практическая по стандартизации № 1

Практическая работа № 1
Тема: Стандарты и спецификации в области информационной безопасности
Цели:
1.Изучить ГОСТ Р ИСО/МЭК 27002-2012 Информационные технологии
(ИТ). Методы и средства обеспечения безопасности. Свод норм и правил
информационной безопасности.
2. Определить основные термины и понятия системы менеджмента
качества.
Задание:
Составить глоссарий ГОСТ Р ИСО/МЭК 27002-2012 Информационные
технологии (ИТ). Методы и средства обеспечения безопасности. Свод норм и
правил информационной безопасности.
Ход выполнения работы:
1. Изучить ГОСТ Р ИСО/МЭК 27002-2012 Информационные технологии
(ИТ). Методы и средства обеспечения безопасности. Свод норм и правил
информационной безопасности.
2. Составить глоссарий в виде таблицы:
№ п/п Термин
Определение
Примечание
3. Ответить на контрольные вопросы:
1.Сфера применения ГОСТ Р ИСО/МЭК 27002-2012 Информационные
технологии (ИТ). Методы и средства обеспечения безопасности. Свод норм
и правил информационной безопасности.
2.Определить вид стандарта ГОСТ Р ИСО/МЭК 27002-2012
Информационные технологии (ИТ). Методы и средства обеспечения
безопасности. Свод норм и правил информационной безопасности.
1.Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27002-2012
"Информационная
технология. Методы
и
средства
обеспечения
безопасности. Свод норм и правил менеджмента информационной
безопасности" (утв. приказом Федерального агентства по техническому
регулированию и метрологии от 24 сентября 2012 г. N 423-ст). Дата введения - 1
января 2014 г. Периоды действия: 01.01.2014 - 29.10.2021.
Настоящий стандарт идентичен международному стандарту ИСО/МЭК
27002:2005 "Информационная технология. Методы и средства обеспечения
безопасности. Свод норм и правил менеджмента информационной безопасности"
(ISO/IEC 27002:2005 "Information technology - Security techniques - Code of practice
for information security management").
Наименование
настоящего
стандарта
изменено
относительно
наименования указанного международного стандарта для приведения в
соответствие с ГОСТ Р 1.5 (пункт 3.5). Приказом Росстандарта от 20 мая 2021 г. N
416-СТ взамен настоящего ГОСТа с 30 ноября 2021 г. введен в
действие ГОСТ Р ИСО/МЭК 27002-2021.
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27002-2012
"Информационная технология. Методы и средства обеспечения безопасности.
Свод норм и правил менеджмента информационной безопасности" состоит из 11
разделов, посвященных мерам и средствам контроля и управления безопасности,
которые все вместе содержат, в целом, 39 основных категорий безопасности, и
одного вводного раздела, знакомящего с оценкой и обработкой рисков.
Разделы
В каждом разделе содержится несколько основных категорий
безопасности. Этими одиннадцатью разделами (сопровождаемыми количеством
основных категорий, включенных в каждый раздел) являются:
a) политика безопасности (1);
b) организационные аспекты информационной безопасности (2); 6
c) менеджмент активов (2);
d) безопасность, связанная с персоналом (3);
e) физическая защита и защита от воздействия окружающей среды (2);
f) менеджмент коммуникаций и работ (10);
g) управление доступом (7);
h) приобретение, разработка и эксплуатация информационных систем (6);
i) менеджмент инцидентов информационной безопасности (2);
j) менеджмент непрерывности бизнеса (1);
k) соответствие (3).
Каждый раздел содержит информацию по категориям безопасности в
следующем формате: определение, меры и средства контроля и управления,
рекомендации по реализации, дополнительная информация.
Например:
раздел 12 Приобретение, разработка и эксплуатация информационных
систем
Подраздел:
12.4 Безопасность системных файлов
Цель: Обеспечить уверенность в безопасности системных файлов.
Доступ к системным файлам и исходным текстам программ следует
контролировать, а проекты ИТ и деятельности по их поддержке необходимо
осуществлять безопасным способом. Необходимо проявлять осторожность в среде
тестирования, чтобы не подвергать риску чувствительную информацию.
12.4.1 Управление эксплуатируемым программным обеспечением
Мера и средство контроля и управления
Необходимо применять процедуры контроля установки программного
обеспечения в эксплуатируемых системах.
Рекомендация по реализации
Для сведения к минимуму риска повреждения эксплуатируемых систем
необходимо учесть следующие рекомендации в отношении контроля изменений:
a) обновление эксплуатируемого программного обеспечения, прикладных
программ и библиотек программ должны выполнять только обученные
администраторы при наличии соответствующего разрешения руководства
(см. 12.4.3);
b) эксплуатируемые системы должны содержать только утвержденный
исполняемый программный код и не должны содержать коды разработки или
компиляторы;
c) прикладные программы и программное обеспечение следует внедрять в
эксплуатируемую систему только после всестороннего и успешного
тестирования, которое должно выполняться на изолированных системах и
включать в себя тесты на пригодность к эксплуатации, безопасность, влияние на
другие системы и удобство для пользователя (см. 10.1.4); необходимо обеспечить
уверенность в том, что все соответствующие библиотеки исходных текстов
программ были обновлены;
d) меры и средства контроля и управления конфигурацией системы
необходимо использовать согласно системной документации для сохранения
управления всем реализуемым программным обеспечением;
e) прежде чем изменения будут реализованы, необходимо применять метод
отката;
f) в контрольном журнале должны быть сохранены все обновления
эксплуатируемой библиотеки программ;
g) предыдущие версии прикладного программного обеспечения следует
сохранять на случай непредвиденных обстоятельств;
h) старые версии программного обеспечения следует архивировать вместе
со
всей
требуемой
информацией
и
параметрами,
процедурами,
конфигурационными деталями и поддерживающим программным обеспечением
до тех пор, пока данные хранятся в архиве.
Необходимо, чтобы поставляемое поставщиком программное обеспечение,
используемое в действующей системе, поддерживалось на уровне,
обеспечиваемом поставщиком. Со временем поставщики программного
обеспечения прекращают поддерживать более старые версии программного
обеспечения. Организация должна учитывать риски, когда она полагается на
неподдерживаемое программное обеспечение.
Любое решение об обновлении программного обеспечения до новой
версии должно учитывать требования бизнеса в отношении изменения и
безопасности новой версии, т.е. введение новых функциональных возможностей
безопасности или количество и серьезность проблем безопасности, связанных с
этой версией. Исправления (патчи) программного обеспечения следует
применять, если они помогают удалять или снижать уязвимости безопасности
(см. 12.6.1).
Физический или логический доступ следует предоставлять поставщикам
только для целей поддержки, по мере необходимости и на основании разрешения
руководства. Действия поставщика должны подвергаться мониторингу.
Программное
обеспечение
компьютеров
может
использовать
поставляемые внешним (иностранным) поставщиком программное обеспечение и
модули, которые должны быть контролируемы и управляемы во избежание
несанкционированных изменений, которые могут способствовать нарушению
безопасности.
Дополнительная информация
Эксплуатируемую систему следует обновлять только при необходимости,
например, если текущая версия эксплуатируемой системы больше не
удовлетворяет требованиям бизнеса. Обновление не следует проводить только
потому, что доступна новая версия для эксплуатируемой системы. Новые версии
систем, находящихся в промышленной эксплуатации, могут быть менее
безопасными, менее стойкими и менее понятными, чем текущие системы.
12.4.2 …
12.4.3 … и тд
2. Глоссарий (Термины и определения в стандарте) (таблица)
№ Термин
п/п
1
Актив (asset)
2
3
4
Определение
Все, что имеет ценность для
организации.
[ИСО/МЭК 13335-1:2004]
Мера и средство Средство менеджмента риска,
контроля
и включающее в себя политики,
процедуры, рекомендации,
управления
(control):
инструкции или
организационные структуры,
которые могут быть
административного,
технического, управленческого
или правового характера.
Описание, поясняющее
действия и способы их
выполнения, необходимые для
достижения целей, изложенных
в политике.
[ИСО/МЭК 13335-1:2004]
система
обработки
Средства обработки Любая
информации,
услуга
или
информации
Рекомендация
(guideline)
Примечание
Термин "мера и
средство контроля и
управления" также
используется как
синоним терминов
"защитная мера"
(safeguard) или
"контрмера"
(countermeasure).
инфраструктура,
или
их
фактическое
месторасположение.
Информационная
Защита конфиденциальности,
целостности и доступности
безопасность
информации; кроме того, сюда
(information
могут быть отнесены и другие
security)
свойства,
например
аутентичность, подотчетность,
неотказуемость и надежность.
Какое-либо
событие
Событие
информационной безопасности,
информационной
идентифицируемое появлением
безопасности
состояния
(information security определенного
системы, сервиса или сети,
event)
указывающее на возможное
нарушение политики ИБ или
отказ защитных мер, или
возникновение
неизвестной
ранее ситуации, которая может
иметь
отношение
к
безопасности.
Какой-либо
инцидент
Инцидент
информационной безопасности,
информационной
являющийся следствием одного
безопасности
(information security или нескольких нежелательных
или неожиданных событий
incident)
информационной безопасности,
которые имеют значительную
вероятность
компрометации
операции бизнеса или создания
угрозы
информационной
безопасности.
Общее
намерение
и
Политика (policy)
направление,
официально
выраженное руководством.
Сочетание вероятности события
Риск (risk)
и его последствий.
Анализ риска (risk Систематическое использование
информации для определения
analysis)
источников и количественной
оценки риска.
Оценка риска (risk Общий процесс анализа риска и
оценивания риска.
assessment)
(information
processing facilities)
5
6
7
8
9
10
11
[ИСО/МЭК
73:2002]
Руководство
Процесс сравнения
количественно оцененного
риска с заданными критериями
риска для определения
значимости риска.
[ИСО/МЭК
Руководство
73:2002]
Скоординированные действия
по руководству и управлению
организацией в отношении
риска.
[ИСО/МЭК
Руководство
73:2002]
12
Оценивание риска
(risk evaluation)
13
Менеджмент риска
(risk management)
14
выбора
и
Обработка
риска Процесс
осуществления
мер
по
(risk treatment)
модификации
риска.
[ИСО/МЭК
Руководство
73:2002]
Третья
сторона Лица или организация, которые
признаны независимыми от
(third party)
участвующих
сторон,
по
отношению к рассматриваемой
проблеме.
[ИСО/МЭК Руководство 2:1996]
Потенциальная причина
Угроза (threat)
нежелательного инцидента,
результатом которого может
быть нанесение ущерба системе
или организации.
[ИСО/МЭК 13335-1:2004]
Слабость
одного
или
Уязвимость
(vulnerability) :
нескольких активов, которая
может быть использована одной
или несколькими угрозами.
/ИСО/МЭК 13335-1:2004]
15
16
17
Обычно менеджмент
риска включает в
себя оценку риска,
обработку риска,
принятие риска и
коммуникацию
риска.
3.Ответы на контрольные вопросы:
1.Сфера применения ГОСТ Р ИСО/МЭК 27002-2012 Информационные
технологии (ИТ). Методы и средства обеспечения безопасности. Свод норм и
правил информационной безопасности.
Настоящий стандарт устанавливает общие требования по созданию,
внедрению, поддержке и постоянному улучшению системы менеджмента
информационной безопасности в контексте деятельности организации.
Настоящий стандарт также содержит требования по оценке и обработке рисков
информационной безопасности с учетом потребностей организации. Изложенные
в настоящем стандарте требования являются обобщенными и предназначены для
применения во всех организациях независимо от их типа, размера, структуры
и сферы деятельности. Исключение любого из требований, указанных в разделах
4—10, не допускается, если организация заявляет о соответствии данному
стандарту.
2.Определить вид стандарта ГОСТ Р ИСО/МЭК 27002-2012
Информационные технологии (ИТ). Методы и средства обеспечения
безопасности. Свод норм и правил информационной безопасности.
В зависимости от объекта стандартизации и уровня принятия различают
следующие категории стандартов:
Международный стандарт — стандарт, принятый международной
организацией по стандартизации. В частности, ИСО, МЭК Такие стандарты носят
рекомендательный, добровольный характер.
Региональный стандарт — стандарт, принятый региональной организацией
по стандартизации.
Межгосударственный стандарт (ГОСТ) — стандарт, принятый
государствами, присоединившимися к соглашению о проведении согласованной
политики в области стандартизации, метрологии и сертификации.
Национальный стандарт — стандарт, принятый национальным
органом по стандартизации.
Государственный стандарт Российской Федерации (ГОСТ Р) принимается
Госстандартом России или Государственным комитетом Российской Федерации
по вопросам архитектуры и строительства (Госстрой России). К объектам ГОСТ Р
относятся продукция, работы и услуги, имеющие межотраслевое значение.
Национальный
стандарт
ГОСТ
Р
ИСО/МЭК
Информационные технологии (ИТ). Методы и средства
безопасности. Свод норм и правил информационной безопасности.
27002-2012
обеспечения
Вывод: в результате проделанной работы
- ознакомился с видами стандартов, действующих на территории РФ, в
том числе изучил национальный стандарт ГОСТ Р ИСО/МЭК 27002-2012
Информационные технологии (ИТ). Методы и средства обеспечения
безопасности. Свод норм и правил информационной безопасности.
-изучил основные термины и понятия системы менеджмента качества.
Действующий на 12.04.2023 г.:
Утвержден и введен в действие Приказом Федерального агентства
по техническому регулированию и метрологии от 20 мая 2021 г. N 416-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
СВОД НОРМ И ПРАВИЛ ПРИМЕНЕНИЯ МЕР ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Information technology. Security techniques. Code
of practice for information security controls
(ISO/IEC 27002:2013, IDT)
ГОСТ Р ИСО/МЭК 27002-2021
ОКС 35.030
Дата введения 30 ноября 2021 года
Структура стандарта
Настоящий стандарт состоит из 14 разделов, содержащих в совокупности
114 конкретных мер обеспечения ИБ, сгруппированных в 35 основных категорий.
Каждый раздел, посвященный мерам обеспечения ИБ, содержит описание
одной или нескольких основных категорий.
ОГЛАВЛЕНИЕ














Предисловие
Введение
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Структура стандарта
4.1 Разделы
4.2 Категории мер обеспечения информационной безопасности
5 Политики информационной безопасности
6 Организация деятельности по информационной безопасности
6.1 Внутренняя организация деятельности по обеспечению
информационной безопасности
6.2 Мобильные устройства и дистанционная работа
7 Безопасность, связанная с персоналом
7.1 При приеме на работу









































7.2 Во время работы
7.3 Увольнение и смена места работы
8 Менеджмент активов
8.1 Ответственность за активы
8.2 Категорирование информации
8.3 Обращение с носителями информации
9 Управление доступом
9.1 Требование бизнеса по управлению доступом
9.2 Процесс управления доступом пользователей
9.3 Ответственность пользователей
9.4 Управление доступом к системам и приложениям
10 Криптография
11 Физическая безопасность и защита от воздействия окружающей среды
11.1 Зоны безопасности
11.2 Оборудование
12 Безопасность при эксплуатации
12.1 Эксплуатационные процедуры и обязанности
12.2 Защита от вредоносных программ
12.3 Резервное копирование
12.4 Регистрация и мониторинг
12.5 Контроль программного обеспечения, находящегося в эксплуатации
12.6 Менеджмент технических уязвимостей
12.7 Особенности аудита информационных систем
13 Безопасность коммуникаций
13.1 Менеджмент информационной безопасности сетей
13.2 Передача информации
14 Приобретение, разработка и поддержка систем
14.1 Требования к безопасности информационных систем
14.2 Безопасность в процессах разработки и поддержки
14.3 Тестовые данные
15 Взаимоотношения с поставщиками
15.1 Информационная безопасность во взаимоотношениях с поставщиками
15.2 Управление услугами, предоставляемыми поставщиком
16 Менеджмент инцидентов информационной безопасности
17 Аспекты информационной безопасности в рамках менеджмента
непрерывности деятельности организации
17.1 Непрерывность информационной безопасности
17.2 Резервирование оборудования
18 Соответствие
18.1 Соответствие правовым и договорным требованиям
18.2 Проверки информационной безопасности
Приложение ДА. Сведения о соответствии ссылочных международных
стандартов национальным стандартам