Стандарты, которые полезно знать специалистам по ИБ

Стандарты, которые полезно знать специалистам по ИБ
Недавно в журнале " !Безопасность Деловой Информации " вышла моя новая статья "Стандарты, которые полезно знать специалистам по ИБ". В ней я ответил на вопрос "Зачем нам нужно знание и понимание стандартов и «лучших практик»?", подготовил краткие справки по основным стандартам, дал рекомендации об использовании тех или иных "лучших практик" при решении вопросов информационной безопасности.
Статья получилась большая, и основные таблицы были даны лишь ссылками:
Первая таблица получилась довольно полезной, поэтому продублирую ее еще раз в блоге. Пригодится.

ТАБЛИЦА 1. ССЫЛКИ НА СТАНДАРТЫ

Приложение к статье Андрея Прозорова "Стандарты, которые полезно знать специалистам по информационной безопасности".
Область информационной безопасности
Что посмотреть? (ссылки)
1. Управление
1.1. Элементы комплексной ИБ
  • ISO 27001 / ISO 27002
  • COBIT 5 for IS
  • ITIL (см. Service design: Information security management system) / аналогичные процессы ISO 20000
  • NIST SP 800-53 / NIST SP 800-53 A
  • NIST SP 800-100
1.2. Процессы ИБ и ИТ
  • ISO 27001
  • COBIT5 Enabling Processes
  • ITIL / ISO 20000
1.3. Порядок построения/совершенствования системы ИБ
  • ISO 27003
  • COBIT5 Implementation
1.4. Управление рисками
  • ISO 27005 / ISO 27001 (п.4.2.1 и 4.2.2) / ISO 27002 (п.4)
  • ISO 31000 / ISO 31010
  • COBIT5 for IS, COBIT5 Enabling Processes (см.процессы EDM03 и APO12)
  • NIST SP 800-37 / NIST SP 800-39 / NIST SP 800-30
  • NIST SP 800-53 (Security control: «Risk Assessment»)
1.5. Измерение эффективности ИБ (метрики и KPI)
  • ISO 27004
  • COBIT5 for IS, COBIT5 Enabling Processes (см.метрики по конкретным процессам)
  • NIST SP 800-53 A
2. Отдельные элементы ИБ
2.1. Допустимое использование ресурсов
  • ISO 27002 (А 7.1.3)
  • COBIT5 Enabling Processes (см.процесс DSS 06)
  • COBIT5 fot IS (Enabler: «Principles, Policies and Frameworks»)
  • NIST SP 800-114 / NIST SP 800-11
2.2. Управление конфигурациями
  • ISO 27002 (А 7, А 10)
  • COBIT5 Enabling Processes (см.процессы BAI 09, BAI 10)
  • ITIL (см.Service transition: Service asset and configuration management) / аналогичные процессы ISO 20000
  • NIST SP 800-128
  • NIST SP 800-53 (Security control: «Configuration Management»)
2.3. Антивирусная защита
  • ISO 27002 (А 10.4)
  • COBIT5 Enabling Processes (см.процесс DSS 05)
  • NIST SP 800-83
2.4. Управление изменениями и обновлениям
  • ISO 27002 (А 10.1.2, А 10.3)
  • COBIT5 Enabling Processes (см.процесс BAI 06)
  • ITIL (см. Service transition: Change management, Release and deployment management) / аналогичные процессы ISO 20000
  • NIST SP 800-40
2.5. Управление уязвимостями
  • ISO 27002 (А 12.6)
  • COBIT5 Enabling Processes (см.процесс DSS 05)
  • NIST SP 800-40
2.6. Управление контролем доступа
  • ISO 27002 (А 11)
  • COBIT5 Enabling Processes (см.процесс DSS 05)
  • ITIL (см. Service operation: Access management)
  • NIST SP 800-53 (Security control: «Access Control»)
2.7. Сетевая безопасность
  • ISO 27002 (А 10, А 12)
  • COBIT5 Enabling Processes (см.процесс DSS 05)
  • NIST SP 800-53 / NIST SP 800-53 A
  • NIST SP 800-100
2.8. Управление инцидентами
  • ISO 27002 (А 13)
  • ISO 27035
  • COBIT5 Enabling Processes (см.процессы DSS 02, DSS 03)
  • ITIL (см. Service operation: Event management, Incident management, Problem management) / аналогичные процессы ISO 20000
  • NIST SP 800-61 / NIST SP 800-86
  • NIST SP 800-53 (Security control: «Incident Response»)
2.9. Резервное копирование и восстановление
+
Управление непрерывностью бизнеса
  • ISO 27002 (А 10.5)
  • ISO 22301 / BS 25999
  • ISO 27002 (А 14)
  • ISO 27031
  • COBIT5 Enabling Processes (см.процесс DSS 04)
  • ITIL (см. Service design: IT Service Continuity Management) / аналогичные процессы ISO 20000
  • NIST SP 800-34
  • NIST SP 800-84
  • NIST SP 800-53 (Security control: «Contingency Planning»)
2.10. Аудит ИБ и ИТ
  • ISO 27001 (п.6) / ISO 27002 (А 15.3)
  • ISO 27006 / ISO 27007
  • ISO 19011
  • COBIT 5 for Assurance
  • COBIT5 Enabling Processes (см.процессы MEA 01, MEA 02, MEA 03)
  • ISO 20000-1 (п.3.2.3)
  • NIST SP 800-115
  • NIST SP 800-53 (Security control: «Audit and Accountability»)
2.11. Обучение и повышение осведомленности персонала (awareness)
  • ISO 27001 (п.5.2.2) / ISO 27002 (А 8.2.2)
  • COBIT5 Enabling Processes (см.процессыAPO07, BAI08)
  • COBIT5 for IS (Enabler: «Culture, Ethics and Behavior» и «People, Skills and Competencies»)
  • ITIL (см. Service transition: Knowledge management)
  • NIST SP 800-50
  • NIST SP 800-53 (Security control: « Awareness and Training»)
2.12. Управление персоналом
  • ISO 27002 (А 8)
  • COBIT5 Enabling Processes (см.процесс APO 07)
  • COBIT5 for IS (Enabler: «Culture, Ethics and Behavior» и «People, Skills and Competencies»)
  • NIST SP 800-53 (Security control: «Personnel Security»)
2.13. Физическая безопасность
  • ISO 27002 (А 9)
  • COBIT5 Enabling Processes (см.процессы BAI 09, DSS 05)
  • NIST SP 800-53 (Security control: « Physical and Environmental Protection»)
2.14. Защита ПДн (международный опыт)
  • BS 10012
  • ISO 27002 (А 15.1.4)
  • COBIT5 Enabling Processes (см.процесс MEA 03)
  • NIST SP 800-122
Обзор стандартов ИБ Про ИБ 27001 Incident Management Аналитика COBIT
Alt text

Ваш мозг на 60% состоит из жира. Добавьте 40% науки!

Сбалансированная диета для серого вещества

Подпишитесь и станьте самым умным овощем

Andrey Prozorov

Информационная безопасность в России и мире