Документ обсуждает различия между международными стандартами и российскими подходами в области информационной безопасности (ИБ), включая угрозы, управление рисками и практики защиты данных. Основное внимание уделяется изменениям в законодательстве России и международным стандартам, таким как ISO, COBIT, и PCI DSS. Также подчеркивается важность гармонизации и внедрения лучших практик для эффективного управления ИБ как в России, так и за рубежом.

1. Прозоров Андрей
Ведущий эксперт по информационной безопасности
Стандарты и «лучшие
практики» в ИБ:
Чем отличается мировой опыт
от подходов российских
регуляторов?
Для DLP–Russia 09-2013

2. Понимание требований к ИБ
и применение «лучших
практик» крайне необходимо
для управления и
обеспечения ИБ

3. 1. Куда развиваются требования и рекомендации по ИБ в
России и Мире?
2. В чем сходство и различия подходов к ИБ
в России и Мире?
О чем эта презентация?

4. Законодательство и подходы к
регулированию ИБ
Развитие ИТ
Научная база
Мировой опыт и «лучших практики»
Развитие в параллельных областях
знаний
(управление рисками, управление
проектами, управление ИТ, управление
непрерывностью и пр.)
Что влияет на развитие требований
и «лучших практик» ИБ?

5. Защита ПДн:
 152-ФЗ (07.2011) -> ПП 1119 -> Приказ ФСТЭК России №21
 Отмена ПП 781 и Приказа ФСТЭК России №58
Важные обновления:
 Переход от классов ИСПДн к Уровням защищенности ПДн
 Изменилась процедура выбора мер защиты, в том числе «с
учетом экономической целесообразности»
 Изменился (расширился) набор мер и средств защиты
 Появились дополнительные меры, направленные на снижение
актуальных угроз к 1 и 2 типа (НДВ)
 Пересмотрены требования к классам сертифицированных СЗИ
 Прописана возможность привлечения лицензиатов ФСТЭК для
выполнения работ ИБ
Изменения в подходах ИБ (РФ) 1

6. ФСТЭК России:
 Приказ №17 (ГосИС)
 Ожидаем:
 Методический документ. Меры защиты информации в
государственных информационных системах
(разъяснение требований Приказов ФСТЭК России № 17 и
№21)
 Порядок моделирования угроз безопасности информации
в информационных системах
 …
 Кстати, СТР-К никто не отменял…
Ожидаем обновления и расширения требований по НПС,
СТО БР ИББС, PCI DSS
Изменения в подходах ИБ (РФ) 2

7. Гармонизация требований к системам управления в ISO
Ожидаем обновление ISO 27001 и ISO 27002 (2013)
Ожидаем обновление PCI DSS
Обновились документы:
 COBIT 4.1 стал COBIT 5 (05-2012)
 SANS «20 Critical Security Controls for Effective Cyber
Defense» (v.4.1, 03-2013)
 NIST SP 800-53 «Security and Privacy Controls for Federal
Information Systems and Organizations» (v.4, 04-2013)
Смежные отрасли:
 PM: PMBOK обновлен до 5 версии (2013)
 BCM: Пересмотрен BS 25999 и утвержден ISO 22301 (2012)
 ITSM: Происходит «укрепление» ITILv3 и ISO 20000
Изменения в подходах ИБ (Мир)

8. 1. Доступность и популярность документов
2. Удобная структура документов
3. Открытость, наличие ссылок на авторов
и возможность комментирования при разработке
4. Дополнительные ссылки, маппинг, обзор изменений
5. Рекомендации и обсуждение
6. Возможность сертификации специалистов и компаний
7. Ориентир на управление рисками
8. Процессный подход
9. Комплексность и Системность
10. Анализ и Контроль
11. Необходимость постоянного совершенствования
Что характерно «западным»
стандартам по ИБ? 1

9. В последних версиях документов:
Связь с целями бизнеса (+Governance), понимание
ожиданий заинтересованных лиц (stakeholder)
Фокус на «человеческий фактор» и Лидерство
Управление знаниями
Больше конкретики и примеров
Гармонизация с другими стандартами и «лучшими
практиками»
Что характерно «западным»
стандартам по ИБ? 2

10. СТО БР ИББС и
«переводные» ГОСТы
развиваются в правильном
направлении.
А что с подходом ФСТЭК?

11. В Мире:
 Управление рисками – важная идея в ИБ
 Много методических материалов и рекомендаций
 Организации могут сами выбирать допустимый уровень риска и
подход (принятие, снижение, передача и избегание риска).
В РФ:
 Рисковый подход набирает популярность
(но подход через «актуальные угрозы»)
 Практически нет методических материалов
 ИБ-специалисты пренебрежительно относятся к
управлению рисками
 Анализ рисков – формальное требование, а
не механизм выбора мер защиты
Управление рисками

12. Что в «западных стандартах»:
 Входы и Выходы процессов
 Связь процессов
 Ответственность (RACI-chart)
 Четкая последовательность шагов
 Документы и записи
Что в РФ:
 Необходимо «выискивать» процессы по тексту документа
 Упомянутых процессов стало больше (например,
упр.инцидентами и событиями, упр.конфигурацией и другие)
 Практически отсутствуют рекомендации и примеры
 Процессный подход сложен для понимания (особенно после
привычки использования «объектно-ориентированного» подхода)
Процессный подход

13. Комплексность и системность
1. Принципы, политики и подходы
2. Процессы
3. Орг.
структуры
4. Культура,
этика и
поведение
5. Информация
6. Сервисы,
инфраструктура
и приложения
7. Люди, и
компетенции
Ресурсы
Одна из лучших моделей комплексного подхода (COBIT5):
В РФ аналогов нет, комплексность и системность обычно
подразумевается, но не прописана в документах…

14. В Мире:
 Примеры: Аудит (внутренний и внешний), тестирование на
проникновение, измерение ИБ, анализ со стороны руководства
 Требования четко прописаны в основных комплексных
стандартах, много методических документов и рекомендаций
В РФ:
 Термины «контроль», «оценка эффективности», «анализ»,
«аудит» точно не определены и часто перепутаны.
Есть намек на аттестацию ИС…
 Нет методических материалов
 Нет работы «над ошибками»
Анализ и Контроль

15. В Мире: Совершенствование ИБ – важный и непрерывный процесс
В РФ:
 Требований по пересмотру ИБ и совершенствованию практически нет
(единичные упоминания без конкретных сроков пересмотра)
 Нет требований по пересмотру модели угроз
 Нет измеримых целей и задач ИБ
 Нет требований по измерениям ИБ
Совершенствование ИБ
ISO NIST COBIT5
Основной драйвер – новые
требования и санкции
регуляторов

16. В каком направлении
развиваются подходы к ИБ в
Мире?

17. ISO/IEC 27001:2005 «Information technology. Security techniques.
Information security management systems. Requirements»
(Система управления информационной безопасности.
Требования)
Аналог ГОСТ 27001:2006
ISO 27001
История изменений:
• 1995 год: разработан BS 7799-1
• 1998 год: разработан BS 7799-2
• 1999 год: пересмотр и гармонизация
BS 7799-1 и 2 с ISO 9001
• 2002 год: пересмотр BS 7799-2
(в частности, добавили PDCA)
• 2005 год: пересмотр BS 7799-2 и принятие в
качестве ISO 27001:2005
• Ожидаем ISO 27001:2013 (и 27002 тоже)

18. Акцент на «Interested parties» («заинтересованные лица»).
Странно, что не используется термин «stakeholders»
Вместо п.5 «Приверженство руководства» стал пункт «Лидерство»
п.5.2 «Управление ресурсами» перешел в п.7 «Поддержка» («Support»).
В нем про предоставление ресурсов, наличию компетенций, повышение
осведомленности и управление коммуникациями (новое)
Упрощен подход к оценке рисков и управлению документами
Пересмотрен перечень механизмов контроля: 6 новых, 24 убрали
Пересмотрен перечень и содержание доменов:
Отдельный акцент на безопасность моб.устройств и удаленную работу
ISO 27001-2013: Что нового?
A.5 Security Policies
A.6 Organization of information security
A.7 Human resource security
A.8 Asset management
A.9 Access control
A.10 Cryptography
A.11 Physical and environmental security
A.12 Operations security
A.13 Communications security
A.14 System acquisition, development and
maintenance
A.15 Supplier relationships
A.16 Information security incident management
A.17 Information security aspects of business
continuity management
A.18 Compliance

19. COBIT
Control Objectives for Information and Related Technology
Задачи информационных и смежных технологий
2005/720001998
Evolutionofscope
1996 2012
Governance of Enterprise IT
COBIT 5
IT Governance
COBIT4.0/4.1
Management
COBIT3
Control
COBIT2
Audit
COBIT1
Val IT 2.0
(2008)
Risk IT
(2009)

20. В основе лежат «5 принципов»
Простроена связь целей бизнеса с целями ИТ
Пересмотрены процессы
Пересмотрен комплексный подход
(enablers – «движущие силы»)
Разделены понятия «Governance» (руководство) и
«Management» (управление)
Много книг, в том числе дополнительные:
 COBIT5 for Information Security
 Securing Mobile Devices Using COBIT5 for IS
 Transforming cybersecurity Using COBIT5
 Vendor Management Using COBIT5
 Configuration Management Using COBIT 5
Маппинг с основными стандартами (ИТ и ИБ)
Много рекомендаций и примеров
COBIT5:Что нового?

21. В каком направлении
развиваются подходы к PM,
BCM и ITSM?

22. Свод знаний по управлению проектами PMBoK
(Project Management Body of Knowledge)
Разработчик - PMI (Институт управления проектами)
Переход с 4 версии (2008) на 5 (2013)
10 областей знаний:
 Project Integration Management – Управление интеграцией
 Project Scope Management – Управление содержанием
 Project Time Management – Управление временем
 Project Cost Management – Управление стоимостью
 Project Quality Management – Управление качеством
 Project Human Resource Management – Управление
человеческими ресурсами
 Project Communications Management – Управление коммуникациями
 Project Risk Management – Управление риском
 Project Procurement Management – Управление закупками
 Project Stakeholder management – Управление заинтересованными лицами
47 процессов
PMBOK® Guide

23. Полезно знать и использовать
при внедрении крупных
проектов по ИБ
Например, комплексные проекты по защите ПДн,
по внедрению СУИБ (ISO 27001), по внедрению СОИБ
(СТО БР ИББС) и пр.
PMBOK:А где ИБ?

24.  Пересмотрена терминология, гармонизировано с ISO 21500:2012,
упоминается Agile, пересмотрен подход к «Офису управления проектами»
 Добавлена новая область знаний Project Stakeholders management
(«Управление заинтересованными сторонами проекта»), в ней 2 новых
процесса и 2 процесса из области Project Communication management
(«Управление коммуникациями»). Стало 10 областей знаний.
 Добавлено 5 процессов: Plan Scope Management (Планирование содержания
проекта), Plan Schedule Management (Планирование управления
расписанием), Plan Cost Management (Планирование управления
стоимостью), Plan Stakeholder Management (Планирование управления
заинтересованными лицами), а также Manage Stakeholder Engagement
(Управление обязательствами).
Стало 47 процессов, «планирование» теперь в каждой области
 Процесс Проверки содержания (Verify Scope) переработан и переименован в
Подтверждение содержания (Validate Scope)
 Добавлена модель информационной иерархии DIKW
(data – information – knowledge - wisdom)
 Расширен перечень навыков «Soft skill»/«Emotional intelligence»
(Эмоциональный интеллект)
PMBOK:Что нового?

25. ISO 22301:2012 «Societal security. Business continuity
management systems. Requirements»
(Управление непрерывностью бизнеса. Требования)
BS 25999-2:2007 -> ISO 22301:2012
Гармонизация общей структуры
с другими системами управления в ISO
(общая часть аналогична ISO 27001)
ISO 22301

26. 22301:А где ИБ?
Обеспечение непрерывности
бизнеса – одна из задач ИБ
(доступность информации)

27. IT Infrastructure Library — библиотека инфраструктуры ИТ
Актуальная версия: ITIL v3 (2007 год)
На основе ITIL разработан стандарт ISO 20000
Структура книг:
 Service Strategy (Стратегия услуг)
 Service Design (Проектирование услуг)
 Service Transition (Преобразование услуг)
 Service Operation (Эксплуатация услуг)
 Continual Service Improvement (Постоянное улучшение услуг )
ITIL

28. Нам интересны описание и рекомендации по следующим
процессам:
Управление инцидентами
Управление проблемами
Управление конфигурациями
Управление изменениями
Управление уровнем услуг
Управление доступностью
Управление непрерывностью
Управление доступом
Управление знаниями
Управление финансами
Процесс управления ИБ есть, но описан слабо…
ITIL:А где ИБ?

30. http://www.infowatch.ru
@InfoWatchNews
http://dlp-expert.ru
@DLP_Expert
И контакты…
http://80na20.blogspot.ru
@3dwave