1.
Стандарты по управлению
информационной безопасностью
Профессор Сизов В.А.,
д.т.н., профессор

2.
Семейство стандартов СМИБ (АСЗИ ?)

3.
Стандарты систем менеджмента (управления)
CoBIT 5
ITIL v3 ITSM ИСО 20000
ИСО 27ХХХ
PCI DSS
СТО БР
ИББС
ИСО 900Х
COSO Управление рисками организации:
Комитет спонсорских организаций
Комиссии Тредвея (COSO):
«Концептуальные основы внутреннего
контроля»
Что?
Как?

4.
ИСО 27001-2005,
первое издание 2005-10-15
ИСО 27001-2013
второе изда, ние 2013-10-01
ИТ. Методы защиты системы менеджмента защиты информации. Требования
Information technology – Security techniques – Information security management
systems – Requirements
Авторский перевод компании SITMA: ИТ. Методы обеспечения безопасности -
Системы менеджмента ИБ. Требования
Подготовлен JTC. Для опубликования
нового стандарта необходимо > 75%
голосов членов организации,
принимающих участие в голосовании
Подготовлен Объединенным
техническим комитетом JTC. Данное
второе издание отменяет и заменяет
первое издание ISO27001:2005
Данное первое издание отменяет и
заменяет ISO 9000 – 3: 1997
Пересмотрено
Которое было усовершенствовано с
целью соответствия ISO9001:2000
JTC. Информационные технологии.
Подкомитет SC27 Методики защиты
ИТ

5.
ИСО 27001-2005 ИСО 27001-2013
Содержание
совпадают
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Система менеджмента защиты инф. 4.Контекст организации
5. Ответственность руководства 5. Лидерство
6. Внутренние аудиты СМИБ 6.Планирование
7. Анализ СМИБ со стороны
руководства
7. Поддержка
8. Улучшение СМИБ 8. Эксплуатация
СМИБ - система менеджмента защиты информации, Information Security Management System
(ISO27001-2005), в ИСО 27000-2014 – система менеджмента информационной безопасности, хотя
английские названия совпадают - новые переводы Консультант плюс и SITMA дают именно такой
новый перевод

6.
ИСО 27001-2005 ИСО 27001-2013
Приложение А (обязательное) Цели
управления и средства управления
9. Оценка результативности
Приложение В (информационное)
Принципы OECD и этот международный
стандарт
10. Улучшение
Приложение С (информационное)
Соответствие между ISO 9001:2000,
ISO14001:2004 и этим международным
стандартом
Приложение А (обязательное). Каталог
целей управления и элементов
управления
Библиография
Таблица А.1. Цели управления и средства
управления
Таблица В.1. Принципы OCDE и модель
PDCA – Plan –Do – Check – Act –
процессный подход – цикл Шухарта -
Деминга
Таблица С.1. Соответствие между ISO
9001:2000, ISO 14001:2004 и этим
международным стандартом
Примечание к ИСО 27001-2005
OCDE – Organization for Economic Co-operation And Development-Организация экономического
сотрудничества и развития

7.
ИСО 27001-2005 ИСО 27001-2013
Стандарт предоставляет модель для
- Создания
- Внедрения
- Эксплуатации
- Постоянного контроля
- Анализа
- Поддержания в рабочем состоянии
- Улучшения СМЗИ - система
менеджмента защиты информации
Стандарт предназначен для выполнения
требований к
- Созданию
- Внедрению
- Поддержанию
- Постоянному улучшению СМИБ
(Системы менеджмента
информационной безопасности - не
точный перевод в новом стандарте)
Принятие СМИБ – стратегическое
решение для организаций
Внешние изменчивые факторы
воздействия на СМИБ:
- Потребности
- Цели организации
- Требования к безопасности
- Процессы организации
- Размер
- Структура ИТ

8.
ИСО 27001-2005 ИСО 27001-2013
СМИБ обеспечивает
- Конфиденциальность
- Целостность
- Доступность информации
За счет применения процесса
менеджмента рисков
Придает уверенность заинтересованным
сторонам в том, что рисками адекватно
управляют
Важно, чтобы 1. СМИБ являлась частью и была
интегрирована с процессами организации
и общей структурой управления
2. Требования к ИБ были учтены при
разработке бизнес-процессов, ИС и
элементов управления организацией
3. Внедрение СМИБ масштабировалось с
потребностями организации
Стандарт можно использовать для оценки
соответствия заинтересованными
внешними и внутренними сторонами
Стандарт может использоваться
внешними и внутренними сторонами для
оценки способности организации
выполнить собственные требования
организации к ОБИ
Из COBIT

9.
ИСО 27001-2005 ИСО 27001-2013
Процессный подход: модель Шухарта –
Деминга PDCA Plan –Do-Check-Act :
Планирование – Осуществление –
Проверка – Действие для структуризации
всех процессов СМИБ
Порядок рассмотрения стандарта не
важен. Элементы стандарта нумеруются в
справочных целях
03 02
Совместимость с другими системами менеджмента и с др. стандартами
Соответствие стандарту не дает
иммунитета от правовых обязательств
Стандарт применяет высокоуровневую
структуру, идентичные наименования
разделов, идентичный текст, ссылаясь на
серию стандартов для СМИБ: ISO 27003,
ISO 27004, ISO 27005
Общий подход, определенный в
приложении, будет полезен для тех
организаций, которые предпочитают
управлять единой системой менеджмента,
отвечающей двум или более стандартам
для систем менеджмента

10.
Процессная модель Шухарта-Деминга в
применении к процессам СМИБ

11.
Цикл PDCA в ИСО 27001-2005
Очевидно из модели: кроме разработки правил управления и обеспечения безопасности, не
менее важно обеспечить цикличность всех процессов по управлению безопасностью, чтобы
все процедуры последовательно проходили этапы модели PDCA

12.
Процессная модель Шухарта-Деминга в
применении к процессам СМИБ

13.
ИСО 27001-2005 ИСО 27001-2013
1. Область применения
Стандарт для всех типов организаций.
Устанавливает требования к
- созданию
- внедрению
- Эксплуатации
- Постоянному контролю
- Анализу
- Поддержанию в работоспособном
состоянии
- Улучшает документирование СМИБ в
контексте бизнес-рисков
Устанавливает требования к:
- Разработке
- Внедрению
- Поддержке
- Постоянному улучшению СМИБ в
контексте организации
Требования к оценке и обработке рисков
ИБ в соответствии с потребностями
организации
Все требования стандарта важны.
Исключения не допускаются!

14.
ИСО 27001-2005 ИСО 27001-2013
2.Нормативные ссылки
ISO/IEC 17799:2005 Information Technology –
Security Techniques – Code of Practice for
information security management
ИТ. Технологии защиты. Кодекс практики для
управления информационной безопасностью
ISO/IEC 27000. ИТ – методы обеспечения
безопасности –Системы менеджмента
информационной защиты – Введение и словарь
3. Термины и определения
Дан перечень терминов и определений Применены термины и определения ИСО 27000-
2014. Приведены в сравнении в отдельном
документе.
4. Система менеджмента защиты информации 4. Контекст организации
4.1. Общие требования 4.1. Понимание организации и ее контекста
Организация должна создать, внедрить,
эксплуатировать, постоянно контролировать,
анализировать, поддерживать в рабочем
состоянии и улучшать документированную СМИБ
в контексте целостной деловой деятельности
организации и рисков. Для этого цикл PDCA
Организация должна определить внешние и вн
аспекты, имеющие отношение к ее цели и
влияют на ее способность к достижению
ожидаемых результатов от системы
менеджмента ИБ. Определение этих аспектов
относится к установлению внешнего и вн
контекста организации в соответствии с п. 5.3
ISO 31000:2009

15.
ИСО 27001-2005 ИСО 27001-2013
4.2. Создание и менеджмент СМИБ 4.2.Понимание потребностей и ожиданий
заинтересованных сторон
Организация должна
a) Определить область приложения и границы СМЗИ
в терминах характеристик
бизнеса, организации, ее местоположения, активов
и технологий, также
включая подробности и обоснования любых
исключений из области применения
b) Определить политику в отношении СМЗИ в
терминах характеристик бизнеса,
организации, ее местоположения, активов и
технологий
c) Определить подход к оценке риска
d) Выявить риски…..
Организация должна определить:
А. заинтересованные стороны в СМИБ
Б. требования их к ОБИ: законодательные,
нормативные, договорные обязательства
4.3. Требования к документации 4.3.Определение области применения
СМИБ
Организация должна определить границы области
и возможность применения СМИБ:
А. внешние и вн аспекты по п. 4.1.
Б. Требования по п. 4.2.
В. Интерфейсы и зависимости между
деятельностью организации и деятельностью
других организаций.
Область д.б. задокументирована

16.
ИСО 27001-2005 ИСО 27001-2013
4.4. СМИБ
Организация должна создать СМЗИ,
реализовать и эксплуатировать СМЗИ,
постоянно контролировать и
анализировать, поддерживать в рабочем
состоянии и улучшать СМЗИ,
Организация должна разработать,
внедрить, поддерживать и постоянно
совершенствовать СМИБ в соответствии с
настоящим стандартом

17.
ИСО 27001-2005 ИСО 27001-2013
5. Ответственность руководства 5. Лидерство
5.1. Обязательства руководства 5.1. Лидерство и приверженность
Руководство должно предоставлять подтверждение своих
обязательств по созданию, внедрению, эксплуатации,
постоянному контролю, анализу, поддержанию
в рабочем состоянии и улучшению СМЗИ путем
следующих действий
Высшее руководство должно
продемонстрировать лидерство и
приверженность по отношению к СМИБ путем:
А) создать политику СМЗИ;
b) обеспечить создание целей и планов СМЗИ;
c) определить роли и ответственности ЗИ;
d) довести до сведения организации важности
выполнения целей ЗИ и соответствия политике ИБ,
ответственности организации в соответствии с законом и
потребности организации в
непрерывном улучшении;
e) обеспечить достаточное количество ресурсов для
создания, внедрения, эксплуатации, постоянного
контроля, анализа, поддержания в рабочем состоянии и
улучшения СМЗИ;
f) принять решения о критериях принятия риска и
приемлемых уровнях риска;
g) обеспечить проведения внутренних аудитов СМЗИ и
h) проведение анализа со стороны руководства СМЗИ
• Выполнения политики ИБ и целей ИБ,
совместимых со стратегическими задачами
организации
• интеграции требований СМИБ в процессах
организации
• Того, чтобы ресурсы для СМИБ, были
доступны
• Обеспечения того, чтобы СМИБ позволила
достигать желаемых результатов
• Поддержки и управления персоналом,
способствующим повышению
результативности СМИБ
• Содействия постоянному улучшению
• Поддержки других соответствующих ролей
управления с целью демонстрации ими
лидерских качеств в применении к сфере их
ответственности

18.
ИСО 27001-2005 ИСО 27001-2013
5.2. Менеджмент ресурсов 5.2.Политика
Организация должна определить и обеспечивать
ресурсы для следующего
Высшее руководство должно разработать
политику ИБ, которая:
А) создать, внедрить, эксплуатировать, постоянно
контролировать, анализировать, поддерживать в
рабочем состоянии и улучшать СМЗИ;
b) гарантировать, что процедуры ЗИ
поддерживают деловые требования;
c) выявить и рассматривать законодательные и
нормативные требования, а также
договорные обязательства по защите;
d) поддерживать в рабочем состоянии
адекватную защиту
e) проводить анализ и реагировать на результаты
этого анализа; и
f) где необходимо, улучшать результативность
СМЗИ
• Соответствует целям организации
• Включает в себя цели ИБ (по п. 6.2) или
обеспечивает основу для постановки целей
ИБ
• Включает в себя обязательства
удовлетворить применимые требования к ИБ
• Включает обязательства постоянного
улучшения СМИБ
5.2.2.Подготовка осведомленность и
компетентность
Требования к политике ИБ:
должна
• Быть доступна в виде документов
• Быть доведена до сведения персонала
организации
• Быть доступна всем заинтересованным
сторонам в случае необходимости

19.
ИСО 27001-2005 ИСО 27001-2013
6. Внутренние аудиты СМЗИ 5.3. Организационные роли, обязанности,
полномочия
Организация должна проводить внутренние
аудиты СМЗИ через запланированные
интервалы, с целью определить:
Высшее руководство должно обеспечить,
чтобы ответственность и полномочия
ролей ИБ были определены и
делегированы для
a) соответствуют ли требованиям этого
стандарта и относящихся к ним законов или
нормы;
b) соответствуют ли выявленным
требованиям ЗИ;
c) эффективно ли реализуются и
поддерживаются в рабочем состоянии; и
d) выполняются ли, как ожидается
цели управления, средства управления,
процессы и процедуры СМЗИ
• Чтобы СМИБ соответствовала
требованиям данного стандарта
• Постоянного информирования высшего
руководства о результативности СМИБ
Руководство, ответственное за проверяемую
область, должно гарантировать, что
действия по устранению обнаруженных
несоответствий и их причины
предпринимаются без ненужной задержки.
Высшее руководство может распределять
ответственность и делегировать
полномочия нескольким ответственным
лицам

20.
ИСО 27001-2005 ИСО 27001-2013
7. Анализ СМЗИ со стороны руководства 6.Планирование
7.1. Общие положения 6.1.Действия по обработке рисков и
возможностей
6.1.1. Общие требования
Руководство должно анализировать СМЗИ через
запланированные интервалы (по крайней мере,
один раз в год), чтобы гарантировать ее
постоянную пригодность, адекватность и
результативность.
Для планирования СМИБ организация должна
учитывать аспекты п. 4.1, требования п.4.2, и
определить риски и возможности, которые
должны быть направлены на
Анализ должен включать в себя
оценивание возможностей для улучшения и
потребности в изменениях СМЗИ, включая
политику ИБ и цели ЗИ.
• Обеспечение того, чтобы СМИБ позволила
достигать желаемых результатов
• Предотвращение или уменьшение
нежелательных эффектов
• Обеспечения непрерывного
совершенствования
Результаты анализа должны быть четко
документированы, а записи должны
поддерживаться в рабочем состоянии
Организация должна планировать
• меры по обработке этих рисков и
возможностей
• Действия
- по интеграции и осуществлению работ в
процессах СМИБ
- по оценке результативности этих работ

21.
ИСО 27001-2005 ИСО 27001-2013
7.2. Входные данные для анализа 6.1.2.Оценка рисков ИБ
7.3. выходные данные для анализа Организация должна определить и внедрить
процесс оценки рисков ИБ, на основании
которого:
• Установить и поддерживать критерии для
рисков ИБ, которые включают
- критерии принятия рисков
- критерии для проведения оценки рисков ИБ
• Гарантировать, что повторная оценка рисков
ИБ позволит получить логичные,
обоснованные и сопоставимые результаты
• Определить риски ИБ
- Применить процесс оценки рисков ИБ для
выявления рисков потери конфиденциальности,
целостности и доступности информации
- Определить владельцев рисков
• Проанализировать риски ИБ
- оценить возможные последствия
- определить реальную вероятность рисков
- определить уровни рисков
• Оценить риски ИБ
- сравнить результаты анализа рисков с
критериями
- установить приоритеты рисков

22.
ИСО 27001-2005 ИСО 27001-2013
6.1.3.Обработка рисков ИБ
Организация должна
• определить и внедрить процесс
обработки рисков ИБ
• Сохранять документированную
информацию о процессе обработки
рисков ИБ
6.2. Цели ИБ и планирование их
достижения
Орг должна установить цели ИБ для
соответствующих функций и на
соответствующих уровнях
Требования к целям ИБ:
• Соответствовать политике ИБ
• Быть измеримыми (если возможно)
• Принимать во внимание действующие
требования ИБ, результаты оценки и
обработки рисков
• Быть известны соответствующему
персоналу организации
• Обновляться по мере необходимости

23.
ИСО 27001-2005 ИСО 27001-2013
При планировании мер по достижению
своих целей ИБ орг должна определить:
• Что будет сделано
• Какие ресурсы потребуются
• Кто будет нести ответственность
• Когда меры будут реализованы
• Как будут оцениваться результаты
7. Поддержка
7.1. Ресурсы
Орг должна определить и предоставить
ресурсы, необходимые для разработки,
внедрения, поддержки и постоянного
улучшения СМИБ
7.2. Компетенции
• Определить компетентность персонала
• Обеспечить ее (тренинги, меры,
оценить их эффективность)
• Сохранять документированную
информацию

24.
ИСО 27001-2005 ИСО 27001-2013
7.3.Осведомленность
Персонал д.б. осведомлен
• о политике ИБ
• О вкладе в повышение
результативности СМИБ, включая
выгоды от улучшения состояния
информзащиты
• О последствиях в результате
невыполнения требований СМИБ
7.4.Коммуникации
Орг. Должна определить необходимые
внешние и вн. Коммуникации относящиеся
к СМИБ
• О чем коммуницировать
• Когда
• С кем
• Кто должен участвовать
• Процессы, посредством которых
коммуницировать

25.
ИСО 27001-2005 ИСО 27001-2013
Документированная процедура для
корректирующего действия должна определять
требования для следующего:
7.5.Документированная информация
7.5.1.Общие требования
a) выявление несоответствий;
b) определение причин несоответствий;
c) оценивание потребности в действиях, чтобы
гарантировать, что несоответствия
не возникнут снова
• Документация согласно стандарту
• Документы, определенные
организацией, как необходимые для
обеспечения результативности СМИБ
d) определение и реализация требующихся
корректирующих действий;
e) записывание результатов предпринятых
действий (см. п.4.3.3); и
f) анализ предпринятого корректирующего
действия
Детализация может отличаться в
зависимости от
- размера орг
- сложности процессов и их
взаимодействия
- Компетенции персонала
7.5.2.Создание и обновление
• Идентификацию и описание
• Оформление
• Рассмотрение и утверждение на
предмет пригодности
7.5.3.Управление документированной
информацией

26.
ИСО 27001-2005 ИСО 27001-2013
8. Эксплуатация
8.3.Предупреждающие действия 8.1. Оперативное планирование и контроль
Орг должна определить действие для устранения
причины возможного несоответствия
требованиям СМЗИ для того, чтобы предотвратить
его возникновение.
Орг должна планировать, внедрять и
контролировать процессы, необходимые для
выполнения требований ИБ и реализации
действий по п. 6.2
Предпринятые предупреждающие действия
должны соответствовать негативному влиянию
возможных проблем.
8.2.Оценка рисков ИБ через запланированные
интервалы времени
Документированная процедура для
предупреждающего действия должна определять
требования для следующего
8.3. Обработка рисков ИБ – по плану. Сохранять
документы
А) выявление возможных несоответствий и их
причин;
b) оценивание потребности в действии, имеющем
целью предотвратить случай несоответствия;
c) определение и реализация требуемого
предупреждающего действия;
d) записывание результатов предпринятого
действия и
e) анализ предпринятого предупреждающего
действия.
9. Оценка результативности
9.1. Мониторинг, измерение, анализ и оценка
9.2. Внутренний аудит
9.3.Анализ со стороны руководства

27.
ИСО 27001-2005 ИСО 27001-2013
8. Улучшение СМЗИ 10. Улучшение
8.1. Постоянное улучшение 10.1.Несоответствие и корректирующие
действия
Организация должна постоянно улучшать
результативности СМЗИ посредством
использования политики защиты информации,
целей защиты информации,
результатов аудита, анализа наблюдаемых
событий, корректирующих и
предупреждающих действий и анализа со
стороны руководства
• Реагировать на несоответствия
• Оценить необходимость принятия
действий для устранения причин
несоответствия для предотвращения
повторения
• Реализовать любые необходимые
корректирующие действия
• Проанализировать результативность
выполнения корректирующих действий
• При необходимости внести изменения в
СМИБ
8.2. Корректирующие действия Корректирующие действия д.б.
адекватными последствиям выявленных
несоответствий
Сохранять документацию
10.2.Постоянное улучшение

28.
ИСО 27001-2005 ИСО 27001-2013
Приложение А (обязательное)
Цели и средства управления
Приложение А (обязательное)
Каталог целей управления и элементов
управления
А5. Политика ИБ Цели и элементы управления
принимаются непосредственно на основе
тех, которые приведены в ISO27002-2013
Таблица A.1 — Цели управления и средства
управления
Таблица А.1. Цели управления и элементы
управления
А.5.1.1.Документ политики ИБ А5. Политика ИБ
Управление
Документ политики в области защиты
информации
должен быть утвержден руководством, а также
опубликован и доведен до сведения всех
сотрудников и имеющих отношение к делу
заинтересованных сторон
А.5.1.2. Анализ политики ИБ
Наставления менеджмента для ИБ: - --
• определить политику, утвердить,
опубликовать, довести до сотрудников
и внешних сторон
• Пересматривать политику через
запланированные промежутки времени
или в случае значительных изменений
с целью обеспечения их постоянной
пригодности, адекватности,
эффективности

29.
ИСО 27001-2005 ИСО 27001-2013
А.6.Организация защиты информации А.6. Организация информзащиты
А.6.1. Внутренняя организация А.6.1.Внутренняя
А.6.1.1.Обазанности руководства А.6.2.Мобильные устройства и
дистанционная работа
А.6.1.2.Координация защиты информации А.7. Безопасность, связанная с
персоналом
А.6.1.3.распределение ответственности за
ЗИ
А.7.1. перед наймом на работу
А.6.1.4. Процесс получения разрешения для
средств, обрабатывающих Информацию
А.7.2. Во время работы
А.6.1.5. Соглашения о конфиденциальности А.7.3.Увольнение и изменение должности
А.6.1.6.Контакты с властями А.8. Управление активами
А.6.1.7. Контакты со спец группами
(профессионалами по ИБ)
А.8.1.Ответственность за активы
А.6.1.8.Независимый анализ ИБ А.8.2.Классификация информации
А.6.2.Внешние стороны А.8.3. Приемлемое использование
носителей информации

30.
ИСО 27001-2005 ИСО 27001-2013
А.7.Менеджмент активов А.9. Управление доступом
А.7.1.Ответственность за активы А.9.1.Требования бизнеса по управлению
доступом
А.7.2.Классификация информации А.9.2.Управление доступом пользователей
А.8.Защита человеческих ресурсов А.9.3.Ответственность пользователя
А.8.1. Перед наймом на работу А.9.4.Управление доступом к системе и
приложениям
А.8.2. Во время работы А.10. Криптография
А.8.3. Окончание или изменение работы по
найму
А. 10.1.Управление средствами
криптографии
А.9. Физическая защита и защита от
окружающей среды
А.11. Физическая безопасность и защита
от окружающей среды
А.9.1. Зоны безопасности А.11.1. Зоны безопасности
А.9.2. Защита оборудования А.11.2. Безопасность оборудования

31.
ИСО 27001-2005 ИСО 27001-2013
А.10 Менеджмент средств и эксплуатации А.12.Безопасность при обработке
информации
А.10.1.Процедуры эксплуатации и
ответственность
А.12.1.Операционные процедуры и
ответственность
А. 10.2. Менеджмент предоставления услуг
третьей стороны
А.12.2.Защита от вредоносного ПО
А.10.3. планирование и приемка систем А.12.3.Резервное копирование
А.10.4.Защита от злонамеренного и
мобильного кодирования
А.12.4.Логии мониторинг
А.10.5. Резервное копирование А.12.5.Контроль системного ПО
А.10.6.Менеджмент защиты сети А.12.6.Управление техническими
уязвимостями
А.10.7.Обработка носителей информации А.12.7.Проведение аудита
информационных систем
А.10.8. Обмен информацией
А.10.9. Услуги электронной торговли

32.
ИСО 27001-2005 ИСО 27001-2013
А.10.10. постоянный контроль А.13.Безопасность связи
А.11. Управление доступом А.13.1.Управление сетевой безопасностью
А.11.1.Деловые требования к управлению
доступом
А.13.2.Передача информации
А.11.2. Управление доступом
пользователей
А14.Приобретение, разработка и
поддержка систем
А.11.3. Ответственность пользователя А.14.1.Требования безопасности к ИС
А.11.4. Управление доступом к сети
А.11.5.Управление доступом к
операционной системе
А.11.6.Управление доступом к
приложениям и информации
ИБ должна быть неотъемлемой частью ИС
в течение всего их жизненного цикла.
Также включены требования к ИС, которые
предоставляют сервисы по
общедоступным сетям.
А.11.7.Мобильная обработка и
телеобработка
А.14.2.ИБ при разработке и при
вспомогательных процессах
А.12. Приобретение, разработка и
поддержание в рабочем состоянии
информационных систем
А.14.3.Тестовые данные

33.
ИСО 27001-2005 ИСО 27001-2013
A.13 Менеджмент инцидентов в системе
защиты информации
А.15. Взаимоотношения с поставщиками
A.14 Менеджмент непрерывности бизнеса А.15.1.ИБ при взаимоотношениях с
поставщиками
A.15 Соответствие А.15.2.Управление поставками
А.15.1.Законодательным требованиям А.16. Управление инцидентами ИБ
A.15.2 Соответствие политике и стандартам
защиты, а также техническое
соответствие
А.16.1.Управление инцидентами ИБ и
улучшения
A.15.3 Обдумывание аудита информационных
систем
А.17.Аспекты ИБ при управлении
непрерывностью бизнеса
А.17.1.Непрерывность ИБ
А.17.2.Избыточность
А.18.Соответствие требованиям
А.18.1. Соответствие законодательным и
контрактным требованиям
А.18.2.Пересмотр (аудит) ИБ

34.
Выводы: ОБА стандарта
1. Оба стандарта содержат рекомендации о том, что должно быть
сделано, но мало о том, как и в какой последовательности это
делать
2. Оба стандарта указывают на то, что они должны соблюдаться в
полном объеме. Невыполнение хотя бы части не гарантирует
достижения целей СМИБ
3. Оба стандарта не содержат мотивации персонала
4. Оба стандарта не учитывают финансовых затрат на их
выполнение и не предлагают мер планирования бюджета
организации
5. В методологическом смысле оба стандарта полезны для
применения на практике, поскольку в разных формулировках, но
по сути рекомендуют системный и процессный подходы к
защите информации.

35.
Выводы по отдельности
1. Новый стандарт самодостаточен в смысле реализации в нем всего необходимого в части
терминов, рекомендаций, содержит ограниченное число ссылок на стандарты других серий:
только на ИСО 31000:2009, остальные на стандарты своей серии 2700Х.
2. Стандарт ИСО27001:2005 содержит раздел терминов, а 27001:2013 - нет, но ссылается на
общую терминологию в ИСО 27000:2014
3. Старый стандарт менее структурирован, практически изжил себя в смысле соответствия
интересам бизнеса (согласно COBIT-5)
4. В старом стандарте термин «управление» (control) используется как синоним «мера»
(measure)
5. СМИБ – часть общей системы управления организацией, основанной на подходе деловых
рисков, с целью ( в старом стандарте)
- создать,
- внедрить,
- эксплуатировать,
- постоянно контролировать,
- анализировать,
- поддерживать в рабочем состоянии и улучшать защиту информации.
6. СМИБ (в старом) включает орг структуру (объект), политику (объект), деятельность по
планированию (процесс), ответственность, практики, процедуры, процессы и ресурсы

36.
ISO/IEC 27001:2013 Information security management systems. Requirements — Система менеджмента
информационной безопасностью. Требования.
ISO/IEC 27000:2014 Information security management systems. Overview and vocabulary — Система
менеджмента информационной безопасности. Обзор и терминология.
ISO/IEC 27002:2013 Code of practice for information security management — Практические правила по
управлению информационной безопасностью.
ISO/IEC 27003:2010 Information Security Management Systems Implementation Guidance — Руководство
по внедрению системы менеджмента информационной безопасностью.
ISO/IEC 27004:2009 Information security management. Measurement — Измерение эффективности
системы менеджмента информационной безопасностью.
ISO/IEC 27005:2011 Information security risk management — Управление рисками информационной
безопасности.
ISO/IEC 27006:2011 Requirements for bodies providing audit and certification of information security
management systems — Требования к органам аудита и сертификации систем менеджмента
информационной безопасностью.
ISO/IEC 27007:2011 Guidelines for Information Security Management Systems auditing (FCD) —
Руководство для аудита СМИБ.
ISO/IEC 27008:2011 Guidance for auditors on ISMS controls (DRAFT) — Руководство по аудиту
механизмов контроля СМИБ.
ISO/IEC 27011:2008 Information security management guidelines for telecommunications organizations
based on ISO/IEC 27002 — Руководство по управлению информационной безопасностью для
телекоммуникаций на основе ISO/IEC 27002.
ISO/IEC 27799:2008 Information security management in health using ISO/IEC 27002 — Руководство по
управлению информационной безопасностью для организаций здравоохранения на основе ISO/IEC
27002.
Семейство стандартов ISO27000

37.
ИСО 27001-2005 ИСО 27000-2013
3.Термины и определения
2.1 Контроль доступа (access control):
обеспечение того, чтобы доступ к активам (2.3)
был санкционирован и ограничен в соответствии
с требованиями коммерческой тайны и
безопасности.
2.2 Подотчётность (accountability):
ответственность субъекта за его действия и
решения.
3.1. Актив – то, что имеет ценность для
организации
2.3. То же + типы активов:
• Информация
• ПО
• Материальные
• Услуги
• Люди (квалификация, навыки)
• Нематериальные активы (репутация, опыт)
2.4. Атака (attack): попытка уничтожения,
открытия доступа, внесения изменения, вывода
из строя, кражи, получения
несанкционированного доступа или
несанкционированного использования актива
2.5 Аутентификация (authentication):
обеспечение гарантии того, что заявленные
характеристики объекта правильны.

38.
ИСО 27001-2005 ИСО 27000-2013
3.Термины и определения
2.6 Подлинность (authenticity): свойство,
гарантирующее, что субъект или ресурс
идентичен заявленному.
2.7 Доступность (availability): свойство быть
доступным и готовым к использованию по
запросу авторизованного субъекта.
2.8 Непрерывность бизнес-процессов (business
continuity): процессы (2.31) и/или процедуры
(2.30) для обеспечения непрерывных операций.
2.9 Конфиденциальность (confidentiality):
свойство информации быть недоступной и
закрытой для неавторизованных лиц, субъектов
или процессов (2.31).
2.10 Средства управления (control): средства
управления риском (2.34), включая политики
(2.28), процедуры (2.30), рекомендации (2.16),
практики или организационные структуры,
которые могут носить административный,
технический, управленческий или юридический
характер.

39.
ИСО 27001-2005 ИСО 27000-2013
3.Термины и определения
2.19 Информационная безопасность
(information security): сохранение
конфиденциальности (2.9), целостности (2.25)
и доступности (2.7) информации.
Примечание. Также сюда могут быть включены
другие свойства, такие как подлинность (2.6),
подотчётность (2.2), неотказуемость (2.27) и
достоверность (2.33).
2.21 Инцидент информационной безопасности
(information security incident): одно или серия
нежелательных или неожиданных событий в
системе информационной безопасности (2.20),
которые имеют большой шанс подвергнуть риску
деловые операции и поставить под угрозу
информационную безопасность (2.19).
2.45 Угроза (threat): возможная причина
нежелательного инцидента, который может
закончиться ущербом для системы или
организации.
2.46 Уязвимость (vulnerability): слабость актива
(2.3) или средства управления (2.10), которой
может воспользоваться угроза (2.45).