Недавно в журнале " !Безопасность Деловой Информации " вышла моя новая статья "Стандарты, которые полезно знать специалистам по ИБ". В ней я ответил на вопрос "Зачем нам нужно знание и понимание стандартов и «лучших практик»?", подготовил краткие справки по основным стандартам, дал рекомендации об использовании тех или иных "лучших практик" при решении вопросов информационной безопасности.

Статья получилась большая, и основные таблицы были даны лишь ссылками:

Стандарты (по группам задач): http://dlp-expert.ru/bdi/table1
Полные наименования стандартов, прочие полезные ссылки: http://dlp-expert.ru/bdi/links

Первая таблица получилась довольно полезной, поэтому продублирую ее еще раз в блоге. Пригодится.

ТАБЛИЦА 1. ССЫЛКИ НА СТАНДАРТЫ

Приложение к статье Андрея Прозорова "Стандарты, которые полезно знать специалистам по информационной безопасности".

Область информационной безопасности	Что посмотреть? (ссылки)
1. Управление
1.1. Элементы комплексной ИБ	ISO 27001 / ISO 27002 COBIT 5 for IS ITIL (см. Service design: Information security management system) / аналогичные процессы ISO 20000 NIST SP 800-53 / NIST SP 800-53 A NIST SP 800-100
1.2. Процессы ИБ и ИТ	ISO 27001 COBIT5 Enabling Processes ITIL / ISO 20000
1.3. Порядок построения/совершенствования системы ИБ	ISO 27003 COBIT5 Implementation
1.4. Управление рисками	ISO 27005 / ISO 27001 (п.4.2.1 и 4.2.2) / ISO 27002 (п.4) ISO 31000 / ISO 31010 COBIT5 for IS, COBIT5 Enabling Processes (см.процессы EDM03 и APO12) NIST SP 800-37 / NIST SP 800-39 / NIST SP 800-30 NIST SP 800-53 (Security control: «Risk Assessment»)
1.5. Измерение эффективности ИБ (метрики и KPI)	ISO 27004 COBIT5 for IS, COBIT5 Enabling Processes (см.метрики по конкретным процессам) NIST SP 800-53 A
2. Отдельные элементы ИБ
2.1. Допустимое использование ресурсов	ISO 27002 (А 7.1.3) COBIT5 Enabling Processes (см.процесс DSS 06) COBIT5 fot IS (Enabler: «Principles, Policies and Frameworks») NIST SP 800-114 / NIST SP 800-11
2.2. Управление конфигурациями	ISO 27002 (А 7, А 10) COBIT5 Enabling Processes (см.процессы BAI 09, BAI 10) ITIL (см.Service transition: Service asset and configuration management) / аналогичные процессы ISO 20000 NIST SP 800-128 NIST SP 800-53 (Security control: «Configuration Management»)
2.3. Антивирусная защита	ISO 27002 (А 10.4) COBIT5 Enabling Processes (см.процесс DSS 05) NIST SP 800-83
2.4. Управление изменениями и обновлениям	ISO 27002 (А 10.1.2, А 10.3) COBIT5 Enabling Processes (см.процесс BAI 06) ITIL (см. Service transition: Change management, Release and deployment management) / аналогичные процессы ISO 20000 NIST SP 800-40
2.5. Управление уязвимостями	ISO 27002 (А 12.6) COBIT5 Enabling Processes (см.процесс DSS 05) NIST SP 800-40
2.6. Управление контролем доступа	ISO 27002 (А 11) COBIT5 Enabling Processes (см.процесс DSS 05) ITIL (см. Service operation: Access management) NIST SP 800-53 (Security control: «Access Control»)
2.7. Сетевая безопасность	ISO 27002 (А 10, А 12) COBIT5 Enabling Processes (см.процесс DSS 05) NIST SP 800-53 / NIST SP 800-53 A NIST SP 800-100
2.8. Управление инцидентами	ISO 27002 (А 13) ISO 27035 COBIT5 Enabling Processes (см.процессы DSS 02, DSS 03) ITIL (см. Service operation: Event management, Incident management, Problem management) / аналогичные процессы ISO 20000 NIST SP 800-61 / NIST SP 800-86 NIST SP 800-53 (Security control: «Incident Response»)
2.9. Резервное копирование и восстановление + Управление непрерывностью бизнеса	ISO 27002 (А 10.5) ISO 22301 / BS 25999 ISO 27002 (А 14) ISO 27031 COBIT5 Enabling Processes (см.процесс DSS 04) ITIL (см. Service design: IT Service Continuity Management) / аналогичные процессы ISO 20000 NIST SP 800-34 NIST SP 800-84 NIST SP 800-53 (Security control: «Contingency Planning»)
2.10. Аудит ИБ и ИТ	ISO 27001 (п.6) / ISO 27002 (А 15.3) ISO 27006 / ISO 27007 ISO 19011 COBIT 5 for Assurance COBIT5 Enabling Processes (см.процессы MEA 01, MEA 02, MEA 03) ISO 20000-1 (п.3.2.3) NIST SP 800-115 NIST SP 800-53 (Security control: «Audit and Accountability»)
2.11. Обучение и повышение осведомленности персонала (awareness)	ISO 27001 (п.5.2.2) / ISO 27002 (А 8.2.2) COBIT5 Enabling Processes (см.процессыAPO07, BAI08) COBIT5 for IS (Enabler: «Culture, Ethics and Behavior» и «People, Skills and Competencies») ITIL (см. Service transition: Knowledge management) NIST SP 800-50 NIST SP 800-53 (Security control: « Awareness and Training»)
2.12. Управление персоналом	ISO 27002 (А 8) COBIT5 Enabling Processes (см.процесс APO 07) COBIT5 for IS (Enabler: «Culture, Ethics and Behavior» и «People, Skills and Competencies») NIST SP 800-53 (Security control: «Personnel Security»)
2.13. Физическая безопасность	ISO 27002 (А 9) COBIT5 Enabling Processes (см.процессы BAI 09, DSS 05) NIST SP 800-53 (Security control: « Physical and Environmental Protection»)
2.14. Защита ПДн (международный опыт)	BS 10012 ISO 27002 (А 15.1.4) COBIT5 Enabling Processes (см.процесс MEA 03) NIST SP 800-122

Стандарты, которые полезно знать специалистам по ИБ

ТАБЛИЦА 1. ССЫЛКИ НА СТАНДАРТЫ

Ваш мозг на 60% состоит из жира. Добавьте 40% науки!

Andrey Prozorov

Информационная безопасность в России и мире

Стандарты, которые полезно знать специалистам по ИБ

ТАБЛИЦА 1. ССЫЛКИ НА СТАНДАРТЫ

Ваш мозг на 60% состоит из жира. Добавьте 40% науки!

Andrey Prozorov

Информационная безопасность в России и мире

Подпишитесь на email рассылку