ЗАНЯТИЕ 2 » История » Редакция 3
Редакция 2 (С. Антошкин, 17.05.2025 10:44) → Редакция 3/4 (С. Антошкин, 17.05.2025 11:09)
h1. ЗАНЯТИЕ 2
_*Изучение семейства стандартов ISO/IEC 27000*_
h2. Цели занятия
К концу занятия вы поймете
* Процессы, связанные с созданием, внедрением, эксплуатацией, мониторингом, анализом, обслуживанием и улучшением системы менеджмента информационной безопасности;
* *Терминологию и определения* семейства стандартов ISO 27000;
* *Взаимосвязь* между различными стандартами семейства ISO 27000;
* Разница между *проверяемым* стандартом и *руководящим * документом;
* Требования к *документированной информации* СМИБ;
* Применение *области действия* и неприменимости (исключений);
* *Общая структура* и требования ISO 27001.
h2. Вопросы для размышления
В чем разница между стандартами ISO/IEC 27000, 27001, 27002?
К каким типам организаций применим стандарт ISO/IEC 27001:
* Как «контекст» может повлиять на систему менеджмента и ее документацию?
Что означает «область действия»?
* Почему область действия должна быть четко определена?
* В чем значение связей и зависимостей?
!clipboard-202505171333-tkuxr.png!
h2. Упражнение 2
_* Термины и определения семейства стандартов ISO/IEC 27000*_
*Задание:*
Сопоставить термины с определениями в соответствии с инструкциями:
{{collapse(Задание)
Используя приведенную ниже таблицу, сопоставить термины второго столбца с определениями 4 столбца. Соответствующий номер термина (указан в первом столбце), указать в третьем столбце рядом с соответствующим определением.
|1|Несоответствие
_Non Conformity_||Процесс поиска, распознавания и описания рисков| Conformity_|
|2|Уровень риска
_Level of Risk_ ||Способность применять знания и навыки для достижения намеченных результатов| |
|3|Критерий риска
_Risk Criteria_||Набор взаимосвязанных или взаимодействующих действий, которые используют входные данные для достижения намеченного результата| Criteria_|
|4|Уязвимость
_Vulnerability_||Результат, который должен быть достигнут| _Vulnerability_|
|5|Компетенция
_Competence_||Обоснованное решение принять определенный риск| _Competence_|
|6|Процесс
_Process_||Возникновение или изменение определенного набора обстоятельств| _Process_|
|7|Улучшение
_Improvement_||Не выполнение требования| _Improvement_|
|8|Документированная информация
_Documented information_||Набор взаимосвязанных или взаимодействующих элементов| information_|
|9|Измерение (Оценивание) риска
_Risk assessment_||Слабое место актива или средства контроля, которая может быть использована одной или несколькими угрозами.| assessment_|
|10|Событие информационной безопасности
_Information Security event_||Выполнение требования| event_|
|11|Наблюдение/Мониторинг
_Monitoring_||Свойство точности и полноты| _Monitoring_|
|12|Внешние услуги
_Outsource_||Свойство быть доступным и пригодным к использованию по требованию уполномоченного лиц| _Outsource_|
|13|Политика
_Policy_||Процесс определения значения| _Policy_|
|14|Обработка риска
_Risk treatment_||Общий процесс идентификации риска, анализа риска и определения значения риска| treatment_|
|15|Процедура
_Procedure_||Действие по повышению производительности| _Procedure_|
|16|Система
_System_||Процесс изменения риска| _System_|
|17|Оценка риска
_Risk evaluation_||Лицо или группа людей, которые направляют и контролируют организацию на высшем уровне| evaluation_|
|18|Конфиденциальность
_Confidentiality_||Определенный способ выполнения действия или процесса| _Confidentiality_|
|19|Анализ риска
_Risk analysis_||Свойство, при котором информация не предоставляется и не раскрывается неуполномоченным лицам, организациям или процессам| analysis_|
|20|Соответствие
_Conformity_||Намерения и направление деятельности организации, официально выраженные ее высшим руководством.| _Conformity_|
|21|Владелец риска
_Risk Owner_||Сохранение конфиденциальности, целостности и доступности информации| Owner_|
|22|Заинтересованные стороны
_Interested party_||Информация, которую организация должна контролировать и поддерживать, и носитель, на котором она содержится| party_|
|23|Измерение
_Measurement_||Заключить соглашение, при котором внешняя организация выполняет часть функции или процесса организации.| _Measurement_|
|24|Событие
_Event_||Лицо или организация… которые могут повлиять, на которые могут повлиять, или которые могут усмотреть, что на них влияют решения или действия.| _Event_|
|25|Идентификация риска
_Risk identification_||Величина риска, выраженная в терминах комбинации последствий и их вероятности| identification_|
|26|Результативность
_Effectiveness_||Физическое или юридическое лицо, обладающее ответственностью и полномочиями по управлению риском| _Effectiveness_|
|27|Непрерывное улучшение
_Continual improvement_||Эффект неопределенности| improvement_|
|28|Цель
_Objective_||Процесс понимания природы риска и определения уровня риска| _Objective_|
|29|Производительность
_Performance_||Действие, направленное на устранение причины несоответствия и предотвращение его повторения| _Performance_|
|30|Корректирующее действие
_Corrective action_||Процесс сравнения результатов анализа риска с критериями риска для определения того, является ли риск и/или его величина приемлемым или допустимым.| action_|
|31|Риск
_Risk_||Потенциальная причина нежелательного инцидента, который может нанести вред системе или организации.| _Risk_|
|32|Инцидент информационной безопасности
_Information Security Incident_||Измеримый результат| Incident_|
|33|Высшее руководство
_Top management_||Определение состояния системы, процесса или действия| management_|
|34|Доступность
_Availability_||Повторяющаяся деятельность по повышению производительности| _Availability_|
|35|Информационная безопасность
_Information Security_||Лицо или группа людей, которые имеют свои собственные функции с обязанностями, полномочиями и отношениями для достижения своих целей| Security_|
|36|Организация
_Organisation_||Условие, по которому оценивается значимость риска| _Organisation_|
|37|Принятие риска
_Risk acceptance_||Степень реализации запланированных мероприятий и достижения запланированных результатов| acceptance_|
|38|Целостность
_Integrity_||Выявленное возникновение состояния системы, службы или сети, указывающее на возможное нарушение политики информационной безопасности или сбой элементов управления, или ранее неизвестную ситуацию, которая может иметь отношение к безопасности.| _Integrity_|
|39|Угроза
_Threat_||Одно или несколько нежелательных или неожиданных событий информационной безопасности, которые имеют значительную вероятность компрометации бизнес-операций и угрозы информационной безопасности.|
_Threat|
}}
*Продолжительность:*
30 минут – индивидуально, подготовка;
30 минут – дискуссия и обратная связь.
h2. Раздел 4. Организационный контекст
* Определить внешние и внутренние аспекты;
* Понимание потребностей и ожиданий заинтересованных сторон;
* Область действия системы менеджмента;
* Процессы системы менеджмента:
** Взаимодействие;
** Требования к документированию
** Обязанности и полномочия.
h2. Раздел 5: Лидерство
Области, в которых непосредственное участие высшего руководства обязательно:
* Демонстрация лидерства;
* Демонстрация приверженности;
* Обеспечение стратегического направления в отношении информационной безопасности;
* Обеспечение согласованности стратегического направления с политикой и целями организации;
* Предоставление необходимой поддержки/ресурсов;
* Определение обязанностей, предоставление ресурсов;
* Поддержка людей, процессов и системы в целом;
* Содействие непрерывному совершенствованию
h2. Раздел 6: Планирование
В разделе требуется ПЛАНИРОВАНИЕ в целях рассмотрения трех ключевых областей системы менеджмента:
* Риски и возможности
* Цели информационной безопасности
Обратите внимание, что «Операционное планирование» включено в Разделе 8.
Раздел 6 посвящен организационному планированию высшего уровня.
Раздел 6 содержит отсылку к обязательному применению Приложения А
h2. Приложение А (Annex A)
Приложение А содержит:
* Категории мер управления;
* Меры управления (Controls):
** Короткое наименование;
** Содержание меры (что требуется выполнить при реализации).
Как они используются?
Все ли они обязательны?
Существуют ли базовые меры безопасности, которые необходимо внедрить для каждой организации?
Могут ли быть какие-то меры Приложения А исключены?
h2. Структура Приложения А
!clipboard-202505171353-sy2pg.png!
!clipboard-202505171353-x2h8e.png!
h2. Раздел 6: Планирование (продолжение)
Какая связь между Разделом 6, Системой и Приложением А?
Во время планирования (Раздел 6):
* выбраны все меры управления, необходимые для реализации вариантов обработки рисков информационной безопасности;
* все меры управления сравниваются с приложением A, чтобы убедиться, что не были упущены необходимые меры управления;
* все необходимые меры управления задокументированы в Положении о применимости.
h2. Раздел 7: Ресурсы
Ресурсы должны предоставляться и быть достаточными для достижения целей, включая:
* Человеческие ресурсы;
* Инфраструктура;
* Рабочая среда;
* … и любые другие необходимые ресурсы;
* Компетентность, осведомленность и взаимосвязи;
* Документированная информация
h2. Раздел 8: Функционирование
Все, что было запланировано, должно быть реализовано, и должна быть обеспечена работа системы на ежедневной основе:
* Разработанные *действия реализуются* и контролируются (согласно разделу 6);
* *Документированная информаци* я сохраняется в той степени, в которой организация считает это необходимым (в привязке к ее контексту);
* *Запланированные изменения* контролируются;
* Последствия *непреднамеренных изменений* анализируются, и при необходимости предпринимаются действия для смягчения любых неблагоприятных последствий;
* *Процессы на внешнем сопровождении* определяются и контролируются;
* Оценка рисков проводится в запланированное время или при значительных изменениях (раздел 8.2);
* Планы обработки рисков, принятые во время планирования, внедряются и контролируются (раздел 8.3).
h2. Раздел 9: Оценка производительности
Организация должна ОПРЕДЕЛИТЬ, что необходимо контролировать и/или измерять:
* Процессы информационной безопасности;
* Меры управления информационной безопасности.
Внутренний аудит;
Анализ со стороны высшего руководства.
h2. Раздел 10: Улучшения
Структурированные действия по поддержке улучшений в системе менеджмента;
Несоответствия и корректирующие действия;
* Противодействующие (reactive)улучшения.
Непрерывное совершенствование;
Запланированные, упреждающие (proactive)улучшения.
h2. Упражнение 3
_*Отслеживание модели PDCA в стандарте ISO/IEC 27001*_
*Задание:*
Рассмотреть разделы ISO/IEC 27001 и распределить их по различным фазам PDCA-цикла в соответствии с инструкциями
{{collapse(Задание)
Как отмечалось в 1-ой сессии, PDCA-цикл встроен в структуру системы менеджмента. Хотя эта связь между различными этапами PDCA не так заметна, как в первом издании ISO/IEC 27001, ее все же можно проследить и в текущей версии ISO/IEC 27001.
!clipboard-202505171400-9tyu0.png!
Теперь, когда мы освежили знания о структуре и содержании стандарта, ваша задача — просмотреть разделы ISO/IEC 27001 и распределить их по различным фазам PDCA-цикла.
Например, пункт 4.1. относится к этапу планирования, поскольку организация собирает информацию о себе для создания своей системы. Является ли это единственной ролью 4.1 или она применима и в другие периоды цикла, не связанные с первоначальным планированием системы. Если да, меняется ли ассоциация фаз? Представьте обоснование своего выбора.
Обратите внимание, что один раздел может иметь более одной ассоциированной фазы.
Раздел ISO/IEC 27001:2022 Выбор фазы PDCA и напишите Обоснование
4.1 Understanding the organization and its context
Понимание организации и её контекста
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
4.2 Understanding the needs and expectations of interested parties
Понимание потребностей и ожиданий заинтересованных сторон
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
4.3 Determining the scope of the information security management system
Определение области применения системы менеджмента информационной безопасности
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
4.4 Information security management system
Система менеджмента информационной безопасности
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
5.1 Leadership and commitment
Лидерство и приверженность
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
5.2 Policy
Политика
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
5.3 Organizational roles, responsibilities and authorities
Организационные обязанности, ответственность и полномочия
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
6.1 Actions to address risks and opportunities
Действия по работе с рисками и возможностями
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
6.2 Information security objectives and planning to achieve them
Цели в области информационной безопасности и планирование их выполнения
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
6.3 Planning of changes
Планирование изменений
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
7.1 Resources
Ресурсы
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
7.2 Competence
Компетентность
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
7.3 Awareness
Осведомлённость
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
7.4 Communication
Обмен информацией
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
7.5 Documented information
Документированная информация
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
8.1 Operational planning and control
Планирование и управление операциями
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
8.2 Information security risk assessment
Оценка рисков информационной безопасности
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
8.3 Information security risk treatment
Обработка рисков информационной безопасности
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
9.1 Monitoring, measurement, analysis and evaluation
Мониторинг, измерение, анализ и оценка
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
9.2 Internal audit
Внутренний аудит
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
9.3 Management review
Анализ со стороны руководства
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
10.1 Continual improvement
Непрерывное улучшение
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
10.2 Nonconformity and corrective action
Несоответствия и корректирующие действия
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
Annex A
Приложение А
☐ Plan (P)
☐ Do (D)
☐ Check (C)
☐ Act (A)
}}
*Продолжительность:*
30 минут – индивидуально, подготовка;
15 минут – дискуссия и обратная связь.
h2. Упражнение 4
_*Понимание требований ISO/IEC 27001 (их корректное применение в контексте организации)*_
*Задание:*
Определите наиболее подходящий раздел для «несоответствия» в соответствии с инструкциями
{{collapse(Задание)
К каждому несоответствию выберете раздел и обоснование (Раздел или пункт устанавливает, что…)
# Организация (банк) не определила нормативные технические стандарты (RTS) строгой аутентификации клиентов (SCA) и безопасной связи в соответствии с PSD2 в рамках определения потребностей внешних заинтересованных сторон.
# Организация не вела никаких записей или другой документированной информации относительно недавнего изменения своей системы контроля доступа.
# Организация использует электронную почту как услугу, предоставляемую внешним поставщиком. Эта информация в системе не отражена.
# Организация определила три цели информационной безопасности, но не установила никаких конкретных целевых показателей или мер.
# Факторы, влияющие на требования заинтересованных сторон, таких как местные органы власти, не отслеживались и не анализировались.
# Не предоставлено объективных свидетельств компетентности лица (лиц), выполняющих работу, связанную с системой менеджмента информационной безопасностью.
# Действия по анализу со стороны руководства не выявили результатов оценки рисков и необходимости внесения изменений в систему менеджмента информационной безопасностью.
# Документ Должностная инструкция для роли менеджера по информационной безопасности не несет никакой идентификации или контроля версий.
# Организация не представила никаких свидетельств того, что она отслеживала или анализировала информацию, касающуюся внутренних и внешних факторов.
# Организация не определила планы по достижению двух из трех целей информационной безопасности.
# В организации не созданы планы обработки рисков для всех рисков, оцененных как неприемлемые (на основе критериев приемлемости риска).
# Несмотря на то, что организация ведет «Реестр рисков компании», не было предоставлено свидетельств надлежащего мониторинга и оценки действий, предпринятых для устранения рисков, включенных в реестр.
# Организация внедрила процедуры и меры по управлению криптографическими ключами, но соответствующий контроль А.8.24. исключен из Положения о применимости.
# У компании не было плана или механизмов для определения или управления компетенциями.
# В компании была высокая текучесть кадров и, как следствие, СМИБ содержала большое количество устаревших и утративших силу документов, а система внутреннего аудита отставала от графика на 4 месяца.
# Политика информационной безопасности не была доведена до сведения заинтересованных лиц внутри организации.
# Область применения системы менеджмента не принимает во внимание связи и зависимости между действиями, выполняемыми организацией, и действиями, выполняемыми другими организациями.
# Программа внутреннего аудита не определяет частоту проведения внутреннего аудита.
# Все внутренние аудиты, проводимые организацией, охватывают основные требования системы менеджмента, но не распространяются на проверку результативности применяемых средств контроля.
# Не всегда определяются причины несоответствия
# При необходимости расширения персонала организация использует внешнего подрядчика. Политика информационной безопасности и условия найма не доводятся до сведения персонала, привлеченного через подрядчика.
# Программа внутреннего аудита включала большое количество так называемых «само-аудитов», когда сотрудники должны были периодически проверять себя.
# Организация не реагирует на нарушения политики управления доступом.
# Не было никаких упоминаний о непрерывном совершенствовании в Политике информационной безопасности.
# В организации не сохранилось свидетельств обучения по информационной безопасности (в которых участвовал персонал).
}}
*Продолжительность:*
30 минут – индивидуально, подготовка;
30 минут – дискуссия и обратная связь.
h2. Примеры проверяемых стандартов
_*императивные*_
* ISO/IEC27001 – Требования СМИБ
* ISO/IEC9001 – Требования СМК
* ISO/IEC20000-1 – Требования СМC
* ISO/IEC17021 – Требования к органам, осуществляющим аудиты и сертификацию систем менеджмента
* ISO/IEC27006 – Требования к органам, осуществляющим аудиты и сертификацию систем менеджмента информационной безопасности
h2. Пример руководящих стандартов
_*рекомендательные*_
* ISO/IEC27000 –Обзор и словарный запас;
* ISO/IEC27002 –Свод правил по мерам управления информационной безопасностью;
* ISO/IEC19011 –Руководство по аудиту систем менеджмента (общее)
* ISO/IEC27007 –Руководство по аудиту систем управления информационной безопасности
* ISO/IEC27008 –Руководство для аудиторов по проверке мер управления информационной безопасности.
h2. Ключевые положения пройденного занятия
ISO 27001 следует общей структуре системы менеджмента «Приложение SL»;
ISO 27001 является проверяемым стандартом;
ISO 27000 и ISO 27002 являются руководящими документами;
Включение и исключение мер управления Приложения А должно быть обосновано;
«Контекст» означает, что системы управления будут различаться по типу, размеру, формату и сложности;
Это не только о создании документов, -процессы должны быть внедрены и поддерживаться;
PDCA —это модель, которую можно транслировать во все процессы системы менеджмента информационной безопасностью