— ISO/IEC 15816:2002 «Информационные технологии. Методы и средства обеспечения безопасности. Информационные объекты безопасности для управления доступом»;
— ISO/IEC 15945:2002 Информационные технологии. Методы и средства обеспечения безопасности. Спецификация служб ТТР для поддержки применения электронных подписей;
— ISO/IEC 18028 «Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационной технологии». Включает в себя следующие части: часть 1 «Менеджмент сетевой технологии»; часть 2 «Архитектура обеспечения безопасности сети»; часть 3 «Коммуникации для обеспечения безопасности между сетями с применением шлюзов безопасности»; часть 4 «Обеспечение безопасности удаленного доступа»; часть 5 «Коммуникации для обеспечения безопасности между сетями с применением виртуальных частных систем»;
— ISO/IEC 18043:2006 «Информационные технологии. Методы и средства обеспечения безопасности. Выбор, применение и операции систем обнаружения вторжения»;
— ISO/IEC TR 18044:2004 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;
— ИСО/МЭК 24762:2008 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по услугам по восстановлению информационно-коммуникационных технологий после бедствия»;
— ISO/IEC 27033 «Сетевая безопасность». Включает в себя следующие части: часть 1 «Обзор и общие понятия»; часть 2 «Руководства по разработке и внедрению сетевой безопасности»; часть 3 «Эталонные сетевые сценарии — риски, технологии разработки и вопросы управления»; часть 4 «Обеспечение безопасности межсетевых соединений с применением шлюзов безопасности — риски, технологии разработки и вопросы управления»; часть 5 «Обеспечение безопасности межсетевых коммуникаций с применением виртуальных частных сетей — риски, технологии разработки и вопросы управления»; часть 6 «Совпадение IP-адресов»; часть 7 «Беспроводные коммуникационные технологии»;
— ISO/IEC 27032 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Руководства по кибербезопасности»;
— ISO/IEC 27034 «Безопасность приложений». Включает в себя следующие части: часть 1 «Обзор и общие понятия»; часть 2 «Структура организации нормативного обеспечения»; часть 3 «Процесс менеджмента безопасности приложений»; часть 4 «Подтверждение безопасности приложений»; часть 5 «Структура данных средств управления безопасностью протоколов и приложений»;
— ISO/IEC 27035 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;
— ISO/IEC 27036 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Руководства по обеспечению безопасности при аутсорсинге»;
— ISO/IEC 27037 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору и /или получению и хранению свидетельств, представленных в цифровой форме»;
— ISO/IEC 24745 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Защита биометрических шаблонов»;
— ISO/IEC 24761:2009 «Информационные технологии. Методы защиты. Контекст аутентификации для применения в биометрических технологиях»;
— ISO/IEC 29100 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности»;
— ISO / IEC 29101 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Эталонная архитектура обеспечения приватности»;
— ISO/IEC 29115 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Доверие к аутентификационным атрибутам»;
— ISO/IEC 29146 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Основы менеджмента доступа»;
— ISO/IEC 29190 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Модель зрелости возможностей обеспечения приватности»;
— ISO/IEC 29191 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Требования по взаимной анонимности при депонировании идентификационных атрибутов».
Приложение 2
Подходы к формированию нормативного обеспечения системы информационной безопасности организации
Комплексный подход к обеспечению ИБ, предполагающий последовательное и взвешенное использование правовых, организационных, программнотехнических и других мер обеспечения ИБ на единой концептуальной и методической основе, должен сформировать и поддержать адекватный потребностям бизнеса организации уровень ее информационной безопасности.
Согласованность, целенаправленность и планомерность деятельности по обеспечению ИБ может быть достигнута только при надлежащем нормативном закреплении (документировании) ожиданий руководства и правил осуществления деятельности в организации. Документы позволяют отразить и формализовать необходимые нормы, которые далее могут быть единообразно доведены до каждого работника организации в виде правил и требований ИБ, которыми он должен руководствоваться в своей производственной деятельности, а также порядка контроля их соблюдения.
Для того чтобы сформировать и обеспечить эффективную поддержку полноценной и непротиворечивой системы внутренних документов обеспечения ИБ организации, необходимо представлять и понимать суть возможной структуры комплекса таких документов. Например, видение Банка России относительно возможной эталонной структуры нормативного обеспечения системы ИБ организации отражено в рекомендациях в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0». Определенная данными рекомендациями структура нормативного обеспечения системы информационной безопасности организации банковской системы Российской Федерации приведена на рис. 1.
Такая структура документов позволяет формализовать любую необходимую деятельность на всех уровнях управления в организации. Подобная структура документов, относящихся к деятельности по обеспечению ИБ, рекомендуется и Международной группой пользователей системы менеджмента информационной безопасности (ISMS International User Group).
Представленную структуру внутренних документов обеспечения ИБ можно рекомендовать любой организации. Далее кратко остановимся на целях и назначении документов каждого из уровней предложенной структуры.
К документам первого уровня относятся документы, содержащие положения (правила, принципы, нормы) политики ИБ организации, т. е. формулировки высокоуровневого видения сути проблемы в области ИБ руководством организации и определения позиции организации в их решении. Таким образом, в политике ИБ организации, как правило, определяются высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ. Действие такого документа обычно распространяется на все подразделения и всех работников организации.
К документам второго уровня относятся документы, содержащие положения так называемых
