Чекурова Я.С. БИ-41

1. 
   Какой стандарт (серия стандартов) стал основоположником стандартизации систем управления ИБ?
   

Основоположником стандартизации систем управления ИБ стала серия стандартов ISO 9000, предъявляющих требования к системам менеджмента качества, соблюдение которых позволяет контролировать качество выпускаемой продукции или предоставляемых услуг.

2. 
   Для организаций в какой сфере применимы стандарты серии ISO/IES 27000?
   

Серия международных стандартов ISO/IEC 27000 «Информационные технологии. Методы обеспечения безопасности», включающая стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Серия содержит лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания Системы Менеджмента Информационной Безопасности.

3. 
   Каковы отличительные черты серии стандартов ISO/IES 27000?
   

Отличительной чертой серии стандартов является то, что они устанавливают степень ответственности руководства компании за качество. Причем руководство предприятия отвечает, как за разработку политики в области качества, так и за внедрение и поддержание в рабочем состоянии системы менеджмента качества. Очень большое количество процессов управления из систем менеджмента качества с некоторыми изменениями присутствует и в СУИБ, например, внутренние аудиты ИБ, корректирующие и предупреждающие действия и т.д.

4. 
   Какой из стандартов серии ISO/IEC 27000 содержит требования к созданию, внедрению, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ?
   

Стандарт ISO/IEC 27001:2005 «Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Требования) прописывает требования по разработке, внедрению, использованию, поддержке, анализу и оптимизации документированной системы менеджмента информационной безопасности, в рамках бизнес-рисков, существующих организаций.

5. 
   В чем состоят основные различия и сходства стандартов ISO/IEC 27001 и ITU-T X.1051?
   

МСЭ-T X.1051 вводит требования к управлению ИБ для телекоммуникационных компаний. Согласно этому документу, для них принятие решения о создании СУИБ должно быть стратегическим.

---

Применительно к специфике телекоммуникационных компаний в МСЭ-T X.1051 представлены цели и средства управления, полностью соответствующие ISO/IEC 17799 и BS 7799-2:2002 (на его основе разработан стандарт ISO/IEC 27001:2005).

Основное требование к поставщику услуг электросвязи, которое следует учитывать при внедрении МСЭ-T X.1051, – это наличие на данном предприятии системы ИБ, позволяющей перманентно (т.е. на постоянной основе) выявлять, оценивать, интерпретировать риски нарушения ИБ, связанные с представляемыми им услугами, причем как непосредственно конечным пользователям, так и опосредованно – через потребителей услуг. Кроме того, такая система должна обладать возможностями управления этими рисками. Используя непрерывные процессы управления рисками, поставщики услуг повышают наглядность своих профилей рисков и смогут продемонстрировать регуляторным органам и другим заинтересованным сторонам безопасность своих сетей и услуг. В данной рекомендации есть положение, по которому поставщики могут также рассматривать вопрос о своей официальной сертификации на соответствие рекомендациям ISMS-T по системе сертификации ISO/IEC 27001.

Серия стандартов ISO/IEC 27000 представляют руководства по управлению ИБ для различных сфер деятельности, включая финансовый и страховой сектор, здравоохранение, телекоммуникации и т. д.

6. 
   Какой из стандартов серии ISO/IES 27000 признан каталогом «лучших» практик по ИБ?
   

Стандарт ISO/IEC 27001:2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», выпущенный British Standards Institute в 2005 г., основан на лучших мировых практиках.

7. 
   В каком стандарте серии ISO/IES 27000 содержится руководство по внедрению СУИБ?
   

Руководство по внедрению СУИБ содержится в стандарте ISO/IEC 27003:2012 «Information technology. Security techniques. Information security management systems implementation guidance» (Информационная технология Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности)

8. 
   На основании чего может проводиться оценка эффективности СУИБ?
   

Оценка эффективности СУИБ – системный процесс получения и оценки объективных данных о текущем состоянии СУИБ, процессах и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям. Критерии в данном случае представляются совокупностью требований по ОИБ, характеризующих некоторый уровень ИБ и используемых для сопоставления с ними полученных данных. Обычно они

---

содержатся в признанных организацией документах, относящихся к ОИБ. Для количественного выражения эффективности критерий должен быть охарактеризован определенным числовым значением и соответствовать оцениваемому явлению, быть универсальным и простым в применении, давать однозначную и полную оценку.

9. 
   Можно ли проводить аудит (или сертификацию) на соответствие стандарту ISO/IES 27002 (бывший ISO/IES 17799)? Почему?
   

ISO/IEC 27002 «Информационные технологии – Технологии безопасности – Практические правила менеджмента информационной безопасности» предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности.

Организация может быть сертифицирована аккредитованными агентствами в соответствии с стандартом ISO 27001.

10. 
    Каковы основные идеи руководства по аудиту СУИБ и средств управления ИБ, реализованных в СУИБ?
    

Стандарт ISO/IEC 27008:2011 – руководство по аудиту средств управления, реализованных в СУИБ дополняет ISO/IEC 27007:2011 в части аудита именно средств управления ИБ, используемых в рамках СУИБ. Такой аудит выявляет, насколько хорошо СУИБ справляется с выполнением функций по ОИБ в организации любого размера и типа – общественной и частной, государственной и некоммерческой и т.п. Основой рассматриваемого в стандарте аудита выбран риск-ориентированный подход к управлению ИБ.

Стандарт ISO/IEC 27008:2011 фокусируется на проверке средств управления, используемых в рамках СУИБ, описанных в ISO/IEC 27002 и перечисленных в приложении А ISO/IEC 27001. Он представляет собой руководящие указания по анализу реализации и функционирования средств управления, включая техническую проверку их соответствия вышеназванным стандартам и установленным в организации стандартам ИБ.

Проведенный в соответствии ISO/IEC 27008:2011 аудит позволит удостовериться, что СУИБ предоставляет реальные свидетельства своего функционирования, поддающиеся проверке. Полученные результаты аудита могут быть использованы для усовершенствования СУИБ за счет оптимизации взаимодействия между отдельными процессами в рамках функционирования СУИБ и необходимым контролем уровня ИБ, обеспечиваемого этой СУИБ.

11. 
    Почему подход к проведению аудитов систем менеджмента качества и окружающей среды, изложенный в стандарте ISO/IES 19011, может быть применен для проведения внутренних аудитов СУИБ?
    

---

Стандарт ISO/IEC 27007:2014 «Information technology. Security techniques. Guidelines for information security management systems auditing» (Информационная технология. Методы и средства обеспечения безопасности. Руководство по аудиту систем менеджмента ИБ) предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности (СМИБ) и проведению внутренних или внешних аудитов на соответствие ИСО/МЭК 27001:2005, а также руководство по вопросу компетентности и оценки аудиторов СМИБ, которое следует использовать совместно с руководством, содержащимся в ИСО 19011.

Настоящий стандарт предназначен для всех пользователей, включая малые и средние организации.

В ИСО 19011 "Руководящие указания по аудиту систем менеджмента" представлено руководство по менеджменту программ аудита, проведению внутренних или внешних аудитов систем менеджмента, а также по вопросу компетентности и оценки аудиторов систем менеджмента.

Текст стандарта соответствует структуре ИСО 19011, а дополнительное, ориентированное на СМИБ, руководство по применению ИСО 19011 для аудита СМИБ обозначается буквами "ИБ".

12. 
    В каком стандарте серии ISO/IES 27000 описана инфраструктура руководства ИБ?
    

Стандарт ISO/IEC 27014:2013 – базовая структура руководства ИБ. Стандарт ISO/IEC 27014:2013 «Information technology. Security techniques. Information security governance framework» (Информационная технология. Методы и средства обеспечения безопасности. Базовая структура руководства ИБ) стал руководством, помогающим организациям руководить их ИБ, определяющим для них базовую инфраструктуру эффективного управления ИБ и показывающим, как ее использовать для оценки, задания основных направлений деятельности и мониторинга функционирования СУИБ. После выхода стандарт имеет и второе название – ITU-T Recommendation X.1054.

13. 
    Какой стандарт серии ISO/IES 27000 рассматривает вопросы безопасности сетей?
    

Назначение ИСО/МЭК 27033 состоит в том, чтобы предоставить подробные рекомендации по аспектам безопасности менеджмента, функционирования и использования сетей информационных систем и их соединений. Лица, отвечающие за обеспечение в организации информационной безопасности в целом и сетевой безопасности в частности, должны быть способны адаптировать материал настоящего стандарта для соответствия своим конкретным требованиям. Основные части стандарта ИСО/МЭК 27033 являются:

---

– стандарт ИСО/МЭК 27033-1 «Обзор и концепция»;

– стандарт ИСО/МЭК 27033-2 «Рекомендации по проектированию и реализации сетевой безопасности»;

– стандарт ИСО/МЭК 27033-3 «Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для типовых сетевых сценариев»;

– ИСО/МЭК 27033-4 «Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для обеспечения безопасности передачи информации между сетями с использованием шлюзов безопасности»;

– ИСО/МЭК 27033-5 «Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для обеспечения безопасности виртуальных частных сетей»;

– ИСО/МЭК 27033-6 «IP-конвергенция»;

– ИСО/МЭК 27033-7 «Беспроводная связь».

14. 
    В чем состоят преимущества использования (учета) требований российских и международных стандартов по управлению ИБ при построении СУИБ или отдельных процессов управления ИБ?
    

Преимущество использования (учета) требований российских и международных стандартов при построении СУИБ или отдельных процессов управления ИБ состоит в том, что в любой организации выполняются следующие действия:

– определение целей ОИБ;

– создание эффективной СУИБ;

– расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия уровня ИБ заявленным целям;

– применение инструментария ОИБ и оценки ее текущего состояния;

– использование методик (с понятной системой критериев и защитных мер, или мер ОИБ) в процессе управления рисками ИБ, позволяющих объективно оценить текущее состояние дел в организации.

15. 
    Каковы преимущества одновременного учета требований стандартов, предъявляемых как к СУИБ в целом, так и стандартов, предъявляющих требования к отдельным процессам, разрабатываемым в рамках СУИБ?
    

Построение и внедрение СУИБ в целом:

– при данной схеме внедрения СУИБ большой объем работ идет параллельно. Осуществляется разработка и практически одновременное внедрение перечисленных ранее процессов управления ИБ, реализуемых в рамках функционирования СУИБ: управление рисками ИБ, инцидентами ИБ и т.д. Важную роль играют грамотное планирование работ и их хорошая координация. Преимуществом такой схемы является то, что если такой проект реально запускается, то, скорее всего, имеется действительная заинтересованность руководства в нем и для построения и внедрения СУИБ все управленческие решения будут приниматься своевременно, а все необходимые ресурсы предоставляться вовремя.

---

Смотрите также файлы

• Как вы понимаете термин Конвергенция Конвергенция.docx

• Отстік азастан мемлекеттік фармацевтика академиясы Жпалы аурулар жне дерматовенерология кафедрасы студентті зіндік жмысына арналан дістемелік деу.doc

• Дисциплина Дистанционное психологическое консультирование и диагностика Практическое задание 2, Модуль 2.doc

• Владимир Креститель земли Русской.docx

• В Декамероне она заменяется проблемой отношения человека к человеку.docx