Практическая оценка результативности СМИБ в соответствии с требованиями различных систем стандартизации – ИСО 27001 и СТО Газпром
Ключевые слова:
система менеджмента информационной безопасности (СМИБ), система обеспечения информационной безопасности (СОИБ), метрики ИБ, объект защиты (ОЗ), меры (средства) информационной безопасностиАннотация
В данной публикации кратко рассмотрена оценка результативности систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями различных систем стандартизации, например ГОСТ Р ИСО/МЭК серии 27001 и Системы обеспечения информационной безопасности СТО Газпром серии 4.2 (СОИБ). Данная проблема имеет важное значение для минимизации рисков нарушения ИБ и обеспечения стабильности процессов обработки информации. Обращено внимание на методические сложности совмещения требований различных систем стандартизации (ГОСТ Р ИСО/МЭК и СОИБ), которые необходимо учитывать при оценке постоянного улучшения результативности СМИБ. Предложены формулы для расчета результативности СМИБ и рассмотрены практические примеры (кейсы), поясняющие расчет для конкретных ситуаций. Данные результаты могут найти применение при создании моделей и методов обеспечения аудитов СМИБ и мониторинга состояния объектов, находящихся под воздействием угроз нарушения ИБ, а также при создании моделей и методов оценки защищенности информации и ИБ объектов СМИБ и/или СОИБ Газпром.
Литература
1. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования // М.: ФАТРиМ России. 2008.
2. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности // М.: ФАТРиМ России. 2011.
3. ГОСТ Р ИСО 19011-2011 Руководящие указания по проведению аудитов систем менеджмента // М.: ФАТРиМ России. 2013.
4. СТО Газпром 4.2-1-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Основные термины и определения // М.: ОАО «Газпром». 2009.
5. СТО Газпром 4.2-2-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Требования к автоматизированным системам управления технологическими процессами // М.: ОАО «Газпром». 2009.
6. СТО Газпром 4.2-3-002-2009 Требования по технической защите информации при использовании информационных технологий // М.: ОАО «Газпром». 2009.
7. СТО Газпром 4.2-3-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисков // М.: ОАО «Газпром». 2009.
8. СТО Газпром 4.2-3-004-2009 Классификация объектов защиты // М.: ОАО «Газпром». 2009.
9. СТО Газпром 4.2-3-005-2013 Управление инцидентами информационной безопасности // М.: ОАО «Газпром». 2013.
10. Ногин В.Д. Принятие решений при многих критериях // Государственный Университет – Высшая школа экономики. Санкт-Петербург. 2007. 103 с.
11. ГОСТ Р ИСО/МЭК 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности // М.: ФАТРиМ России, 2008.
12. Карпенко М.С. Учет факторов риска и неопределенности при реализации энергосберегающих проектов // Энергобезопасность и Энергосбережение. 2014. Вып. 6. С. 13–16.
13. Лившиц И.И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и Связь. 2013. Вып. 6. С. 62–67
14. Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. Вып. 1. С. 22–34.
15. Лившиц И.И. Актуальность применения метрик информационной безопасности для оценки результативности проектов систем менеджмента информационной безопасности // Менеджмент качества. 2015. Вып. 1. С. 74–81
16. NIST.SP.800-53Ar4 Assessing Security and Privacy Controls in Federal Information Systems and Organizations. URL: http://dx.doi.org/10.6028/
17. Брукс П. Метрики для управления ИТ-услугами // Альпина Бизнес Букс. 2007. 270 с.
2. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности // М.: ФАТРиМ России. 2011.
3. ГОСТ Р ИСО 19011-2011 Руководящие указания по проведению аудитов систем менеджмента // М.: ФАТРиМ России. 2013.
4. СТО Газпром 4.2-1-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Основные термины и определения // М.: ОАО «Газпром». 2009.
5. СТО Газпром 4.2-2-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Требования к автоматизированным системам управления технологическими процессами // М.: ОАО «Газпром». 2009.
6. СТО Газпром 4.2-3-002-2009 Требования по технической защите информации при использовании информационных технологий // М.: ОАО «Газпром». 2009.
7. СТО Газпром 4.2-3-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисков // М.: ОАО «Газпром». 2009.
8. СТО Газпром 4.2-3-004-2009 Классификация объектов защиты // М.: ОАО «Газпром». 2009.
9. СТО Газпром 4.2-3-005-2013 Управление инцидентами информационной безопасности // М.: ОАО «Газпром». 2013.
10. Ногин В.Д. Принятие решений при многих критериях // Государственный Университет – Высшая школа экономики. Санкт-Петербург. 2007. 103 с.
11. ГОСТ Р ИСО/МЭК 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности // М.: ФАТРиМ России, 2008.
12. Карпенко М.С. Учет факторов риска и неопределенности при реализации энергосберегающих проектов // Энергобезопасность и Энергосбережение. 2014. Вып. 6. С. 13–16.
13. Лившиц И.И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и Связь. 2013. Вып. 6. С. 62–67
14. Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. Вып. 1. С. 22–34.
15. Лившиц И.И. Актуальность применения метрик информационной безопасности для оценки результативности проектов систем менеджмента информационной безопасности // Менеджмент качества. 2015. Вып. 1. С. 74–81
16. NIST.SP.800-53Ar4 Assessing Security and Privacy Controls in Federal Information Systems and Organizations. URL: http://dx.doi.org/10.6028/
17. Брукс П. Метрики для управления ИТ-услугами // Альпина Бизнес Букс. 2007. 270 с.
Опубликован
2015-06-15
Как цитировать
Лившиц, И. И., & Полещук, А. В. (2015). Практическая оценка результативности СМИБ в соответствии с требованиями различных систем стандартизации – ИСО 27001 и СТО Газпром. Труды СПИИРАН, 3(40), 33-44. https://doi.org/10.15622/sp.40.3
Раздел
Статьи
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями:
Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале.
Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале.
Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).
