в каком стандарте рассмотрен подход к менеджменту рисков информационной безопасности
В каком стандарте рассмотрен подход к менеджменту рисков информационной безопасности
ГОСТ Р ИСО/МЭК 27005-2010
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Менеджмент риска информационной безопасности
Information technology. Security techniques. Information security risk management
Дата введения 2011-12-01
Сведения о стандарте
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл»), Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России») на основе собственного аутентичного перевода международного стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. N 632-ст
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.6).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
Настоящий стандарт представляет руководство по менеджменту риска информационной безопасности (ИБ) в организации, поддерживая, в частности, требования к системе менеджмента информационной безопасности (СМИБ) в соответствии с ИСО/МЭК 27001. Однако настоящий стандарт не предоставляет какой-либо конкретной методологии по менеджменту риска информационной безопасности. Выбор подхода к менеджменту риска осуществляется организацией и зависит, например, от области применения СМИБ, контекста менеджмента риска или сферы деятельности. Ряд существующих методологий может использоваться в рамках структуры, описанной в настоящем стандарте для реализации требований СМИБ.
Настоящий стандарт предназначен для руководителей и персонала, занимающегося в организации вопросами менеджмента риска информационной безопасности, а также, при необходимости, для внешних сторон, имеющих отношение к этому виду деятельности.
1 Область применения
Настоящий стандарт представляет руководство по менеджменту риска информационной безопасности.
Настоящий стандарт поддерживает общие концепции, определенные в ИСО/МЭК 27001, и предназначен для содействия адекватного обеспечения информационной безопасности на основе подхода, связанного с менеджментом риска.
Знание концепций, моделей, процессов и терминологии, изложенных в ИСО/МЭК 27001 и ИСО/МЭК 27002, важно для полного понимания настоящего стандарта.
Настоящий стандарт применим для организаций всех типов (например, коммерческих предприятий, государственных учреждений, некоммерческих организаций), планирующих осуществлять менеджмент рисков, которые могут скомпрометировать информационную безопасность организации.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты*:
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 27001, ИСО/МЭК 27002, а также следующие термины с соответствующими определениями:
3.1 влияние (impact): Неблагоприятное изменение уровня достигнутых бизнес-целей.
3.2 риск информационной безопасности (information security risk): Возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации.
3.3 предотвращение риска (risk avoidance): Решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее.
[ИСО/МЭК Руководство 73:2002]*
* В Российской Федерации действует ГОСТ Р 51897.
3.4 коммуникация риска (risk communication): Обмен информацией о риске или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами.
[ИСО/МЭК Руководство 73:2002]
3.5 количественная оценка риска (risk estimation): Процесс присвоения значений вероятности и последствий риска.
[ИСО/МЭК Руководство 73:2002]
1 В контексте данного национального стандарта количественная оценка риска рассматривается как деятельность (activity), а не как процесс (process).
2 В контексте данного национального стандарта применительно к количественной оценке риска вместо термина «возможность, вероятность» (probability) используется термин «вероятность» (likelihood).
3.6 идентификация риска (risk identification): Процесс нахождения, составления перечня и описания элементов риска.
[ИСО/МЭК Руководство 73:2002]
3.7 снижение риска (risk reduction): Действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском.
[ИСО/МЭК Руководство 73:2002]
3.8 сохранение риска (risk retention): Принятие бремени потерь или выгод от конкретного риска.
[ИСО/МЭК Руководство 73:2002]
3.9 перенос риска (risk transfer): Разделение с другой стороной бремени потерь или выгод от риска.
[ИСО/МЭК Руководство 73:2002]
4 Структура национального стандарта
Настоящий стандарт содержит описание процесса менеджмента риска ИБ и связанных с ним видов деятельности.
Предпосылки создания стандарта описаны в разделе 5.
Обзор процесса менеджмента риска ИБ дается в разделе 6.
Все виды деятельности, связанные с менеджментом риска ИБ, представленные в разделе 6, описываются далее в следующих разделах:
Примеры подходов к оценке рисков ИБ представлены в приложении Е.
Ограничения, касающиеся снижения риска, представлены в приложении F.
Все виды деятельности, связанные с менеджментом риска, представленные в разделах 7-12, структурированы следующим образом:
Входные данные. Определяется информация, необходимая для выполнения деятельности.
Действие. Описывается деятельность.
Руководство по реализации. Представляется руководство по выполнению действия. Некоторые рекомендации данных руководств могут не подходить ко всем случаям, поэтому могут быть более уместными иные варианты действий.
Выходные данные. Описывается информация, полученная в результате выполнения деятельности.
В каком стандарте рассмотрен подход к менеджменту рисков информационной безопасности
ГОСТ Р ИСО/МЭК 27001-2006
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Information technology. Security techniques. Information security management systems. Requirements
Дата введения 2008-02-01
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России») и Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
6 ПЕРЕИЗДАНИЕ. Январь 2019 г.
Введение
0.1 Общие положения
Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.
Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.
0.2 Процессный подход
Настоящий стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.
Для успешного функционирования организация должна определить и осуществить менеджмент многочисленных видов деятельности. Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс. Часто выход одного процесса непосредственно формирует вход для следующего процесса.
Использование внутри организации системы процессов наряду с идентификацией и взаимодействием этих процессов, а также менеджмент процессов могут быть определены как «процессный подход».
Согласно предлагаемому настоящим стандартом процессному подходу применительно к менеджменту информационной безопасности (ИБ) особую значимость для пользователей имеют следующие факторы:
a) понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности;
b) внедрение и использование мер управления для менеджмента рисков ИБ среди общих бизнес-рисков организации;
c) мониторинг и проверка производительности и эффективности СМИБ;
d) непрерывное улучшение СМИБ, основанное на результатах объективных измерений.
Принятие модели PDCA также отражает принципы, установленные в директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей [1]. Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.
1 Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности.
2 Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.
Связи между процессами, описанными в разделах 4, 5, 6, 7 и 8, представлены также в таблице 1.
Планирование (разработка СМИБ)
Разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению информационной безопасности, для достижения результатов, соответствующих общей политике и целям организации
Осуществление (внедрение и обеспечение функционирования СМИБ)
Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ
Проверка (проведение мониторинга и анализа СМИБ)
Оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа
Действие (поддержка и улучшение СМИБ)
Проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ
0.3 Совместимость с другими системами менеджмента
Настоящий стандарт согласован со стандартами ИСО 9001:2000 «Системы менеджмента качества. Требования» [2] и ИСО 14001:2004 «Системы управления окружающей средой. Требования и руководство по применению» [3] в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.
Таблица С.1 иллюстрирует взаимосвязь между разделами настоящего стандарта, а также ИСО 9001:2000 и ИСО 14001:2004.
Настоящий стандарт позволяет организации регулировать СМИБ или интегрировать ее с соответствующими требованиями других систем менеджмента.
1 Область применения
1.1 Общие положения
Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).
Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
1.2 Применение
Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в разделах 4, 5, 6, 7 и 8, не допускается, если организация заявляет о соответствии ее СМИБ настоящему стандарту.
Любой отказ от применения той или иной меры управления, обусловленный необходимостью удовлетворения критериев принятия рисков, должен быть обоснован. Необходимо также наличие адекватных доказательств того, что подобные риски были уже приняты ответственными лицами. При исключении каких-либо мер управления заявления о соответствии организации настоящему стандарту неправомочны, кроме случаев, когда эти исключения не влияют на способность и/или обязанность организации обеспечивать информационную безопасность, которая соответствует требованиям безопасности, установленным соответствующими законодательными актами или определенными на основе оценок рисков.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующий стандарт:
Заменен на ISO/IEC 27002:2005.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 активы (asset): Все, что имеет ценность для организации.
[ИСО/МЭК 13335-1:2004] [4]
3.2 доступность (availability): Свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта.
[ИСО/МЭК 13335-1:2004] [4]
3.3 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
[ИСО/МЭК 13335-1:2004] [4]
3.4 информационная безопасность; ИБ (information security): Свойство информации сохранять конфиденциальность, целостность и доступность.
3.5 событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.
[ИСО/МЭК ТО 18044:2004] [5]
3.6 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
— утрата услуг, оборудования или устройств;
В каком стандарте рассмотрен подход к менеджменту рисков информационной безопасности
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Правила страхования рисков информационной безопасности
Information technology. Information security management. Guidelines for cyber-insurance
Дата введения 2021-11-30
Предисловие
1 РАЗРАБОТАН Федеральным государственным учреждением «Федеральный исследовательский центр «Информатика и управление» Российской академии наук» (ФИЦ ИУ РАН), Федеральным государственным автономным образовательным учреждением высшего образования «Национальный исследовательский университет «Московский институт электронной техники» и Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО ИАВЦ)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 «Информационные технологии»
Введение
Инциденты информационной безопасности (ИБ) могут случиться в любой момент времени и иметь различные последствия для организации или физического лица. Например, активы организации, в том числе информационные, могут подвергаться атакам, которые становятся все более объемлющими, целенаправленными и сложными.
В целях ослабления последствий, возникающих в результате инцидентов ИБ, в дополнение к принятым в соответствии с ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 27002 организационным и техническим мерам обеспечения ИБ, следует внедрять страхование рисков ИБ.
Страхование рисков ИБ не рассматривается как альтернатива эффективной системе менеджмента информационной безопасности информации (СМИБ) и не может исключить необходимость разработки планов реагирования на инциденты ИБ, создания системы обучения персонала и принятия других организационных и технических мер по защите информационных активов.
Страхование рисков ИБ следует рассматривать как важный компонент СМИБ по противодействию угрозам ИБ и повышению устойчивости бизнеса.
1 Область применения
Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.
Настоящий документ содержит рекомендации по:
— совершению покупки услуг страхования рисков ИБ как способа распределения риска ИБ со страховщиком;
— управлению последствиями инцидентов ИБ с помощью средств страхового покрытия;
— организации коммуникации между страхователем и страховщиком с целью поддержки андеррайтинга, мониторинга и претензионной работы, связанной с поддержкой договорных отношений между сторонами страхования рисков ИБ;
— применению СМИБ при взаимодействии со страховщиком.
Настоящий стандарт применим при планировании покупки услуг страхования рисков ИБ организациями всех типов, размеров и характера деятельности, а также физическими лицами.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
ГОСТ Р ИСО/МЭК 27002 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27003 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27004 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения
ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:
3.1 договор страхования: Соглашение между страхователем и страховщиком, в соответствии с условиями которого одна сторона (страховщик) обязуется за обусловленную договором плату (страховую премию) при наступлении предусмотренного в договоре события (страхового случая) возместить другой стороне (страхователю) или иному лицу, в пользу которого заключен договор (выгодоприобретателю), причиненные вследствие этого события убытки в застрахованном имуществе либо убытки в связи с иными имущественными интересами страхователя (выплатить страховое возмещение) в пределах определенной договором суммы (страховой суммы).
3.2 страховой полис: Документ, подтверждающий заключение договора страхования, выдаваемый страховой компанией страхователю, содержащий указание на субъекты страховых отношений и существенные условия договора страхования, например, вид, объект, начало и конец действия страхования, размер страховой суммы, сведения о страхователе, страховщике и другие условия.
страхователи: Юридические лица и дееспособные физические лица, заключившие со страховщиками договоры страхования либо являющиеся страхователями в силу закона.
страховщики: Страховые организации и общества взаимного страхования, созданные в соответствии с законодательством Российской Федерации для осуществления деятельности по страхованию, перестрахованию, взаимному страхованию и получившие лицензии на осуществление соответствующего вида страховой деятельности в установленном порядке.
страхование: Отношения по защите интересов физических и юридических лиц, Российской Федерации, субъектов Российской Федерации и муниципальных образований при наступлении определенных страховых случаев за счет денежных фондов, формируемых страховщиками из уплаченных страховых премий (страховых взносов), а также за счет иных средств страховщиков.
4 Структура настоящего стандарта
Обзор и рекомендации по страхованию рисков ИБ приведены в разделах 5-8.
В разделе 5 содержится общая информация и описание отрасли страхования рисков ИБ. В разделе 6 приведено описание рисков ИБ, которые могут быть покрыты страхованием. Положения разделов 5 и 6 касаются как страхователей, так и страховщиков. В разделе 7 приведено описание типовой деятельности по оценке рисков ИБ, которую страховщик обычно проводит в рамках андеррайтинга, в разделе 8 описывается порядок использования СМИБ страхователя для подготовки исходных данных, информации и документов, передаваемых страховщику.
В приложении А представлен перечень документов, создаваемых в рамках СМИБ, которые может запросить страховщик при заключении договора, так и при исполнении договорных отношений.
5 Обзор услуг страхования рисков информационной безопасности и договор страхования
5.1 Страхование рисков информационной безопасности
Страхование рисков ИБ является одним из способов управления ИБ, который может компенсировать застрахованному лицу финансовые потери, связанные с инцидентами ИБ.
Услуга страхования рисков ИБ предоставляется страховщиком, который страхует риски ИБ, и принимает на себя часть ответственности страхователя, тем самым гарантируя выплату в случае возникновения убытков или ущерба.
Страхование рисков ИБ призвано компенсировать потери, вызванные широким спектром инцидентов ИБ, связанных с утечкой информации, остановкой бизнес-процессов и деградацией сетевой инфраструктуры.
Внедрение страхования рисков ИБ позволит обеспечить страхователю:
— минимизацию последствий инцидента информационной безопасности;
— финансирование возмещения крупного ущерба;
— содействие восстановлению штатной деятельности;
— повышение устойчивости бизнес процессов страхователя к инцидентам информационной безопасности.
Страхователь обязан продемонстрировать страховщику соответствие СМИБ покрываемому риску ИБ, установленному договором страхования.
5.2 Договор страхования рисков информационной безопасности
Договорные условия страхования рисков ИБ приведены в полисе страхования рисков ИБ. Полис страхования рисков ИБ может быть, как самостоятельным полисом, так и включаться в качестве специальных индоссаментов в составе полисов общей ответственности, имущественного или иного страхования.
Страховое покрытие полиса страхования рисков ИБ охватывает широкий спектр угроз ИБ, способных нанести вред страхователю. Нанесение вреда возможно в результате потери конфиденциальности, целостности или доступности информации, или потери работоспособности информационных систем к обеспечению потребностей бизнеса независимо от точной причины инцидента ИБ и от того, был ли он случайным или преднамеренным. Покрытие полиса страхования рисков ИБ зависит от конкретного продукта страхования, не стандартизировано и варьируется в зависимости:
— от потребности страхователя;
— ограничений, установленных в нормативных правовых актах;
— общепринятых рыночных практик;
Полисы страхования рисков ИБ покрывают расходы, связанные с инцидентами ИБ, и могут обеспечивать доступ к услугам, которые поддерживают деятельность страхователя после инцидента ИБ. К таким услугам относятся: оценка ущерба, понесенного в результате инцидента ИБ; разработка планов реагирования на инциденты ИБ и восстановления работоспособности информационных систем; правовая экспертиза; судебная экспертиза; помощь при установлении связей с общественностью; помощь по уведомлению клиентов; а также помощь по восстановлению бизнес-процессов после инцидента ИБ.
Полис страхования рисков ИБ предполагает возможность частичного или полного покрытия внутренних и внешних затрат, связанных с реагированием на инцидент ИБ, которое варьируется в зависимости от конкретного.
6 Риски информационной безопасности и страховое покрытие
6.1 Процесс управления рисками и страхование рисков информационной безопасности