Построение и внедрение процессов СУИБ по отдельности:

– при выборе данной стратегии последовательность работ и разработки и внедрения процессов будет примерно такой же, как и при внедрении СУИБ в целом, за исключением того, что цели внедрения отдельных процессов должны определяться на этапе их разработки и потом их выполнение должно четко отслеживаться. При внедрении отдельных процессов необходимо делать это постепенно, отводя время на внедрение процесса в культуру, обучение пользователей, внесение изменений в процесс по результатам первых циклов его работы. Именно в таком случае будут достигнуты преимущества данной стратегии внедрения СУИБ.

16. 
    В чем состоят сходства и различия между стандартами на СУИБ и на отдельные процессы управления ИБ?
    

Основные существующие стандарты в области управления ИБ можно условно разделить на два типа – стандарты, регламентирующие процессы построения, внедрения, эксплуатации, мониторинга, анализа, постоянного улучшения СУИБ в целом, а также стандарты, регламентирующие отдельные процессы управления ИБ.

Все рассмотренные стандарты являются рекомендательными, и, следовательно, выполнение их требований не обязательно, если перед организацией не стоит задача сертификации своей СУИБ.

17. 
    Какие методы и средства ОИБ для ИТ рассматриваются в стандартах ISO/IES 13335 и идентичных им ГОСТ Р ИСО/МЭК 13335?
    

Стандарт ГОСТ Р ИСО/МЭК 13335–1–2006 «Information technology. Security techniques. Part 1. Concepts and models for information and

communications technology security management» (Информационная технология. Методы и средства обеспечения ИБ. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий) представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям.

В соответствии с данным стандартом для создания эффективной программы безопасности ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:

---

– менеджмент риска – активы должны быть защищены путем принятия соответствующих мер, которые должны выбираться и применяться на основании соответствующей методологии управления рисками, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливающей допустимые риски и учитывающей существующие ограничения;

– обязательства организации в области ОИБ ИТТ и управлении рисками ИБ, для формирования которых следует разъяснить преимущества от реализации защиты ИТТ;

– служебные обязанности и ответственность за ОИБ активов, которые должны быть определены и доведены до сведения персонала;

– цели, стратегии и политика, которые должны учитываться при управлении рисками, связанными с ОИБ ИТТ организации;

– управление жизненным циклом – управление ИБ ИТТ должно быть непрерывным в течение всего их жизненного цикла.

Для успешного управления безопасностью ИТТ требуется применение видов деятельности, некоторые из которых осуществляют в соответствии со следующим циклом:

а) планирование:

1) определение организацией требований по безопасности ИТТ,

2) определение организацией целей, стратегий и политик безопасности ИТТ,

3) установление обязанностей и ответственности в рамках организации,

4) разработка плана по безопасности ИТТ,

5) оценка рисков,

6) решение об обработке риска и выборе защитных мер,

7) планирование непрерывности бизнеса;

б) реализация:

1) создание защитных мер,

2) одобрение ИТТ,

3) разработка и выполнение программы осведомленности персонала о безопасности,

4) аудит-функционирование защитных мер;

в) эксплуатация и поддержка:

1) контроль конфигурации и управление изменениями,

2) управление непрерывностью бизнеса,

3) анализ, аудит и мониторинг, а также проверка соответствия безопасности заявленным требованиям,

4) управление инцидентами безопасности информации.

18. 
    Как оценивается ИБ ИТ согласно стандартам ISO/IEC 15408 и 18045 и идентичных им ГОСТ Р ИСО/МЭК?
    

Стандарт ISO/IEC 15408-1-2012 «Information technology. Security techniques. -Evaluation criteria for IT security. Part 1. Introduction and general model» (Информационная технология методы и средства обеспечения ИБ. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель) обеспечивает сопоставимость результатов независимых оценок безопасности. В ИСО/МЭК 15408 это достигается предоставлением единого набора требований к функциональным возможностям безопасности продуктов ИТ и к мерам доверия, применяемым к этим продуктам ИТ при оценке безопасности. Данные продукты ИТ могут быть реализованы в виде аппаратного, программно-аппаратного или программного обеспечения. В процессе оценки достигается определенный уровень уверенности в том, что функциональные возможности безопасности таких продуктов ИТ, а также меры доверия, предпринятые по отношению к таким продуктам ИТ, отвечают предъявляемым требованиям. Результаты

---

оценки могут помочь потребителям решить, отвечают ли продукты ИТ их потребностям в безопасности.

В ИСО/МЭК 15408 предусмотрена гибкость, допускающая применение множества методов оценки по отношению к множеству свойств безопасности множества продуктов ИТ.

Стандарт ИСО/МЭК 18045-2013 «Information technology - Security techniques - Methodology for IT security evaluation» (Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности ИТ) - документ, сопровождающий ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Данный стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки по ИСО/МЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСО/МЭК 15408.

19. 
    Какие из рассмотренных стандартов затрагивают аспекты анализа рисков ИБ?
    

BSI-Standard 100-3 «Risk Analysis based on IT-Grundschutz» посвящен анализу рисков ИБ на основе методики IT-Grundschutz.

BS 7799–3:2006 «Information security management systems. Part 3: Guidelines for information security risk management» (Системы менеджмента ИБ. Руководство по управлению рисками ИБ) определяет процессы оценки и управления рисками ИБ как составные элементы системы управления организации. При этом используется циклическая модель PDCA.

Стандарт ISO/IEC 27004:2011 – измерения для управления ИБ. В стандарте содержатся общее руководство и рекомендации по разработке и использованию измерений и мер измерений для проведения оценки эффективности и результативности, внедренной в организации СУИБ, а также мерам и средствам управления ИБ (и их группам), определенным в ISO/IEC 27001, включая политику, управление рисками ИБ, средства управления и цели их применения, процессы и процедуры. Процесс измерений поддерживает процесс оценки СУИБ и помогает определить, требуется ли изменять или совершенствовать какие-либо из процессов или средств управления СУИБ.

С января 2012 г. в России введен в действие ГОСТ Р ИСО/МЭК 27004–2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения», идентичный ISO/IEC 27004:2009.

Стандарт ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management» (Информационная технология. Методы и средства обеспечения безопасности. Управление рисками ИБ) содержит общее руководство по управлению рисками ИБ, которое может быть использовано в различных типах организаций – коммерческих, некоммерческих, государственных.

---

С декабря 2011 г. в России введен в действие ГОСТ Р ИСО/МЭК 27005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», идентичный ISO/IEC 27005:2008 и заменяющий ГОСТ Р ИСО/МЭК ТО 13335–3–2007 «Методы менеджмента безопасности информационных технологий» и ГОСТ Р ИСО/МЭК ТО 13335–4–2007 «Выбор защитных мер».

20. 
    Каковы основные цели построения УНБ, соответствующей требованиям стандартов ВS 25999 и 25777?
    

В соответствии со стандартом ВS 25999 «Менеджмент непрерывности бизнеса» управление непрерывностью бизнеса (УНБ) – это входящий в зону ответственности организации и управляемый ею процесс, позволяющий создать отвечающие целевому назначению стратегическую и оперативную концепции, которые будут обеспечивать:

– проактивное повышение устойчивости организации к нарушению способности выполнять основные задачи;

– протестированный способ восстановления способности организации предоставлять свои основные продукты и услуги на некотором установленном уровне в течение некоторого установленного периода времени после возникновения нештатной ситуации;

– подтвержденную способность справляться с нештатными ситуациями и защищать репутацию и бренд организации.

Все организации, независимо от их размера, имеют цели и задачи, такие как расширение, предоставление услуг и приобретение других предприятий. Выполнение этих задач и достижение целей обычно реализуется с помощью стратегических планов – краткосрочных, среднесрочных и долгосрочных. Понимание важности программы УНБ на уровне руководства гарантирует, что эти цели и задачи не будут подвергаться риску в результате неожиданных нарушений нормальной деятельности организации.

Управление непрерывностью бизнеса – это процесс, дополняющий концепцию управления рисками, направленную на выявление рисков, которым подвергаются производственные процессы и деятельность организации, а также на определение возможных последствий этих рисков.

Процесс управления рисками ориентирован на те риски, которым подвергаются основные продукты и услуги, предоставляемые организацией. Разнообразные инциденты способны прервать предоставление продуктов и услуг, эти инциденты трудно предсказать и их причины трудно анализировать.

Эти знания позволят организации реально оценить ответные действия, которые могут потребоваться в случае нештатной ситуации, поэтому она приобретает уверенность в том, что справится со всеми последствиями без недопустимой задержки в предоставлении продуктов или услуг.

---

Реализация необходимых мер по управлению непрерывностью бизнеса позволяет организации воспользоваться более рискованными бизнес-возможностями.

21. 
    В чем может заключаться различие между требованиями к системам управления непрерывностью бизнеса и к процессу управления непрерывностью бизнеса?
    

Системой управления называют систему, в которой реализуются функции управления. Она объединяет управляющую систему и систему связи. Требования к системам управления непрерывностью бизнеса устанавливают, как и какие именно процессы происходят в системе в случае инцидентов и нарушения ее деятельности.

Назначение процесса – управление деятельностью организации; результат – деятельность всей организации. Требования к процессу управления непрерывностью бизнеса устанавливают, как происходит процесс, что подается на вход и что получается на выходе.

22. 
    Каковы основные цели следования модели PDCA при построении процесса управления инцидентами ИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК ТО 18044?
    

В качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:

– события ИБ должны быть обнаружены и эффективно обработаны, в частности определены как относящиеся или не относящиеся к инцидентам ИБ;

– идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;

– воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо минимизировать соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов плана(ов) обеспечения непрерывности бизнеса;

– из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер ИБ, улучшения общей системы менеджмента инцидентов ИБ.

Для достижения целей в соответствии с пунктом управление инцидентами ИБ подразделяют на четыре отдельных этапа:

1) планирование и подготовка;

2) использование;

3) анализ;

4) улучшение.

Этапы менеджмента инцидентов ИБ аналогичны процессам модели PDCA, используемой в международных стандартах ИСО 9000 и ИСО 14000.

23. 
    Какие тенденции характерны для развития стандартизации управления ИБ в Российской Федерации?
    

---

Смотрите также файлы

• Как вы понимаете термин Конвергенция Конвергенция.docx

• Отстік азастан мемлекеттік фармацевтика академиясы Жпалы аурулар жне дерматовенерология кафедрасы студентті зіндік жмысына арналан дістемелік деу.doc

• Дисциплина Дистанционное психологическое консультирование и диагностика Практическое задание 2, Модуль 2.doc

• Владимир Креститель земли Русской.docx

• В Декамероне она заменяется проблемой отношения человека к человеку.docx