Методы оценки защищённости систем менеджмента информационной безопасности, разработанных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005 тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Лившиц, Илья Иосифович

Введение

Актуальность работы. В последние несколько лет в Российской Федерации (РФ) проблема обеспечения информационной безопасности (ИБ) отражает общемировые тенденции и находится в фокусе внимания как критический фактор для обеспечения государственной безопасности. Техническое обеспечение для решения данной проблемы постоянно совершенствуется, появляются новые средства защиты информации (СЗИ), препятствующие или существенно затрудняющие попытки несанкционированного доступа (НСД). В области законодательного регулирования в РФ принят ряд нормативных правовых актов (НПА), прежде всего Стратегия национальной безопасности РФ до 2020 года (в которой отражена потребность в разработке и внедрении современных технологий ИБ в системах государственного и военного управления), Доктрина информационной безопасности РФ, Федеральные законы ФЗ-149 «Об информации, информационных технологиях и о защите информации», ФЗ-98 «О коммерческой тайне», ФЗ-152 «О персональных данных», иные Федеральные законы ([96] - [112]), Постановления Правительства РФ [62] -[69], и иные НПА: Приказы ФСТЭК и ФСБ [154] - [73], Методические материалы ФСТЭК [61] - [75]).

Необходимо отметить, что в РФ также активно вводятся в оборот международные стандарты (МС), призванных восполнить пробел в создании современных систем менеджмента информационной безопасности (СМИБ), отвечающим требованиям как бизнеса (прежде всего эффективности), так и законодательным требованиям различных регуляторов (т.н. «compliance»). Среди наиболее известных МС необходимо отметить стандарты ИСО/МЭК серии 27000 и 20000; британские стандарты BSI серии 10012 (Personal Data Protection) и 25999 (Business Continuity Process), американские стандарты NIST (прежде всего серии 800), стандарты Австралии и Новой Зеландии (например, AS/NS 4360) и пр.

1998 1999 200020012002 2003 200420052006 2007 2008 2009 2010 2011 годы Рис. 1 Динамика разработки международных стандартов в области обеспечения ИБ

2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 годы Рис. 2 Динамика разработки гармонизированных национальных стандартов в области ИБ

МС ИСО/МЭК серии 27000 предлагает концепцию ИБ, построенную на «триаде безопасности» - конфиденциальности, целостности и доступности. В стандарте МС ИСО/МЭК 27000:2009 предложено возможное расширение этой «триады» дополнительными требованиями: аутентичность, ответственность, неотказуемость, надежность (п. 2.19 ИСО/МЭК 27000:2009). Необходимо отметить, что за последние 3 года практические все современные стандарты ИСО/МЭК, в которых изложены требования к ИБ, приняты в РФ в качестве ГОСТ Р, и прежде всего ИСО/МЭК серии 27000 и ИСО/МЭК серии 20000.

Дополнительно необходимо отметить, что применении техник аудита (как независимого процесса оценки СМИБ) на соответствие множеству установленных требований, выполняется в РФ не достаточно широко,

несмотря на принятые более 10 лет назад ГОСТ Р ИСО 19011:2002 «Руководящие указания по аудиту систем менеджмента качества и/или экологического менеджмента» (а также новой пересмотренной версии ИСО 19011:2011 «Руководящие указания по аудиту систем менеджмента») и специального «целевого стандарта» МС ИСО/МЭК 27006:2007 «Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью».

Одним из наиболее критичных видов информации, утечка которой наиболее чувствительна, являются персональные данные (ПДн). О фактах крупнейших утечек ПДн как в РФ, так и в мире известно достаточно; причем ущерб, в отличие от хищения, например, материальных средств (денег с банковских счетов), больше имиджевый - несколько атак подряд на сервера Sony привели к утечке личной информации более 1 млн. пользователей (по данным Reuters). В июне 2011 очередное нападение было осуществлено хакерской группой LulzSec, которая ранее провела атаки на телеканал PB S и интернет-сайт Fox.com. Взломщики опубликовали имена, даты рождения, почтовые и электронные адреса, номера телефонов и пароли нескольких тысяч участников конкурсов, которые проводит Sony.

Общие оценки ущерба по фактам «отраслевых» утечек (приведены компанией Info Watch в 2010) таковы (см. рис. 3):

Банк

Реестр 60 юридических лиц - надежных заемщиков

900 млн.

Банк

Список 1000 физических лиц, способных отдать кредит

500 млн.

Системный интегратор

Переписка сотрудников - злоумышленников

15 млн.

Нефтяная компания

Требования закупочной компании

7 млн.

Нефтяная компания

Заявка на конкурс

1 млрд.

рис. 3 Общие оценки ущерба (InfoWatch)

Для специалистов - инженеров, юристов, сотрудников отделов персона и служб безопасности, проблема эффективности обеспечения ИБ недостаточно ясна в силу сложности оценки (как количественной, так и качественной) современных автоматизированных систем (АС). Известно, что некоторые АС «в базовом варианте» разработки и поставки могут не содержать встроенных систем (элементов) СЗИ НСД. Особенно это замечание справедливо для АС, созданных достаточно давно (например, в поликлинических медицинских АС) и категорированных только в связи с требованиями «регуляторов» по ФЗ-152. Необходимо отметить, что даже при наличии достаточного количества регулирующих технических документов (ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении»), наличие требований по ИБ в ГОСТ серии 34 (например 34.601, 34.201,) и др. обработка ПДн в ряде АС (ИСПДн) проходит без должного внимания к проблемам ИБ даже у крупнейших операторов (Пример - в сахалинском филиале ОАО «Дальсвязь» выложили на публичный ГТР-сервер файлы с исчерпывающими служебными и личными данными как минимум 11 тыс. текущих или бывших клиентов).

В последние 2-3 года экспертам в области ИБ стало очевидно, что анализ защищенности СМИБ, равно как и обеспечение необходимого уровня ИБ - процесс непрерывный и должен выполняться на постоянной планируемой основе с должным вниманием к ресурсам и оперативным анализом результатов, что, собственно, и является базовыми требованиями при выполнении аудитов ИБ. Анализ НПА в области ИБ в РФ и МС показывает, что до настоящего времени не уделялось должного внимания вопросам формирования критериев оценки защищённости СМИБ. Отдельные требования присутствуют в МС, ВБ, РД ФСТЭК, ФСБ и Постановлениях Правительства, но конкретных и безусловно признанных методологий оценки - качественных или количественных пока не предложено.

Для формирования эффективной практики аудита СМИБ необходимо применять комплексный подход, включающий ряд взаимоувязанных

мероприятий, одним из важнейших является формирование системы критериев и разработка моделей оценки. Как показывает анализ публикаций на специализированных конференциях и в отраслевых изданиях, на практике недостаточно информации о реализуемых функциях (механизмах) ИБ. Например, в докладе, посвященном «облачным вычисления» Oracle четко указано, что в силу повсеместного увеличения требований регуляторов и неустойчивости процессов «возможен рост стоимости аудита, исследований уязвимостей, исправлений и оповещений». Иными словами, проведение «унифицированного» анализа защищенности СМИБ весьма затруднительно; по этой причине используется экспертный подход, позволяющий получить качественные и/или количественные модели оценки, которые могут быть предложены менеджменту организаций (ЛПР - лицу, принимающему решения) для принятия эффективных решений в области ИБ.

В процессе оценки (различных аудитов - сертификационных, надзорных и пр.) СМИБ эксперты сталкиваются с рядом проблем, порожденных неоднородностью данных, доступных для анализа, разнообразием АС и СЗИ НСД, специального «отраслевого» ПО (СКЗИ) и пр. В силу требований МС по аудиту, эксперты должны опираться только на факты (например, известное требование - «принятие решений, основанных на фактах»), но эти факты (например, утечки чувствительной информации) не всегда становятся известны в силу нежелания менеджмента предавать огласке факты слабостей в системе ИБ или управленческих ошибок при работе с персоналом. В связи с этим, в большинстве случаев, для аудита СМИБ применяются экспертные оценки количественных (например, бальные системы оценки в Комплексе СТО БР) и/или качественных характеристик (например «соответствует» в системе сертификации СЗИ НСД ФСТЭК), что вносит известную неопределенность в итоговые данные и затрудняет формирования итогового управляющего решения ЛПР.

Основные теоретические аспекты проблемы обеспечения ИБ и конкретно - оценка СМИБ нашли отражение в работах ряда современных

российских и зарубежных специалистов: P.M. Юсупова, В.Ю. Осипова, Саенко И.Б., Н.В. Хованова, А.А. Молдовяна, В.И. Емелина, В.М. Зимы, JL Заде, Т. Саати и др.

Анализ работ вышеуказанных ученых показал, что при всей значимости проведенных исследований, касательно применения моделей для оценки защищённости (в т.ч. экономической эффективности), в современном состоянии уровня техники модели СМИБ изучены и практически проработаны не в полной мере. Проведенный анализ современных подходов к обеспечению ИБ и практики формирования оценок защищенности СМИБ, позволяет сделать вывод, что для повышения объективности и корректности аудитов (оценки) СМИБ необходимо применять модели и методы, оптимизированные относительно широкого (не узкого фиксированного отраслевого) спектра критериев. К таковым критериям могут быть отнесены «контролю) (МС ИСО/МЭК 27001:2005, Приложение А), которые обеспечивают возможность оценки различных СМИБ, в не зависимости от размеров организации, отраслевой принадлежности и принятых обычаев делового оборота. Все вышесказанное в совокупности с возрастанием требований к оперативности и достоверности формирования управляющих решений ЛПР при выполнении процессов аудита современных СМИБ, подтверждает актуальность диссертационной работы.

Цель исследования Повышение оперативности и достоверности оценки защищённости СМИБ, разработанных в соответствии с требованиями МС ИСО/МЭК 27001:2005 и практического применения моделей СМИБ и методов оценки защищенности в практике аудитов ИБ, в том числе при оценке защищённости ПДн, необходимой и достаточной менеджменту для принятия адекватных мер на основе современных математических методов проведения оценки и «лучшей практики».

Объект исследования - Система менеджмента информационной безопасности (СМИБ).

Предмет исследования - Модели и методы анализа сложных (иерархических) систем.

Для достижения указанной цели исследования поставлены следующие научные задачи:

1. Выполнить анализ требований НПА в области ИБ и создания СМИБ, в том числе, в области обеспечения защищённости ПДн;

2. Разработать подходы и принципы синтеза эффективных моделей оценки защищённости СМИБ;

3. Разработать иерархические модели СМИБ, учитывающие множество критериев (в т.ч. требования защищённости ПДн), с использованием современного математического аппарата анализа иерархий - метода анализа иерархий (МАИ);

4. Синтезировать методы оценки защищённости СМИБ с использованием современного математического аппарата (модификации МАИ - сравнения относительно стандартов);

5. Выполнить апробацию моделей и методов оценки СМИБ в практике проведения аудитов ИБ в соответствии с требованиями ИСО/МЭК 27001:2005

Теоретическая значимость выполненных исследований состоит в применении новых методов оценки сложных (иерархических) систем и синтезе моделей СМИБ для систематического процесса получения достоверных оценок защищённости моделей СМИБ.

Практическая значимость разработанных методов оценки защищённости СМИБ определяется тем, что модели СМИБ позволяют получать оперативные и достоверные оценки (в том числе и оценки защищённости ПДн) в процессе аудитов ИБ (различных типов) с использованием независимых (групповых) экспертных оценок. Разработанные модель СМИБ и методика позволяют повысить объективность и корректность оценки защищённости, сократить сроки проведения - например, в рамках планового проведения аудитов ИБ в

организации. Применение независимых экспертных оценок дополнительно дают преимущества получения объективных, математически согласованных и практически обоснованных управленческих решений для ЛПР. Более того, накапливаемые результаты оценок СМИБ могут быть использованы для долгосрочного стратегического анализа, снижения издержек при проведении последующих аудитов ИБ, эффективного обучения персонала, а также для поддержки принятия решений по адекватному выбору технических и/или организационных мер («контролей»).

Научная новизна работы состоит в следующем:

1. Разработаны иерархические модели оценки защищенности СМИБ, служащие для описания предметной области и формирования множества альтернатив на основе сравнения стандартов. Модели имеют вид иерархической структуры, состоящей из 3-х уровней: уровень «глобальной цели», уровень «триады безопасности» (в соответствии с требованиями МС ИСО/МЭК 27001:2005), уровень «критериев безопасности» (в соответствии с требованиями Приложения А ИСО/МЭК 27001:2005 в аспекте экономической целесообразности, необходимой для формирования эффективного «целевого» управленческого решения), а так же альтернатив (стандартов). Разработанные структуры позволяют применять в широком объеме независимые экспертные оценки, широко варьировать альтернативы - не быть жестко привязанным к фиксированному множеству стандартов в области ИБ. Кроме того, модели отличаются внутренними механизмами математической «самопроверки» (вычисляется индекс согласованности (однородности), не допуская несогласованных экспертных оценок, способных повлиять на достоверность вычисляемой итоговой оценки.

2. Разработаны методы оценки защищенности СМИБ, базирующиеся на представленных в диссертационной работе моделях СМИБ, обладающие рядом особенностей, подтверждающих ее новизну: применение единого подхода к формированию критериев защищенности СМИБ (в

соответствии с требованиями МС ИСО/МЭК 27001:2005), расчет ряда численных показателей, учитывающих применение (равно как и возможность исключения на основе оценки рисков) произвольного числа «контролей» (СЗИ НСД, организационных мер, документов ПДн и пр.). В первой главе содержится обзор современных НПА, а так же результатов научно-практических исследований, в том числе решений для оценки ИБ, предложенных в современном прикладном и системном ПО в качестве СЗИ НСД (СКЗИ). Приведены результаты анализа требований МС ИСО/МЭК в части, касающейся проведения аудитов. Сформулированы последовательные действия (алгоритм), необходимые для решения поставленных научных задач и дана оценка эффективности различным способам решения этих научных задач с учетом известного уровня техники.

Во второй главе представлено теоретическое обоснование новой модели оценки защищенности СМИБ с учетом требований к процессу проведения независимых аудитов ИБ. Модель оценки защищенности СМИБ синтезирована в виде иерархической модели, которая предоставляет возможность декомпозиции сложного реального объекта (АС) на фиксированное число уровней, таким образом, возможно применение МАИ (модификация метода относительно стандартов) для эффективного и достоверного анализа защищенности и формирования оценки для ЛПР.

В третьей главе представлена методика оценки СМИБ на базе синтезированной модели оценки защищенности СМИБ. Приведена процедура методов оценки как последовательность этапов и конкретных действий по каждому этапу, позволяющая продемонстрировать результат оценки защищенности СМИБ в процессе экспериментального исследования (на примере ПДн). Предоставлены математические расчеты по метрологической оценке результатов, расчеты индекса (оценки) согласованности, анализ прогнозные значений и теоретических результатов.

Четвертая глава содержит точные данные расчета оценки защищенности ПДн по конкретной модели СМИБ. Приведены все параметры

модели СМИБ: «глобальная цель», «триада безопасности», критерии («контроли» из Приложения А МС ИСО/МЭК 27001:2005), шкалы оценки, множество альтернатив Aj (НПА - ИСО, РД ФСТЭК/ФСБ, СТО БР ИББС, PCI DSS). Приведены результаты - все матрицы МАИ, все вектора оценки приоритетов (и>у), все графики взаимовлияния альтернатив (для динамической модели), итоговые результаты - статические оценки защищенности и динамические оценки защищенности.

Обоснованность и достоверность положений, выводов и рекомендаций подтверждена корректностью использованного математического аппарата, результатами ряда выполненных экспериментальных работ (проведенных аудитов ИБ в течение 2008-2012 гг.), положительными результатами внедрения разработанных моделей оценки защищённости СМИБ в практику проведения аудитов СМИБ.

Апробация результатов. Основные положения и результаты диссертационной работы докладывались и обсуждались на 7-й международной конференции «Инфокоммуникационные технологии Глобального информационного общества» (Казань), 2009 г., 2-й, 3-й и 4-й Межбанковской конференции по информационной безопасности (Башкирия), 2010 - 2012 г.г., 16-й научно-практической конференции «Комплексная защита информации» (Гродно), 2011 г. Успешная практическая апробация подтверждена результатами внедрения разработанной модели в практику проведения аудитов СМИБ (в т.ч. защищенности ПДн) в ряде организаций («КАМАЗ-Дизель», г. Набережные Челны, ЗАО «Ниеншанц», г. Санкт-Петербург, ОАО «ДВМП», г. Владивосток, ОАО «ПРП Омскэнергоремонт»).

Публикации. Основные результаты диссертационного исследования представлены в 4 статьях, опубликованных в ведущих научных журналах и изданиях, рекомендованных ВАК Министерства образования и науки РФ, и в 17 публикациях в материалах научно-практических конференций, иных научных журналах и специализированных изданий. Всего по теме

диссертации 21 публикация, в т.ч. 5 свидетельств об официальной регистрации «Роспатента».

Структура и объем диссертации. Диссертация состоит из введения, 4-х глав, заключения, списка литературы из 154 наименований. В работе содержится 41 таблица и 39 рисунков. Объем основной части работы - 171 страниц. В приложении приведен глоссарий и отзывы о практическом применении результатов диссертационной работы.

Положения, выносимые на защиту:

1. Модели оценки защищенности СМИБ.

a. Модель формирования статической оценки защищенности СМИБ;

b. Модель формирования динамической оценки защищенности СМИБ

2. Методы оценки защищенности моделей СМИБ

a. Метод оценки защищенности моделей СМИБ (статический), основанный на МАИ (модификация МАИ относительно стандартов) и статической матрице предпочтения стандартов;

b. Метод оценки защищенности моделей СМИБ (динамический), основанный на МАИ (модификация МАИ относительно стандартов) и динамической (функциональной) матрице предпочтения стандартов.

Выводы

1. Достигнута поставленная цель научной работы: «Повышение оперативности и достоверности оценки защищенности СМИБ, разработанных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005 и практического применения этих методов и моделей СМИБ в практике аудитов ИБ, в том числе при оценке защищенности ПДн на основе современных математических методов проведения оценки и лучшей международной практики стандартов ИСО/МЭК».

2. Синтезированные в процессе диссертационной работы «Методы оценки защищенности систем менеджмента информационной безопасности, разработанных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005» модели и методы применительно к оценке защищенности ПДн:

Учитывают комплекс современных требований НПА (международных, национальных, известных отраслевых) к обеспечению ИБ, в т.ч. к защите ПДн;

Базируются на современном математическом аппарате (МАИ), модифицированным с учетом исследуемой научной задачи (МАИ относительно стандартов), а также с учетом возможности как статической так и динамической оценки приоритетности альтернатив (с применением методов аппроксимации выявленных закономерностей развития альтернатив);

Повышают результативность и достоверность оценки защищенности СМИБ в целом и эффективность внедрения стандарта ИСО/МЭК 27001:2005 в частности для различных отраслей (подтверждается многолетней успешной практикой и результатами апробации);

Позволяют устранить ряд недостатков, присущих известным современным подходам: о Статичность оценок ПДн только на базе формальных проверок установленной периодичности (например, практика проверок Роскомнадзора, методика ежегодной оценки комплекса СТО БР ИББС, требования стандартов ИСО 17021 и ИСО/МЭК 27006); о Недостоверность оценок ПДн при использовании несогласованных критериев (например, формальное выполнение требований только ФЗ-152 без учета необходимости системных изменений в ФЗ-1, Ф3-63, ФЗ-261 и прочих); о Неполноту оценки ПДн в силу узкого трактования «экспертных» заключений (например, формальная оценка по Комплексу СТО БР ИББС или Постановление Правительства от 03.02.2012 № 79 «Положение о лицензировании деятельности по технической защите конфиденциальной информации») Позволяют реализовать экономически адекватную систему защищенности моделей СМИБ, реализованную на базе оптимального набора «контролей» (Приложение «А» к стандарту ИСО/МЭК 27001:2005) в аспекте результатов риск-менеджмента и/или критериев обеспечения непрерывности бизнеса.

Перспективы использования результатов и развития работы

1. Дальнейшее развитие применяемого в процессе выполнения диссертационной работы «Методы оценки защищенности систем менеджмента информационной безопасности, разработанных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005» математического аппарата по направлениям:

Уточнения практических границ применения МАИ (и его модификаций - относительно стандартов и применением 2 различных типов матриц оценки приоритетности альтернатив) для повышения качества достоверности данных в тех случаях, когда получение объективных и достоверных данных (например, о создаваемой новой СМИБ) затруднительно и единственной применимой процедурой в МАИ признается процедура парных сравнений.

Оптимизация метода получения статической оценки защищенности за счет универсализации методов оценки группового мнения экспертов (например, решение сложной практической задачи получения непротиворечивых матриц парных сравнений и минимизация трудоемких итераций пересмотра результатов сравнений при систематической оценке ИС/ОС и обеспечение выполнения предела по допустимому значению ОС < 0,10);

Оптимизация метода получения динамической оценки защищенности СМИБ и, дополнительно, развитие одного из ценных практических применений - построение прогнозных временных функций оценки приоритетности альтернатив (например, построение точных функций экстраполяций различных альтернатив и, в узком практическом аспекте, решение задач математического прогноза применения НПА от различных регуляторов и/или динамики «гармонизации» стандартов в РФ)

2. Разработанные в процессе выполнения диссертационной работы «Методы оценки защищенности систем менеджмента информационной безопасности, разработанных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005» результаты (модели и методы) могут быть использованы для решения научных и прикладных задач, в т.ч обеспечения защищенности ПДн в аспекте решения комплексной проблемы обеспечения ИБ, в частности актуальных задач:

Экспертизы проектов создания систем обеспечения ИБ и/или СМИБ и, в частности, обеспечения защищенности ПДн в АС (ИСПДн) и дополнительного усиления (например, расширенного применения СКЗИ, что является типовым требованием как Приложения «А» стандарта ISO/IEC 27001:2005, так и НПА ФСБ -применительно к защите ПДн в ИСПДн, а также предложений по обеспечению информационной безопасности для современных технологий - например «Облачные вычисления» (Saas);

Экспертизы «compliance» (соответствия) действующих или проектируемых ИСПДн и/или СМИБ требованиям международных, национальных и отраслевых стандартов в области ИБ («гармонизация»);

Оценка возможности (вероятности) успешной сертификации СМИБ на соответствие требованиям стандарта ISO/IEC 27001:2005;

Оценка достоверности и адекватности результатов аудита СМИБ.

3. Созданные в процессе диссертационной работы и апробированные на практике модели и методы оценки защищенности ПДн применяются в настоящее время и могут применяться в дальнейшем при обучении и переподготовке специалистов в области ИБ, в частности, аудиторов СМИБ в соответствии с требованиями ИСО/МЭК 27001:2005 по следующим направлениям:

Курс «Ведущий аудитор системы менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ИСО/МЭК 27001:2005»;

Курс «Внутренний аудитор системы менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ИСО/МЭК 27001:2005»;

Курс «Разработка и внедрение системы менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ИСО/МЭК 27001:2005».

Заключение

Полученные в результате многолетней работы (как теоретические обоснования и расчеты, так и данные практического применения в практике аудитов ИБ) научные результаты касаются развития методов оценки защищенности СМИБ, разработанных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005 и практического применения этих методов и моделей СМИБ в практике аудитов ИБ, в том числе, при оценке защищенности ПДн.

Основные научные результаты:

1. Выполнен анализ требований современных НПА в области оценки защищенности СМИБ, разработанных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005 и практики оценки защищенности ПДн в СМИБ, как частной задачи в рамках аудитов ИБ в соответствии с требованиями международных стандартов ЙСО/МЭК серии 27001 (ГОСТ Р ИСО/МЭК), Методических материалов ФСТЭК, и ФСБ, СТО БР ИББС и ряда иных отраслевых НПА. Проведен обзор существующих подходов к решению проблемы оценки защищенности СМИБ, построению моделей защищенности, предлагаемых методов оценки защищенности на базе различных НПА, в т.ч. международных стандартов. Рассмотрена практика проведения аудитов ИБ, в т.ч. оценка защищенности ПДн на базе Методических материалов ФСТЭК и ФСБ и ряда международных стандартов.

2. Разработаны методы оценки защищенности СМИБ: Метод оценки защищенности ПДн (статический), основанный на МАИ (модификация МАИ относительно стандартов) и статической матрице предпочтения стандартов. Метод предназначен для получения экспресс-оценки защищенности

СМИБ и предоставления ЛПР объективных данных, полученных в результате расчета модели СМИБ и взвешенного мнения группы экспертов (статической матрицы предпочтения). Метод позволяет оценить текущее (статическое) значение защищенности СМИБ как фактов достижения «глобальной цели» в терминах МАИ. При расчете модели экспертам предлагается несколько альтернатив для подтверждения корректности и эффективности (если применимо) выбранного множества «контролей» в терминах Приложения «А» ИСО/МЭК 27001:2005. Метод оценки защищенности СМИБ (динамический), основанный на МАИ (модификация МАИ относительно стандартов) и динамической (функциональной) матрице предпочтения стандартов. Метод предназначен для получения прогноза (долгосрочной оценки) защищенности СМИБ и предоставления ЛПР объективных данных, полученных в результате расчета модели СМИБ и данных прогнозирования группы экспертов (динамической матрицы предпочтения). Метод позволяет оценить значение защищенности как результат «динамического суждения» факта достижения «глобальной цели» в терминах МАИ и численного представления экспертов об изменениях трендов выбранных альтернатив на определенном временном интервале. При расчете динамической модели СМИБ экспертам также предлагается несколько альтернатив для подтверждения корректности и эффективности (если применимо) выбранного множества «контролей» в терминах Приложения «А» ИСО/МЭК 27001:2005 и, дополнительно, ряд функций, отражающих «интуитивные чувства экспертов» по изменениям в тренде (постоянном, линейном, логарифмическом и пр.)

3. Разработаны модели оценки защищенности СМИБ, созданных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005 и алгоритмы применения этих моделей в практике аудитов ИБ, в том числе при оценке защищенности ПДн:

Модель формирования статической оценки защищенности СМИБ;

Модель формирования динамической оценки защищенности СМИБ.

4. Проведено тестирование методов оценки защищенности СМИБ (на базе и статической и динамической матриц предпочтения стандартов), выполнено практическое апробирование предложенных алгоритмов, получены количественные показатели (графики) по синтезированной модели СМИБ, пригодные для оценки ЛИР.

5. Предложенные подходы к оценке защищенности СМИБ, разработанных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005, реализованы в практике свыше 20 аудитов ИБ, в том числе при оценке защищенности ПДн, для следующих отраслей:

Машиностроение (ОАО «КАМАЗ-Дизель», г. Набережные Челны);

Транспорт (ОАО «Дальневосточное морское пароходство», г. Владивосток);

Электроэнергетика (ОАО «ПРП Омскэнергоремонт», г. Омск);

Нефтедобыча и нефтепереработка (ООО «ТНК - Уват», г. Тюмень);

Системная интеграция (ИТ) - ЗАО «Ниеншанц», г. Санкт-Петербург);

Медицина - ЗАО «Клиника Доброго Стоматолога», г. Санкт-Петербург. а также были реализованы в учебном процессе (свыше 10 курсов) по темам:

Курс «Ведущий аудитор системы менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ИСО/МЭК 27001:2005»;

Курс «Внутренний аудитор системы менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ИСО/МЭК 27001:2005»;

Курс «Разработка и внедрение системы менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ИСО/МЭК 27001:2005».

Библиография

1. Агаджанян Э. Г., Лапин А. В., Лившиц И. И., «Стоматологический программный комплекс MasterClinic. Технология автоматизации работы администратора клиники» // «Врач и информационные технологии», 2005 г. № 3

2. Агаджанян Э. Г., Лапин А. В., Лившиц И. И., «Информационное обеспечение процесса управления персоналом клиники на примере стоматологического программного комплекса MasterClinic» // «Менеджер здравоохранения», 2005 г. № 9

3. Андрейчиков A.B., Андрейчикова О.Н. «Анализ, синтез, планирование решений в экономике» - М.: Финансы и статистика. 2000. - 388 с.

4. Андрейченков A.B. «Принятие стратегических управленческих решений (компьютерные методы и примеры применения)». Учебное пособие ВолгГТУ. - Волгоград. 1998 - 141 с.

5. Ахметов O.A., Мжельский М. Б. «Метод анализа иерархий как составная часть методологии проведения оценки», ООО «Сибирский Центр Оценки» г. Новосибирск, «Актуальные вопросы оценочной деятельности», 2001 г.

6. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России) - выписка

7. Варфоломеев В.И., Воробьев С.Н. Принятие управленческих решений: Учеб. пособие для вузов. - М.:КУДИЦ-ОБРАЗ, 2001. - 288 с.

8. Выборнов А.О., «Сравнительный анализ стандартов Банка России комплекса БР ИББС и международных стандартов ИСО/МЭК JTC1/SC27» // Сборник трудов 1-й Межбанковской конференции, 10 -14 февраля 2009 года,

9. Гагарин А.Г. Анализ качества ПО методом анализа иерархий: проблема учета влияния находящихся на границах области допустимых значений при большом количестве критериев и альтернатив, «Аудит и Финансовый анализ» 2-2012

10. Гениевский П.В. «Практика внедрения Стандарта СТО БР ИББС 1.0 в кредитных организациях. Статистика. С чем сталкиваются банки?», Сборник трудов 1-й Межбанковской конференции, 10-14 февраля 2009 года;

11. Гениевский П.В. « Предварительные результаты исследования проблем и задач применения комплекса СТО БР ИББС», Сборник трудов 4-й Межбанковской конференции, 13-18 февраля 2012 года;

12. Голованов В.Б. «Международные и национальные стандарты безопасности информационных технологий. Цели и задачи гармонизации, востребованность в деятельности российских компаний» // Сборник трудов 3-й Межбанковской конференции, 14-19 февраля 2011 года;

13. Головин С.А. «Состояние работ в области международной ИТ-стандартизации» // Сборник трудов 3-й Межбанковской конференции, 14-19 февраля 2011 года;

14. ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.

15. ГОСТ 34.201 -89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.

16. ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.

17. ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы

18. ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.

19. Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.

20. ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.

21. ГОСТ Р 51275-99 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

22. ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

23. ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

24. ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

25. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России.

26. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России.

27. ГОСТ Р ИСО/МЭК 15288-2005. Системная инженерия. Процессы

жизненного цикла систем

28. ГОСТ Р 53622-2009. ИТ. Информационно-вычислительные системы. Стадии и этапы жизненного цикла, виды и комплектность документов

29. ГОСТ Р ИСО/МЭК 12207-1999. ИТ. Процессы жизненного цикла

программных средств;

30. ГОСТ Р ИСО/МЭК 16085-2007. Менеджмент рисков. Применение в процессах жизненного цикла систем и программного обеспечения

31. ГОСТ Р 8.563-2009 Государственная система обеспечения единства измерений. Методики (методы) измерений

32. ГОСТ Р 51672-2000 Метрологическое обеспечение испытаний продукции для целей подтверждения соответствия. Основные положения

33. Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных»

34. Емелин В.И., Молдовян A.A. Метод оценки выполнения требований информационной безопасности пользователями автоматизированных систем. Автоматизированные системы, средства защиты информации. 2007 № 4, стр. 49 - 52

35. Емелин В.И., Молдовян A.A. Метод информационного управления для защиты баз данных автоматизированных систем в социально-экономической сфере деятельности. Вопросы защиты информации. 2007 № 4, стр. 78 - 80

36. Илларионов М.Г. «Применение метода анализа иерархий в принятии управленческих решений». Актуальные проблемы экономики и права, 2009, № 1, с 37-42

37. Илларионов М.Г. Управленческие решения: методы обоснования альтернатив: учеб.-метод. пособие. - Казань: Издательство ИЭУП «Познание», 2008. - 75 с.

38. Кирюшкин С.А. «Вопросы реализации требований Федерального закона от 06.04.2011 №63 - ФЗ «Об электронной подписи» в автоматизированных банковских системах» // Сборник трудов 4-й Межбанковской конференции, 13-18 февраля 2012 года;

39. Козин И.Ф., Лившиц И.И. «Информационная безопасность. Интеграция международных стандартов в систему информационной безопасности России» «Информация и связь», № 1 2010, 0,8 печ. листа;

40. Лившиц И. И. «Проектирование, создание и внедрение комплексных систем обеспечения информационной безопасности на базе международного стандарта ИСО/МЭК 27001:2005», журнал «Электросвязь», № 4 2010, 0,8 печ. листа;

41. Лившиц И. И., Подолянец Л. А. «Экономическая безопасность системы стратегического управления организации». «X Международная научно-практическая конференция «Интеграция экономики в систему мирохозяйственных связей». 23 - 25 октября 2007 г. 0,32 печ. листа;

42. Лившиц И. И. «Защита завтрашнего дня. Каким рискам подвержены информационные потоки» // Журнал «Кейс», № 15 за 2008 г. 0,96 печ. листа.

43. Лившиц И. И. «Развитие систем менеджмента информационной безопасности в России». // Международная конференция 1С>Ке1;, 14-16 июня 2009 г., 0,32 печ. листа

44. Лившиц И. И., Марцынковский Д.А., // «Современные аспекты проектирования, создания и внедрения комплексных систем обеспечения информационной безопасности. Применение международного стандарта ИСО/МЭК 27001:2005» 7-я международная конференция «Инфокоммуникационные технологии Глобального

информационного общества», 10-11 сентября 2009 г. Казань, 0,96 печ. листа.

45. Лившиц И. И., Подолянец JI. А. ««Перспективы применения системы менеджмента качества для синтеза и оптимизации моделей деятельности организаций». «XIV Международная научно-практическая конференция «Интеграция экономики в систему мирохозяйственных связей». 27 - 29 октября 2009 г. 0,32 печ. листа;

46. Лившиц И.И. «Практика обеспечения защиты персональных данных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005», // 2-я межбанковская конференция «Информационная безопасность банков», Республика Башкортостан, 15-20 февраля 2010 г., 0,8 печ. листа;

47. Лившиц И.И., Селиверстова H.A., Жантуаров Б.Ж. «Актуальные вопросы построения систем менеджмента с учетом требований международных стандартов информационной безопасности» // Журнал «Успех», № 3-4, 2010, Казахстан, Астана, 0,8 печ. листа

48. Лившиц И. И. «Современные аспекты менеджмента рисков. Применение международных стандартов для повышения эффективности операционной деятельности банка» // 6-я научно-практическая конференция «Банки. Процессы. Стандарты. Качество», Уфа, 11-13 марта 2010 г. 0,96 печ. листа.

49. Лившиц И. И. «Современная практика проведения аудитов ИБ» // 16-я научно-практическая конференция «Комплексная защита информации», 17-20 мая 2011 г., Республика Беларусь, г. Гродно, 0,96 печ. листа.

50. Лившиц И.И. «Современная практика проведения аудитов информационной безопасности» // Журнал «Управление качеством», № 6, 2011 г. 0,8 печ. листа.

51. Лившиц И.И. «Современная практика проведения аудитов информационной безопасности» // Журнал «Управление качеством», № 7, 2011 г., 0,64 печ. листа.

52. Лившиц И. И. «Современные подходы к формированию стандартов качества банковских продуктов на основе моделей риск-менеджмента» // 8-я научно-практическая конференция «Банки. Процессы. Стандарты. Качество», Уфа, 11-13 марта 2012 г. 0,8 печ. листа.

53. Марданов, Р.Х. «Практика взаимодействия банковского сообщества при выявлении угроз информационной безопасности и инцидентов в системах ДБО». Сборник трудов 4-й Межбанковской конференции, 13 -18 февраля 2012 года

54. Методические материалы ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года (выписки)

55. Методические материалы ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года

56. Методические материалы ФСБ «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21 февраля 2008 года

57. Методические материалы ФСБ «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных

при их обработке в информационных системах персональных данных»

от 21 февраля 2008 года

58. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, разработанные совместно Банком России, АРБ и Ассоциацией региональных банков России (Ассоциацией «Россия»)

59. Осипов В.Ю., Емелин В.И. Оптимальное управление информационной безопасностью социально-технических систем. Вопросы защиты информации. 2009 №3, стр. 64 - 67

60. Перминов В. С. «Внедрение СУИБ в соответствии с требованиями ИСО/МЭК 27001:2005 в международном банке» // Сборник трудов 3-й Межбанковской конференции, 14-19 февраля 2011 года;

61. Положение о Федеральной службе по надзору в сфере связи и массовых коммуникаций. Утверждено постановлением Правительства РФ №419 «О Федеральной службе по надзору в сфере связи и массовых коммуникаций»

62. Постановление Правительства РФ № 418 «О Министерстве связи и массовых коммуникаций Российской Федерации»

63. Постановление Правительства РФ № 419 «О федеральной службе по надзору в сфере связи и массовых коммуникаций»

64. Постановление Правительства РФ № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»

65. Постановление Правительства РФ № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

66. Постановление Правительства РФ № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»

67. Постановление Правительства РФ № 538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность»

68. Постановление Правительства РФ № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

69. Постановление Правительства РФ № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

70. Приказ ФСТЭК, ФСБ, Мининформсвязи 13.02.08 г. N 55/86/20

71. Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций № 08 «Об утверждении образца формы уведомления об

обработке персональных данных»

72. Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия № 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»

73. Приказ ФСТЭК России № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах

персональных данных»

74. Приказ ФСБ России № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. (Положение ПКЗ 2005)»

75. Распоряжение Президента РФ № 366-рп «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»

76. Р 50.2.038-2004 ГСИ. «Измерения прямые однократные. Оценивание погрешностей и неопределенности результата измерений».

77. Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение ИБ организаций банковской системы Российской Федерации.

78. Романов М.Н. «Как построить высокоэффективную систему защиты с выполнением всех требований законодательства» // Сборник докладов 1п£о8есигИуКш81а 2011;

79. РС БР ИББС-2.4-2010 «Обеспечение ИБ организаций банковской системы РФ. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах ПД организаций банков банковской системы РФ»

80. РС БР ИББС-2.3-2010 «Обеспечение ИБ организаций банковской системы РФ. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы РФ»

81. Саати Т. Принятие решений. Метод анализа иерархий. [Перевод с англ.]/ Т. Саати. - М. Радио и Связь. 1989. - 316 с.

82. Саати Т. Аналитическое планирование. Организация систем. [Перевод с англ.]/ Т. Саати., К Керне- М. Радио и Связь. 1991.-224 с.

83. Ю. И. Синещук, А. Г. Филиппов, С. Н. Терехин, Д. В. Николаев, И. Б. Саенко. Структурно-логический метод анализа безопасности потенциально опасных объектов, Тр. СПИИРАН, 17 (2011), 55-69

84. И. В. Котенко, И. Б. Саенко, Р. М. Юсупов. Аналитический обзор докладов Международного семинара «Научный анализ и поддержка политик безопасности в киберпространстве» (8А&Р84С8 2010), Тр. СПИИРАН, 13 (2010), 226-248

85. И. В. Котенко, И. Б. Саенко, Р. М. Юсупов. Аналитический обзор докладов Международной конференции «Математические модели,

методы и архитектуры для защиты компьютерных сетей» (МММ-АСШ-2010), Тр. СПИИРАН, 13 (2010), 199-225

86. Свинцицкий А. «О способах оценки степени соответствия комплексу стандартов Банка России с применением различных технических средств», Сборник трудов 4-й Межбанковской конференции, 13-18 февраля 2012 года:

87. Смирнов Э.А. Управленческие решения. - М.: ИНФРА-М, 2001. - 264с.

88. Стандарт ЦБ РФ СТО БР ИББС-1.0-2010 «Обеспечение ИБ организаций банковской системы РФ. Общие положения»

89. Стандарт ЦБ РФ СТО БР ИББС-1.2-2010 «Обеспечение ИБ организаций банковской системы РФ. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0»

90. Стандарт ЦБ РФ СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит ИБ»

91. СТО НАПФ 4.1-2010 «Организация обработки и защиты персональных данных в негосударственных пенсионных фондах»

92. Р НАПФ 4.2-2010 «Рекомендации по формированию организационно-распорядительной документации для обеспечения обработки и защиты персональных данных»

93. Р НАПФ 4.3-2010 «Рекомендации по формированию организационно-распорядительной документации для обеспечения обработки и защиты

персональных данных»;

94. Р НАПФ 4.4-2010 «Проведение аудита на соответствие требованиям к обработке и защите персональных данных в негосударственных

пенсионных фондах»;

95. Типовой регламент ФСБ от 08 августа 2009 года № 149/7/2/6-1173 «Типовой регламент проведения в пределах полномочий мероприятий

по контролю (надзору) за выполнением требований, установленных Правительством РФ, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

96. Указ Президента РФ от 06.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»

97. Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

98. Указ Президента Российской Федерации от 30 мая 2005 г. N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»

99. Указ Президента РФ № 960 «Вопросы Федеральной службы безопасности Российской Федерации»

100. Указ Президента РФ № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю»

101. Федеральный закон от 10 января 2002 г. No 1-ФЗ «Об электронной цифровой подписи»

102. Федеральный закон от 9 февраля 2007 г. No 16-ФЗ «О транспортной безопасности»

103. Федеральный закон от 06 апреля 2011 года № 63-ФЗ «Об электронной подписи»

104. Федеральный закон № 98-ФЗ «О коммерческой тайне»

105. Федеральный закон № 126-ФЗ «О связи»

106. Федеральный закон № 128-ФЗ «О лицензировании отдельных видов деятельности»

107. Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

108. Федеральный закон № 152-ФЗ «О персональных данных»

109. Федеральный закон № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

110. Федеральный закон № 218-ФЗ «О кредитных историях»

111. Федеральный закон № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации»

112. Федеральный закон № 395-1 «О банках и банковской деятельности»

113. Федосеев И.А. «Практика внедрения систем ДБО в финансовых организациях», Сборник трудов 4-й Межбанковской конференции, 13 -18 февраля 2012 года

114. Харламов В.П., «Область применения, сходство и различие Федерального закона «О персональных данных» и стандарта Банка России СТО БР ИББС-1.0», // 2-я межбанковская конференция «Информационная безопасность банков», Республика Башкортостан, 15-20 февраля 2010 г.;

115. Харламов В. П. «Вопросы взаимодействия Банка России с кредитными организациями в части выполнения требований информационной безопасности Комплекса БР ИББС», // 3-я межбанковская конференция «Информационная безопасность банков», Республика Башкортостан,

14-19 февраля 2011 г.;

116. Хованов Н. В., А.В.Прасолов, О прогнозировании с использованием статистических и экспертных методов. Автомат, и телемех., 2008, № 6, 129-142

117. Application of own credit risk adjustments to derivatives - consultative document(BIS) http://www.bis.org/list/basel3/page_l .htm.

118. BS 10012:2009 Data protection. Specification for a personal information management system

119. BS 25999-1:2006 «Business continuity management - Part 1: Code of practice

120. BS 25999-2:2007 «Business continuity management - Part 2: Specification

121. ISO 9000:2005 Quality management systems - Fundamentals and vocabulary

122. ISO 9001:2008 Quality management systems - Requirements

123. ISO 9004:2009 Managing for the sustained success of an organization - A quality management approach

124. ISO/IEC 27000:2009 Information technology - Security techniques -Information security management systems - Overview and vocabulary

125. ISO/IEC 27001:2005 Information technology - Security techniques -Information security management systems - Requirements

126. ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management

127. ISO/IEC 27003:2010 Information technology - Security techniques -Information security management system implementation guidance

128. ISO/IEC 27004:2009 Information technology - Security techniques -Information security management - Measurement

129. ISO/IEC 27005:2011 Information technology - Security techniques -Information security risk management

130. ISO/IEC 27006:2011 Information technology - Security techniques -Requirements for bodies providing audit and certification of information security management systems

131. ISO/IEC 27007:2011 Information technology - Security techniques -Guidelines for information security management systems auditing

132. ISO/IEC TR 27008:2011 Information technology - Security techniques -Guidelines for auditors on information security controls

133. ISO/IEC 27010:2012 Information technology - Security techniques -Information security management for inter-sector and inter-organizational communications

134. ISO/IEC 27011:2008 Information technology - Security techniques -Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

135. ISO 27799:2008 Health informatics - Information security management in health using ISO/IEC 27002

136. ISO/IEC 20000-1:2005 «Information technology — Service management — Part 1 Specification»

137. ISO/IEC 20000-2:2005 «Information technology — Service management — Part 2: Code of practice»

138. ISO/IEC TR 20000-3:2009 «Information technology — Service management — Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1»

139. ISO/IEC TR 20000-5:2010 «Information technology —Service management — Part 5: Exemplar implementation plan for ISO/IEC 20000-1»

140. ISO 9564-1:2002 «Banking - Personal Identification Number (PIN) management and security - Part 1: Basic principles and requirements for online PIN handling in ATM and POS systems»;

141. ISO 9564-1:2011 «Financial services - Personal Identification Number (PIN) management and security - Part 1 : Basic principles and requirements for PINs in card-based systems»)

142. ISO 9564-2:2005 «Banking - Personal Identification Number management and security - Part 2: Approved algorithms for PIN encipherment»;

143. ISO 9564-3:2003 «Banking - Personal Identification Number management and security - Part 3: Requirements for offline PIN handling in ATM and POS systems»;

144. ISO/TR 9564-4:2004 «Banking - Personal Identification Number (PIN) management and security - Part 4: Guidelines for PIN handling in open networks»;

145. ISO 11568-2:2012 «Financial services - Key management (retail) - Part 2: Symmetric ciphers, their key management and life cycle»)

146. ISO 13491-1:2007 «Banking - Secure cryptographic devices (retail) - Part 1 : Concepts, requirements and evaluation methods»;

147. ISO 13491-2:2005 «Banking - Secure cryptographic devices (retail) - Part 2: Security compliance checklists for devices used in financial transactions»;

148. ISO/TR 13569:2005 «Financial services - Information security guidelines»;

149. ISO/TR 14742:2010 «Financial services - Recommendations on cryptographic algorithms and their use»

150. ISO 16609:2004 «Banking - Requirements for message authentication using

symmetric techniques»;

151. ISO 21188:2006 «Public key infrastructure for financial services - Practices

and policy framework».

152. ISO/IEC 17025:2005 General requirements for the competence of testing and calibration laboratories (IDT)

153. NIST SP 800-30. «Risk Management Guide for Information Technology Systems

154. NIST Special Publication 800-122. Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)

Приложение 1. «Термины и определения»

№ пп. Наименование Значение

КОЛЕС 13335-1:2004

1. Активы Все, что имеет ценность для организации

2. Доступность Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.

3. Конфиденциальность Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.

4. Контроль В контексте безопасности информационно-телекоммуникационных технологий термин «контроль» может считаться синонимом «защитной меры

5. Воздействие Результат нежелательного инцидента информационной безопасности

6. Инцидент информационной безопасности Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

7. Безопасность информационно-телекоммуникационных технологий Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий.

8. Политика безопасности информационно-телекоммуникационных технологий Правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

9. Средство обработки информации Любая система обработки информации, сервис или инфраструктура, или их физические места размещения

10. Целостность Свойство сохранения правильности и полноты активов

11. Информационная безопасность Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки

12. Неотказуемость Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты

13. Достоверность Свойство соответствия предусмотренному поведению и результатам.

14. Риск Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов

15. Остаточный риск Риск, остающийся после его обработки

16. Анализ риска Систематический процесс определения величины риска

17. Оценка риска Процесс, объединяющий идентификацию риска, анализ риска и оценивание риска

18. Менеджмент риска Полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий

19. Обработка риска Процесс выбора и осуществления мер по модификации риска

20. Защитная мера Сложившаяся практика, процедура или механизм обработки риска

21. Угроза Потенциальная причина инцидента, который может нанести ущерб системе или организации

22. Уязвимость Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами

КОЛЕС 13569:2005

23. Аудит Функция, которая стремится подтвердить достоверность наличия мер управления и их соответствия своему назначению, и которая сообщает руководству соответствующего уровня о несоответствиях

24. Журнал регистрации Запись в хронологическом порядке действий системы, которых достаточно, чтобы реконструировать, проанализировать и проверить последовательность сред и действий, окружающих каждое событие или ведущих к каждому событию по ходу операции от ее начала до выдачи окончательных результатов

25. Политика информационной безопасности организации Общее положение о намерениях и целях разработки программы обеспечения информационной безопасности

26. Критичность Требования в отношении того, чтобы определенная информация или средства обработки информации были доступны для ведения бизнеса

27. Операционный риск Риск того, что операционные факторы, такие как технические нарушения функционирования или операционные ошибки, вызовут или усугубят кредитный риск или риск ликвидности

28. Оценивание риска Процесс сравнения проанализированных уровней риска с заранее установленными критериями и идентификации областей, где требуется обработка риска

29. Идентификация риска Процесс идентификации рисков, рассматривающий бизнес-цели, угрозы и уязвимости как основу для дальнейшего анализа.

30. Системный риск Риск того, что неспособность одного из участников выполнить свои обязательства или нарушения в функционировании самой системы могут привести к неспособности других участников системы или других финансовых учреждений в других частях финансовой системы выполнять свои обязательства при наступлении срока платежа.

ФЗ-149

31. Информация Сведения (сообщения, данные) независимо от формы их представления

32. Информационные технологии Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов

33. Информационная система Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств

34. Информационно- телекоммуникационная сеть Технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники

35. Обладатель информации Лицо, самостоятельно создавшее информацию, либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам

36. Доступ к информации Возможность получения информации и ее использования

37. Конфиденциальность информации Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя

ГОСТ Р ИСО 19011-2003

38. Аудитор лицо, обладающее компетентностью (3.14) для проведения аудита (3.1)».

39. Компетентность - «продемонстрированные личные качества и способность применять свои знания и умения».

40. Технический эксперт - «лицо, предоставляющее аудиторской группе (3.9) специальные знания или опыт» Примечание 1. Специальные знания или опыт - это то, что относится к организации, процессу или деятельности, подлежащей проверке, языку или культуре страны. Примечание 2. Технический эксперт не выступает в качестве аудитора в аудиторской группе.

Руководящие документы Гостехкомиссии (ФСТЭК)

41. Доступ к информации Ознакомление с информацией, ее обработка, в частности, копирование модификация или уничтожение информации

42. Правила разграничения доступа Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа

43. Санкционированный доступ к информации Доступ к информации, не нарушающий правила разграничения доступа

44. Несанкционированный доступ к информации Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

45. Защита от несанкционированного доступа Предотвращение или существенное затруднение несанкционированного доступа

46. Субъект доступа Лицо или процесс, действия которого регламентируются

правилами разграничения доступа

47. Объект доступа Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа

48. Матрица доступа Таблица, отображающая правила разграничения доступа

49. Нарушитель правил разграничения доступа Субъект доступа, осуществляющий несанкционированный доступ к информации

50. Комплекс средств защиты Совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации

51. Система разграничения доступа Совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах

52. Идентификатор доступа Уникальный признак субъекта или объекта доступа

53. Идентификация Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов

54. Пароль Идентификатор субъекта доступа, который является его (субъекта) секретом

55. Аутентификация Проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности

56. Защищенное средство вычислительной техники (защищенная автоматизированная система) Средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты

57. Средство защиты от нсд Программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа

58. Модель защиты Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа

59. Безопасность информации Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз

60. Целостность информации Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения)

61. Конфиденциальная информация Информация, требующая защиты

62. Дискреционное управление доступом Разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право

любому другому субъекту

63. Система защиты информации от несанкционированного доступа Комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах

64. Средство криптографической защиты информации Средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности

65. Сертификат защиты Документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных

ИСО/МЭК 27000:2009

66. Контроль доступа Средства для обеспечения того, что доступ к активам авторизован и ограничен требованиями бизнеса и безопасности

67. Ответственность Ответственность (организации) - субъекта за свои действия и решения

68. Активы Что-либо, имеющее ценность для организации. Примечание. Существуют различные виды активов, включающие: a) информация; b) программное обеспечение (например, компьютерная программа); c) технические активы (например, компьютер); (1) услуги; е) сотрудники и их квалификации, умения, опыт; 1) нематериальные активы (например, репутация и имидж).

69. Атака попытка разрушить, подвергнуть воздействию, изменить, заблокировать или получить несанкционированный доступ к активам или несанкционированно воспользоваться активами;

70. Аутентификация Удостоверение того, что заявленная характеристика субъекта верна

71. Аутентичность / подлинность Означает, что субъект является тем, чем/кем он себя заявляет

72. Доступность Свойство быть доступным и применимым по требованию уполномоченного субъекта

73. Непрерывность бизнеса Процессы и/или процедуры для обеспечения непрерывной работы бизнеса

74. Конфиденциальность Означает, что информация не может быть доступна или раскрыта неуполномоченным лицам, субъектам или процессам

75. Меры/средства контроля Средства управления риском, в том числе политика, процедуры, рекомендации / руководящие положения,

инструкции/практики или организационные структуры, которые по своей природе могут быть административными, техническими, управленческими или юридическими Примечание. Контроль также может использоваться как синоним для меры безопасности или контрмеры.

76. Цель контроля Формулировка того, что необходимо достигнуть в результате внедрения мер контроля

77. Корректирующее действие Действие по устранению причины обнаруженного несоответствия или другой нежелательной ситуации (ИСО 9000:2005)

78. Результативность Степень реализации запланированной деятельности и достижения запланированных результатов (ИСО 9000:2005)

79. Эффективность Взаимосвязь между достигнутыми результатами и тем, насколько правильно использовались ресурсы

80. Событие Проявление определенного стечения обстоятельств (ИСО/МЭК Руководящие указания 73:2002)

81. Руководящее указание /рекомендация Рекомендации о том, что предполагается сделать для достижения цели

82. Воздействие / влияние /ущерб Неблагоприятное изменение уровня достигнутых коммерческих задач

83. Информационный актив Знания или данные, имеющие ценность для организации

84. Информационная безопасность Защита конфиденциальности, целостности и доступности информации Примечание. Кроме того, другие свойства, как например аутентичность, ответственность, неотказуемость и надежность, можно включить сюда.

85. Событие информационной безопасности Идентифицированное проявление состояния системы, услуги или сети, указывающее на возможное нарушение информационной безопасности, политики или сбой мер/средств контроля или заранее неизвестная ситуация, которая может быть связан с безопасностью

86. Инцидент информационной безопасности Возникновение единичных или ряда нежелательных или непредвидимых событий информационной безопасности, которые имеют большую вероятность подвергнуть опасности деловые операции и представляют угрозу для информационной безопасности

87. Менеджмент инцидента ИБ Процессы по обнаружению, информированию, оцениванию, принятию ответных мер, обращению с и обучение на инцидентах информационной безопасности

88. Система менеджмента информационной безопасности (СМИБ) Часть общей системы менеджмента, основанной на подходах к деловому риску, предназначенная для учреждения, внедрения, управления, мониторинга, поддержания и улучшения информационной

безопасности

89. Риск ИБ Возможность того, что угроза создаст уязвимость актива или группы активов, и тем самым будут причинен ущерб организации

90. Целостность Означает защиту точности и полноты активов

91. Система менеджмента Система политики, процедур, руководящих указаний и соответствующих ресурсов, направленная на достижение целей организации

92. Неотказуемость Возможность доказать появление заявленного события или действия и его инициирующего субъекта для того, чтобы разрешить споры по поводу появления или непоявления события или действия и по поводу вовлеченности субъектов в событии

93. Политика Общая цель и направление, официально высказанные руководством

94. Предупреждающее действие Действие, направленное на устранение причины потенциального несоответствия или другой нежелательной потенциальной ситуации (ИСО 9000:2005)

95. Процедура Установленный способ осуществления деятельности или процесса

96. Процесс Совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразующая входы в выходы (ИСО 9000:2005)

97. Запись Документ, содержащий достигнутые результаты или свидетельства осуществленной деятельности (ИСО 9000:2005)

98. Надежность Свойство сохранять заданные характеристики и результаты

99. Риск Комбинации вероятности события и его последствий (ИСО/МЭК Руководящие указания 73:2002)

100 Принятие риска Решение о принятии риска (ИСО/МЭК Руководящие указания 73:2002)

101 Анализ риска Систематическое использование информации для идентификации источников риска и для оценки риска (ИСО/МЭК Руководящие указания 73:2002) Пюимечание. Анализа риска дает основу для оценивания риска, обработки риска и принятия риска

102 Оценка риска Общий процесс анализа риска и оценивания риска (ИСО/МЭК Руководящие указания 73:2002)

103 Оповещение о риске Обмен или распределение информацией о риске между лицами, принимающими решения и другими заинтересованными сторонам (ИСО/МЭК Руководящие указания 73:2002)

104 Критерии риска Условия, по которым оценивается значимость риска (ИСО/МЭК Руководящие указания 73:2002)

105 Оценивание риска Деятельность по определению значения вероятности и последствий риска (ИСО/МЭК Руководящие указания 73:2002)

106 Сравнивание риска Процесс сравнения расчетного риска и заданных критериев риска для определения значения/значимости риска (ИСО/МЭК Руководящие указания 73:2002)

107 Менеджмент рисков Согласованная деятельность по управлению и контролю за организацией относительно риска (ИСО/МЭК Руководящие указания 73:2002) Примечание. Менеджмент рисков обычно включает оценку риска, обработку риска, принятие риска, оповещение о риске, мониторинг риска и анализ риска

108 Обработка риска Процесс выбора и внедрения мер по ослаблению риска

109 Заявление о применимости Документированное Заявление о целях контроля и мерах по контролю, которые существенны и применимы для СМИБ организации

110 Угроза Потенциальная причина нежелательного инцидента, который может привести к ущербу системы или организации

111 Уязвимость Непрочность/недостаток активов или мер контроля, которые могут спровоцировать угрозу

Приложение 2. Акты о внедрении результатов диссертации

Отзыв по результатам проведения аудита в

ОАО «Дальневосточное морское пароходство», 2009 г.

- Директору

№ Д^/*- /?г? -^а//^/____________Ассоциации по сертификации «Русский Регистр»

Владимирцеву A.B.

На № ........ .......................

В октябре 2009г. в ОАО «Дальневосточное морское пароходство» проводился диагностический аудит системы менеджмента информационной безопасности на соответствие требованиям мемодународного стандарта ISO/1EC 27001:2005. Аудит выполняли старший эксперт Лившиц И.И. и Губанов A.B.

За время проведения работ сотрудники «Русского Регистра» показали себя компетентными и объективными специалистами, продемонстрировали на практике умение работать с бизнес-процессами крупной организации, понимать специфику бизнеса и использовать навыки профессиональных коммуникаций. В процессе аудита были проведены беседы с представителями департаментов ОАО «ДВМП», отвечающими за обеспечение информационной поддержки бизнеса и работу с коммерческой тайной. Это способствовало более глубокому осмыслению ряда аспектов менеджмента организации в области информационной безопасности, прежде всего, защиты персональных данных.

В рамках аудита с сотрудниками ОАО «ДВМП» И.И. Лившицем был проведен обучающий семинар по теме «Разработка и внедрение системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005». Поднятые на семинаре вопросы позволили сотрудникам компании лучше ориентироваться в требованиях стандарта и эффективнее применять их на практике. Этому же способствовала дополнительно оказанная методическая и практическая помощь по тематике информационной безопасности (обеспечение нормативными документами, стандартами, техническими отчетами, примерами политик) всем вовлеченным в аудит сотрудникам ОАО «ДВМП».

Руководство ОАО «ДВМП» выражает благодарность сотрудникам ассоциации по сертификации «Русский Регистр» за профессиональную, объективную и корректную работу по оценке работы системы менеджмента информационной безопасности. Результаты проведенного аудита несомненно послужат основой для принятия решения о необходимости сертификации системы менеджмента информационной безопасности ОАО «ДВМП» на соответствие стандарту ISO/IEC 27001:2005.

/а

С уважением,

Управляющий директор ОАО «ДВМП» Корчанов В.Н.

ОАО «ДАЛЬНЕВОСТОЧНОЕ МОРСКОЕ ПАРОХОДСТВО»

Российская Федерация, 690990, г. Владивосток, ул. Алеутская, 15 Тел.: +7(4232) 411-432. 521-010 • Факс: +7(4232) 413-037, 521-551 Телекс: 213255 РЕЗСО Р,и * Эл.почта: fesco@fesco.ru • Сайт: www.fesco.rii

Отзыв по результатам проведения аудита в ОАО «КАМАЗ-Дизель», 2010 г.

KAMAZ

на №

ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО

КАМАЗ-Дизель

пр. Автозаводский, 2, г. Набережные Челны Республика Татарстан, Россия, 423827 юридический адрес Промкомзона, АБК-306 ОАО «КАМАЗ-ДИЗЕЛЬ» тел. (8562) 37-42-53, факс^8552) 37-42-58

Генеральному директору АС «Русский Регистр» А.В. Владимир деву

ул. Некрасова, д.34, офис 3 Санкт-Петербург, Россия, 191014

х С /С-'.

Отзыв по диагностическому интегрированному аудиту системы менеджмента информационной безопасности

Уважаемый Аркадий Владимирович!

В 2010 в ОАО «КАМАЗ-Дизель» проводился диагностический интегрированный аудит системы менеджмента информационной безопасности на соответствие требованиям международного стандарта КОЛЕС 27001:2005 и системы менеджмента ЙТ-сервисов на соответствие требованиям международного стандарта ISO/IEC 20000-1:2005. Аудит выполняли старшие эксперты Лившиц И.И., Звягин И.М. и Селиверстова H.A.

За время проведения работ сотрудники «Русского Регистра» показали себя компетентными и объективными специалистами, продемонстрировали на практике умение анализировать бизнес-процессы одного из крупнейших промышленных предприятий России, понимать специфику автомобильного бизнеса, и использовать навыки профессиональных коммуникаций с представителями, различных подразделений. В процессе аудита были проведены беседы с представителями всех ключевых департаментов ОАО «КАМАЗ-Дизель», в том числе инсорсинговыми подразделениями ОАО «КАМАЗ», отвечающими за обеспечение информационной поддержки бизнеса и работу со сведениями, отнесенной к коммерческой тайне; и аутсорсинговыми компаниями, реализующими функции физической охраны периметра предприятия.

Это способствовало более глубокому осмыслению ряда аспектов менеджмента в области информационной безопасности. Мы рады отметить, что заключение аудиторов «Русского Регистра» в части касающейся защиты персональных данных совпали с рекомендациями «Роскомнадзора», проводившего плановую проверку в 2010 и содержали конкретные предложения по улучшению режима коммерческой тайны.

В рамках аудита сотрудниками «Русского Регистра» Селиверстовой H.A. и Лившицем И.И. был проведен корпоративный семинар для сотрудников ОАО «КАМАЗ» и ОАО «КАМАЗ-Дизель» по теме «Разработка и внедрение системы менеджмента информационной безопасности в соответствии с требованиями

международного стандарта ИСО/МЭК 27001:2005». Поднятые на семинаре вопросы позволили сотрудникам лучше ориентироваться в требованиях стандартов и эффективнее применять их в повседневной практике. Этому также способствовали дополнительно оказанная методическая и практическая помощь по тематике информационной безопасности (оптимизация системы внутренних нормативных документов, доработка регламентов, примеры политик безопасности) для всех вовлеченных в аудит сотрудников предприятия.

Руководство ОАО «КАМАЗ-Дизель» выражает благодарность сотрудниками Ассоциации по сертификации «Русский Регистр» за профессиональную, объективную и корректную работу по оценке систем менеджмента информационной безопасности и ИТ-сервисов. Результаты проведенного аудита послужат базой для принятия решения о необходимости сертификации системы менеджмента информационной безопасности ОАО «КАМАЗ-Дизель» в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005.

Генеральный директор

Ю.И. Герасимов

Отзыв по результатам проведения аудита в ОАО «Ниеншанц», 2010 г.

крепость проверенных решений

193318, Россия, Санкт-Петербург, ул. Ворошилова, д. 2 телефон: (812) 326-10-90, факс: (812) 325-58-64 электронная почта: lnfo@nnz.ru

107076, Россия, Москва, ул. Матросская тишина, д. 23, стр. 1 телефон: (495) 787-85-07, факс: (495) 787-85-06 электронная почта: moscow@nnz.ru

www.nnz.ru

26.03.2010 г. №

На№

от

/

Директору Ассоциации по сертификации «Русский Регистр» г. Владимирцеву A.B.

Уважаемый Аркадий Владимирович!

В феврале текущего года в ЗАО «Ниеншанц» были проведены работы по сертификационному аудиту системы менеджмента информационной безопасности и системы менеджмента ИТ-сервисов на соответствие требованиями международных стандартов КОЛЕС 27001:2005 и ISO/IEC 20000-1:2005 соответственно. Аудит выполняли эксперты Ассоциации по сертификации «Русский Регистр» И.И. Лившиц и И.М. Звягин.

За время проведения работ аудиторы «Русского Регистра» показали себя компетентными, высококвалифицированными и объективными специалистами, продемонстрировав на практике умение детально ознакомиться и быстро вникнуть в бизнес-процессы сложноструктурированной организации, понимание специфики бизнеса крупного ИТ-холдинга и использование навыков профессиональных коммуникаций. Необходимо отметить наличие не только высоких профессиональных качеств и знаний аудиторов Лившица И.И. и Звягина И.М., но и демонстрацию корректного и доброжелательного отношения ко всем сотрудникам ЗАО «Ниеншанц» в течение всего процесса аудита. Несмотря на известную новизну и сложность программ сертификации в области информационных технологий, проект был выполнен в точно установленные сроки.

В процессе аудита были проверены документы и проведены беседы с сотрудниками Дивизиона вычислительных систем и подразделений Управляющей компании холдинга «Ниеншанц», отвечающих за обеспечение информационной и юридической поддержки бизнеса и работу с коммерческой тайной. Это способствовало более глубокому осмыслению нами ряда аспектов менеджмента организации в области безопасности представляемых ИТ-сервисов, улучшению взаимодействия между структурными подразделениями холдинга, в том числе и эффективной унификации системы менеджмента внутренних и внешних сервисов.

Ассоциация по сертификации «Русский регистр» в очередной раз продемонстрировала высокий уровень предоставления услуг, что ещё больше укрепит партнерские отношения между нашими организациями. Руководство ЗАО «Ниеншанц» выражает благодарность аудиторам «Русского Регистра» Лившицу И.И. и Звягину И.М. за высокопрофессиональную, объективную и корректную работу по оценке систем менеджмента. Результаты проведенного сертификационного аудита, несомненно, послужат основой для развития бизнеса ЗАО «Ниеншанц» в соответствии с требованиями лучших международных стандартов ISO, а также дальнейшего сотрудничества между нашими организациями.

Генеральный директор

В.В. Ярутов

Отзыв по результатам проведения аудита в ОАО «ПРП «Омскэнергоремонт», 2010 г.

Генеральному директору

Ассоциации по сертификации «Русский Регистр» Владимирцеву A.B.

В 2010 г в ОАО «ПРП «Омскэнергоремонт» проводился оценочный аудит системы менеджмента информационной безопасности на соответствие требованиям международного стандарта ИСО/МЭК 27001:2005. Аудит выполняли старшие эксперты Лившиц И И. и Селиверстова H.A. с привлечением технического эксперта Ефимова И.В. («Балтийская инспекция»). За время проведения работ сотрудники «Русского Регистра» и «Балтийской инспекции» показали себя компетентными и объективными специалистами продемонстрировали на практике умение анализировать бизнес-процессы одного из крупнейших предприятий энергетического комплекса России, понимать специфику применения современных информационных технологий и использовать навыки профессиональных коммуникаций. В процессе аудита были проведены беседы с представителями всех ключевых департаментов ОАО «ПРП «Омскэнергоремонт», осмотрены производственные площадки (в т.ч. ОГС и ТЭЦ-5), что способствовало более глубокому осмыслению ряда аспектов менеджмента в области информационной безопасности.

Необходимо отметить, что ОАО «ПРП «Омскэнергоремонт» последовательно внедряет современные системы менеджмента; в 2009 г. старшим экспертом «Русского Регистра» Лившицем И.И. проводился корпоративный семинар для сотрудников ОАО «пни «Омскэнергоремонт» по теме «Разработка и внедрение системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ИСО/МЭК 27001 2005». Рассмотренные на семинаре вопросы позволили сотрудникам uau «ПРП «Омскэнергоремонт» в 2009 - 2010 гг. лучше ориентироваться в требованиях по информационной безопасности и эффективнее применять их в повседневной практике.

Руководство ОАО «ПРП «Омскэнергоремонт» выражает благодарность сотрудникам Ассоциации по сертификации «Русский Регистр» и «Балтийской инспекции» за профессиональную, объективную и корректную работу по оценке системы менеджмента информационной безопасности. Результаты проведенного аудита послужат базой для принятия решения о необходимости сертификации системы менеджмента информационной безопасности ОАО «ПРП «Омскэнергоремонт» в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005.

С уважением, Захарченко С.В,

Акт о внедрении результатов диссертационной работы «Русский Регистр - Московская инспекция», 2012 г.

утверждаю

Генеральный директор ^^¡««ШО «Русский Регистр - Московская инспекция», /^Ч0®""* ^|й]!Йда:тавительствс Ассоциации по сертификации

_ Крикун В.М., к.т.и., с.н.с.

\\ о -р о О/У

о внедрении результатов диссертационной работы Лившица И.И. «Методы оценки защищенности моделей систем менеджмента информационной безопасности, разработанных в соответствии с требованиями стандарта 180/1ЕС 27001:2005» в проектах «Русский Регистр - Московская инспекция» в течении 2009 - 2012 гг.

Комиссия ООО «Русский Регистр - Московская инспекция», Представительство Ассоциации по сертификации «Русский Регистр» в составе Генерального директора, кандидата технических наук, старшего научного сотрудника Крикуна Василия Михайловича, заместителя генерального директора-директора департамента СМК Минзара Юрия Федоровича, координатора программ сертификации ВР и ОС, кандидата технических наук, старшего научного сотрудника Ольховского Александра Николаевича и директора департамента по маркетингу Крикуна Тараса Васильевича, составили настоящий акт в том, что часть результатов, полученных в диссертационном исследовании Лившица И.И. по теории информационной безопасности (ИБ) и, в частности, применительно к оценке защищенности систем менеджмента информационной безопасности (СМИБ), использованы при выполнении проектов в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005:

1. Результаты исследований иерархии системы критериев защищенности СМИБ позволили сформировать новые требования к выявлению, оценке и обработке активов, что нашло свое отражение в новом методическом подходе для проведения курсов и практических семинаров по тематике ИСО/МЭК 27001:2005;

2. Разработанная математическая модель оценки уровня защищенности СМИБ позволила сформировать и практически реализовать новые подходы для аудитов СМИБ в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005, что позволило учесть следующие критичные факторы для обеспечения заданного уровня защищенности ценных активов:

a. Достоверную идентификацию всех активов (программного и аппаратного обеспечения, информации, нематериальных активов и сервисов) для построения оптимальной в экономическом плане модели СМИБ;

b. Адекватное рассмотрение нормативно-правовых актов (НПА), способных оказать влияние на формирование требований к модели СМИБ и в дальнейшем - для анализа степени соответствия полученных оценок уровня защищенности предполагаемым (заданным) проектным требованиям (в том числе ресурсньм);

c. Установление однозначной прямой и обратной взаимосвязи между выбором средств (мер) защиты («контролей»), применяемых в модели СМИБ, по отношению к применяемым критериям международного стандарта ИСО/МЭК 27001:2005 и формирование системы обратной связи в функции риск-менеджмента для выбранной модели.

3. Результаты диссертационного исследования Лившица И.И. получили практическое подтверждение в результате многократных аудитов ИБ в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005 в следующих организациях:

a. ОАО «КАМАЗ-Дизель»,

b. ФГУП «Ижевский механический завод»,

c. ООО «Мелитта»,

а Государственное образовательное учреждение высшего профессионального образования «Санкт Петербургский государственный морской технический

университет». Члены комиссии:

Генеральный Директор

Заместитель генерального директора - директор департамента по сертификации СМК

Координатор программ сертификации ВР и ОС

Руководитель департамента по маркетингу

Крикун Василий Михайлович, к.т.н., с.и.с.

Минзар Юрий Федорович

Ольховский Александр Николаевич, к.т.н., с.н.с,

Крикун Тарас Васильевич

Акт о внедрении результатов диссертационной работы ООО «Клиника Доброго Стоматолога», 2010 г.

ор

^Стоматолога» Агаджаиян Э. Г. 2010 г.

Акт

о внедрении результатов диссертационной работы Лившица ИМ. «Методы оценки защищённости систем менеджмента информ^онной безоп сн разработанных в соответствии с требованиями стандарта ИСО/МЭК 27001.2005» «системе

менеджмента ЗАО «Клиника Доброго стоматолога» в течение 2006-2009 гг.

Комиссия ЗАО «Клиника Доброго Стоматолога» в составе главного врача Агаджаняна ^мил^Гупгенови^^ предстателя рисоводства по качеству Жигуновой Светланы Юрьевны и SKS-4^ Лихомановой Анны Владимировны составили настоящий акт в гпм что ^асть результатов, полученных в диссертационном исследовании Лившица И.И^по

безоТсности (ИБ) и, в частности, применительно к залете шрсонатшк Д^иых (ПДн), использованы в практике построении системы менеджмента с

ода^га^ащищёнгаости

информационно! безопасности СМК» и обеспечении документального оформления

2 ^ZXt^ZZZZ^L^ уровня защищённости ПДн позволила скопировать и практически реализовать подсистему ИБ в

«MasterClinic» (свидетельства о регистрации ФИПС Роспатента №№ 2001611167 -20оТб1П72 и S 2004610090 - 2004610092), что позволило обеспечить заданный

Г~ГдГГеР^™ и объектов доступа, опре.ления

Мнимых средств защиты («контролей») для выбранных критериев, оценку

храссировки средств з= («контролен») по отношению к применяемым критериям (в системе выбранных

стандартов ИСО серии 9000 и ИСО/МЭК серии 27000);

Функци™ автоматического определения «контролей» в соответствии с выбранньшш критериями (конфиденциальность, целостность и Автоматизированных рабочих мест программного комплекса «MasterClinic». 3 По р^улТтатам^бот система менеджмента ЗАО «Клиника Доброго стоматолога» успешТпро^а сертификацию в 2006 г. - как первая стоматологическая клиника в Са~етербГге и России, а также последующую ресертификацию в 2009 г. в органе по с^^тафикащи «Ассоциация по сертификации Русский Регистр» (сертификаты № 06.668.026 и № 09.904.026 соответственно)

Ь.

с.

Члены комиссии:

Главный врач Представитель руководства по качеству Старшая медицинская сестра

Агаджанян Э.Г. юва С.Ю. ^"ТЕихоманова А.В.