Проект

Общее

Профиль

Действия
История

Sidebar »

Обзор стандартов и фреймворков аудита ИБ

Введение

Предыдущие темы курса ответили на вопросы «зачем проводить аудит», «что проверять» и «как собирать свидетельства». Остался ключевой вопрос: с чем сравнивать? Именно стандарты и фреймворки задают критерии, без которых аудит невозможен по определению.

В курсе «Основы менеджмента ИБ» мы изучали стандарты с точки зрения практика, который их внедряет. Здесь мы смотрим на те же документы с точки зрения аудитора, который проверяет соответствие им. Это принципиально разный угол зрения: одно дело знать, что требует стандарт, другое — уметь собрать свидетельства, достаточные для вывода о соответствии каждому требованию.

Эта тема — обзорная. Каждый стандарт рассматривается здесь кратко, с акцентом на его роль в аудите. Детальный разбор методики аудита по каждому стандарту — в последующих темах курса: NIST CSF, COBIT, ISO 19011, ISO 27001, ISO 27007, PCI DSS, ФСТЭК, ГОСТ 57580.

Зачем аудитору нужны стандарты

Стандарт в контексте аудита выполняет три функции одновременно.

Источник критериев. Без чётко сформулированных требований невозможно сделать вывод о несоответствии. «Безопасность недостаточная» — это мнение. «Контроль 8.5 ISO 27001:2022 требует MFA для привилегированного доступа; проверка 18 учётных записей показала, что MFA не включён ни для одной» — это находка аудита.

Структура программы аудита. Стандарт задаёт систему контролей, которая становится основой чек-листа. Аудитор не изобретает, что проверять, — он работает по структуре стандарта, адаптируя глубину проверки к уровню риска каждой области.

Язык коммуникации. Ссылка на конкретный пункт стандарта делает находку аудита объективной и неоспоримой. Организация не может возразить «мы считаем иначе», если несоответствие сформулировано со ссылкой на требование, которое она взялась соблюдать.

Классификация стандартов и фреймворков

Всё многообразие документов в области ИБ делится на несколько категорий. Аудитор должен понимать, к какой категории относится каждый стандарт, — это определяет, как именно его использовать.

Категория Суть Примеры Роль в аудите
Стандарты управления ИБ Требования к системе управления: процессы, роли, документация, цикл улучшения ISO 27001, ГОСТ Р ИСО/МЭК 27001 Основа сертификационного аудита СУИБ
Своды лучших практик Каталоги контролей и рекомендации по реализации — без жёстких требований ISO 27002, CIS Controls, NIST SP 800-53 Источник критериев для аудита конкретных контролей
Отраслевые стандарты Обязательные требования для конкретных отраслей PCI DSS (платёжные системы), ГОСТ 57580 (финансовый сектор) Основа регуляторного аудита
Фреймворки управления ИТ Управление ИТ-процессами и рисками на уровне организации COBIT, ITIL Критерии для операционного и управленческого аудита
Методологии аудита Стандарты на сам процесс проведения аудита ISO 19011, ISO 27007 Регламентируют процедуры аудита, а не его предмет
Оценочные стандарты Оценка защищённости продуктов и систем ISO 15408 (Common Criteria), TCSEC Критерии для сертификации средств защиты
Фреймворки кибербезопасности Управление киберрисками на стратегическом уровне NIST CSF, CIS RAM Оценка зрелости программы кибербезопасности

Историческая эволюция стандартов

Понимание истории стандартов помогает аудитору понять логику каждого документа — почему он устроен именно так.

Ключевые переходы: TCSEC → Common Criteria (фокус сместился от военных систем к коммерческим продуктам); BS 7799 → ISO 27001 (от свода практик к сертифицируемой системе управления); NIST CSF (от требований к зрелости — новый подход, ориентированный на непрерывное улучшение).

Оценочные стандарты: от «Оранжевой книги» к Common Criteria

Оценочные стандарты — исторически первый класс документов в области ИБ. Их задача — дать объективный ответ на вопрос «насколько защищена эта система или этот продукт?».

TCSEC

Первый систематический оценочный стандарт, разработанный Министерством обороны США. Ввёл в обиход ключевые понятия, без которых немыслима современная ИБ: политика безопасности, доверенная вычислительная база, монитор обращений, ядро безопасности.

Центральная идея TCSEC: степень доверия системе оценивается по двум критериям — политике безопасности (что система делает) и уровню гарантированности (насколько корректно это реализовано). Это разделение — функциональность vs. гарантированность — стало фундаментом всех последующих оценочных стандартов.

Для аудитора TCSEC представляет прежде всего исторический интерес: стандарт снят с применения, но его понятийный аппарат используется во всех современных документах.

Подробный разбор классов защищённости TCSEC (D, C1, C2, B1, B2, B3, A1) и их требований рассмотрен в курсе «Основы менеджмента ИБ», тема «Оценочные стандарты».

ITSEC

Совместный документ Франции, Германии, Нидерландов и Великобритании. Принципиальное новшество по сравнению с TCSEC: разделение функциональности и гарантированности в разные шкалы. Функциональный класс (F1–F10) описывает что система делает, уровень доверия (E0–E6) описывает насколько тщательно это проверено. Их можно комбинировать независимо.

Для аудитора ITSEC — прямой предшественник Common Criteria. Понимание его логики помогает работать с современными оценочными стандартами.

ISO/IEC 15408 «Общие критерии»

Действующий международный стандарт оценки безопасности ИТ-продуктов. Синтез TCSEC, ITSEC и канадских критериев. Применяется для сертификации средств защиты информации.

Ключевые понятия для аудитора: профиль защиты (PP) — типовые требования для класса продуктов; задание по безопасности (ST) — заявленные возможности конкретного продукта; оценочные уровни доверия (ОУД 1–7) — глубина независимой проверки.

При аудите систем, использующих сертифицированные СЗИ, аудитор проверяет соответствие фактической конфигурации сертифицированной. Сертификат ОУД 4 на продукт теряет силу, если продукт используется в конфигурации, отличной от сертифицированной.

Стандарты управления ИБ: семейство ISO 27000

Семейство ISO 27000 — наиболее применяемый набор стандартов в корпоративной практике аудита ИБ. Подробно рассматривается в темах 10 и 11. Здесь — обзор с аудиторской точки зрения.

BS 7799 и ISO 17799: исторический контекст

BS 7799 (1995) — первый стандарт управления ИБ, разработанный BSI при участии крупных британских компаний (Shell, British Telecommunications, Unilever и др.). Состоял из двух частей: практические рекомендации и спецификации для сертификации. Именно BS 7799 ввёл структуру из десяти областей управления ИБ, которая с модификациями дожила до ISO 27001:2022.

ISO 17799 (2000) — международная редакция первой части BS 7799. Свод практических рекомендаций по управлению ИБ, не предназначенный для сертификации. В 2005 году переименован в ISO 27002 и стал «сводом практик» при новом стандарте ISO 27001:2005.

Для аудитора эта история объясняет структуру современных стандартов: ISO 27001 — требования (что должно быть), ISO 27002 — практики (как это реализовать). Аудит соответствия проводится по ISO 27001; ISO 27002 используется как источник рекомендаций по конкретным контролям.

ISO/IEC 27001:2022 — основа сертификационного аудита

Единственный стандарт семейства, по которому проводится официальная сертификация. Определяет требования к СУИБ: контекст организации, лидерство, планирование (оценка рисков, SOA), поддержка, операционная деятельность, оценка результативности (включая внутренний аудит) и улучшение.

Для аудитора: 93 контроля Приложения А — это структурированный чек-лист. SOA — ключевой документ, связывающий риски с контролями. Раздел 9.2 стандарта описывает обязательные требования к внутреннему аудиту.

ISO/IEC 27007 — стандарт аудита СУИБ

Специализированное руководство по аудиту именно систем управления ИБ. Дополняет общий стандарт аудита ISO 19011 спецификой области ИБ: компетенции аудиторов ИБ, специфические методы проверки технических контролей, особенности сбора свидетельств в ИБ-контексте.

Фреймворки управления ИТ и ИБ

COBIT

COBIT — фреймворк управления ИТ и ИБ, разработанный ISACA. Текущая версия — COBIT 2019.

Принципиальное отличие от ISO 27001: COBIT рассматривает ИБ в контексте корпоративного управления ИТ. Его цель — не «соответствует ли СУИБ стандарту», а «обеспечивает ли управление ИТ достижение бизнес-целей при приемлемом уровне риска».

COBIT организован вокруг 40 целей управления, сгруппированных в пять областей: EDM; APO; BAI ; DSS; MEA. Для каждой цели определены компоненты: процессы, организационные структуры, политики, информация, культура и показатели.

Для аудитора COBIT ценен прежде всего как инструмент оценки зрелости управления — не «выполняется ли требование», а «насколько хорошо выстроен процесс». Детально — в теме COBIT.

NIST Cybersecurity Framework (CSF)

NIST CSF разработан Национальным институтом стандартов и технологий США в 2014 году по указу президента Обамы для защиты критической инфраструктуры. Текущая версия — CSF 2.0 (2024).

Структура CSF строится вокруг шести функций: управление, идентификация, защита, обнаружение, реагирование, восстановление. Каждая функция разбита на категории и подкатегории с привязкой к другим стандартам (ISO 27001, NIST SP 800-53, CIS Controls).

Ключевое отличие от ISO 27001: CSF — это фреймворк, а не стандарт с жёсткими требованиями. Он не предназначен для сертификации, но используется для оценки зрелости программы кибербезопасности. Уровни реализации от 1 до 4 позволяют оценить, насколько систематично организация управляет киберрисками.

Для аудитора CSF — удобная карта для структурирования находок: нарушение, обнаруженное при технической проверке, можно отнести к одной из шести функций и тем самым показать, на каком этапе цикла управления кибербезопасностью имеется слабость.

Отраслевые стандарты

PCI DSS

PCI DSS — обязательный стандарт безопасности для всех организаций, обрабатывающих данные платёжных карт. Разработан советом PCI SSC, в который входят Visa, Mastercard, American Express, Discover и JCB.

Текущая версия — PCI DSS v4.0.1. Содержит 12 требований, организованных в шесть целей: построение и поддержание защищённой сети; защита данных держателей карт; управление уязвимостями; контроль доступа; мониторинг и тестирование сетей; политика ИБ.

Принципиальное новшество v4.0: customized approach — организация может применять контроли, отличные от стандартных, если докажет, что они снижают целевые риски эквивалентным образом. Это означает, что аудитор должен оценивать риски напрямую, а не только проверять соответствие фиксированным требованиям.

Аудит по PCI DSS проводится квалифицированными оценщиками QSA. Детально — в теме PCI DSS.

ГОСТ 57580

ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций» — обязательный стандарт для финансовых организаций России, находящихся под надзором Банка России. Определяет состав и содержание мер защиты информации для трёх уровней защиты (минимальный, стандартный, усиленный).

Уровень применяемого стандарта определяется категорией организации: кредитные организации применяют стандартный или усиленный уровень в зависимости от системной значимости; некредитные финансовые организации — как правило, минимальный или стандартный.

ГОСТ 57580.2-2018 описывает методику оценки соответствия — фактически стандарт аудита по ГОСТ 57580.1. Аудит проводится по 400+ проверочным процедурам с балльной оценкой. Итоговый показатель соответствия (от 0 до 1) является основой для надзорных оценок ЦБ РФ. Детально — в теме ГОСТ 57580.

Требования российских регуляторов

Для значительной части российских организаций аудит ИБ определяется прежде всего требованиями отечественных регуляторов — ФСТЭК России и ФСБ России.

ФСТЭК России: приказы №117, №21, №239

Три ключевых приказа ФСТЭК определяют требования к защите информации для разных классов систем. Приказ №117 — государственные информационные системы (ГИС). Приказ №21 — информационные системы персональных данных (ИСПДн). Приказ №239 — значимые объекты критической информационной инфраструктуры (КИИ).

Методологическая основа для всех трёх: модель угроз и нарушителя → классификация системы → базовый набор мер → адаптация и дополнение мер. Аудит соответствия этим приказам проверяет как результаты категорирования и моделирования угроз, так и фактическое внедрение требуемых мер защиты.

Детально — в теме Требования ФСТЭК.

Как выбрать критерии аудита

На практике аудитор редко работает только с одним стандартом. Выбор критериев определяется несколькими факторами.

Регуляторные обязательства имеют приоритет. Если организация является субъектом КИИ — приказ №239 ФСТЭК обязателен вне зависимости от других стандартов. Если обрабатывает платёжные карты — PCI DSS. Если является финансовой организацией под надзором ЦБ — ГОСТ 57580.

Договорные обязательства. Клиент или партнёр может требовать сертификацию по ISO 27001 или соответствие конкретному стандарту как условие работы.

Добровольный выбор. При отсутствии обязательных требований организация выбирает стандарт исходя из зрелости своей системы управления, отрасли и целей (выход на международные рынки — ISO 27001, оценка зрелости процессов — COBIT, стратегический обзор кибербезопасности — NIST CSF).

Комбинирование стандартов. ISO 27001 и NIST CSF хорошо дополняют друг друга: ISO 27001 даёт структуру управления, NIST CSF — стратегический взгляд на кибербезопасность. ISO 27001 и COBIT: ISO 27001 фокусируется на ИБ, COBIT — на управлении ИТ в целом. При комбинированном аудите аудитор составляет матрицу соответствия требований разных стандартов, чтобы избежать дублирования.

Сравнительная таблица стандартов

Стандарт Тип Обязательность Область Сертификация
ISO 27001:2022 Требования к СУИБ Добровольная (или по договору) Любая организация Да
ISO 27002:2022 Свод практик Рекомендательный Любая организация Нет
ISO 27007:2021 Методология аудита СУИБ Рекомендательный Аудиторы СУИБ Нет
ISO 19011:2018 Методология аудита СМ Рекомендательный Аудиторы систем менеджмента Нет
ISO 15408 (CC) Оценка продуктов Добровольная / по требованию регулятора Разработчики СЗИ Да (ОУД)
NIST CSF 2.0 Фреймворк кибербезопасности Рекомендательный (обязательный для КИИ США) Любая организация Нет
COBIT 2019 Фреймворк управления ИТ Рекомендательный Управление ИТ и ИБ Нет
PCI DSS v4.0.1 Стандарт платёжных систем Обязательный для субъектов Платёжная индустрия Да (QSA)
ГОСТ 57580 Финансовый сектор РФ Обязательный (ЦБ РФ) Финансовые организации РФ Да
Приказы ФСТЭК №117/21/239 Требования государственного регулятора Обязательный ГИС, ИСПДн, КИИ Да

Что дальше

Следующие темы курса детально разбирают каждый стандарт с аудиторской точки зрения: какова структура требований, как планировать проверку, какие свидетельства собирать, как формулировать находки.

  • Следующая тема: NIST Cybersecurity Framework — оценка зрелости кибербезопасности по функциям Govern, Identify, Protect, Detect, Respond, Recover
  • Управление ИТ: COBIT — аудит процессов управления ИТ и корпоративного управления рисками
  • Процесс аудита: ISO 19011 — полная процессная модель от программы аудита до отчёта
  • Ключевой стандарт СУИБ: ISO 27001 — структура требований и методика аудита

Список литературы и стандартов

Обновлено С. Антошкин около 22 часа назад · 6 изменени(я, ий)