Указом Президента России от 05 декабря 2016 года № 646 утверждена новая Доктрина информационной безопасности Российской Федерации. Доктрина представляет собой систему официальных взглядов на обеспечение национальной безопасности России в информационной сфере. Обновление данного документа вызвано усилением информационных угроз, заставляющих пересматривать подходы к управлению информационной безопасностью (ИБ). В соответствии с п. 23 Доктрины одними из основных направлений обеспечения ИБ в области государственной и общественной безопасности являются:
- повышение безопасности функционирования образцов вооружения, военной и специальной техники и автоматизированных систем управления;
- обеспечение защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа и распространения.
В результате вопросы управления информационной безопасностью становятся приоритетными для всех системообразующих отраслей и, прежде всего, для организаций оборонно-промышленного комплекса (ОПК). Защита от угроз ИБ оборонных предприятий строится комплексно и включает в себя, как меры организационного характера, так и использование специализированных технических методов защиты, формируя систему управления. Более того, государственным военным стандартом ГОСТ РВ 0015-002 установлен ряд требований к системам менеджмента качества организаций ОПК. Пункт 4.3 данного стандарта накладывает обязательство на внедрение и документальное оформление порядка соблюдения ИБ для предприятий, участвующих в государственном оборонном заказе (ГОЗ). Таким образом, особую актуальность для предприятий ОПК приобретает задача построения и сертификации системы информационной безопасности (СУИБ).
Для создания эффективной СУИБ придерживаются стандартов Международной организации по стандартизации (International Organization for Standardization (сокращенно ISO или ИСО)), а точнее их отечественных аналогов, оформленных в виде национальных стандартов РФ. В этой статье мы хотели бы внести немного ясности в предназначении стандартов информационной безопасности (семейство ИСО 27000) и особенности их применения. Несомненно, все эти документы затрагивают одну и ту же предметную область. Тем, кто столкнулся с ними впервые, не совсем понятно, на что нужно обратить внимание. Дополнительную сложность для восприятия и структурирования стандартов вносит разница в датировании международных и национальных версий, которая вызвана временной задержкой на локализацию документов.
Предлагаем начать с буквального перевода формулировок первоисточника (официальный сайт ИСО, www.iso.org). Будем двигаться по порядку нумерации, приводя соответствующий российский национальный стандарт:
Исходный текст (английский язык) | Перевод (русский язык) |
ISO 27000
Information technology. Security techniques. Information security management systems. Overview and vocabulary
ISO/IEC 27000:2016 the overview of information security management systems, and terms and definitions commonly used in the ISMS family of standards. This International Standard is applicable to all types and sizes of organization (e.g. commercial enterprises, government agencies, not-for-profit organizations). |
ИСО 27000
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (Национальный стандарт ГОСТ Р ИСО/МЭК 27000)
ИСО/МЭК 27000:2016 описание систем управления информационной безопасностью, а также термины и определения, обычно используемые в семействе стандартов СУИБ. Настоящий стандарт применим ко всем типам и размерам организации (например, коммерческим предприятиям, государственным учреждениям, некоммерческим организациям). |
ISO 27001
Information technology. Security techniques. Information security management systems. Requirements
ISO/IEC 27001:2013 specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. It also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in ISO/IEC 27001:2013 are generic and are intended to be applicable to all organizations, regardless of type, size or nature. |
ИСО 27001
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (Национальный стандарт ГОСТ Р ИСО/МЭК 27001)
ИСО/МЭК 27001:2013 определяет требования к созданию, внедрению, поддержанию и постоянному совершенствованию системы управления информационной безопасностью в условиях организации. Стандарт также включает в себя требования к оценке и обработке рисков информационной безопасности с учетом потребностей организации. Требования, изложенные в ИСО/МЭК 27001:2013 являются общими и предназначены для применения ко всем организациям, независимо от типа, размера или характера. |
ISO 27002
Information technology. Security techniques. Code of practice for information security controls
ISO/IEC 27002:2013 gives guidelines for organizational information security standards and information security management practices including the selection, implementation and management of controls taking into consideration the organization’s information security risk environment(s). |
ИСО 27002
Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности (Национальный стандарт ГОСТ Р ИСО/МЭК 27002-2012)
ИСО/МЭК 27002:2013 дает рекомендации по организационным стандартам информационной безопасности и практики управления информационной безопасностью, включая отбор, внедрение средств контроля и управление ими с учетом среды рисков информационной безопасности организации. |
Как видно из названий и краткого описания стандартов, ISO 27000 очерчивает общие принципы всего семейства, ISO 27001 регламентирует требования к СУИБ, а ISO 27002 содержит подходы к управлению ИБ. Так, например, общим блоком стандартов ISO 27001 и ISO 27002 является перечень мер и средств контроля и управления, выбираемые на основе оценки рисков. Однако отличие ISO 27002 заключается в том, что эти меры приведены не виде требований, а даны вместе с детальным объяснением передового опыта их применения. Другими словами, ISO 27002 является сводом наилучшей практики реализации мер безопасности, но не определяет систему менеджмента, т.к. не касается вопросов управления документацией, внутреннего аудита, корректирующих и предупреждающих действий, управления рисками и т.д., которые стали прерогативой ISO 27001. Соответственно аудит и сертификация систем менеджмента информационной безопасности проводится по стандарту ISO 27001, а стандарт ISO 27002 нужен для эффективного построения СУИБ.
Отметим, что стандарт ISO 27002 был впервые введен в 2007 году в результате переиздания стандарта ISO 17799, которое было вызвано выстраиванием описанной выше взаимосвязи со стандартом ISO 27001. В России стандарту ISO/IEC 17799 соответствовал Национальный стандарт ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» (утратил силу с 01 января 2014 года).
В семействе ИСО 27000 существуют другие, менее знаковые стандарты, служащие для управления информационной безопасностью. К ним относятся:
- ISO 27003:2010 «Information technology. Security techniques. Information security management system implementation guidance» (Национальный стандарт ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности»);
- ISO/IEC 27004:2016 «Information technology. Security techniques. Information security management. Monitoring, measurement, analysis and evaluation» (Национальный стандарт ГОСТ Р ИСО/МЭК 27004-2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения»);
- ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management» (Национальный стандарт ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»).
Перечень стандартов продолжают ISO/IEC 27006:2015 (ГОСТ Р ИСО/МЭК 27006-2008), ISO/IEC 27007:2011 (ГОСТ Р ИСО/МЭК 27007-2014) и ISO/IEC TR 27008:2011 (ГОСТ Р 56045-2014/ISO/IEC TR 27008:2011), посвященные требованиям и рекомендациям для проведения аудита информационной безопасности. Кроме того, имеется ряд стандартов более узкой специализации, которые мы не будем здесь рассматривать.
Отметим стандарт ISO/IEC 27013:2015 «Information technology. Security techniques. Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1», которому в РФ соответствует Национальный стандарт ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1». Предназначение последнего стандарта в согласовании процессов управления ИБ и ИТ. На практике, стандарт ISO 27001 также может быть интегрирован и с другими стандартами систем менеджмента, такими как ISO 9001 и ISO 14001.
Структуру семейства ISO 27000 можно представить в виде графической схемы, отображающей взаимосвязь и назначение основных стандартов, используемых для построения системы менеджмента ИБ:
Таким образом, ISO 27001 – единственный сертифицированный стандарт ИСО в области информационной безопасности. Для предприятий ОПК внедрение и сертификация систем управления информационной безопасности является необходимым условием участия в государственном оборонном заказе. Узнать подробности о проведении аудита СУИБ и получении сертификата по стандарту ГОСТ Р ИСО/МЭК 27001-2006 в соответствии с требованиями ГОСТ РВ 0015-002-2012 можно на соответствующем разделе нашего сайта. Также обратим внимание, что отраслевой стандарт ГОСТ РВ 0015-002 имеет более широкую область применения (устанавливает требования к системе менеджмента качества в целом) и обязателен для предприятий ОПК. Так, например, согласно Постановлению Правительства РФ № 581 от 13.06.2012 сертификация по стандарту ГОСТ РВ 0015-002 обязательна для получения предприятием лицензии МинПромТорга (сокращенно – лицензии ВВТ).
Наши эксперты готовы оперативно и квалифицированно ответить на вопросы, связанные с построением и сертификацией системы управления информационной безопасностью. Вы можете заказать консультацию по управлению рисками системы менеджмента вашего предприятия прямо сейчас.