Состав серии стандартов ИСО/МЭК 27000 (ISO/IEC 2007)

• ИСО/МЭК 27000 «Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь»;
• ИСО/МЭК 27001:2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
• ИСО/МЭК 27002:2005 «Информационные технологии. Средства обеспечения. Свод практики для менеджмента информационной безопасности»;
• ИСО/МЭК 27003 «Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности»;
• ИСО/МЭК 27004 “Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности»;
• ИСО/МЭК 27005:2008 «Информационные технологии. Средства обеспечения безопасности. Риск-менеджмент информационной безопасности»;
• ИСО/МЭК 27006:2007 «Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности»;
• ИСО/МЭК 27007 «Информационные технологии. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности»;
• ИСО/МЭК 27011 «Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций».

Стандарт ИСО/МЭК 27001 (ISO/IEC 27001) устанавливает требования

lпо разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности среди общих бизнес-рисков организации;

lпо внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности.

Целью построения системы менеджмента информационной безопасности является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Настоящий стандарт согласован со стандартами ИСО 9001 (ISO 9001) и ИСО 14001 (ISO 14001) в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.

В Российской Федерации международным стандартам ИСО/МЭК 27001:2005 и ИСО/МЭК 27002:2005 соответствует следующие стандарты соответственно:

• ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
• ГОСТ Р ИСО /МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».

Кроме того в Российской Федерации на безопасность информационных технологий действуют следующие стандарты:

• ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;
• ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
• ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности»;
• ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты»;
• ЦБР СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

ГОСТ Р ИСО/МЭК 27002-2012

Следуя рекомендациям ГОСТ Р ИСО/МЭК 27002-2012: оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуации, связанной с риском, например, в отношении активов, угроз, уязвимостей, воздействий, оценивания рисков.

Прежде чем рассмотреть обработку некоего риска, организация должна выбрать критерии определения приемлемости или неприемлемости рисков.

В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста.

В результате оценки риска согласно ГОСТ Р ИСО/МЭК 27003-2012 необходимо:

• определить угрозы и их источники;
• определить существующие и планируемые меры и средства контроля и управления;
• определить уязвимости, которые могут в случае угрозы нанести ущерб активам или организации;
• определить последствия потери конфиденциальности, сохранности, доступности, безотказности или нарушения других требований к безопасности для активов;
• оценить влияние на предприятие, которое может возникнуть в результате предполагаемых или фактических инцидентов информационной безопасности;
• оценить вероятность чрезвычайных сценариев;
• оценить уровень риска;
• сравнить уровни риска с критериями оценки и приемлемости рисков

Этапы анализа рисков

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им количественную оценку). Его можно разделить на несколько последовательных этапов:

• Идентификация ключевых ресурсов АС;
• Определение важности тех или иных ресурсов;
• Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
• Вычисление рисков, связанных с осуществлением угроз безопасности.

Идентификация ресурсов

Ресурсы АС делятся на три категории:

• Информационные ресурсы;
• Программное обеспечение;
• Технические средства (файловые серверы, рабочие станции, мосты, маршрутизаторы и т. п.).

В каждой категории ресурсы можно разделить на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность АС и существенны с точки зрения обеспечения безопасности.

Оценка стоимости ресурсов

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. В ходе оценки стоимости ресурсов определяется величина возможного ущерба для каждой категории ресурсов: