Передумови впровадження міжнародних стандартів інформаційної безпеки в Україні

Размещено на http://www.allbest.ru/

Передумови впровадження міжнародних стандартів інформаційної безпеки в Україні

Р.С. Филь,

кандидат юридичних наук, начальник відділу ДНДІ МВС України,

м. Київ, Україна,

С.П. Филь,

кандидат юридичних наук, старший науковий співробітник ДНДІ МВС України, м. Київ, Україна,

У статті досліджено зміст поняття системи управління інформаційною безпекою. Розглянуто взаємозв'язок міжнародних стандартів у серії ISO/IEC 27000. Встановлено, що стандарти зазначеної серії поділяються на чотири групи: стандарти для огляду й уведення в термінологію; стандарти, які визначають обов'язкові вимоги до системи управління інформаційною безпекою; стандарти, що визначають вимоги та рекомендації для аудиту системи управління інформаційною безпекою; стандарти, що пропонують кращі практики впровадження, розвитку та вдосконалення системи управління інформаційною безпекою. У ході аналізу положень національного законодавства у сфері інформаційної безпеки відзначено потенціал впровадження міжнародних стандартів серії ISO/IEC 27000 в Україні.

Ключові слова: інформаційна безпека, система управління інформаційною безпекою, міжнародні стандарти, ISO/IEC 27000.

В статье исследовано содержание понятия системы управления информационной безопасностью. Рассмотрена взаимосвязь международных стандартов в серии ISO/IEC 27000. Установлено, что стандарты указанной серии делятся на четыре группы: стандарты для осмотра и введения в терминологию; стандарты, которые определяют обязательные требования к системе управления информационной безопасностью; стандарты, определяющие требования и рекомендации для аудита системы управления информационной безопасностью; стандарты, которые внедряют практику развития и совершенствования системы управления информационной безопасностью. Проанализировав положения национального законодательства в сфере информационной безопасности, автор отмечает потенциал внедрения международных стандартов серии ISO/IEC 27000 в Украине.

Ключевые слова: информационная безопасность, система управления информационной безопасностью, международные стандарты,

PREREQUISITES FOR THE INTRODUCTION OF INTERNATIONAL STANDARDS OF INFORMATION SECURITY IN UKRAINE

R.S. Fyl,

Candidate of Juridical Sciences, Head of the Department of the State Research Institute MIA Ukraine, Kyiv, Ukraine,

S.P. Fyl,

Candidate of Juridical Sciences, Senior Researcher of the State Research Institute MIA Ukraine, Kyiv, Ukraine,

Research article examines the possibility of introducing international standards of information security in Ukraine. The concept of information security management system is understood as a part of the whole management system based on the business risk approach, for the purpose of creation, implementation, operation, continuous monitoring, analysis, maintenance in working condition and improvement of information security. A review of the international standards of the ISO/IEC 27000 series has been carried out. It has been established that the standards of these series are divided into four groups: standards for review and introduction into terminology; standards defining mandatory requirements for information security management system; standards defining requirements and recommendations for audit of the information security management system; standards that offer best practices for the implementation, development and improvement of the information security management system. The interconnection of standards in the series ISO/IEC 27000 is considered. It is emphasized that national standards of Ukraine ISO/IEC 27000 series are currently being adopted in Ukraine, in particular, defining: the basic notions and provisions of the system; monitoring, measuring, analyzing and evaluating the system; risk management; system audit and certification; requirements for auditors; a guide for telecommunication organizations to manage information security; guidance for the integrated implementation of ISO/ IEC 27001 and ISO/IEC 20000-1; provision for cloud services; process control system in the energy service software industry. After analyzing the provisions of the national legislation in the field of information security, it is established that Ukraine has got the potential of implementing the international standards of the series ISO/IEC 27000.

Keywords: information security, information security management system, international standards, ISO/IEC 27000.

З розвитком цифрових технологій значною загрозою для діяльності організацій стали порушення безпеки інформації та кібератаки. За даними об'єднання ISACA, тільки 38 % респондентів вважають, що вони підготовлені до кібернападів, решта 83 % відносять кібернапади до однієї з найнебезпечніших загроз для організації [1]. За великого обсягу персональної та конфіденційної інформації, яку пересилають за допомогою електронних засобів, несанкціонований доступ до неї може призвести до серйозних наслідків. Тому безпека інформації є необхідною умовою розвитку інформаційного суспільства.

Набір засобів, стратегій, принципів забезпечення безпеки, гарантій безпеки, підходів до управління ризиками, дій, професійної підготовки, страхування і технологій, які використовуються для захисту кіберпростору, ресурсів організацій і користувачів, - усе це система управління інформаційною безпекою (далі - СУІБ). Ця система ґрунтується на стандартах, розроблених Міжнародною організацією зі стандартизації (ISO) спільно з Міжнародною електротехнічною комісією (IEC). Фахівці цих організацій постійно працюють над удосконаленням інформаційної безпеки й таким чином доповнюють ISO/IEC 27000 новими стандартами.

Збереження інформаційного суверенітету, формування ефективної системи безпеки в інформаційній сфері є актуальною проблемою для України. Забезпечення захисту інформаційного простору потребує від нашої держави не лише визначення інноваційних підходів до формування системи захисту та розвитку інформаційного простору в умовах глобалізації вільного обігу інформації, а й запровадження міжнародних стандартів інформаційної сфери. міжнародний стандарт інформаційна безпека

Отже, беручи до уваги викладене вище, метою статті є огляд міжнародних стандартів серії ISO/IEC 27000 та дослідження питання щодо можливості їх впровадження в Україні.

Серія стандартів ISO/IEC 27000 містить настанови та рекомендації у сфері інформаційної безпеки для створення, розвитку й підтримки СУІБ. Під поняттям “система управління інформаційної безпеки” розуміють частину загальної системи управління, що ґрунтується на підході ділових ризиків, з метою створення, упровадження, експлуатації, постійного контролювання, аналізування, підтримування в робочому стані та покращання захисту інформації [2].

До основних елементів СУІБ відносять: захист від несанкціонованого доступу до систем, у тому числі й внутрішній захист від несанкціонованого доступу співробітників організації; авторизацію і аутентифікацію; захист каналів передачі даних, забезпечення цілісності; забезпечення актуальності даних при обміні інформацією з клієнтами; управління електронним документообігом; управління інцидентами інформаційної безпеки; управління безперервністю ведення діяльності; внутрішній і зовнішній аудит СУІБ.

Міжнародні стандарти цієї серії умовно поділяються на чотири групи: 1) стандарти для огляду й уведення в термінологію; 2) стандарти, які визначають обов'язкові вимоги до СУІБ; 3) стандарти, що визначають вимоги і рекомендації для аудиту СУІБ; 4) стандарти, що пропонують кращі практики впровадження, розвитку та вдосконалення СУІБ. їх взаємозв'язок зображено на рис 1.

Охарактеризуємо кожний міжнародний стандарт серії ISO/IEC 27000 [2].

ISO/IEC 27000:2014 “Інформаційні технології. Методи забезпечення безпеки. Системи управління інформаційною безпекою. Огляд і термінологія” [2] наводить основні терміни й деталізує складові інформаційного забезпечення інформаційної безпеки, зокрема: “контроль доступу”, “атака”, “аутентифікація”, “справжність, доступність”, “конфіденційність”, “цілісність”, “засоби управління”, “коригувальна дія”, “інформаційна безпека” тощо. Загалом у стандарті наведено 89 термінів та їх визначень, з них 47 представлено в додатках без тлумачення.

Рис. 1. Взаємозв'язок стандартів в серії ISO/IEC 27000

Цей стандарт є вже третьою редакцією ISO/IEC 27000, прийнятою 15 січня 2014 р., яка замінила попередню версію 2012 р. По суті, зазначений стандарт є рекомендованим доповненням для впровадження і сертифікації СУІБ, оскільки визначення термінології в нових версіях стандартів ISO/IEC 27001:2013 та ISO/IEC 27002:2013 відсутнє.

ISO/IEC 27001:2013 “Інформаційні технології. Методи забезпечення безпеки. Система управління інформаційною безпекою. Вимоги. Інформаційні технології” містить загальні вимоги до сертифікації СУІБ [2]. Крім того, визначає процеси, які встановлюють, застосовують, переглядають, контролюють та підтримують ефективну СУІБ; встановлюють вимоги до розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та вдосконалення документованої СУІБ в контексті наявних ризиків організації в її діяльності. Побудована СУІБ на основі стандарту ISO 27001 дозволяє: зробити більшість інформаційних активів найбільш зрозумілими для управління установою; виявляти основні загрози безпеки для існуючих процесів; оцінювати ризики та приймати рішення щодо їх усунення на основі цілей політики установи; забезпечити ефективне управління системою в критичних ситуаціях; чітко визначити особисту відповідальність співробітників та керівництва; досягти зниження й оптимізації вартості підтримки системи безпеки; продемонструвати споживачам свою прихильність до інформаційної безпеки.

ISO/IEC 27001 гармонізований зі стандартами KO 9001. Обов'язкові процедури стандарту ISO 9001 використовуються у ISO/IEC 27001. Структура документації за вимогами ISO/IEC 27001 аналогічна ISO 9001. Документація, необхідна згідно з ISO/IEC 27001, може бути розроблена при впровадженні системи управління якістю відповідно до ISO 9001. Тож СУІБ краще інтегрувати в рамках уже впровадженої системи управління якістю, що зменшить затрати організації та вартість робіт з її впровадження і сертифікації.

ISO/IEC 27002:2013 “Інформаційні технології. Методи забезпечення безпеки. Практичні правила управління інформаційною безпекою” встановлює загальні принципи побудови, реалізації, підтримки й удосконалення управління захистом інформації в організації. Цілі, сформульовані стандартом, характеризують загальні керівні принципи управління захистом інформації. Засоби управління, розроблені стандартом, дозволяють реалізувати СУІБ та оцінити ризики її впровадження. Стандарт є практичним керівництвом з упровадження, яке може використовуватися при проектуванні механізмів контролю, обраних організацією для зменшення ризиків інформаційної безпеки.

ISO/IEC 27003:2010 “Інформаційні технології. Методи безпеки. Керівництво з впровадження системи управління інформаційної безпеки” наводить поетапний алгоритм розробки та впровадження СУІБ, окресленої ISO/IEC 27001:2013. Крім того, у стандарті надаються рекомендації зі схвалення рішення керівництвом впровадження СУІБ та планування її проекту й плану впровадження.

ISO/IEC 27004:2009 “Інформаційні технології. Методи забезпечення безпеки. Вимірювання ефективності системи управління інформаційною безпекою” являє собою керівництво з розробки та використання заходів оцінки ефективності впровадженої СУІБ. Вимірювання оцінки включає перевірку ефективності обраної політики, управління ризиками інформаційної безпеки та їх заходами контролю й процедурами застосування, а також постійну перевірку як усієї СУІБ, так і її окремих етапів контролю та управління.

ISO/IEC 27005:2011 “Інформаційні технології. Методи забезпечення безпеки. Управління ризиками інформаційної безпеки” визначає настанови управління ризиками інформаційної безпеки, які включають інформацію й управління ризиками безпеки технологій телекомунікації. Цей стандарт реалізує положення забезпечення інформаційної безпеки, визначеної ISO/IEC27001, шляхом управлінням ризиками.

ISO/IEC 27006:2011 “Інформаційні технології. Методи забезпечення безпеки. Вимоги до органів аудиту та сертифікації систем управління інформаційною безпекою” встановлює вимоги до органів аудиту і сертифікації СУІБ та їх акредитації.

ISO/IEC 27007:2011 “Інформаційні технології. Методи і засоби забезпечення безпеки. Керівництво щодо аудиту систем управління інформаційної безпеки” містить настанови для аудитора СУІБ.

ISO/IEC TR 27008:2011 “Інформаційні технології. Методи забезпечення безпеки. Керівництво для контролю аудита систем управління інформаційної безпеки” встановлює настанови з аудиту механізмів контролю СУІБ й слугує доповненням стандарту ISO 27007.

ISO/IEC 27009:2016 “Інформаційні технології. Методи забезпечення безпеки. Вимоги до застосування ISO/IEC 27001” містить вимоги із застосування ISO/ IEC27001;

ISO/IEC 27010:2012 “Інформаційні технології. Методи забезпечення безпеки. Захист інформації. Управління для міжгалузевого зв'язку” встановлює вимоги з управління інформаційною безпекою при комунікаціях між секторами. Стандарт містить керівництво щодо спільного використання інформації про ризики інформаційної безпеки та механізми контролю проблем та інцидентів, що виходять за межі окремих секторів економіки та держави.

ISO/IEC 27011:2008 “Інформаційні технології. Методи забезпечення безпеки. Захист інформації. Керівні вказівки з управління для телекомунікаційних організацій, заснованих на ISO/IEC 27002” визначає положення управління інформаційною безпекою для телекомунікації.

ISO/IEC 27013:2012 “IT Безпека. Методи забезпечення безпеки. Керівництво з впровадження ISO/IEC 20000-1 та ISO/IEC 27001” встановлює механізм інтегрованого впровадження КО 20000 і КО 27001.

ISO/IEC 27014:2013 “Інформаційні технології. Методи забезпечення безпеки. Захист інформації. Структура управління” окреслює структуру управління інформаційною безпекою.

ISO/IEC TR 27015:2012 “Інформаційні технології. Методи забезпечення безпеки. Система управління захистом інформації. Керівні принципи для фінансового та страхового секторів” визначає основні вимоги для впровадження СУІБ у фінансовому та страховому секторах.

ISO/IEC TR 27016:2012 “Інформаційні технології. Методи забезпечення безпеки. Система управління захистом інформації. Організація економіки” містить положення щодо впровадження СУІБ у галузі економіки підприємства.

ISO/IEC 27017:2015 “Інформаційні технології. Методи забезпечення безпеки. Керівництво з управління інформаційної безпеки для використання хмарних обчислень послуг на основі ISO/IEC 27002” надає рекомендації з управління інформаційної безпеки при використанні послуг хмарних обчислень.

ISO/IEC 27018:2015 “Інформаційні технології. Методи забезпечення безпеки. Кодекс практики для захисту PII в громадських хмарах, діючих як процесори PII” встановлює правила для захисту PII у громадських хмарах, що виступають як процесори PII. Крім того, характеризує методи судової експертизи, котрі використовують для аналізу цифрових доказів та розслідування інцидентів.

ISO/IEC TR 27019:2013 “Інформаційні технології. Методи забезпечення безпеки. Керівні принципи щодо забезпечення безпеки, засновані на ISO/IEC 27002 для систем управління технологічними процесами, які специфічні для енергетичної промисловості” визначає положення впровадження СУІБ у галузі енергетики.

ISO/IEC 27031:2011 “Інформаційні технології. Методи забезпечення безпеки. Керівні принципи для інформаційних та комунікаційних технологій, що забезпечують безперервності бізнесу” містить рекомендації для забезпечення інформаційних і комунікаційних технологій до їх використання для управління безперервністю бізнесу.

ISO/IEC 27032:2012 “Інформаційні технології. Методи забезпечення безпеки. Керівні принципи для кібербезпеки” розкриває основні положення кібербезпеки;

Проект ISO/IEC 27034 “Інформаційні технології. Методи забезпечення безпеки. Безпека додатків” міститиме вимоги до безпеки додатків. Планується, що цей проект складатиметься з шести частин, які наразі перебуває на різних стадіях розроблення;

ISO/IEC 27035:2011 “Інформаційні технології. Методи забезпечення безпеки. Управління інцидентами безпеки” містить рекомендації до управління інцидентами безпеки;

ISO/IEC 27036-3:2013 “Безпека IT. Методи забезпечення безпеки. Керівні принципи для безпеки аутсорсингу” є керівництвом з аутсортингу безпеки.

ISO/IEC 27037:2012 “Безпека IT. Методи забезпечення безпеки. Керівні принципи для виявлення, збору та/або придбання та збереження цифрових доказів” визначає засади ідентифікації, збору, отримання та забезпечення захисту цифрових свідоцтв.

ISO/IEC 27038:2014 “Інформаційні технології. Методи забезпечення безпеки. Специфікація для цифрового редагування” є специфікацією для цифрового редагування.

ISO/IEC 27039:2015 “Інформаційні технології. Методи забезпечення безпеки. Вибір, розгортання та операції виявлення вторгнень і системи запобігання (ВПО)” містить вимоги щодо відбору, розгортання та функціонування системи виявлення та запобігання вторгнень;

ISO/IEC 27040:2015 “Інформаційні технології. Методи забезпечення безпеки. Безпека зберігання даних (DIS)” містить рекомендації щодо безпечного зберігання даних.

ISO/IEC 27041:2015 “Інформаційні технології. Методи забезпечення безпеки. Забезпечення цифрових методів доказів для слідства” визначає умови щодо забезпечення цифрових методів доказів для слідства.

ISO/IEC 27042:2015 “Інформаційні технології. Методи забезпечення безпеки. Керівні принципи для аналізу та інтерпретації цифрових доказів” встановлює рекомендації для аналізу та інтерпретації цифрових доказів.

ISO/IEC2 27043:2015 “Інформаційні технології. Методи забезпечення безпеки. Розслідування інцидентів, принципи і процеси” розкриває положення настанови, що описує процеси та принципи, які застосовують до різних видів досліджень, включаючи несанкціонований доступ, пошкодження даних, збої в системі або корпоративні порушення інформаційної безпеки, а також будь-які інші цифрові дані розслідування.

ISO 27799:2008 “Інформатика в охороні здоров'я. Управління інформаційною безпекою охорони здоров'я за допомогою ISO/IEC 27002” містить рекомендації щодо управління інформаційною безпекою у сфері охорони здоров'я.

Що стосується нормативно-правового забезпечення інформаційної безпеки в Україні, то наразі ситуація складається таким чином.

Для зупинення дій, спрямованих проти конфіденційності, цілісності і доступності комп'ютерних систем, мереж і комп'ютерних даних, а також зловживання такими системами, мережами й даними, шляхом встановлення кримінальної відповідальності за таку поведінку, надання повноважень, достатніх для ефективної боротьби з такими кримінальними правопорушеннями шляхом сприяння їхньому виявленню, розслідуванню та переслідуванню, як на внутрішньодержавному, так і на міжнародному рівнях, і укладення домовленостей щодо швидкого й надійного міжнародного співробітництва в 2005 р. Україна ратифікувала Конвенцію про кіберзлочинність [3].

Рішення РНБО України від 28 квітня 2014 р. затвердило проведення заходів щодо вдосконалення формування та реалізації державної політики у сфері інформаційної безпеки України. У тому числі приведення національного законодавства у відповідність до міжнародних стандартів із питань інформаційної та кібернетичної безпеки, удосконалення системи формування та реалізації державної політики у сфері інформаційної безпеки України [4].

З метою уточнення засад формування та реалізації державної інформаційної політики, передовсім щодо протидії руйнівному інформаційному впливу Російської Федерації в умовах розв'язаної нею гібридної війни, Указом Президента України від 25 лютого 2017 р. № 47/2017 було затверджено Доктрину інформаційної безпеки України [5].

Підписавши Угоду про асоціацію між Україною та ЄС, наша держава зобов'язалася гармонізувати нормативне регулювання інформаційної безпеки. З метою виконання цих зобов'язань Мінекономрозвитку затвердило наказом від 30 грудня 2014 року № 1494 перелік ухвалення європейських та міжнародних стандартів як національних [6, ст. 56; 7]. Як наслідок, упродовж останніх 4 років в Україні набули чинності п'ятнадцять стандартів серії ISO/IEC 27000, зокрема, ті, що регулюють: основні поняття та положення СУІБ (ДСТУ ISO/IEC 27000:2017, ДСТУ ISO/ IEC 27001:2014, ДСТУ ISO/IEC27001:2015, ДСТУ ISO/IEC 27002:2015, ДСТУ ISO/IEC 27003:2018, ДСТУ ISO/IEC 27009:2018, ДСТУ ISO/ IEC 27013:2017); моніторинг, вимірювання, аналізування та оцінювання СУІБ (ДСТУ ISO/IEC 27004:2018); управління ризиками (ДСТУ ISO/IEC 27005:2015); аудит і сертифікацію СУІБ (ДСТУ ISO/IEC 27006:2015, ДСТУ ISO/IEC 27007:2018); діяльність аудиторів (ДСТУ ISO/IEC TR 27008:2018); управління інформаційною безпекою в телекомунікаційних організацях (ДСТУ ISO/IEC 27011:2018); положення для хмарних послуг (ДСТУ ISO/IEC 27017:2017); управління процесами в індустрії енергетичних сервісних програм (ДСТУ ISO/IEC TR 27019:2017) [8].

Отже, на шляху приєднання України до європейської спільноти національне законодавство у сфері інформаційної безпеки перебуває у процесі гармонізації з європейськими нормами та міжнародними стандартами цієї сфери. З огляду на накопичену нормативно-правову базу, в Україні вбачається потенціал упровадження міжнародних стандартів серії ISO/IEC 27000.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

1. Стандарти ISO/IEC захистять від кіберзагроз. URL: http://csm.kiev.ua/index.php?option= com_content&view=article&id=3631%3A-isoiec--&catid=122%3A2015-09-15-07-01-23&Itemid=1&lang= uk (дата звернення: 25.03.2019).

2. International Organization for Standardization. URL: https://www.iso.org (дата звернення: 25.03.2019).

3. Конвенція про кіберзлочинність від 23.11.2001. Офіційний вісник України. 2007. № 65. 107 с. Ст. 2535.

4. Про заходи щодо вдосконалення формування та реалізації державної політики у сфері інформаційної безпеки України: Рішення РНБО України від 28 квітня 2014 р. Офіційний вісник України. 2014. № 37. С. 29. Ст. 986.

5. Про рішення Ради національної безпеки і оборони України від 29 грудня 2016 року “Про Доктрину інформаційної безпеки України”: Указ Президента України 25 лютого 2017 р. № 47/2017. офіційний вісник Президента України. 2017. № 5. С. 15. Ст. 102.

6. Про прийняття європейських та міжнародних нормативних документів як національних стандартів України, змін до національних стандартів України, скасування національних стандартів України та міждержавних стандартів в Україні: Наказ Міністерства економічного розвитку і торгівлі України від 30 грудня 2014 року № 1494.

7. Угода про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони, від 27 червня 2014 р. Офіційний вісник України. 2014. № 75. Т. 1. С. 83. Ст. 2125.

8. Каталог НД України on-line. URL: http://csm.kiev.ua/nd/nd.php?z=2700&st=0&b=1 (дата звернення: 25.03.2019).

REFERENCES

1. Standarty ISO/IEC zakhystyat' vid kiberzahroz. “ISO / IEC standards will protect from cyber threats”. URL: http://csm.kiev.ua/index.php?option=com_content&view=article&id=3631%3A- isoiec-&catid=122%3A2015-09-15-07-01-23&Itemid=1&lang=uk (date of application: 25.03.2019) [in Ukrainian].

2. International Organization for Standardization. URL: https://www.iso.org (date of application: 25.03.2019) [in English].

3. Cybercrime Convention of 23.11.2001. Official Bulletin of Ukraine. 2007. No 65. 107 p. Art. 2535 [in Ukrainian].

4. About Measures on the Improvement of the Formation and Implementation of State Policy in the Field of Information Security of Ukraine: NSDC Decision of April 28, 2014. Official Bulletin of Ukraine. 2014. No 37. P. 29. Art. 986 [in Ukrainian].

5. On the Decision of the National Security and Defense Council of Ukraine of December 29, 2016 “On the Doctrine of Information Security of Ukraine”: Presidential Decree of February 25, 2017 No 47/2017. Official Bulletin of the President of Ukraine. 2017. No 5. P. 15. Art. 102 [in Ukrainian].

6. On the Adoption of European and International Normative Documents as National Standards of Ukraine, Amendments to National Standards of Ukraine, Abolition of National Standards of Ukraine and Interstate Standards in Ukraine: Decree of the Ministry of Economic Development and Trade of Ukraine of December 30, 2014. No 1494 [in Ukrainian].

7. Association Agreement between Ukraine, of the One Part, and the European Union, the European Atomic Energy Community and Their Member States, of the Other Part, dated 27 June 2014. Official Journal of Ukraine. 2014. No 75. Vol. 1. P. 83. Art. 2125 [in Ukrainian].

8. Catalogue of Ukrainian ND on-line. URL: http://csm.kiev.ua/nd/nd.php?z=2700&st=0&b=1 (date of application: 25.03.2019) [in Ukrainian].

Размещено на Allbest.ru