вторник, 22 февраля 2022 г.

ИСО и МЭК: Готовится новая редакция стандарта ISO/IEC DIS 27035-2 «Менеджмент инцидентов информационной безопасности – Часть 2: Руководство по планированию и подготовке к реагированию на инциденты»

Как сообщили в начале января 2022 года сайты Международной организации по стандартизации (ИСО) и Британского института стандартов (BSI), в настоящее время идёт голосование национальных органов по стандартизации по проекту новой, второй редакции стандарта ISO/IEC DIS 27035-2 «Информационные технологии - Менеджмент инцидентов информационной безопасности – Часть 2: Руководство по планированию и подготовке к реагированию на инциденты» (Information technology - Information security incident management - Part 2: Guidelines to plan and prepare for incident response) объёмом 65 страниц основного текста, см. https://www.iso.org/standard/78974.html и https://www.iso.org/obp/ui/#!iso:std:78974:en . Документ должен заменить действующий стандарт ISO/IEC 27035-2:2016 ( в своё время я рассказывала о нём здесь: http://rusrim.blogspot.com/2015/08/blog-post_58.html ).

Документ готовит подкомитет SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».

Тем временем подготовка в России национального стандарта на основе действующей редакции международного стандарта предусмотрена Программой национальной стандартизации на 2022 год. С тексом проекта ГОСТ Р можно познакомиться здесь: https://fstec.ru/en/component/attachments/download/3038 . Также существует отечественная адаптация международного технического отчёта, который был предшественником стандарта ISO/IEC 27035 – это ГОСТ Р ИСО/МЭК ТО 18044-2007 / ISO/IEC TR 18044:2004 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности», см. http://protect.gost.ru/v.aspx?control=8&baseC=-1&id=165989 .

Во вводной части документа отмечается следующее:

«Настоящий документ содержит рекомендации по планированию и подготовке к реагированию на инциденты и по извлечению уроков из опыта реагирования на инциденты. Рекомендации основаны на этапах «Планирование и подготовка» (Plan and Prepare) и «Извлечение уроков» (Lessons Learned) модели «Этапы менеджмента инцидентов информационной безопасности» (Information security incident management phases), описанной в стандарте ISO/IEC 27035-1.

Мой комментарий: Речь идёт о стандарте ISO/IEC 27035-1:2016 «Информационные технологии - Методы и средства обеспечения безопасности - Менеджмент инцидентов информационной безопасности – Часть 1: Принципы менеджмента инцидентов» (Information technology - Security techniques - Information security incident management - Part 1: Principles of incident management, см. https://www.iso.org/standard/60803.html и https://www.iso.org/obp/ui/#!iso:std:60803:en ). В настоящее время идёт работа над его новой редакцией ISO/IEC DIS 27035-1 «Информационные технологии - Менеджмент инцидентов информационной безопасности – Часть 1: Принципы и процесс» ( Information technology – Information security incident management - Part 1: Principles and process, см. https://www.iso.org/standard/78973.html ).

В число основных элементов этапа «Планирование и подготовка» входят:

  • Политика менеджмента инцидентов информационной безопасности и приверженность этой политике высшего руководства;

  • Политики информационной безопасности, в том числе относящиеся к менеджменту риска, обновляемые как на уровне организации, так и на уровне системы, сервиса и сети;

  • План менеджмента инцидентов информационной безопасности;

  • Создание группы менеджмента инцидентов (Incident Management Team, IMT);

  • Установление взаимоотношений и связей со внутренними заинтересованными сторонами и с внешними организациями;

  • Техническая и иная поддержка (включая поддержку организацией и оперативную поддержку);

  • Проведение брифингов по ознакомлению с вопросами менеджмента инцидентов информационной безопасности и соответствующего обучения.

Этап «Извлечение уроков» включает:

  • Выявление областей для улучшения;

  • Определение и внесение необходимых улучшений;

  • Проведение оценки группой реагирования на инциденты (Incident Response Team, IRT).

Предлагаемые в настоящем документе рекомендации носит общий характер и предназначены для применения в любых организациях, независимо от их типа, размера или характера. Организации могут скорректировать рекомендации, приведенные в данной части стандарта ISO/IEC 27035, в соответствии со своим типом, размером и характером деловой деятельности, во взаимосвязи с ситуацией в области риска информационной безопасности. Данная часть стандарта ISO/IEC 27035 также применима в отношении внешних организаций, предоставляющим услуги по менеджменту инцидентов информационной безопасности.»

Познакомиться с текстом проекта и принять участие в его обсуждении (до 28 февраля 2022 года, при условии регистрации на сайте) сейчас можно на сайте Британского института стандартов (см. рис.) по адресу https://standardsdevelopment.bsigroup.com/projects/2019-02214#/section


Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Политика менеджмента инцидентов информационной безопасности
5. Обновление политик информационной безопасности
6. Создание плана менеджмента инцидентов информационной безопасности
7. Создание организационной структуры и обеспечение возможностей для менеджмента инцидентов
8. Налаживание внутренних и внешних взаимоотношений
9. Обеспечение технической и иной поддержки
10. Обеспечение осведомленности и проведение обучения по вопросам инцидентов информационной безопасности
11. Тестирование плана менеджмента инцидентов информационной безопасности
12. Извлечение уроков из опыта
Библиография

Источники: сайт ИСО / сайт BSI
https://www.iso.org/standard/78974.html
https://www.iso.org/obp/ui/#!iso:std:78974:en
https://standardsdevelopment.bsigroup.com/projects/2019-02214#/section

1 комментарий:

  1. Представляется, что более правильным переводом наименования стандарта бкдет:
    «Информационные технологии - Менеджмент инцидентов информационной защищенности – Часть 2: Руководство по планированию и подготовке к реагированию на инциденты»

    ОтветитьУдалить