новое семейство международных стандартов на системы управления иб имеет код
Управление информационной безопасностью. Стандарты СУИБ
Книга рассказывает о семействе международных стандартов ISO/IEC 27k, определяющих требования и правила СУИБ (системы управления информационной безопасностью), порядок разработки СУИБ и алгоритмы управления рисками информационной безопасности и инцидентами информационной безопасности. Официальная веб-страница автора: http://cryptohistory.ru
Оглавление
Приведённый ознакомительный фрагмент книги Управление информационной безопасностью. Стандарты СУИБ предоставлен нашим книжным партнёром — компанией ЛитРес.
© Вадим Гребенников, 2018
Создано в интеллектуальной издательской системе Ridero
1. Семейство стандартов управления информационной безопасностью
1.1. История развития стандартов управления информационной безопасностью
Сегодня безопасность цифрового пространства показывает новый путь национальной безопасности каждой страны. В соответствии с ролью информации как ценного товара в бизнесе, её защита, безусловно, необходима. Для достижения этой цели, каждой организации, в зависимости от уровня информации (с точки зрения экономической ценности), требуется разработка системы управления информационной безопасностью (далее — СУИБ), пока существует возможность, защиты своих информационных активов.
В организациях, существование которых значительно зависит от информационных технологий (далее — ИТ), могут быть использованы все инструменты для защиты данных. Тем не менее, безопасность информации необходима для потребителей, партнеров по сотрудничеству, других организаций и правительства. В связи с этим, для защиты ценной информации, необходимо что бы каждая организация стремилась к той или иной стратегии и реализации системы безопасности на её основе.
СУИБ является частью комплексной системы управления, основанной на оценке и анализов рисков, для разработки, реализации, администрирования, мониторинга, анализа, поддержания и повышения информационной безопасности (далее — ИБ) и ее реализации, полученных из целей организации и требования, требования безопасности, используемых процедур и размерах и структуре ее организации.
Зарождение принципов и правил управления ИБ началось в Великобритании в 1980-х годах. В те годы Министерство торговли и промышленности Великобритании (англ. Department of Trade and Industry, DTI) организовало рабочую группу для разработки свода лучших практик по обеспечению ИБ.
В 1989 году «DTI» опубликовало первый стандарт в этой области, который назывался PD 0003 «Практические правила управления ИБ». Он представлял собой перечень средств управления безопасностью, которые в то время считались адекватными, нормальными и хорошими, применимыми как к технологиям, так и средам того времени. Документ «DTI» был опубликован как руководящий документ британской системы стандартов (англ. British Standard, BS).
В 1995 году Британский институт стандартов (англ. British Standards Institution, BSI) принял национальный стандарт BS 7799—1 «Практические правила управления ИБ». Она описывал 10 областей и 127 механизмов контроля, необходимых для построения СУИБ (англ. Information Security Management System, ISMS), определенных на основе лучших примеров из мировой практики.
Этот стандарт и стал прародителем всех международных стандартов СУИБ. Как и любой национальный стандарт BS 7799 в период 1995—2000 годов пользовался, скажем так, умеренной популярностью только в рамках стран британского содружества.
В 1998 году появилась вторая часть этого стандарта — BS 7799—2 «СУИБ. Спецификация и руководство по применению», определившая общую модель построения СУИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью.
В конце 1999 года эксперты Международной организации по стандартизации (англ. International Organization for Standardization, ISO) и Международной электротехнической комиссии (англ. International Electrotechnical Commission, IEC) пришли к выводу, что в рамках существующих стандартов отсутствует специализированный стандарт управления ИБ. Соответственно, было принято решение не заниматься разработкой нового стандарта, а по согласованию с «BSI», взяв за базу BS 7799—1, принять соответствующий международный стандарт ISO/IEC.
В конце 1999 года обе части BS 7799 были пересмотрены и гармонизированы с международными стандартами систем управления качеством ISO/IEC 9001 и экологией ISO/IEC 14001, а год спустя без изменений BS 7799—1 был принят в качестве международного стандарта ISO/IEC 17799:2000 «Информационные технологии (далее — ИТ). Практические правила управления ИБ».
В 2002 году была обновлена и первая часть стандарта BS 7799—1 (ISO/IEC 17799), и вторая часть BS 7799—2.
Что же касается официальной сертификации по ISO/IEC 17799, то она изначально не была предусмотрена (полная аналогия с BS 7799). Была предусмотрена только сертификация по BS 7799—2, который представлял собой ряд обязательных требований (не вошедших в BS 7799—1) и в приложении перечень условно обязательных (на усмотрение сертификатора) наиболее важных требований BS 7799—1 (ISO/IEC 17799).
На территории СНГ первой страной, которая в ноябре 2004 года приняла стандарт ISO/IEC 17799:2000 в качестве национального, была Беларусь. Россия ввела этот стандарт только в 2007 году. Центральный Банк РФ на его базе создал стандарт управления ИБ для банковской сферы РФ.
В составе ISO/IEC за разработку семейства международных стандартов по управлению ИБ отвечает подкомитет №27, поэтому была принята схема нумерации данного семейства стандартов с использованием серии последовательных номеров, начиная с 27000 (27k).
В 2005 году подкомитет SC 27 «Методы защиты ИТ» Объединенного технического комитета JTC 1 «ИТ» ISO/IEC разработал сертификационный стандарт ISO/IEC 27001 «ИТ. Методы защиты. СУИБ. Требования», пришедший на смену BS 7799—2, и теперь сертификация проводится уже по ISO 27001.
В 2005 году на основе ISO/IEC 17799:2000 был разработан ISO/IEC 27002:2005 «ИТ. Методы защиты. Свод норм и правил управления ИБ».
В начале 2006 года был принят новый британский национальный стандарт BS 7799—3 «СУИБ. Руководство по управлению рисками ИБ», который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».
В 2004 году Британским институтом стандартов был опубликован стандарт ISO/IEC TR 18044 «ИТ. Методы защиты. Управление инцидентами ИБ». В 2011 году на его базе был разработан стандарт ISO/IEC 27035 «ИТ. Методы защиты. Управление инцидентами ИБ».
В 2009 году был принят стандарт ISO/IEC 27000 «ИТ. СУИБ. Общий обзор и терминология». Он предоставляет обзор систем управления ИБ и определяет соответствующие термины. Словарь тщательно сформулированных формальных определений охватывает большинство специализированных терминов, связанных с ИБ и используемых в стандартах группы ISO/IEC 27.
25 сентября 2013 года были опубликованы новые версии стандартов ISO/IEC 27001 и 27002. С этого момента стандарты серии ISO/IEC 27k (управление ИБ) полностью интегрированы со стандартами серии ISO/IEC 20k (управление ИТ-сервисами). Вся терминология из ISO/IEC 27001 перенесена в ISO/IEC 27000, который определяет общий терминологический аппарат для всего семейства стандартов ISO/IEC 27k.
1.2. Стандарт ISO/IEC 27000—2014
Последнее обновление стандарта ISO/IEC 27000 «ИТ. СУИБ. Общий обзор и терминология» состоялось 14 января 2014 года.
Стандарт состоит из следующих разделов:
Статьи по теме: «Информационная безопасность»
Обзор международных стандартов в области ИБ
Содержание:
Введение
В настоящий момент существует большое количество подходов к обеспечению и управлению информационной безопасностью. Наиболее эффективные из них формализованы в стандарты.
Международные стандарты и методологии в области ИБ и управления ИТ являются ориентиром при построении информационной безопасности, а также помогают в решении связанных с этой деятельностью задач всех уровней, как стратегических и тактических, так и операционных. Попробуем разобраться в идеях популярных зарубежных стандартов и в том, как они могут применяться в российской практике.
Зачем нужны ИБ-стандарты
Каждому специалисту, имеющему отношение к информационной безопасности, желательно ознакомиться с наиболее известными методологиями в области ИБ, а также научиться применять их на практике. Изучение лучших практик дает возможность узнать:
Международные ИБ-стандарты развиваются годами, и за это время успели усовершенствоваться и вобрать в себя лучший опыт практикующих специалистов, в том числе лучшие практики в области развития ИТ.
Еще одним преимуществом изучения стандартов является возможность продуктивного взаимодействия в сообществе ИБ-специалистов — общепризнанные стандарты международного уровня позволяют им общаться между собой и с внутренними подразделениями компании на одном языке с использованием устоявшихся терминов и определений. В том числе это помогает обосновывать руководству необходимость тех или иных ИБ-мер формулировками, понятными бизнесу. Стоит отметить, что ИБ всегда идет бок о бок с ИТ, и для повышения эффективности работы очень важно уметь устанавливать коммуникации с ИТ. В этом ИБ-специалисту помогает изучение таких стандартов, как ITIL и COBIT.
Какие бывают ИБ-стандарты
Существует множество систем взглядов и разных способов группировки стандартов. Методы классификации различаются по целям и задачам применения.
Рассмотрим стандарты с прикладной и процессной точек зрения. Стандарты можно поделить на:
Технические стандарты помогают провести выстраивание технической защиты информации — выбрать необходимый комплекс защитных мер и провести их грамотную настройку.
Процессно-ориентированные стандарты описывают поход к выстраиванию отдельных процессов.
Если процессно-ориентированные стандарты позволяют ответить на вопросы «что делать?», то технические дают практические рекомендации и отвечают на вопрос «как это реализовать?».
К процессно-ориентированным стандартам относятся: серия ISO/IEC 27XXX, руководство ITIL, методология COBIT и так далее.
В части технических стандартов стоит отметить проект OWASP top 10, CIS Controls, а также CIS Benchmarks, которые содержат детальную информацию по обеспечению безопасности ИТ-элементов инфраструктуры, что помогает противодействовать широкому спектру угроз.
Тем не менее, не всегда стоит однозначно делить стандарты на категории. Один стандарт может агрегировать в себе информацию по нескольким направлениям. Так, например, стандарт PCI DSS (стандарт безопасности данных индустрии платежных карт) отражает комплексный подход к обеспечению ИБ и содержит как требования к управлению безопасностью, правилам и процедурам, так и большой перечень технических требований к критически важным мерам защиты.
Краткий обзор ИБ-стандартов
COBIT
Международная ассоциация ISACA (Information Systems Audit and Control Association), известная разработкой стандартов по управлению ИТ в корпоративной среде и проводимыми сертификациями (например, CISA, CISM, CRISC), и Институт руководства ИТ (IT Governance Institute — ITGI) совместно разработали подход к управлению информационными технологиями. В 1996 году на его основе организация ISACF выпустила первую версию стандарта COBIT. С течением времени и с развитием подходов к управлению ИТ концепция COBIT пересматривалась и расширялась. Сегодня самой новой версией методологии является COBIT 2019, ставшая продуктом эволюции пятой версии стандарта (пересмотр состоялся в декабре 2018 года). COBIT 2019 описывает набор процессов, лучших практик и метрик для выстраивания эффективного управления и контроля, а также достижения максимальной выгоды от использования ИТ.
Основой стандарта являются 40 высокоуровневых целей контроля, сгруппированных в четыре домена, два из которых посвящены информационной безопасности):
Таким образом, стандарт охватывает всю деятельность компании и позволяет широко взглянуть на управление ИТ и ИБ. Стандарт носит высокоуровневый характер, то есть говорит, что должно быть достигнуто, но не объясняет, как. С помощью принципов COBIT 2019 можно минимизировать риски и контролировать возврат инвестиций в ИТ и средства информационной защиты.
ITIL и ITSM
Библиотека инфраструктуры информационных технологий или ITIL (The IT Infrastructure Library) — это набор публикаций (библиотека), описывающий общие принципы эффективного использования ИТ-сервисов. Библиотека ITIL применяется для практического внедрения подходов IT Service Management (ITSM) — проектирования сервисов и ИТ-инфраструктуры компании, а также обеспечения их связности.
ITIL можно рассматривать в том числе с точки зрения информационной безопасности, так как для успешного использования ИТ и поддерживаемых услуг необходимо обеспечивать доступность, целостность и конфиденциальность ИТ-инфраструктуры. Это достигается правильным управлением ИТ-безопасностью. Библиотека содержит раздел, посвященный вопросам безопасности в структуре процессов ITIL. В материалах ITIL не прописаны конкретные требования к средствам защиты, а лишь дается описание общей организации безопасной работы ИТ-сервисов. В библиотеке можно найти как основные принципы выстраивания самого процесса управления ИБ, так и ключевые рекомендации по поддержанию СУИБ — Системы управления информационной безопасностью (Information Security Management System или ISMS). Если COBIT определяет ИТ-цели, то ITIL указывает шаги на уровне процессов. Кроме того, библиотека содержит рекомендации по выстраиванию смежных процессов, например, по управлению инцидентами, что позволяет комплексно взглянуть на выстраивание процессов и их интеграцию в ИТ-среду. Библиотека ITIL полезна специалистам, в задачи которых входит выстраивание процесса управления ИТ-услугами и интеграция ИБ в этот подход. Знание документа позволяет им разговаривать с ИТ-службой на одном языке — языке ИТ-сервисов.
Серия ISO/IEC 27XXX
Наиболее известным и популярным набором стандартов среди как зарубежных, так и российских ИБ-специалистов, к которому обращаются в первую очередь при внедрении СУИБ, являются документы из серии ИБ-стандартов ISO/IEC 27XXX.
Самый известный стандарт серии — ISO/IEC 27001:2013, определяющий аспекты менеджмента информационной безопасности и содержащий лучшие практики по выстраиванию процессов для повышения эффективности управления ИБ. Стандарт декларирует риск-ориентированный подход, который позволяет выбрать необходимые меры и средства защиты, наилучшим образом соответствующие потребностям и интересам бизнеса. По результатам внедрения стандарта ISO/IEC 27001:2013 компания может пройти сертификацию. Так же, как и концепция ITIL, ISO/IEC 27001:2013 в качестве модели управления качеством берет за основу Цикл Деминга-Шухарта PDCA (англ. «Plan-Do-Check-Act» — «планирование-действие-проверка-корректировка»), что означает непрерывное совершенствование ИБ-процессов.
Стандарт ISO/IEC 27001:2013 состоит из двух частей:
Стандарт ISO/IEC 27001:2013 имеет российский аналог ГОСТ Р ИСО/МЭК 27001.
Также специалисты часто обращаются к стандарту ISO/IEC 27002:2013 (ранее выходил под номером ISO/IEC 17799), более подробно раскрывающему высокоуровневые требования ISO/IEC 27001:2013 к выстраиванию процессов в СУИБ. Документ описывает рекомендуемые практические меры в области управления информационной безопасностью.
| ISO/IEC 27000:2013 Information technology. Security techniques. Information security management systems. Overview and vocabulary | Термины и определения. |
| ISO/IEC 27001:2013 Information technology. Security techniques. Information security management systems. Requirements | Системы обеспечения информационной безопасности. Документ описывает требования к СУИБ и средства их реализации. |
| ISO/IEC 27002:2013 Information technology. Security techniques. Code of practice for information security management | Методы и средства обеспечения информационной безопасности. Стандарт разъясняет практические аспекты управления ИБ с более детальным описанием средств реализации, приведенных в ISO/IEC 27001:2013. |
| ISO/IEC 27003:2017 Information technology. Security techniques. Information security management system implementation guidance | Реализация систем менеджмента информационной безопасности. Руководство по реализации СУИБ, описывающее все этапы внедрения. |
| ISO/IEC 27004:2016 Information technology. Security techniques. Information security management. Measurement | Измерение эффективности информационной безопасности. Описывает подход к использованию метрик для оценки эффективности СУИБ. Стандарт применим к компаниям, достигшим четвертого (управляемого) уровня зрелости процессов ИБ согласно CMMI. |
| ISO/IEC 27005:2018 Information technology. Security techniques. Information security risk management (также можно обратиться к ISO 31000:2018 — Risk management) | Менеджмент риска информационной безопасности. Стандарт предназначен для определения в компании подхода к менеджменту рисков. |
| ISO/IEC 27035:2016 Information technology. Security techniques. Information security incident management (Part 1 & Part 2) | Управление инцидентами и событиями ИБ. Стандарт содержит руководящие указания по планированию и подготовке к реагированию на инциденты. |
Полный перечень стандартов серии можно найти на сайте Международной организации по стандартизации https://www.iso.org/ru/home.html.
Еще одним стандартом, применяемым зарубежными ИБ-специалистами, является ISO 15408, состоящий из трех частей:
Вторая часть приводит требования к функциональности средств защиты, которые могут быть использованы при анализе защищенности для оценки полноты реализованных функций безопасности.
Третья часть серии содержит обоснования угроз, политик и требований. Стандарт определяет компоненты доверия к безопасности, каталогизирует наборы компонентов и классов доверия. ISO/IEC 15408-3:2008 включает в себя оценочные уровни доверия, определяющие шкалу измерения и компоненты доверия, а также критерии оценки профилей защиты и заданий безопасности.
В целом эти стандарты содержат техническую часть, не акцентируя внимание на вопросах управления информационной безопасностью.
На основании данного стандарта в свое время был разработан руководящий документ ФСТЭК (Приказ председателя Гостехкомиссии России от 19 июня 2002 г. № 187).
NIST — National Institute of Standards and Technology — американский национальный институт стандартизации, аналог отечественного Госстандарта. В состав института входит Центр по компьютерной безопасности, который публикует с начала 1990-х годов Стандарты (FIPS), а также детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности.
Для рекомендаций в области ИБ (Special Publications) в NIST выделили специальную серию с кодом 800, состоящую из десятков рекомендаций.
Серия содержит документы, описывающие подходы к управлению информационной безопасностью, и освещает технические вопросы ее обеспечения (обеспечение безопасности мобильных устройств, защита облачных вычислений, требования к аутентификации, удаленному доступу и т. д.).
Ниже приведен краткий перечень наиболее популярных документов:
| NIST SP 800-53 | Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций |
| NIST SP 800-50 | Создание программы повышения осведомленности в области безопасности ИТ |
| NIST SP 800-40 | Управление уязвимостями |
| NIST SP 800-53 A | Измерение эффективности информационной безопасности |
| NIST SP 800-37 / NIST SP 800-39 / NIST SP 800-30 | Менеджмент рисков |
| NIST SP 800-61 / NIST SP 800-86 | Управление инцидентами |
Одной из самых известных публикаций является стандарт NIST SP 800-53 «Security and Privacy Controls for Federal Information Systems and Organizations», содержащий описание средств реализации требований ИБ и рекомендации по их применению. В стандарте дается более подробное описание средств реализации в сравнении с документом более высокого уровня ISO/IEC 27001 Приложение А. Так же, как и в ISO, средства реализации в NIST SP 800-53 разбиты на домены, соответствующие различным областям обеспечения ИБ. Подобный подход можно найти и в российских стандартах: для Приказов № 17 и 21 ФСТЭК России сформировала группу мер и разработала к ним требования и процедуры.
Еще одним известным у специалистов документом является NIST 800-30, определяющий подходы к организации деятельности по управлению рисками ИБ. Этот документ часто рассматривают в паре с ISO/IEC 27005:2018, который (как и все документы серии) носит более высокоуровневый характер. В отличие от ISO/IEC 27005:2018, документ NIST содержит более развернутые описания и рекомендации по применению.
SANS. CIS 20
SANS — организация по обучению и сертификации в области ИБ, наиболее известна своими руководствами по безопасной настройке различных систем (Benchmarks) и перечнем ключевых мер защиты Top 20 Critical Security Controls (CSC), включающим 20 рекомендаций по защите ИТ-инфраструктуры. ИБ-специалисты могут использовать этот документ как контрольный список при проверке безопасности систем.
Международное ИТ-сообщество CIS (Center for Internet Security) регулярно обновляет рекомендации с лучшими практиками мер защиты от актуальных ИБ-угроз. Меры разделены на три группы реализации в зависимости от особенностей организации. Наиболее удобным является ранжирование CIS Controls — порядок реализации мер, начиная с наиболее важных.
Помимо этого, CIS Benchmarks дает рекомендации по настройке конфигураций для систем Linux, Windows, Checkpoint, Cisco, Apache, MySQL, Oracle, VMware, а также содержит инструкции по настройке набирающих популярность Docker и Kubernetes.
С полным перечнем можно ознакомиться на сайте CIS https://www.cisecurity.org/cis-benchmarks/.
O-ISM3
При формировании требований безопасности необходимо учитывать уровень зрелости компании — уровень ее организационного и технологического развития. Для эффективного использования ИБ необходимо применять модель зрелости процессов. Она позволяет оценить уровень зрелости ИБ-процессов и определить приоритетные направления развития безопасности в компании.
Модель О-ISM3 (Open Information Security Management Maturity Model) разработана независимым консорциумом The Open Group и позволяет провести оценку зрелости функционирования существующих процессов СУИБ компании.
Модель О-ISM3 оперирует четырьмя уровнями управления СУИБ: базовый, стратегический, тактический и операционный. Согласно модели О-ISM3, процессы СУИБ классифицируются по пяти уровням зрелости:
Уровень определяется аудитором на основании предопределенных метрик и документации. Существует большое количество инструментов для оценки зрелости процессов (CMMI, NIST, BPM от Gartner и др.), и каждый определяет свой подход, к которому ИБ-специалисту необходимо обращаться при построении модели зрелости.
Заключение
В статье рассмотрены наиболее популярные международные стандарты в области информационной безопасности. Но количество представляющих интерес стандартов гораздо больше. Для решения нетривиальных задач необходимо обращать внимание не только на самые часто упоминаемые из них. Например, Центр по обеспечению безопасности в киберпространстве (Australian Cyber Security Centre) Австралийского союза разработал Руководство по информационной безопасности (Australian Government Information Security Manual), отражающее как технические рекомендации для обеспечения ИБ (перечень руководств), так и стратегические обоснования, которые ИБ-специалисты могут использовать в диалоге с бизнесом.
Помимо этого, существует много организаций и проектов, чьей целью является практическое обеспечение безопасности и публикации которых помогают ИБ-специалистам проверять свои объекты защиты на уязвимости. Примерами служат проект OWASP, отчеты команды ICS-CERT, база данный MITRE. Другие полезные инструменты —фреймворки OSSTMM, Penetration Testing Framework, ISSAF и др., помогающие проводить техническое обследование на предмет защищенности.
Необходимо понимать, что для качественного построения системы ИБ требуется агрегировать знания и совмещать подходы, полученные из разных источников, так как каждая система взглядов содержит плюсы и минусы и требует адаптации к условиям конкретной компании. Специалистам по информационной безопасности необходимо постоянно совершенствоваться, расширять набор компетенций и профессиональных знаний, и принятые за рубежом стандарты существенно помогают в этом.
Автор:
Мария Романычева, консультант Центра информационной безопасности компании «Инфосистемы Джет»