ВСТУП
Стандарт - це документ, який встановлює необхідні характеристики продукції, процесів її виробництва, експлуатації та зберігання, виконання робіт або надання послуг. Стандарт може ставити й інші вимоги - наприклад, до символіки або термінології.
Мета стандарту - забезпечення:
1) необхідного рівня якості товарів і послуг;
2) єдиних характеристик товарів і послуг.
Причиною необхідності використання стандартів є те, що необхідність дотримання деяких з них закріплена законодавчо. Реальних причини набагато більше - зазвичай стандарт є узагальненням досвіду кращих фахівців в тій чи іншій області, і тому являє собою надійне джерело оптимальних і перевірених рішень.
Залежно від статусу стандарти діляться на:
1) міжнародні - прийняті міжнародною організацією зі стандартизації;
2) регіональні - прийняті регіональною організацією зі стандартизації;
3) національні - прийняті національним органом стандартизації;
4) відомчі - прийняті органом стандартизації певного відомства.
Залежно від специфіки об'єкта стандартизації встановлено такі види стандарту: основний, на продукцію, процес, послугу, сумісність, методи випробування, загальних технічних вимог.
Основоположний стандарт - має широку сферу поширення або містить загальні положення для певної області (організаційно-методичні, загальнотехнічні і термінологічні).
Стандарт на методи (методики) випробування (вимірювання, аналізу, контролю) -встановлює методи випробування, наприклад, використання статистичних методів і порядок проведення випробувань.
Стандарт на продукцію - встановлює вимоги, яким має задовольняти виріб (група виробів), щоб забезпечити свою відповідність призначенню.
Стандарт на процес - встановлює вимоги, яким повинен задовольняти процес, щоб забезпечити свою відповідність призначенню.
Стандарт на послугу - встановлює вимоги, яким повинна задовольнити послуга, щоб забезпечити свою відповідність призначенню.
Стандарт на сумісність - встановлює вимоги до сумісності продукції, послуг або систем при їх одночасному використанні.
Стандарт загальних технічних вимог - містить перелік характеристик, значення яких або інші дані встановлюються для виробу, процесу або послуги в кожному випадку окремо.
Стандартизація в області ІБ необхідна для вироблення єдності:
1) вимог щодо ІБ;
2) підходів до вирішення проблем ІБ;
3) якісних показників для оцінки ІБ.
Основними областями стандартизації ІБ є:
- управління ІБ;
- аудит ІБ;
- методи забезпечення ІБ;
- криптографія та ін.
Споживачі (замовники) продуктів інформаційних технологій без стандартів не зможуть сформулювати свої вимоги по ІБ виробникам ІС (потрібні якісь критерії, показники, одиниці зрівнювання ІБ тощо).
Виробники продукції ІТ і засобів захисту (програмних, технічних) потребують стандартах для того, щоб можна було б об'єктивно оцінити свою продукцію з точки зору забезпечення ІБ, тобто сертифікувати її. Їм також необхідний стандартний набір вимог для того, щоб обмежити фантазію замовника і змусити вибирати конкретні вимоги з цього набору.
Стандарти потрібні експертам по ІБ і фахівцям з сертифікації як інструмент для оцінки рівня ІБ, що забезпечується конкретними механізмами і засобами захисту інформації (технічними, програмними тощо) або комплексами таких засобів.
Міжнародні організації зі стандартизації, що входять в структуру ООН:
- ISO (International Organization for Standardization - Міжнародна організація по стандартизації) - серії стандартів ISO;
- IEC (International Electrotechnical Commission - Міжнародна електротехнічна комісія) - серії стандартів IEC;
- ITU-T (International Telecommunication Union - Telecommunications - Міжнародний союз по телекомунікації) - стандарти серії X (мережі передачі даних, взаємозв'язок відкритих систем і безпеку).
В даний час існує досить багато стандартів, а також інших нормативних і керівних документів в області ІБ. Всі їх розглянути в рамках даного курсу не представляється можливим. Тому ми будемо розглядати тільки базові стандарти в галузі ІБ, якими керуються при створенні, сертифікації та експлуатації СУІБ.
РОЗДІЛ 1. СІМЕЙСТВО СТАНДАРТІВ З УПРАВЛІННЯ ІБ
Розділ 1.1. Стандарт ISO/IEC 27000-2014 (ДСТУ 27000:2015)
Останнє оновлення стандарту ISO/IEC 27000 «ІТ. СУІБ. Загальний огляд і термінологія » відбулося 14 січня 2014 року.
Стандарт складається з наступних розділів:
- Вступ;
- сфера використання;
- терміни та визначення;
- системи управління ІБ;
- сімейство стандартів СУІБ.
Вступ
Огляд
Міжнародні стандарти системи управління представляють модель для налагодження і функціонування системи управління. Ця модель включає в себе функції, за якими експерти дійшли згоди на підставі міжнародного досвіду, накопиченого в цій області.
При використанні сімейства стандартів СУІБ організації можуть реалізовувати і вдосконалювати СУІБ і підготуватися до її незалежної оцінки, яка застосовується для захисту інформації, такої як фінансова інформація, інтелектуальна власність, інформація про персонал, а також інформація, довірена клієнтами або третіми особами. Ці стандарти можуть використовуватися організацією для підготовки незалежної оцінки своєї СУІБ, застосовуваної для захисту інформації.
Сімейство стандартів СУІБ
Сімейство стандартів СУІБ, що має загальну назву « Information technology. Security techniques »(Інформаційна технологія. Методи захисту), призначене для допомоги організаціям будь-якого типу і розміру в реалізації і функціонування СУІБ і складається з наступних міжнародних стандартів :
- ISO/IEC 27000 СУІБ. Загальний огляд і термінологія;
- ISO/IЕС 27001 СУІБ. Вимоги;
- ISO/IEC 27002 Звід правил з управління ІБ;
- ISO/IEC 27003 Керівництво по реалізації СУІБ;
- ISO/IEC 27004 УІБ. Вимірювання;
- ISO/IEC 27005 Управління ризиками ІБ;
- ISO/IЕС 27006 Вимоги для органів, що забезпечують аудит і сертифікацію СУІБ;
- ISO/IEС 27007 Керівництво з проведення аудиту СУІБ;
- ISO/IEС TR 27008 Керівництво з аудиту механізмів контролю ІБ;
- ISO/IEС 27010 УІБ для міжсекторальних та міжорганізаційних комунікацій;
- ISO/IЕС 27011 Керівництво з УІБ для телекомунікаційних організацій на основі ISО/IEC 27002;
- ISO/IEС 27013 Керівництво з інтегрованої реалізації стандартів ISO /IEC 27001 та ISO /IEC 20000-1;
- ISO/IEС 27014 Управління ІБ вищим керівництвом;
- ISO/IEС TR 27015 Керівництво з УІБ для фінансових сервісів;
- ISO/IEС TR 27016 УІБ. Організаційна економіка;
- ISO/IEС 27035 Управління інцидентами ІБ (в стандарті не вказано).
Мета стандарту
Стандарт надає огляд СУІБ і визначає відповідні умови.
Сімейство стандартів СУІБ містить стандарти, які:
- визначають вимоги до СУІБ і сертифікації таких систем;
- містять пряму підтримку, детальне керівництво і роз'яснення цілого процесу створення, впровадження, супроводу та поліпшення СУІБ;
- включають в себе галузеві керівні принципи для СУІБ;
- керують проведенням оцінки відповідності СУІБ.
1. Сфера застосування
Стандарт провадить огляд СУІБ, а також умов і визначень, які широко використовуються в стандартах СУІБ. Стандарт застосовується до всіх типів і розмірів організацій (наприклад, комерційні підприємства, урядові установи, неприбуткові організації).
2. Терміни та визначення
Розділ містить визначення 89 термінів, наприклад:
- інформаційна система - додатки, сервіси, ІТ активи та інші компоненти обробки інформації;
- інформаційна безпека (ІБ) - збереження конфіденційності, цілісності та доступності інформації;
- доступність - властивість бути доступним і готовим до використання за запитом уповноваженої особи;
- конфіденційність - властивість інформації бути недоступною або закритою для неуповноважених осіб;
- цілісність - властивість точності і повноти;
- неспростовність - здатність засвідчувати настання події або дії і їх створених суб'єктів;
- подія ІБ – виявлений стан системи (сервісу або мережі), що вказує на можливе порушення політики або заходів ІБ, або вперше невідома ситуація, яка може стосуватися безпеки;
- інцидент ІБ - одна або кілька подій ІБ, які зі значним ступенем вірогідності призводять до компрометації бізнес-операцій і створюють загрози для ІБ;
- управління інцидентами ІБ - процеси виявлення, оповіщення, оцінки, реагування, розгляду і вивчення інцидентів ІБ;
- система управління - набір взаємопов'язаних елементів організації для встановлення політик, цілей і процесів для досягнення цих цілей;
- моніторинг - визначення статусу системи, процесу або дії;
- політика - спільний намір і напрямок, що офіційно виражений керівництвом;
- ризик - ефект невизначеності в цілях;
- загроза - можлива причина небажаного інциденту, який може завдати шкоди;
- вразливість - нестача активу або заходів захисту, яке може бути використано однією або декількома загрозами.
3. Системи управління ІБ
Розділ «СУІБ» складається з наступних основних пунктів:
- опис СУІБ;
- впровадження, контроль, супровід і поліпшення СУІБ;
- переваги впровадження стандартів сімейства СУІБ.
3.1. Вступ
Організації всіх типів і розмірів:
- збирають, обробляють, зберігають і передають інформацію;
- усвідомлюють, що інформація і пов'язані процеси, системи, мережі і люди є важливими активами для досягнення цілей організації;
- стикаються з цілою низкою ризиків, які можуть вплинути на функціонування активів;
- усувають передбачуваний ризик за допомогою впровадження заходів і засобів ІБ.
Вся інформація, що зберігається і обробляється організацією, є об'єктом для загроз атаки, помилки, природи (наприклад, пожежа або повінь) тощо і об'єктом вразливостей, що властиві для її використання.
Зазвичай поняття ІБ базується на інформації, яка розглядається як актив, що має цінність і вимагає відповідного захисту (наприклад, від втрати доступності, конфіденційності та цілісності). Можливість отримати своєчасний доступ уповноважених осіб до точної і повної інформації є каталізатором бізнес-ефективності.
Ефективний захист інформаційних активів шляхом визначення, створення, супроводу і поліпшення ІБ є необхідною умовою для досягнення організацією своїх цілей, а також підтримки та поліпшення правової відповідності і репутації. Ці координовані дії, спрямовані на впровадження належних заходів захисту і обробку неприйнятних ризиків ІБ, що загальновідомі як елементи управління ІБ.
У міру зміни ризиків ІБ і ефективності заходів захисту в залежності від мінливих обставин організації слід:
- контролювати і оцінювати ефективність впроваджених заходів та процедур захисту;
- ідентифікувати виникаючі ризики для обробки;
- вибирати, впроваджувати і покращувати відповідні заходи захисту належним чином.
Для взаємозв'язку і координації дій ІБ кожної організації слід сформувати політику і цілі ІБ і ефективно досягати цих цілей, використовуючи систему управління.
3.2. Опис СУІБ
Опис СУІБ передбачає наступні складові:
- положення і принципи;- інформація;
- інформаційна безпека;- управління;
- система управління;
- процесний підхід;
- важливість СУІБ.
Положення і принципи СУІБ складається з політик, процедур, керівництв і відповідних ресурсів і дій, колективно керованих організацією, для досягнення захисту своїх інформаційних активів. СУІБ визначає систематичний підхід до створення, впровадження, обробки, контролю, перегляду, супроводу і поліпшенню ІБ організації для досягнення бізнес-цілей.
Вона базується на оцінці ризику і прийнятних рівнях ризику організації, розроблених для ефективної обробки і управління ризиками. Аналіз вимог захисту інформаційних активів і застосування відповідних заходів захисту, щоб забезпечити необхідний захист цих активів, сприяє успішній реалізації СУІБ.
Наступні основні принципи сприяють успішній реалізації СУІБ:
- розуміння необхідності системи ІБ;
- призначення відповідальності за ІБ;
- об'єднання зобов'язань керівництва та інтересів зацікавлених осіб;
- зростання соціальних цінностей;
- оцінки ризику, що визначають відповідні заходи захисту для досягнення допустимих рівнів ризику;
- безпеку як невід'ємний елемент ІС і мереж;
- активне попередження і виявлення інцидентів ІБ;
- забезпечення комплексного підходу до УІБ;
- безперервна переоцінка і відповідне поліпшення ІБ.
Інформація
Інформація - це актив, який поряд з іншими важливими бізнес-активами важливий для бізнесу організації і, отже, повинен бути відповідно захищений. Інформація може зберігатися в різних формах: цифрова форма (наприклад, файли з даними, що зберігаються на електронних або оптичних носіях), матеріальна форма (наприклад, на папері), а також в нематеріальному вигляді в формі знань співробітників.
Інформація може бути передана різними способами, включаючи кур'єра, електронну або голосову комунікацію. Незалежно від того, в якій формі представлена інформація і яким способом передається, вона повинна бути належним чином захищена.
У багатьох організаціях інформація залежить від інформаційної та комунікаційної технології. Ця технологія є істотним елементом в будь-якій організації і полегшує створення, обробку, зберігання, передачу, захист і знищення інформації.
Інформаційна безпека
ІБ включає в себе три основних виміри (властивості): конфіденційність, доступність і цілісність. ІБ передбачає застосування та управління відповідними заходами безпеки, які включають в себе розгляд широкого діапазону загроз, з метою забезпечення тривалого успіху і безперервності бізнесу та мінімізації впливів інцидентів ІБ. ІБ досягається застосуванням відповідного набору заходів захисту, визначеного за допомогою процесу управління ризиками і керованого з використанням СУІБ, включаючи політики, процеси, процедури, організаційні структури, програмні та апаратні засоби, щоб захистити ідентифіковані інформаційні активи.
Ці заходи захисту повинні бути визначені, реалізовані, проконтрольовані, перевірені і при необхідності поліпшені, щоб гарантувати, що рівень ІБ відповідає бізнес-цілям організації. Відповідні заходи і засоби ІБ слід органічно інтегрувати в бізнес-процеси організації.
Управління
Управління включає в себе дії з керівництва, контролю і безперервного вдосконалення організації в рамках відповідних структур. Управлінська діяльність включає в себе дії, методи або практику формування, обробки, напрямки, спостереження і контролю ресурсів. Величина управлінської структури може варіюватися від однієї людини в невеликих організаціях до управлінської ієрархії в великих організаціях, що складаються з багатьох людей.
Щодо СУІБ управління включає в себе спостереження і вироблення рішень, необхідних для досягнення бізнес-цілей за допомогою захисту інформаційних активів. Управління ІБ виражається через формулювання і використання політик ІБ, процедур та рекомендацій, які потім застосовуються повсюдно в організації всіма особами, пов'язаними з нею.
Система управління
Система управління використовує сукупність ресурсів для досягнення цілей організації. Система управління організації включає в себе структуру, політики, планування, зобов'язання, методи, процедури, процеси і ресурси.
У частині ІБ система управління дозволяє організації:
- задовольняти вимоги безпеки клієнтів та інших зацікавлених осіб;
- покращувати плани і діяльність організації;
- відповідати цілям ІБ організації;
- виконувати нормативи, законодавство і галузеві накази;
- організовано управляти інформаційними активами для сприяння постійному поліпшенню і корекції поточних цілей організації.
3.3. Процесний підхід
Організації потрібно вести різні види діяльності і управляти ними для того, щоб функціонувати ефективно і результативно. Будь-який вид діяльності, який використовує ресурси, потребує управління для того, щоб забезпечити можливість перетворення входів в виходи за допомогою сукупності і взаємопов'язаних дій, - це також називається процесом.
Вихід одного процесу може безпосередньо формувати вхід наступного процесу, і зазвичай така трансформація відбувається в планованих і керованих умовах. Застосування системи процесів у рамках організації разом з ідентифікацією і взаємодією цих процесів, а також їх управлінням може бути визначено як «процесний підхід».
Додаткова інформація (в стандарті відсутня)
Родоначальником процесного підходу до управління якістю прийнято вважати американського вченого Уолтера Шухарта. Його книга починається з виділення 3-х стадій в управлінні якістю результатів діяльності організації:
1) розробка специфікації (технічне завдання, технічні умови, критерії досягнення цілей) того, що потрібно;
2) виробництво продукції, що задовольняє специфікації;
3) перевірка (контроль) виробленої продукції для оцінки її відповідності специфікації.
1 2 3 4 5 6 7 8 9 ... 32