Нормативно-правовая база организации защиты информации

Основой для организации защиты информации в компьютерных сетях являются национальные и международные стандарты по информационной безопасности. Данные стандарты реализуют требования законодательства и отражают лучшие мировые и национальные практики в области информационной безопасности.

Основные подходы к построению систем защиты информации описаны в следующих нормативных документах:

1. Серия международных стандартов ISO/IEC 27000.

2. ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем.

3. ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции.

4. ГОСТ Р 51583-2000. Порядок создания автоматизированных систем в защищенном исполнении.

5. 152-ФЗ, Приказ ФСТЭК от 18 февраля 2013 г. № 21. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

6. 149-ФЗ, Приказ ФСТЭК от 11 февраля 2013 г. № 17. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.

Данные документы содержат основные положения, определения, требования и концепции, которые могут быть использованы при построении системы защиты для автоматизированных систем и сетей. Корпоративные стандарты информационной безопасности, как правило, соответствуют принятым международным и национальным нормам.

Серия международных стандартов ISO/IEC 27000 включает стандарты по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссией (IEC). Серия содержит лучшие практики и рекомендации в области информационной безопасности. Данные стандарты определяют требования к системам управления информационной безопасностью, описывают управление рисками, метрики и измерения, необходимые для управления информационной безопасностью, а также содержат руководство по внедрению системы менеджмента информационной безопасности.

Стандарт ISO/IEC 27001: 2013 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования» устанавливает требования к системе управления информационной безопасностью (СУИБ) для демонстрации способности организации защищать свои информационные ресурсы [5]. Данный стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения СУИБ.

Практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание СУИБ, определены в стандарте ISO/IEC 27002: 2013 «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью» [4].

Руководство по внедрению СУИБ представлено в стандарте ISO/IEC 27003 «Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению Системы Управления Информационной Безопасностью» [6].

Серия стандартов ISO/IEC 27033 содержит определения, концепции и практические правила и руководства для обеспечения сетевой безопасности.

На базе ISO/IEC 27001 специалистами компании IT Task было создано методическое пособие [10], основанное на реальном практическом опыте и содержащее основные правила, требования и рекомендации для построения и внедрения системы управления информационной безопасностью в соответствии с требованиями международного стандарта ISO/IEC 27001. Все примеры, материалы и подход в целом, приведенные в пособии, являются частью реальных проектов построения и последующей сертификации СУИБ предприятий. Реализация представленного подхода позволяет выявить существующие угрозы информационной безопасности, выполнить оценку рисков, обеспечить эффективную защиту информации на предприятии и оптимизировать затраты на поддержание системы обеспечения информационной безопасности.

Национальные стандарты Российской Федерации в области защиты информации ГОСТ Р ИСО/МЭК идентичны соответствующим международным стандартам ИСО/МЭК.

Стандарт ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем» содержит рекомендации и критерии оценки безопасности АС. Стандарт устанавливает [8]:

1. Определение и модель АС.

2. Описание расширений концепции оценки безопасности с помощью стандартов серии ИСО/МЭК 15408, необходимых для оценки АС.

3. Методологию и процесс выполнения оценки безопасности АС.

4. Дополнительные критерии оценки безопасности, которые не были охвачены критериями оценки безопасности в стандартах серии ИСО/МЭК 15408.

ГОСТ Р ИСО/МЭК 27033-1-2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции» содержит обзор сетевой безопасности и связанных с ней определений. Стандарт определяет и описывает концепции, связанные с сетевой безопасностью, и предоставляет рекомендации по менеджменту сетевой безопасности. В качестве основных поддерживающих мер и средств контроля и управления представлены следующие меры [7]:

1. Деятельность по менеджменту сетевой безопасности;

2. Управление техническими уязвимостями;

3. Идентификация и аутентификация;

4. Ведение контрольных журналов и мониторинг сети;

5. Обнаружение и предотвращение вторжений;

6. Защита от вредоносных программ;

7. Криптографические услуги;

8. Управление непрерывностью деятельности.

ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении» содержит типовое содержание работ по защите информации на стадиях создания автоматизированных систем в защищенном исполнении (АСЗИ). Предполагаются следующие стадии [9]: