Конспект лекций для студентов специальности 154 01 01 Метрология, стандартизация и сертификация

подлежат защите путем выстраивания процессов информационной безопасно­
сти.
В сфере информационной безопасности угрозы классифицируют по ряду признаков:
- по причине возникновения: природные или техногенные, в т. ч. пред­
намеренные или случайные (природные - магнитная буря, преднамеренные - вандализм, случайные - запыление);
- по расположению источника: внешние, внутренние;
- по этапу формирования в жизненном цикле системы: реализационные и эксплуатационные;
- по результирующему действию: нарушающие целостность, конфиден­
циальность, доступность.
Одной из основных угроз информационной безопасности компьютерных систем является возможность реализации уязвимости в ресурсах системы. Под уязвимостью понимают слабое место актива или средства управления, которое может быть использовано одной или более угрозой. Наличие уязвимости стано­
вится угрозой, если её можно реализовать так, что это приведёт к недопусти­
мому ущербу организации. Умышленная реализация уязвимости в компьютер­
ных системах, приводящая к ущербу организации, является атакой на ресурсы.
Защищенность информации достигается обеспечением совокупности свойств информационной безопасности активов и инфраструктуры, основными из которых являются: конфиденциальность, целостность, доступность.
Конфиденциальность - свойство системы, определяющее её защищен­
ность от несанкционированного раскрытия информации.
Целостность - свойство, определяющее защищенность от несанкциони­
рованного изменения. Разделяют логическую и физическую целостность. Фи­
зическая подразумевает неизменность физического состояния данных на ма­
шинном носителе. Логическая отражает корректность выполнения процессов
(транзакций), полноту и непротиворечивость информации (например, в элек­
тронных архивах, хранилищах данных).
Доступность - характеристика, определяющая возможность за прием­
лемое время получить требуемую информационную услугу автоматизирован­
ному пользователю.
Повышение и обеспечение заданных уровней конфиденциальности, це­
лостности и доступности осуществляется путем применения мер безопасности, т. е. наблюдения за поведением управляемой системы с целью обеспечения её оптимального функционирования.
Скоординированные действия, выполняемые с целью повышения и под­
держания на требуемом уровне информационной безопасности, называются
38
Витебск ий государственный технологическ ий университет

менеджментом информационной безопасности.
Системой менеджмента информационной безопасности (СМИБ) называется часть общей системы менеджмента, которая основана на процесс­
ном риск-ориентированном подходе и предназначена для создания, внедрения, эксплуатации, мониторинга, анализа и улучшения информационной безопасно­
сти.
Процессы СМИБ описаны стандартом ISO/IEC 27001, в основе которого лежит цикл PDCA. Цикл PDCA в рамках СМИБ означает:
• P - этап создания СМИБ, а именно перечня информационных активов оценки рисков и выбора мер;
• D - этап реализации и внедрения соответствующих мер;
• C - этап оценки эффективности и результативности СМИБ, который выполняется внутренними аудиторами;
• A - выполнение предупреждающих и корректирующих действий.
Работа СМИБ основана на современной теории риск-менеджмента, что обеспечивает её интеграцию в общую систему менеджмента рисков организа­
ции. Внедрение СМИБ подразумевает разработку и реализацию процедур, направленных на систематическую идентификацию, анализ и снижение рисков информационной безопасности, т. е. рисков, в результате которых информаци­
онные активы потеряют свойства конфиденциальности, целостности и доступ­
ности. Вся информация, которая обращается и обрабатывается в организации, подвергается угрозам атак, ошибок, негативных природных явлений, а также является объектом влияния уязвимостей, связанных с его использованием. За­
щита информационных активов за счет менеджмента информационной без­
опасности является существенной для способности организации достигать сво­
их целей, а также поддержания соответствия законодательным требованиям и имиджа.
В этой связи, СМИБ организации должна:
- отслеживать и оценивать результативность осуществляемых мер;
- выявлять появляющиеся риски, которые должны быть обработаны;
- выбирать, выполнять и улучшать соответствующие средства управле­
ния по мере необходимости.
Чтобы обеспечить взаимосвязь и координацию таких действий по инфор­
мационной безопасности, организация должна разработать политику и цели информационной безопасности и результативно достигать эти цели.
Для менеджмента рисков информационной безопасности в организации должны быть внедрены следующие процессы:
- обеспечение информационной безопасности организации;
39
Витебск ий государственный технологическ ий университет

- обеспечение информационной безопасности при взаимодействии с
3-ими сторонами;
- управление реестром информационных активов;
- управление безопасностью оборудования;
- обеспечение физической безопасности;
- обеспечение информационной безопасности персонала;
- планирование и управление информационными системами;
- резервное копирование и др.
Процессы СМИБ должны охватывать все аспекты управления инфра­
структурой организации, т. к. информационная безопасность - это результат устойчивого функционирования процессов, связанных с информационными технологиями.
Основные цели системы менеджмента информационной безопасности:
- обеспечение надлежащего уровня информационной безопасности орга­
низации, как составного элемента системы национальной безопасности страны;
- приведение норм безопасности к международным стандартам («луч­
шим практикам»);
- повышение стоимости нематериальных активов и улучшение деловой репутации кампании;
- улучшение взаимоотношений с ключевыми заинтересованными сторо­
нами (инвесторами) за счет гарантированной оптимизации рисков в области информационной безопасности.
При разработке системы менеджмента информационной безопасности в организации специалисты проводят следующие работы:
- формируют группу и организуют управление проектом создания си­
стемы;
- определяют область действия СМИБ;
- анализируют деятельность организации в области обеспечения защиты информационных активов, а именно анализ негативных последствий, инциден­
тов информационной безопасности в части IT-инфраструктуры, процессов ме­
неджмента организации;
- разрабатывают и согласовывают аналитический отчет, содержащий пе­
речень основных бизнес-процессов и оценку последствий реализации угроз ин­
формационной безопасности в их отношении;
- проводят оценку степени выполнения организацией всех требований
ISO 27001;
- выбирают исходный и целевой уровень зрелости системы менеджмента информационной безопасности;
40
Витебск ий государственный технологическ ий университет

- разрабатывают и утверждают Программу повышения зрелости системы менеджмента информационной безопасности и документированную информа­
цию в области информационной безопасности;
- выбирают и верифицируют методику оценки рисков информационной безопасности, применяемую в организации;
- выбирают (приобретают, разрабатывают) программное обеспечение, используемое для автоматизации процессов системы менеджмента информаци­
онной безопасности;
- организуют обучение специалистов в области информационной без­
опасности;
- проводят оценку и обработку рисков, и определяют меры для снижения их воздействия.
4.2 Стандарты ISO/IEC серии 27000
В 1992 году Министерство торговли и промышленности Великобритании опубликовало «Кодекс управления информационной безопасности». В 1995 го­
ду ВSI принимает Кодекс в качестве национального стандарта и зарегистриро­
вал его под номером BS 7799. Стандарт BS 7799 состоял из 2-х частей, одна из которых включала в себя свод практических правил, а другая - требования к
СМИБ, основанной на цикле PDCA.
В 1999 году стандарт BS 7799-1 был переработан и передан в ISO. В 2000 году ISO совместно с IEC утвердили международный стандарт ISO/IEC
17799:2000 (BS 7799-1). В 2002 году стандарт BS 7799-2 был принят ISO в ка­
честве международного стандарта ISO/IEC 27001:2005 «Информационные тех­
нологии. Методы обеспечения безопасности. Системы управления информаци­
онной безопасностью. Требования».
В 2005 году ISO/IEC 17799 был включен в состав стандартов 27 серии и получил новый номер ISO/IEC 27002:2005. В 2013 году опубликован обновлен­
ный стандарт ISO/IEC 27001-2013 «Системы менеджмента информационной безопасности. Требования», в котором изменения коснулись как структуры, так и взаимосвязанных стандартов, которые уже действовали или находились в разработке.
Серия стандартов ISO/IEC 27000 состоит из взаимосвязанных стандартов, как уже опубликованных, так и находящихся в разработке, и включает доку­
менты, согласно следующей классификации:
- стандарт, описывающий общие принципы и терминологию;
41
Витебск ий государственный технологическ ий университет

- стандарты, устанавливающие требования;
- стандарты, содержащие рекомендации;
- стандарты, содержащие рекомендации для специальных областей.
В настоящее время в серию входит более 25 стандартов (табл. 4.1).
Таблица 4.1 - Стандарты ISO/IEC серии 27000
Обозначение стандарта
ISO
Обозначение и название стандарта ISO/IEC серии 27000 1
2
ISO 27000
ISO/IEC 27000:2014 Информационные технологии - Методы обеспе­
чения безопасности - Системы менеджмента информационной без­
опасности -Общие сведения и словарь
ISO 27001
ISO/IEC 27001:2013 Информационные технологии - Методы обеспе­
чения безопасности - Системы менеджмента информационной без­
опасности - Требования
ISO 27002
ISO/IEC 27002:2013 Информационные технологии - Методы обеспе­
чения безопасности - Практические правила управления информаци­
онной безопасностью
ISO 27003
ISO/IEC 27003:2010 Информационные технологии - Методы обеспе­
чения безопасности - Руководство по внедрению системы управления информационной безопасностью
ISO 27004
ISO/IEC 27004:2009 Информационные технологии - Методы обеспе­
чения безопасности - Системы менеджмента информационной без­
опасности - Измерение
ISO 27005
ISO/IEC 27005:2011 Информационные технологии - Методы обеспе­
чения безопасности - Управление рисками информационной безопас­
ности
ISO 27006
ISO/IEC 27006:2007 Информационные технологии - Методы обеспе­
чения безопасности - Требования к органам аудита и сертификации систем управления информационной безопасностью
ISO 27007
ISO/IEC 27007:2011 Информационные технологии - Методы обеспе­
чения безопасности - Руководство по аудиту Систем менеджмента информационной безопасности
ISO 27008
ISO/IEC TR 27008:2011 Информационные технологии - Методы обеспечения безопасности - Руководство для аудиторов по механиз­
мам контроля СМИБ
ISO 27010
ISO/IEC 27010:2012 Информационные технологии - Методы обеспе­
чения безопасности - Управление информационной безопасностью при коммуникациях между секторами
ISO 27011
ISO/IEC 27011:2008 Информационные технологии - Методы обеспе­
чения безопасности - Руководство по управлению информационной безопасностью для телекоммуникаций
ISO 27013
ISO/IEC 27013:2012 Информационные технологии - Методы обеспе­
чения безопасности - Руководство по интегрированному внедрению
ISO/IEC 20000-1 и ISO/IEC 27001 42
Витебск ий государственный технологическ ий университет

Продолжение таблицы 4.1 1
2
ISO 27014
ISO/IEC 27014:2013 Информационные технологии - Методы обеспе­
чения безопасности - Базовая структура управления информационной безопасностью
ISO 27015
ISO/IEC TR 27015:2012 Информационные технологии - Методы обеспечения безопасности - Руководство по внедрению систем управления информационной безопасностью в финансовом и страхо­
вом секторе
ISO 27018
ISO/IEC 27018:2014 Информационные технологии - Методы обеспе­
чения безопасности - Практическое руководство по защите персо­
нально идентифицируемой информации (ПИИ) в публичных облаках, используемых для обработки ПИИ
ISO 27031
ISO/IEC 27031:2011 Информационные технологии - Методы обеспе­
чения безопасности - Руководство по обеспечению готовности ин­
формационных и коммуникационных технологий к их использова­
нию для управления непрерывностью бизнеса
ISO 27032
ISO/IEC 27032:2012 Информационные технологии - Методы обеспе­
чения безопасности - Руководство по обеспечению кибербезопасно­
сти
ISO 27033
ISO/IEC 27033-1:2009 Информационные технологии - Методы обес­
печения безопасности - Сетевая безопасность - Основные концепции управления сетевой безопасностью
ISO 27034
ISO/IEC 27034-1:2011 Информационные технологии - Методы обес­
печения безопасности - Обзор и основные концепции в обла­
сти обеспечения безопасности приложений
ISO 27035
ISO/IEC 27035:2011 Информационные технологии - Методы обеспе­
чения безопасности - Управление инцидентами безопасности
ISO 27036
ISO/IEC 27036-1:2014 Информационные технологии - Методы обес­
печения безопасности - Информационная безопасность при взаимо­
действии с поставщиками - Часть 1: Обзор и концепции
ISO 27037
ISO/IEC 27037:2012 Информационные технологии - Методы обеспе­
чения безопасности - Руководство по идентификации, сбору и/или получению и обеспечению сохранности цифровых свидетельств
ISO 27040
ISO/IEC 27040:2015 Информационные технологии - Методы обеспе­
чения безопасности - Безопасность хранения данных
ISO 27041
ISO/IEC 27041:2015 Информационные технологии - Методы обеспе­
чения безопасности - Руководство по предоставлению гарантий при­
годности и адекватности метода расследования инцидента
ISO 27042
ISO/IEC 27042:2015 Информационные технологии - Методы обеспе­
чения безопасности - Руководство по анализу и интерпретации циф­
ровых свидетельств
ISO 27799
ISO 27799:2008 Информатика в здравоохранении - Менеджмент без­
опасности информации по стандарту ISO/IEC 27002
Стандарт ISO/IEC 27000:2014 «Информационные технологии. Системы менеджмента информационной безопасности. Общие сведения и словарь» яв-
43
Витебск ий государственный технологическ ий университет

ляется рекомендованным дополнением при внедрении СМИБ, поскольку тер­
минология в новых версиях стандартов ISO/IEC 27001:2013 и ISO/IEC
27002:2013 отсутствует.
Ключевым стандартом серии является ISO/IEC 27001:2013 (СТБ ISO/IEC
27001:2016), т. к. он устанавливает требования к СМИБ для организаций всех типов и размеров.
Система менеджмента информационной безопасности также как и другие системы менеджмента включает организационную структуру, действия по пла­
нированию, политику, обязанности, процессы, процедуры и ресурсы. СМИБ позволяет организации управлять информационными активами системным об­
разом, что способствует постоянному улучшению её деятельности. В СМИБ также необходимо идентифицировать и оценивать риски.
Управление рисками информационной безопасности требует соответ­
ствующей оценки рисков и метода обработки рисков, которые могут включать оценку потерь и выгод, законодательные требования, вопросы заинтересован­
ных лиц и другие данные.
Оценка рисков должна выявлять, количественно оценивать и системати­
зировать риски в соответствии с критериями приемлемости рисков и целями организации.
Стандарт ISO/IEC 27001 гармонизирован со стандартами СМК и СЭМ и базируется на их основных принципах, процессном подходе и риск- ориентированном мышлении.
Структура стандарта ISO/IEC 27001 соответствует структуре стандарта
ISO 9001: 4 раздел - «Контекст организации»; 5 раздел - «Лидерство»; 6 раз­
дел - «Планирование»; 7 раздел - «Обеспечение»; 8 раздел - «Функционирова­
ние»; 9 раздел - «Оценка рисков деятельности»; 10 раздел - «Улучшение».
Средства управления, представленные в стандарте ISO/IEC 27002, при­
знаны лучшими практиками, применимыми в большинстве организаций и легко адаптируемыми к деятельности любой сложности.
Выгоды, получаемые от внедрения СМИБ:
- помощь руководству в управлении и применении процессного подхода к менеджменту информационной безопасности в контексте менеджмента рис­
ков, включая обучение и подготовку персонала комплексному управлению ин­
формационной безопасностью;
- обеспечение единой терминологии и понятийной основы для информа­
ционной безопасности, облегчающей взаимодействие между деловыми партне­
рами при наличии СМИБ, особенно если партнеры требуют сертификации си­
стемы по ISO/IEC 27001;
- возрастание доверия заинтересованных сторон к организации;
44
Витебск ий государственный технологическ ий университет

- продвижение общепринятых в мировом масштабе практик по обеспе­
чению информационной безопасности;
- удовлетворение социальных нужд и ожиданий клиентов.