Ответы на вопросы. Чекурова БИ-41. С. Би41 Какой стандарт (серия стандартов) стал основоположником стандартизации систем управления иб

Название	С. Би41 Какой стандарт (серия стандартов) стал основоположником стандартизации систем управления иб
Дата	12.02.2023
Размер	31.19 Kb.
Формат файла
Имя файла	Ответы на вопросы. Чекурова БИ-41.docx
Тип	Документы #933402

Чекурова Я.С. БИ-41

Какой стандарт (серия стандартов) стал основоположником стандартизации систем управления ИБ?

Основоположником стандартизации систем управления ИБ стала серия стандартов ISO 9000, предъявляющих требования к системам менеджмента качества, соблюдение которых позволяет контролировать качество выпускаемой продукции или предоставляемых услуг.

Для организаций в какой сфере применимы стандарты серии ISO/IES 27000?

Серия международных стандартов ISO/IEC 27000 «Информационные технологии. Методы обеспечения безопасности», включающая стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Серия содержит лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания Системы Менеджмента Информационной Безопасности.

Каковы отличительные черты серии стандартов ISO/IES 27000?

Отличительной чертой серии стандартов является то, что они устанавливают степень ответственности руководства компании за качество. Причем руководство предприятия отвечает, как за разработку политики в области качества, так и за внедрение и поддержание в рабочем состоянии системы менеджмента качества. Очень большое количество процессов управления из систем менеджмента качества с некоторыми изменениями присутствует и в СУИБ, например, внутренние аудиты ИБ, корректирующие и предупреждающие действия и т.д.

Какой из стандартов серии ISO/IEC 27000 содержит требования к созданию, внедрению, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ?

Стандарт ISO/IEC 27001:2005 «Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Требования) прописывает требования по разработке, внедрению, использованию, поддержке, анализу и оптимизации документированной системы менеджмента информационной безопасности, в рамках бизнес-рисков, существующих организаций.

В чем состоят основные различия и сходства стандартов ISO/IEC 27001 и ITU-T X.1051?

МСЭ-T X.1051 вводит требования к управлению ИБ для телекоммуникационных компаний. Согласно этому документу, для них принятие решения о создании СУИБ должно быть стратегическим.

Применительно к специфике телекоммуникационных компаний в МСЭ-T X.1051 представлены цели и средства управления, полностью соответствующие ISO/IEC 17799 и BS 7799-2:2002 (на его основе разработан стандарт ISO/IEC 27001:2005).

Основное требование к поставщику услуг электросвязи, которое следует учитывать при внедрении МСЭ-T X.1051, – это наличие на данном предприятии системы ИБ, позволяющей перманентно (т.е. на постоянной основе) выявлять, оценивать, интерпретировать риски нарушения ИБ, связанные с представляемыми им услугами, причем как непосредственно конечным пользователям, так и опосредованно – через потребителей услуг. Кроме того, такая система должна обладать возможностями управления этими рисками. Используя непрерывные процессы управления рисками, поставщики услуг повышают наглядность своих профилей рисков и смогут продемонстрировать регуляторным органам и другим заинтересованным сторонам безопасность своих сетей и услуг. В данной рекомендации есть положение, по которому поставщики могут также рассматривать вопрос о своей официальной сертификации на соответствие рекомендациям ISMS-T по системе сертификации ISO/IEC 27001.

Серия стандартов ISO/IEC 27000 представляют руководства по управлению ИБ для различных сфер деятельности, включая финансовый и страховой сектор, здравоохранение, телекоммуникации и т. д.

Какой из стандартов серии ISO/IES 27000 признан каталогом «лучших» практик по ИБ?

Стандарт ISO/IEC 27001:2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», выпущенный British Standards Institute в 2005 г., основан на лучших мировых практиках.

В каком стандарте серии ISO/IES 27000 содержится руководство по внедрению СУИБ?

Руководство по внедрению СУИБ содержится в стандарте ISO/IEC 27003:2012 «Information technology. Security techniques. Information security management systems implementation guidance» (Информационная технология Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности)

На основании чего может проводиться оценка эффективности СУИБ?

Оценка эффективности СУИБ – системный процесс получения и оценки объективных данных о текущем состоянии СУИБ, процессах и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям. Критерии в данном случае представляются совокупностью требований по ОИБ, характеризующих некоторый уровень ИБ и используемых для сопоставления с ними полученных данных. Обычно они содержатся в признанных организацией документах, относящихся к ОИБ. Для количественного выражения эффективности критерий должен быть охарактеризован определенным числовым значением и соответствовать оцениваемому явлению, быть универсальным и простым в применении, давать однозначную и полную оценку.

Можно ли проводить аудит (или сертификацию) на соответствие стандарту ISO/IES 27002 (бывший ISO/IES 17799)? Почему?

ISO/IEC 27002 «Информационные технологии – Технологии безопасности – Практические правила менеджмента информационной безопасности» предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности.

Организация может быть сертифицирована аккредитованными агентствами в соответствии с стандартом ISO 27001.

Каковы основные идеи руководства по аудиту СУИБ и средств управления ИБ, реализованных в СУИБ?

Стандарт ISO/IEC 27008:2011 – руководство по аудиту средств управления, реализованных в СУИБ дополняет ISO/IEC 27007:2011 в части аудита именно средств управления ИБ, используемых в рамках СУИБ. Такой аудит выявляет, насколько хорошо СУИБ справляется с выполнением функций по ОИБ в организации любого размера и типа – общественной и частной, государственной и некоммерческой и т.п. Основой рассматриваемого в стандарте аудита выбран риск-ориентированный подход к управлению ИБ.

Стандарт ISO/IEC 27008:2011 фокусируется на проверке средств управления, используемых в рамках СУИБ, описанных в ISO/IEC 27002 и перечисленных в приложении А ISO/IEC 27001. Он представляет собой руководящие указания по анализу реализации и функционирования средств управления, включая техническую проверку их соответствия вышеназванным стандартам и установленным в организации стандартам ИБ.

Проведенный в соответствии ISO/IEC 27008:2011 аудит позволит удостовериться, что СУИБ предоставляет реальные свидетельства своего функционирования, поддающиеся проверке. Полученные результаты аудита могут быть использованы для усовершенствования СУИБ за счет оптимизации взаимодействия между отдельными процессами в рамках функционирования СУИБ и необходимым контролем уровня ИБ, обеспечиваемого этой СУИБ.

Почему подход к проведению аудитов систем менеджмента качества и окружающей среды, изложенный в стандарте ISO/IES 19011, может быть применен для проведения внутренних аудитов СУИБ?

Стандарт ISO/IEC 27007:2014 «Information technology. Security techniques. Guidelines for information security management systems auditing» (Информационная технология. Методы и средства обеспечения безопасности. Руководство по аудиту систем менеджмента ИБ) предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности (СМИБ) и проведению внутренних или внешних аудитов на соответствие ИСО/МЭК 27001:2005, а также руководство по вопросу компетентности и оценки аудиторов СМИБ, которое следует использовать совместно с руководством, содержащимся в ИСО 19011.

Настоящий стандарт предназначен для всех пользователей, включая малые и средние организации.

В ИСО 19011 "Руководящие указания по аудиту систем менеджмента" представлено руководство по менеджменту программ аудита, проведению внутренних или внешних аудитов систем менеджмента, а также по вопросу компетентности и оценки аудиторов систем менеджмента.

Текст стандарта соответствует структуре ИСО 19011, а дополнительное, ориентированное на СМИБ, руководство по применению ИСО 19011 для аудита СМИБ обозначается буквами "ИБ".

В каком стандарте серии ISO/IES 27000 описана инфраструктура руководства ИБ?

Стандарт ISO/IEC 27014:2013 – базовая структура руководства ИБ. Стандарт ISO/IEC 27014:2013 «Information technology. Security techniques. Information security governance framework» (Информационная технология. Методы и средства обеспечения безопасности. Базовая структура руководства ИБ) стал руководством, помогающим организациям руководить их ИБ, определяющим для них базовую инфраструктуру эффективного управления ИБ и показывающим, как ее использовать для оценки, задания основных направлений деятельности и мониторинга функционирования СУИБ. После выхода стандарт имеет и второе название – ITU-T Recommendation X.1054.

Какой стандарт серии ISO/IES 27000 рассматривает вопросы безопасности сетей?

Назначение ИСО/МЭК 27033 состоит в том, чтобы предоставить подробные рекомендации по аспектам безопасности менеджмента, функционирования и использования сетей информационных систем и их соединений. Лица, отвечающие за обеспечение в организации информационной безопасности в целом и сетевой безопасности в частности, должны быть способны адаптировать материал настоящего стандарта для соответствия своим конкретным требованиям. Основные части стандарта ИСО/МЭК 27033 являются:

– стандарт ИСО/МЭК 27033-1 «Обзор и концепция»;

– стандарт ИСО/МЭК 27033-2 «Рекомендации по проектированию и реализации сетевой безопасности»;

– стандарт ИСО/МЭК 27033-3 «Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для типовых сетевых сценариев»;

– ИСО/МЭК 27033-4 «Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для обеспечения безопасности передачи информации между сетями с использованием шлюзов безопасности»;

– ИСО/МЭК 27033-5 «Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для обеспечения безопасности виртуальных частных сетей»;

– ИСО/МЭК 27033-6 «IP-конвергенция»;

– ИСО/МЭК 27033-7 «Беспроводная связь».

В чем состоят преимущества использования (учета) требований российских и международных стандартов по управлению ИБ при построении СУИБ или отдельных процессов управления ИБ?

Преимущество использования (учета) требований российских и международных стандартов при построении СУИБ или отдельных процессов управления ИБ состоит в том, что в любой организации выполняются следующие действия:

– определение целей ОИБ;

– создание эффективной СУИБ;

– расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия уровня ИБ заявленным целям;

– применение инструментария ОИБ и оценки ее текущего состояния;

– использование методик (с понятной системой критериев и защитных мер, или мер ОИБ) в процессе управления рисками ИБ, позволяющих объективно оценить текущее состояние дел в организации.

Каковы преимущества одновременного учета требований стандартов, предъявляемых как к СУИБ в целом, так и стандартов, предъявляющих требования к отдельным процессам, разрабатываемым в рамках СУИБ?

Построение и внедрение СУИБ в целом:

– при данной схеме внедрения СУИБ большой объем работ идет параллельно. Осуществляется разработка и практически одновременное внедрение перечисленных ранее процессов управления ИБ, реализуемых в рамках функционирования СУИБ: управление рисками ИБ, инцидентами ИБ и т.д. Важную роль играют грамотное планирование работ и их хорошая координация. Преимуществом такой схемы является то, что если такой проект реально запускается, то, скорее всего, имеется действительная заинтересованность руководства в нем и для построения и внедрения СУИБ все управленческие решения будут приниматься своевременно, а все необходимые ресурсы предоставляться вовремя.

Построение и внедрение процессов СУИБ по отдельности:

– при выборе данной стратегии последовательность работ и разработки и внедрения процессов будет примерно такой же, как и при внедрении СУИБ в целом, за исключением того, что цели внедрения отдельных процессов должны определяться на этапе их разработки и потом их выполнение должно четко отслеживаться. При внедрении отдельных процессов необходимо делать это постепенно, отводя время на внедрение процесса в культуру, обучение пользователей, внесение изменений в процесс по результатам первых циклов его работы. Именно в таком случае будут достигнуты преимущества данной стратегии внедрения СУИБ.

В чем состоят сходства и различия между стандартами на СУИБ и на отдельные процессы управления ИБ?

Основные существующие стандарты в области управления ИБ можно условно разделить на два типа – стандарты, регламентирующие процессы построения, внедрения, эксплуатации, мониторинга, анализа, постоянного улучшения СУИБ в целом, а также стандарты, регламентирующие отдельные процессы управления ИБ.

Все рассмотренные стандарты являются рекомендательными, и, следовательно, выполнение их требований не обязательно, если перед организацией не стоит задача сертификации своей СУИБ.

Какие методы и средства ОИБ для ИТ рассматриваются в стандартах ISO/IES 13335 и идентичных им ГОСТ Р ИСО/МЭК 13335?

Стандарт ГОСТ Р ИСО/МЭК 13335–1–2006 «Information technology. Security techniques. Part 1. Concepts and models for information and

communications technology security management» (Информационная технология. Методы и средства обеспечения ИБ. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий) представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям.

В соответствии с данным стандартом для создания эффективной программы безопасности ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:

– менеджмент риска – активы должны быть защищены путем принятия соответствующих мер, которые должны выбираться и применяться на основании соответствующей методологии управления рисками, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливающей допустимые риски и учитывающей существующие ограничения;

– обязательства организации в области ОИБ ИТТ и управлении рисками ИБ, для формирования которых следует разъяснить преимущества от реализации защиты ИТТ;

– служебные обязанности и ответственность за ОИБ активов, которые должны быть определены и доведены до сведения персонала;

– цели, стратегии и политика, которые должны учитываться при управлении рисками, связанными с ОИБ ИТТ организации;

– управление жизненным циклом – управление ИБ ИТТ должно быть непрерывным в течение всего их жизненного цикла.

Для успешного управления безопасностью ИТТ требуется применение видов деятельности, некоторые из которых осуществляют в соответствии со следующим циклом:

а) планирование:

1) определение организацией требований по безопасности ИТТ,

2) определение организацией целей, стратегий и политик безопасности ИТТ,

3) установление обязанностей и ответственности в рамках организации,

4) разработка плана по безопасности ИТТ,

5) оценка рисков,

6) решение об обработке риска и выборе защитных мер,

7) планирование непрерывности бизнеса;

б) реализация:

1) создание защитных мер,

2) одобрение ИТТ,

3) разработка и выполнение программы осведомленности персонала о безопасности,

4) аудит-функционирование защитных мер;

в) эксплуатация и поддержка:

1) контроль конфигурации и управление изменениями,

2) управление непрерывностью бизнеса,

3) анализ, аудит и мониторинг, а также проверка соответствия безопасности заявленным требованиям,

4) управление инцидентами безопасности информации.

Как оценивается ИБ ИТ согласно стандартам ISO/IEC 15408 и 18045 и идентичных им ГОСТ Р ИСО/МЭК?

Стандарт ISO/IEC 15408-1-2012 «Information technology. Security techniques. -Evaluation criteria for IT security. Part 1. Introduction and general model» (Информационная технология методы и средства обеспечения ИБ. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель) обеспечивает сопоставимость результатов независимых оценок безопасности. В ИСО/МЭК 15408 это достигается предоставлением единого набора требований к функциональным возможностям безопасности продуктов ИТ и к мерам доверия, применяемым к этим продуктам ИТ при оценке безопасности. Данные продукты ИТ могут быть реализованы в виде аппаратного, программно-аппаратного или программного обеспечения. В процессе оценки достигается определенный уровень уверенности в том, что функциональные возможности безопасности таких продуктов ИТ, а также меры доверия, предпринятые по отношению к таким продуктам ИТ, отвечают предъявляемым требованиям. Результаты оценки могут помочь потребителям решить, отвечают ли продукты ИТ их потребностям в безопасности.

В ИСО/МЭК 15408 предусмотрена гибкость, допускающая применение множества методов оценки по отношению к множеству свойств безопасности множества продуктов ИТ.

Стандарт ИСО/МЭК 18045-2013 «Information technology - Security techniques - Methodology for IT security evaluation» (Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности ИТ) - документ, сопровождающий ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Данный стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки по ИСО/МЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСО/МЭК 15408.

Какие из рассмотренных стандартов затрагивают аспекты анализа рисков ИБ?

BSI-Standard 100-3 «Risk Analysis based on IT-Grundschutz» посвящен анализу рисков ИБ на основе методики IT-Grundschutz.

BS 7799–3:2006 «Information security management systems. Part 3: Guidelines for information security risk management» (Системы менеджмента ИБ. Руководство по управлению рисками ИБ) определяет процессы оценки и управления рисками ИБ как составные элементы системы управления организации. При этом используется циклическая модель PDCA.

Стандарт ISO/IEC 27004:2011 – измерения для управления ИБ. В стандарте содержатся общее руководство и рекомендации по разработке и использованию измерений и мер измерений для проведения оценки эффективности и результативности, внедренной в организации СУИБ, а также мерам и средствам управления ИБ (и их группам), определенным в ISO/IEC 27001, включая политику, управление рисками ИБ, средства управления и цели их применения, процессы и процедуры. Процесс измерений поддерживает процесс оценки СУИБ и помогает определить, требуется ли изменять или совершенствовать какие-либо из процессов или средств управления СУИБ.

С января 2012 г. в России введен в действие ГОСТ Р ИСО/МЭК 27004–2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения», идентичный ISO/IEC 27004:2009.

Стандарт ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management» (Информационная технология. Методы и средства обеспечения безопасности. Управление рисками ИБ) содержит общее руководство по управлению рисками ИБ, которое может быть использовано в различных типах организаций – коммерческих, некоммерческих, государственных.

С декабря 2011 г. в России введен в действие ГОСТ Р ИСО/МЭК 27005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», идентичный ISO/IEC 27005:2008 и заменяющий ГОСТ Р ИСО/МЭК ТО 13335–3–2007 «Методы менеджмента безопасности информационных технологий» и ГОСТ Р ИСО/МЭК ТО 13335–4–2007 «Выбор защитных мер».

Каковы основные цели построения УНБ, соответствующей требованиям стандартов ВS 25999 и 25777?

В соответствии со стандартом ВS 25999 «Менеджмент непрерывности бизнеса» управление непрерывностью бизнеса (УНБ) – это входящий в зону ответственности организации и управляемый ею процесс, позволяющий создать отвечающие целевому назначению стратегическую и оперативную концепции, которые будут обеспечивать:

– проактивное повышение устойчивости организации к нарушению способности выполнять основные задачи;

– протестированный способ восстановления способности организации предоставлять свои основные продукты и услуги на некотором установленном уровне в течение некоторого установленного периода времени после возникновения нештатной ситуации;

– подтвержденную способность справляться с нештатными ситуациями и защищать репутацию и бренд организации.

Все организации, независимо от их размера, имеют цели и задачи, такие как расширение, предоставление услуг и приобретение других предприятий. Выполнение этих задач и достижение целей обычно реализуется с помощью стратегических планов – краткосрочных, среднесрочных и долгосрочных. Понимание важности программы УНБ на уровне руководства гарантирует, что эти цели и задачи не будут подвергаться риску в результате неожиданных нарушений нормальной деятельности организации.

Управление непрерывностью бизнеса – это процесс, дополняющий концепцию управления рисками, направленную на выявление рисков, которым подвергаются производственные процессы и деятельность организации, а также на определение возможных последствий этих рисков.

Процесс управления рисками ориентирован на те риски, которым подвергаются основные продукты и услуги, предоставляемые организацией. Разнообразные инциденты способны прервать предоставление продуктов и услуг, эти инциденты трудно предсказать и их причины трудно анализировать.

Эти знания позволят организации реально оценить ответные действия, которые могут потребоваться в случае нештатной ситуации, поэтому она приобретает уверенность в том, что справится со всеми последствиями без недопустимой задержки в предоставлении продуктов или услуг.

Реализация необходимых мер по управлению непрерывностью бизнеса позволяет организации воспользоваться более рискованными бизнес-возможностями.

В чем может заключаться различие между требованиями к системам управления непрерывностью бизнеса и к процессу управления непрерывностью бизнеса?

Системой управления называют систему, в которой реализуются функции управления. Она объединяет управляющую систему и систему связи. Требования к системам управления непрерывностью бизнеса устанавливают, как и какие именно процессы происходят в системе в случае инцидентов и нарушения ее деятельности.

Назначение процесса – управление деятельностью организации; результат – деятельность всей организации. Требования к процессу управления непрерывностью бизнеса устанавливают, как происходит процесс, что подается на вход и что получается на выходе.

Каковы основные цели следования модели PDCA при построении процесса управления инцидентами ИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК ТО 18044?

В качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:

– события ИБ должны быть обнаружены и эффективно обработаны, в частности определены как относящиеся или не относящиеся к инцидентам ИБ;

– идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;

– воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо минимизировать соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов плана(ов) обеспечения непрерывности бизнеса;

– из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер ИБ, улучшения общей системы менеджмента инцидентов ИБ.

Для достижения целей в соответствии с пунктом управление инцидентами ИБ подразделяют на четыре отдельных этапа:

1) планирование и подготовка;

2) использование;

3) анализ;

4) улучшение.

Этапы менеджмента инцидентов ИБ аналогичны процессам модели PDCA, используемой в международных стандартах ИСО 9000 и ИСО 14000.

Какие тенденции характерны для развития стандартизации управления ИБ в Российской Федерации?

В настоящее время российская стандартизация в области управления ИБ проходит некоторую промежуточную стадию своего формирования и является еще недостаточно зрелой, однако, уже сейчас намечаются положительные тенденции в развитии данной области. Сейчас приняты национальные стандарты, идентичные определенным международным стандартам или стандартам других стран.

В чем состоят преимущества использования «отраслевых» стандартов на СУИБ по сравнению, например, со стандартом ISO/IES 27001, требования которого применимы к любой организации независимо от отрасли или сферы деятельности?

Отраслевые стандарты – это правила, регулирующие применение федеральных стандартов в разных отраслях функционирования, создающиеся с учетом нюансов отдельных видов деятельности (отраслей) или их направлений. Отраслевые стандарты чаще обновляются, что позволяет улучшить ОИБ. Также в таких стандартах отмечены детально моменты, которые являются важными в конкретной сфере.

Каково значение стандартов серии СТО БР ИББС в рамках развития стандартизации управления ИБ в России?

Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) — комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства.

Деятельность, относящаяся к ОИБ в организациях БС РФ, должна контролироваться путем регулярного проведения оценки уровня ИБ, рисков ИБ и принятия мер, необходимых для управления этими рисками. Для этих целей был разработан комплекс документов, положенный в основу стандартизации обеспечения и управления ИБ для организаций БС РФ.

Какие аспекты регламентируют стандарты серии СТО БР ИББС, если говорить об управлении ИБ?

Стандарт СТО БР ИББС-1.0 - стандарт по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы документов в области стандартизации, в целом составляющих комплекс документов в области стандартизации по обеспечению ИБ организаций БС РФ.

Деятельность, относящаяся к ОИБ в организациях БС РФ, должна контролироваться путем регулярного проведения оценки уровня ИБ, рисков ИБ и принятия мер, необходимых для управления этими рисками.

Каковы основные цели и задачи стандартизации ОИБ организаций БС РФ?

Основные цели стандартизации по обеспечению ИБ организаций БС РФ:

- развитие и укрепление БС РФ;

- повышение доверия к БС РФ;

- поддержание стабильности организаций БС РФ и на этой основе - стабильности БС РФ в целом;

- достижение адекватности мер защиты реальным угрозам ИБ;

- предотвращение и (или) снижение ущерба от инцидентов ИБ.

Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:

- установление единых требований по обеспечению ИБ организаций БС РФ;

- повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.

Каковы основные цели проведения аудита ИБ организации БС РФ?

Аудит ИБ организации БС РФ должен проводиться в соответствии с требованиями стандартов Банка России СТО БР ИББС-1.1 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности" и СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0".

Целью программы аудита ИБ является оценка соответствия ИБ организации БС РФ критериям аудита и содействие в повышении, при необходимости, уровня ИБ организации БС РФ.

На основе какой методики рекомендуется проводить оценку соответствия уровня ИБ организации БС РФ требованиям стандарта СТО БР ИББС-1.0?