим к |
||||||
technology. |
Security |
techniques. |
аниям, |
достигшим |
четвертого |
|||
Information security management. |
вляемого) уровня зрелости процессов ИБ |
|||||||
Measurement |
|
|
сно CMMI. |
|
|
|
|
|
|
|
|
|
|||||
ISO/IEC 27005:2018 |
Information |
Менеджмент риска информационной |
|
|||||
technology. |
Security |
techniques. |
безопасности. Стандарт предназначен для |
|||||
Information |
security |
risk |
определения в компании подхода к |
|
||||
management |
(также |
можно |
менеджменту рисков. |
|
|
|
||
обратиться к ISO 31000:2018 — |
|
|
|
|
|
|||
Risk management) |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
ISO/IEC 27035:2016 |
Information |
Управление инцидентами и событиями |
|
|||||
technology. |
Security |
techniques. |
ИБ. Стандарт содержит руководящие |
|
||||
Information |
security |
incident |
указания по планированию и подготовке |
|
||||
management (Part 1 & Part 2) |
к реагированию на инциденты. |
|
|
|||||
|
|
|
|
|
|
|
|
|
Полный перечень стандартов серии можно найти на сайте Международной организации по стандартизации https://www.iso.org/ru/home.html.
ISO/IEC 15408
Еще одним стандартом, применяемым зарубежными ИБспециалистами, является ISO 15408, состоящий из трех частей:
1.ISO/IEC 15408-1:2009 Evaluation criteria for IT security — Part 1: Introduction and general model — «Общие критерии оценки безопасности информационных технологий».
2.ISO/IEC 15408-2:2008 Evaluation criteria for IT security — Part 2: Security functional components model — «Функциональные компоненты безопасности».