Стандартизация в области ИБ: зарубежный опыт. Часть 2
Стандартизация в области ИБ: зарубежный опыт. Часть 2
Стандартизация в области ИБ: зарубежный опыт
Часть 2
Георгий Гарбузов, CISSP, MCSE:Security, дирекция информационной безопасности Страховой группы «УРАЛСИБ»
В первой части статьи мы говорили о международных стандартах в области ИБ, Во второй части мы коснемся некоторых зарубежных отраслевых и национальных (США, Великобритания, Германия) стандартов.
Национальные стандарты NIST серии 800 (США)
Специальные публикации Национального института стандартов и технологий США представляют собой полторы сотни относительно небольших по размеру стандартов и руководств, освещающих отдельную область: безопасность PDA (SP 800-124), защита Web-сервисов (SP 800-95), защита беспроводных технологий (SP 800-48) и т.д. Кстати, один из стандартов (SP 800-30) использовался при разработке международного стандарта ISO 27005 (оценка рисков ИБ).
Разумеется, стандарты NIST в основном применяются на территории США (в частности, государственными организациями), однако, по сути, широко распространены по всему миру, предоставляя специалистам доступные и четкие руководства по защите. Кроме того, некоторые востребованные сегодня публикации, например, SP 800-50 (разработка программы обучения и повышения осведомленности персонала в области И Б), пока не имеют доступных международных аналогов. Публикации NIST SP 800 доступны для свободного скачивания с официального сайта (csrc.nist.gov/publications/PubsSPs.html).
Национальный стандарт BS 25999 (Великобритания)
Национальные стандарты и руководства BSI (Германия)
Агентство разработало и регулярно обновляет три стандарта в области обеспечения ИБ: 100-1 содержит требования к системе управления ИБ, 100-2 касается построения системы управления на практике, 100-3 описывает методологию управления рисками. Кроме того, агентство предлагает сборник IT-Grundschutz Catalogues (Руководство по ИТ-безопасности), являющийся самым объемным (более 2000 страниц) и детальным из существующих. Сборник содержит подробнейшие указания по обеспечению ИТ-безопасности, обширный перечень угроз и защитных мер.
Отраслевой стандарт PCI DSS
Стандарт Data Security Standard (DSS) разработан ассоциацией Payment Card Industry (PCI) и содержит обязательные требования к безопасности ИТ-инфраструктуры (сетевая безопасность, управление доступом, мониторинг и др.) организаций-членов ассоциации PCI. Стандарт распространяется на процессы выпуска и обслуживания кредитных карт, а также платежные системы. Ежегодное прохождение аудита на соответствие PCI DSS является обязательным условием международных платежных систем, а непрохождение аудита может стать основанием для серьезных штрафных санкций.
Стандарт консорциума ISF
Руководства ITU
International Telecommunication Union (ITU, Международный союз электросвязи) является ведущим учреждением ООН в области коммуникационных технологий и занимается стандартизацией в области электросвязи. В числе прочих ITU выпускает рекомендации ITU-Т серии E, представляющие интерес для специалистов в области ИБ. Например, рекомендация ITU-T E.408 содержит требования к безопасности сетей, а рекомендация ITU-T E.409 посвящена построению системы реагирования и обработки инцидентов безопасности. Ознакомиться с рекомендациями ITU-T серии E можно на официальном сайте ITU (www.itu.int/rec/T-REC-E/e).
Публикации The Open group
The Open Group является независимым консорциумом, который объединяет несколько сотен организаций и занимается стандартизацией в различных областях, в том числе и в сфере ИБ. Публикации консорциума охватывают широкий спектр вопросов и представлены в различных уровнях детализации: здесь можно найти и спецификации архитектуры безопасности организации, и руководства по оценке рисков, и стандарты базового уровня безопасности сервисов. Ознакомиться с перечнем публикаций консорциума можно на официальном сайте (www.opengroup.org/bookstore/catalog/se.htm, часть публикаций платная).
Заключение
Однако есть у стандартизации и недостатки, и основным из них видится необдуманное их применение, сопровождающееся ложным чувством защищенности (стандарту ведь соответствуем!). Поэтому понимание того, что ни один стандарт не является панацеей, а их внедрение должно осуществляться с непременным учетом специфики организации, позволит использовать преимущества стандартизации с максимальной эффективностью.
ISO 37001, BS 10500
Система менеджмента противодействия взяточничеству
Коррупция в современном мире уже не является локальной проблемой, она превратилась в транснациональное явление, которое затрагивает общество и экономику всех стран, а также ставит организации под угрозу уголовного обвинения, штрафов, а тот ущерб, который взяточничество способно нанести репутации предприятий часто недооценивают.
К формам проявления коррупционных отношений обычно относятся:
Только за последние годы в различных регионах мира было принято множество деклараций и конвенций, направленных на противодействие коррупции как мировому явлению. В принимаемых конвенциях закрепляются нормы права международного характера, обязательные для стран, ратифицирующих эти конвенции:
Внедрение антикоррупционных конвенций в законодательства государств-участников является важной составляющей противодействия коррупции, так как посредством этого достигается одна из главных целей, ради которой такие конвенции заключались: формирование в национальном законодательстве государства-участника соответствующей нормативно-правовой базы, адресованной физическим и юридическим лицам. Действия последних как раз и служат источником коррупции.
Риски, которым коррупция подвергает организации, можно контролировать с помощью системы менеджмента противодействия коррупции.
В октябре 2016 года международная организация по стандартизации ISO опубликовала международный стандарт ISO 37001 «Система менеджмента противодействия коррупции», который тесно связан с ISO 26000, содействует организациям в предупреждении взяточничества, установлении действий при его обнаружении. Этот стандарт основан на британском стандарте BS 10500:2011 и заменяет его.
Стандарт ISO 37001 может быть применен любой организацией независимо от размеров и видов деятельности организации, форм проявления коррупции, с которыми она сталкивается, а также в любой стране, поскольку способствует соответствию деятельности организации передовым международным практикам и соответствующим нормативно-правовым актам в сфере противодействия коррупции во всех странах, где работает организация.
Комплекс мероприятий, описываемых в стандартах системы менеджмента противодействия взяточничеству, в том числе в ISO 37001, включает в себя:
Преимущества внедрения стандартов
Почему Русский Регистр?
Обратившись в Русский Регистр, Вы имеете уникальную возможность получить:
Выпущен русский перевод второй части британского стандарта по управлению непрерывностью бизнеса BS 25999-2:2007
В то время, как первая часть стандарта (BS 25999-1:2006) содержит общие рекомендации по управлению непрерывностью бизнеса, вторая часть устанавливает требования к системе управления непрерывностью бизнеса, причем только те, соблюдение которых может быть объективно проверено. Используя эти требования, компании могут проводить оценку существующей системы управления непрерывностью бизнеса, как самостоятельно, так и привлекая внешних консультантов. На основании именно второй части стандарта сертификационные органы будут выдавать заключение о соответствии системы управления непрерывностью бизнеса требованиям стандарта BS 25999.
Официальная публикация оригинальной версии стандарта BS 25999-2:2007 состоялась в ноябре 2007 г.
По словам Александра Астахова, генерального директора GlobalTrust: «В 2004 году мы начали реализацию в России первых проектов по созданию систем управления информационной безопасностью (СУИБ) в соответствии с требованиями британского стандарта BS 7799-2:2002, а позднее – международного стандарта ISO/IEC 27001:2005. Как выяснилось, СУИБ не может существовать в отрыве от системы управления непрерывностью бизнеса (СУНБ). Однако стандартизированных требований к СУНБ в то время не существовало. В лучшем случае присутствовали некоторые абстрактные представления о том, как надо разрабатывать план обеспечения непрерывности бизнеса и проводить анализ влияния на бизнес. Сегодня ситуация изменилась и российские компании смогут воспользоваться передовым опытом для обеспечения безопасности и непрерывности своей деятельности».
«Публикация второй части стандарта BS 25999 была как для нас, так и для наших клиентов долгожданным событием, – говорит Алексей Чеканов, генеральный директор компании Алмитек. – Практически любая компания, создавая у себя систему управления непрерывностью бизнеса, хочет иметь некий эталон, с которым можно сравнивать свои достижения. Вне зависимости от того, планирует компания сертификацию на соответствие стандарту или нет, требования стандарта могут быть эффективно использованы для оценки существующего уровня управления непрерывностью бизнеса. Как уже показала практика, выполнив относительно небольшой проект по анализу несоответствий требованиям стандарта (так называемый GAP-analysis), клиент получает четкое понимание, в каких направлениях необходимо развивать систему управления непрерывностью бизнеса. Такой проект может быть выполнен компанией самостоятельно (при наличии внутренних аудиторов), либо мы всегда готовы прийти на помощь нашим клиентам. При этом в обоих случаях наличие русского перевода стандарта сделает работу более комфортной».
В России открыта подготовка сертифицированных экспертов в области Систем Управления Непрерывностью Бизнеса в соответствии с Британским Стандартом BS 25999
Практические курсы, организованные BSI и Академией Информационных Систем, готовят высококвалифицированных экспертов, способных качественно подготовить систему управления непрерывностью бизнеса предприятия к прохождению сертификации в соответствии с требованиями Стандарта BS 25999:2007.
Полная линейка курсов включает в себя следующие курсы:
— Введение в Управление непрерывностью бизнеса на базе BS 25999 (доступны с сентября 2007 года). Ближайшие даты проведения курса 13-14 декабря 2007 года;- Внедрение Системы Управления Непрерывностью Бизнеса, соответствующей требованиям BS 25999-2:2007 (доступны с марта 2008 года);- Подготовка внутренних аудиторов Системы Управления Непрерывностью Бизнеса соответствующей BS 25999-2:2007 (доступны с марта 2008 года).
Интерактивный стиль проведения курсов, содержащий практические упражнения и самостоятельные работы, способствует эффективному усвоению материала, наилучшему пониманию актуальности Стандарта BS 25999, получению объективной оценки необходимости внедрения Стандарта в организации и изучению уникальных методик внедрения положений стандарта и проведения внутреннего аудита.
Курсы предназначены как для практикующих специалистов в области обеспечения непрерывности ведения бизнеса, так и для заинтересованных менеджеров, задачей которых является понимание значения BS 25999 для собственных организаций.Курсы читаются экспертами и практикующими специалистами BSI в области проектирования и внедрения систем менеджмента, обладающими большим опытом и высокой квалификацией.
Справка о British Standards Institution MS Russia (http://www.bsi-russia.com):
Справка об НОУ «Академии Информационных Систем» (http://www.infosystem.ru):
Академия Информационных Систем представлена 8-ю основными направлениями: «Информационная безопасность», «Информационные технологии», «Дистанционное обучение», «Управление проектами», «Бизнес-образование», «Семинары и тренинги», «Экологические промышленные системы» и «Конференции».АИС является авторизованным партнером Microsoft Certified Gold Partner for Learning Solution, British Standards Institution, RIT Technologies, WatchGuard Technologies, ViPNet, Элвис Плюс, а также является региональным центром Международного института менеджмента ЛИНК.Обучение в АИС проводится в соответствии с Государственной лицензией на право ведения образовательной деятельности. АИС имеет государственную аккредитацию и является лицензиатом ФСТЭК России, что дает ей право осуществлять мероприятия и оказывать услуги по технической защите конфиденциальной информации, а также осуществлять разработку и производство средств защиты конфиденциальной информации.Более чем за 10 лет успешной работы АИС обучила свыше 7000 специалистов.АИС является организатором ряда конференций по информационной безопасности и управлению проектами, которые стали общепризнанными научно-практическими мероприятиями федерального значения.АИС обладает уникальной технической базой, которая позволяет в полной мере использовать ее учебный потенциал. Лаборатории оснащены современными программно- аппаратными средствами, необходимыми для проведения практических занятий. Существует мобильная лаборатория, которая используется при выездном обучении на территории Заказчика в любом регионе России и стран СНГ.
Хайров Игорь, Кискин МихаилНОУ «Академия Информационных Систем»+7 (495) 231-3049security@infosystem.ru
Релиз опубликован: 2007-12-04
Trust In, and Value From, Informatеуьзion Systems
Sign in to My ISACA
Help Remember my preferences
ISO 22301:2019 Непрерывность бизнеса
Полное название этого стандарта ― ISO 22301:2019 – Системы управления непрерывностью бизнеса – Требования.
Этот стандарт, написан ведущими экспертами по непрерывности бизнеса, предлагает самую лучшую методологию для управления непрерывностью бизнеса в организации.
Одна из особенностей, которая отличает этот стандарт от других методологий по непрерывности бизнеса, заключается в том, что организация может пройти сертификацию с помощью аккредитованного органа по сертификации, а, значит, будет в состоянии доказать своим клиентам, партнёрам, владельцам и другим заинтересованным лицам своё соответствие требованиям.
Взаимосвязь с BS 25999
ISO 22301:2012 заменил обе части BS25999 и теперь ISO 22301:2019 может рассматриваться как обновлённая версия 22301:2012. Как и большая часть стандартов, ISO 22301:2019 основан на риск-ориентированном подходе. Взаимосвязь можно понять из рисунка ниже:
Каковые преимущества непрерывности бизнеса?
При правильном внедрении, управление непрерывностью бизнеса снизит вероятность инцидента. А если такой инцидент произойдёт, то организация будет готова отреагировать на него соответствующим образом, тем самым, значительно снизив ущерб.
Для кого предназначен стандарт?
Любая организация – большая или маленькая, коммерческая или некоммерческая, частная или государственная. Стандарт задуман таким образом, что его можно применять на предприятии любого размера и типа.
