Обзор и сравнение семейства стандартов информационной безопасности ISO 27000 и отечественных стандартов - Информационная безопасность на предприятии
"ISO/IEC 27000 - серия международных стандартов, включающая стандарты, по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Серия содержит лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания Системы Менеджмента Информационной Безопасности" - сообщает нам сайт Википедии. Данное семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.
Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее. На данный момент опубликовано 17 стандартов данного семейства. Приступим к описанию.
По стандарту ISO 27001:2005 информационная безопасность - это: "обеспечение конфиденциальности, целостности и доступности информации; также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надежность"
Стоит разделить все стандарты на 4 группы:
- - Стандарты для обзора и введения в терминологию; - Стандарты, определяющие обязательные требования к СУИБ (система управления информационной безопасностью); - Стандарты, определяющие требования и рекомендации для аудита СУИБ; - Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.
Давайте рассмотрим каждый стандарт из данного семейства.
Стандарты для обзора и введения в терминологию. К данной группе можно отнести первый стандарт семейства: ISO 27000. ISO 27000 включает в себя: информационные технологии, средства обеспечения безопасности, системы менеджмента информационной безопасности а также обзор и словарь. Другими словами, стандарт описывает основные определения, которые используются в стандартах информационной безопасности.
Стандарты, определяющие обязательные требования к СУИБ. Данная группа включает в себя всего лишь один стандарт: ISO 27001. Суть этого стандарта заключается в описании информационных технологий, методов и средств обеспечения безопасности, менеджмента информационной безопасности и выявлении требований. Стоит сказать, что это основной стандарт группы. ISO 27001 определяет требования к разработке, внедрению и улучшению менеджмента информационной безопасности.
Стандарты, определяющие требования и рекомендации для аудита СУИБ. В отличие от предшествующих групп, в данную - можно включить три стандарта: ISO 27006, ISO 27007, ISO 27008. Не сложно догадаться, что данные стандарты включают в себя указания и требования для аудита информационной безопасности. Однако давайте рассмотрим каждый стандарт отдельно. ISO 27006 включает в себя: описание информационных технологий, средств обеспечения информационной безопасности и требования для организаций, которые выполняют аудит систем менеджмента информационной безопасности. ISO 27007 описывает два первых пункта ISO 27006, а также указания для аудита систем менеджмента информационной безопасности. Данный стандарт очень полезен для аудиторов организаций. ISO 27008 включает в себя руководство для аудитор по мерам обеспечения ИБ. Данный стандарт специализирован на аудите информационной безопасности в организации.
Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ. Эта группа включает в себя оставшиеся стандарты семейства 27000, а именно стандарты:
- - ISO 27002; - ISO 27003; - ISO 27004 - ISO 27005 - ISO 27011 - ISO 27031 - ISO 27033 - ISO 27034 - ISO 27035 - ISO 27799 (специализированной руководство СУИБ в здравоохранении) - ISO 24762
Приступим к описанию данных стандартов. ISO 27002 включает в себя описание средств обеспечения информационной безопасности, а так же свод практики менеджмента информационной безопасности. Данный стандарт предоставляет указания для внедрения, разработки, поддержки и совершенства СУИБ. Можно назвать это основным стандартом для консультантов. В отличие от ISO 27002, ISO 27003 предоставляет руководство по осуществлению контроля информационной безопасности. Стандарт дает указания и методику для процессов разработки и внедрения СУИБ. Измерения менеджмента ИБ предоставлено в ISO 27004. Данный стандарт рассчитан для проектирования, выбора, улучшения методов измерения эффективности системы. ISO 27005 помогает рассмотреть различные методы защиты, а также управления рисками при ИБ. Можно назвать данный стандарт самым важным в группе, так как рассмотрение рисков является основой при обеспечении информационной безопасности. ISO 27011 специализируется на телекоммуникациях. Основа стандарта заключается в описании обеспечения информационной безопасности по СУИБ в телекоммуникационных организациях. Любая компания проводит глубокий анализ по обеспечению непрерывности своего бизнеса. Стандарт ISO 27031 поможет в этом. В нем можно найти руководство по менеджменту ИБ для телекоммуникаций.
Информационную безопасность можно разделить на несколько типов. Сетевая безопасность является одним из типов ИБ. Методы защиты информации и обеспечение сетевой безопасности подробно описаны в стандарте ISO 27033. Также здесь можно найти информацию о различных угрозах, методах проектирования сетевой инфраструктуры.
ISO 27034 несет терминологический характер. Здесь можно узнать информацию о безопасности приложений, а также методах обеспечения безопасности данного программного обеспечения. Об управлении инцидентами по ИБ можно узнать из ISO 27035. Данный стандарт является одним из ценных стандартов в группе развития и совершенствования СУИБ.
Последние два стандарта являются специализированными. ISO 27799 специализируется на здравоохранении. Он описывает информатику в здравоохранении. ISO 24762 относится к информационным и коммуникационным технологиям. В нем описаны методы защиты, а также рекомендации по услугам для аварийного восстановления ИКТ. В данной главе были описаны все возможные стандарты данного семейства. Группа стандартов ISO 27000 получила очень серьезное развитие в последние годы.
Обзор отечественных стандартов
Исторически сложилось, что в России проблемы информационной безопасности изучались и своевременно решались, специализировавшись на охране государственной тайны. Проанализировав принятые стандарты в России, можно сказать, что она очень отстает от Европы. На сегодняшний день насчитывается порядка 30 отечественных стандартов.
Проблема защиты информации на предприятиях имеет свои особенности, которые необходимо учитывать, поскольку они оказывают серьезное влияние на информационную безопасность (ИБ).
Приоритет экономических факторов. Необходимо максимально снизить финансовые потери и предоставить пользователям возможность получать прибыль. Важным условием при этом, в частности, является минимизация типично банковских рисков (например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т. п.). Необходимо обеспечить открытость проектирования, которая будет предусматривать разработку системы защиты информации.
Юридическая значимость коммерческой информации, которую можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с законодательством Российской Федерации.
В 1999 году, был введен международный стандарт ISO 15408, который в области обеспечения ИБ имел большое значение, как для разработчиков компьютерных ИС, так и для их пользователей. Стандарт ISO 15408-2002 стал своего рода гарантией качества и надежности сертифицированных по нему программных продуктов.
ГОСТ Р ИСО/МЭК 15408-2002 состоит из трех частей. Часть 1 (ГОСТ Р ИСО/МЭК 15408-1 "Введение и общая модель") устанавливает общий подход к формированию требований безопасности и оценке безопасности.
На их основе происходит разработка основных конструкций, которые представляют требования безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ.
Часть 2 (ГОСТ ИСО/МЭК 15408-2 "Функциональные требования безопасности") содержит различные функциональные требования безопасности и предоставляет возможность их детализации и расширения.
Часть 3 (ГОСТ ИСО/МЭК 15408-3 "Требования доверия к безопасности") включает систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.
ГОСТ 50739 описывает способы защиты от несанкционированного доступа. Данный стандарт устанавливает единые функциональные требования к защите средств вычислительной техники (СВТ) от несанкционированного доступа (НСД) к информации; к составу документации на эти средства, а также номенклатуру показателей защищенности СВТ, описываемых совокупностью требований к защите и определяющих классификацию СВТ по уровню защищенности от НСД к информации.
ГОСТ Р 50922-96 несет методологический характер. Он включает в себя основные термины и определения по информационной безопасности.
Защита от вирусов является первостепенной задачей при защите информационно безопасности. ГОСТ Р 51188-98 содержит в себе типовое руководство по по испытанию ПО на наличие вирусных программ. "Настоящий стандарт распространяется на испытания программных средств (ПС) и их компонентов, цели которых - обнаружить в этих ПС и устранить из них компьютерные вирусы (KB) силами специальных предприятий (подразделений), и устанавливает общие требования к организации и проведению таких испытаний" - ГОСТ 51188-98.
ГОСТ 51275-99 описывает общие положения о защите информационной безопасности и некоторые факторы, которые на нее воздействуют.
ГОСТ 7498-1 и ГОСТ 7498 - 2 описывают базовую эталонную модель информационной технологии по защите информационной безопасности. Можно сказать, что эти стандарты являются библией специалистов ИБ. В одном этих стандартов указано описание данной эталонной модели, в то время как в другой, описана архитектура защита информации в открытых системах.
Последующие три стандарта специализируются на криптографической защите. Первый из них включает в себя описание алгоритма криптографического образования. По некоторым сведениям, история этого шифра гораздо более давняя. Алгоритм, положенный впоследствии в основу стандарта, родился, предположительно, в недрах Восьмого Главного управления КГБ СССР. ГОСТ 34 10 описывает различные методы по проверке подлинности электронной подписи. Данный стандарт также включает в себя алгоритм, однако, не для защиты информации, а для формирования проверки цифровой подписи. Последний стандарт несет программистский характер. ГОСТ 3411 -91 описывает функцию хэширования. "Хеширование (иногда "хэширование", англ. hashing) - преобразование по детерминированному алгоритму входного массива данных произвольной длины в выходную битовую строку фиксированной длины", - сообщает сайт Википедии.
Сравнительный анализ зарубежных и отечественных стандартов
На сегодняшний день количество европейских стандартов в разы превышает отечественные. Примером может случить тот факт, что вступило в силу порядка 30 отечественных стандартов. Проведя обзор ISO 27000 являющимся семейством стандартов, которые насчитывает порядка 19 стандартов, можно сделать вывод о заочном проигрыше отечественных стандартов. Однако если мы проведем сравнительный анализ, то увидим, что основы, которые способствуют минимальной защите ИБ, присутствуют в России.
Критерием нашего сравнения будет служить четыре группы, которые мы выделили, при описании ISO 27000.
Терминология. К данной группе относится по одному стандарту из каждого стандарта - отечественного и зарубежного. В каждом из стандартов даны четкие определения информационной безопасности. Одна есть и отличия. Отечественный стандарт больше специализируется на терминологии защиты информации и угроз ее потери. В данном стандарте преобладают такие определения как защита информации от утечки, защита информации от разглашения, система защиты информации, цель защиты информации. Европейский стандарт больше специализируется на правах доступа к информации отдельных лиц. В ISO 27000 можно увидеть информацию о таких определениях как аутентификация, доступность, конфиденциальность, событие, результативность. Вполне возможно, что такое отличие в практически одинаковых названиях стандартов связано с отличием менталитета в Европе от России.
Определение требований к СУИБ. В данную группу опять же входят по одному стандарту из зарубежного и отечественного стандарта. Стандарт ISO 27001 от зарубежных стран и ГОСТ 15408 в трех главах от России. Европейский стандарт описывает четко и ясно алгоритм внедрения системы моделирования информационной безопасности. Ниже я предоставлю 4 первых пункта.
- 1. Первый этап. - Осознать цели и выгоды внедрения СМИБ - Получить поддержку руководства на внедрение и ввод в эксплуатацию СМИБ - Распределить ответственность по СМИБ 2. Второй этап. Организационный - Создать группу по внедрению и поддержке СМИБ - Обучить группу по внедрению и поддержке СМИБ - Определить область действия СМИБ 3. Третий этап. Первоначальный анализ СМИБ - Провести анализ существующей СМИБ - Определить перечень работ по доработке существующей СМИБ 4. Четвертый этап. Определение политики и целей СМИБ - Определить политику СМИБ - Определить цели СМИБ по каждому процессу СМИБ
Отечественные стандарт разделен на 3 главы для описания полноты процесса. В первой главе происходит описание некоторых определений и предоставляется алгоритм обеспечения ИБ. Во второй главе происходит описание функциональных требований к информационной безопасности, которые также представлены в виде списка. Третья также как и вторая содержит правила в виде списка, однако, предоставляя требования для доверия к безопасности. Зарубежные стандарты рассматривают все это в отдельных стандартах, не смешивая это так, как делает Россия.
Требования и рекомендации аудита СУИБ. ГОСТ 51 -275 99 а также ГОСТ 7498 -1 можно отнести к данной группе. Базовая эталонная система обеспечения безопасности открытых систем - вот, что предоставила Россия Европе. Подробное рассмотрение модели и описание того, как должна быть структурирована открытая система для проведения аудита и обеспечения качественной защиты ИБ - вот, что включает в себя данный стандарт. Так же как и предыдущих стандарт, она разделен на две главы, однако, здесь, это упрощает понимание. Анализ факторов, которые могут быть использованы для защиты информации, вместе с эталонной моделью предоставляют хотя и неполные, однако достаточные сведения для аудита СУИБ.
Европейские стандарты отличаются краткостью и лаконичностью своих изъяснений. Их стандарт даже называется как "требования для аудита информационной безопасности".
Предложение лучшей практики внедрения, развития и совершенствования СУИБ.
Здесь, априори, первенство занимают европейские стандарты. Стоит отметить, что они выигрывают количеством в данной группе. Четкое и ясное название стандартов, например, "свод практики менеджмента информационной безопасности", предоставляет проектирование, выбор, улучшение методов измерения эффективности системы. Более того, присутствие специализированных стандартов в области здравоохранения, являются огромным плюсом в европейских стандартах. Это доказывает тот факт, что заграницей информационная безопасность распространена везде на все слои информации индивидуума. Другими словами, защита происходит не только от краж, то и от разглашения фамилии или заболеваний, если того хочет человек. Специализация российских стандартов направлена на сохранения материального статуса компаний и человека. Защита банковских карт, счетов в банке, номера кредитных карт: все это защищено. К этой группе можно отнести стандарты, относящиеся к криптографической защите, а также к стандартам, специализирующимся на испытания ПО на наличие вирусов.
Похожие статьи
-
Введение - Обеспечение информационной безопасности на предприятии
Данная статья посвящена важности информационной системы и необходимости ее защиты. В ней говориться о различных средствах и методах, помогающих...
-
ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии
Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных...
-
Понятие и задачи информационной безопасности - Информационная безопасность на предприятии
Перед описанием стандартов информационной безопасности следует сначала определить: что же такое информационная безопасность. Данное понятие можно...
-
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...
-
Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и...
-
Введение - Информационная безопасность на предприятии
Информационный программный безопасность В настоящее время большую ценность представляет информация. По этой причине вопросы информационной безопасности...
-
1. Общие сведения 1.1 Наименование Система информационной безопасности ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет" 2....
-
Анализ на соответствие стандартам и существующим политикам Проанализировав актуальные стандарты и "лучшие практики" в сфере информационной безопасности и...
-
Информационный безопасность автоматизированный угроза Классификация угроз информационной безопасности Анализ актуальных угроз конфиденциальной...
-
Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...
-
В процессе развития нашего общества информация, особенно экономическая, играет особую роль. Желание преуспеть заставляет людей соревноваться, соперничать...
-
Законодательные средства - законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи...
-
Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной...
-
- Подключение к исходной базе данных пользователей внешних информационных систем; - Отказ в доступе к желаемому ресурсу, если пользователем не пройдена...
-
Классификация и анализ источников угроз и уязвимостей безопасности В информационной безопасности под угрозой понимают потенциальное событие или действие,...
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
-
Доклад Всемирного экономического форума "Глобальные риски 2012" ("Global Risks 2012") рассматривает кибератаки как одну из основных угроз мировой...
-
Основы информационной безопасности
Введение Курс с названием "Основы информационной безопасности" (Information Security) входит в целый ряд государственных образовательных стандартов по...
-
Обследование проводилось с целью сбора сведений об информационных системах персональных данных НАО "Вальмонт индастрис" для последующего проведения...
-
Количество рабочих станций, всего 20 Количество ПК, работающих в сети 21 Характеристики компьютеров От amd phenom 1055t и выше Операционная система...
-
Постановка задачи Основной целью дипломной работы является создание комплексной системы информационной безопасности предприятия на примере информационной...
-
Модель нарушителя - Разработка модели системы информационной безопасности на предприятии
Обеспечение защиты информационных активов университета специфично, так как это учреждение с непостоянной аудиторией. По причине того, что атаки могут...
-
Большинство инцидентов информационной безопасности связано с воздействием внутренних угроз - утечки и кражи информации, утечки коммерческой тайны и...
-
Самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с вами постарается решить весь...
-
Идентификация и оценка информационных активов Информационный актив является компонентом системы, в которую организация напрямую вкладывает средства, и...
-
Предложение автоматизации предприятия "Авиаэкспресс-Сервис" с внедрением программного комплекса "САМО-ТурАгент" Процесс внедрения автоматизированного...
-
Разработка политики безопасности организации - Основные понятия политики информационной безопасности
Разработка политики безопасности ведется для конкретных условий функционирования информационной системы. Как правило, речь идет о политике безопасности...
-
Постановление Правительства Российской Федерации №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах...
-
Как отмечалось ранее, единственным базовым протоколом семейства TCP/IP, в котором изначально предусмотрена функция обеспечения безопасности соединения и...
-
Информационный безопасность программный сеть Информационная система ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет"...
-
Подсистема управления политикой ИБ предназначена для поддержания в актуальном состоянии политик и других организационно-распорядительных документов по...
-
Информация с точки зрения информационной безопасности обладает следующими категориями: * конфиденциальность -- гарантия того, что конкретная информация...
-
В настоящее время существует множество видов угроз информации. Так как информация сейчас является одним из ключевых факторов успешного функционирования...
-
Заключение - Обеспечение информационной безопасности в сети Internet
Исходно сеть создавалась как незащищенная открытая система, предназначенная для информационного общения все возрастающего числа пользователей. При этом...
-
Стандарты и формат метаданных - Метаданные как вид информационных ресурсов
Метаданные способны ускорить процесс международного доступа к информации, т. к. могут быть представлены на языках, отличных от языка объекта. Возможности...
-
Специфика информационного обеспечения САПР - Состав систем автоматизированного проектирования
В комплекс средств автоматизированного проектирования входит информационное обеспечение, которое представляет собой совокупность документов, описывающих...
-
Современные технологии обработки Больших данных Большой проект бюджетирование автоматизация С приходом новых технологий, инструментов и средств...
-
Что защищать на предприятии Система федерального законодательства включает себя огромное количество актов, относительно различных видов тайн. В данной...
-
Определение методов реинжиниринга информационных систем Основные задачи, которые стоят перед проектировщиком, занимающимся реинжинирингом информационных...
-
Введение - Безопасность информационных систем
Я проходила учебную практику на предприятии ЗАО "Тандер" в магазине Магнит Косметик Оливенит с 29.06.2015 по 12.07.2015г. Целями прохождения практики...
Обзор и сравнение семейства стандартов информационной безопасности ISO 27000 и отечественных стандартов - Информационная безопасность на предприятии