Статья

  1. Страницы
  2. Лента
  3. Публикация

longreed про ISO

D1ng0 18.12.2025 9 мин чтения
🚀 Не просто читай — прокачивайся! Зарегистрируйся в Kraken Academy и учись на практике: стенды, модули и реальные скиллы.

Введение

Международные стандарты серии ISO/IEC 27000 представляют собой глобальную систему управления информационной безопасностью, разработанную для организаций всех размеров и отраслей. Основу этой системы составляют три ключевых стандарта: ISO 27001 (управление информационной безопасностью), ISO 27004 (измерение эффективности) и ISO 27005 (управление рисками). Вместе они создают комплексный подход к защите информационных активов и управлению рисками в современной цифровой среде.


1. ISO 27001: Система менеджмента информационной безопасности

1.1 Назначение и область применения

ISO 27001 (также известен как ГОСТ Р ИСО/МЭК 27001-2021 в Российской Федерации) является единственным международным стандартом, определяющим требования к системе менеджмента информационной безопасности (СМИБ). Стандарт разработан для обеспечения конфиденциальности, целостности и доступности информации путём применения процесса управления рисками

Основная цель ISO 27001 состоит в:

  • Создании систематического подхода к защите информационных активов от угроз, включая кражу, мошенничество, несанкционированный доступ и повреждение данных

  • Защите данных, финансовой информации, интеллектуальной собственности и сведений о сотрудниках

  • Демонстрации организацией своих возможностей по защите информационных ресурсов перед заинтересованными сторонами

Стандарт применяется ко всем организациям, независимо от формы собственности, рода деятельности и размера, особенно для компаний, работающих с конфиденциальной информацией (банки, государственные учреждения, IT-компании).

1.2 Структура и принципы ISO 27001

Современная версия стандарта (ISO 27001:2022, официально вступившая в силу в 2022 году) основана на цикле PDCA (Plan-Do-Check-Act), также известном как цикл Деминга:

План (Plan) - Определение:

  • Целей создания СМИБ

  • Требований к СМИБ от внешних и внутренних сторон

  • Границ системы менеджмента

  • Процессов и их взаимодействий в рамках СМИБ

Выполнение (Do) - Реализация:

  • Разработки и внедрения политик и процедур безопасности

  • Выделения ресурсов, компетенций и информирования персонала

  • Управления мерами безопасности и контроля

Проверка (Check) - Оценка:

  • Мониторинга и анализа эффективности СМИБ

  • Проведения внутренних аудитов

  • Управленческого анализа и контроля

Корректировка (Act) - Улучшение:

  • Устранения выявленных несоответствий

  • Внедрения корректирующих действий

  • Постоянного совершенствования системы

1.3 Основные требования ISO 27001

Стандарт состоит из основного текста и Приложения А, организованных следующим образом:

Разделы основного текста:

  • Раздел 4 - Контекст организации

  • Раздел 5 - Лидерство и политика

  • Раздел 6 - Планирование

  • Раздел 7 - Поддержка (ресурсы и компетенции)

  • Раздел 8 - Операционная деятельность

  • Раздел 9 - Оценка эффективности

  • Раздел 10 - Улучшение

Приложение А содержит структурированный перечень мер безопасности, организованных по доменам и категориям. Исключение какой-либо меры безопасности должно быть обосновано; в противном случае организация не может получить сертификат.

1.4 Управление рисками в ISO 27001

Управление рисками является центральным элементом ISO 27001 и включает следующие этапы:

  • Идентификацию активов - данные, сервисы, инфраструктура, персонал, бизнес-процессы

  • Определение угроз и уязвимостей - утечка данных, ошибки сотрудников, сбои систем, недоступность сервисов

  • Оценку рисков - анализ вероятности и влияния выявленных рисков

  • Обработку рисков - выбор способов управления рисками (избежание, снижение, принятие, распределение)

  • Мониторинг и анализ - постоянный контроль эффективности мер управления

1.5 Сертификация по ISO 27001

Процесс сертификации включает:

  • Этап 1 - Проверка документации и готовности системы

  • Этап 2 - Проверка функционирования процессов и применения политики персоналом

  • Принятие решения - Выдача сертификата сроком на 3 года (при отсутствии серьёзных нарушений)

  • Надзорные аудиты - Ежегодные проверки для подтверждения эффективности системы


2. ISO 27004: Измерение и мониторинг СМИБ

2.1 Назначение и роль ISO 27004

ISO 27004 (ГОСТ Р ИСО/МЭК 27004-2011) содержит рекомендации по разработке и использованию измерений и мер измерения для проведения оценки эффективности СМИБ. Стандарт работает в тесной взаимосвязи с ISO 27001, обеспечивая организации инструментами для объективной оценки результативности системы управления информационной безопасностью.

Основные функции ISO 27004:

  • Определение критериев мониторинга для организаций, следующих рекомендациям ISO 27001

  • Предоставление достоверной информации соответствующим заинтересованным сторонам о состоянии СМИБ

  • Оценка правильности реализации элементов управления и их соответствия требованиям

2.2 Две категории мер оценки

ISO 27004 определяет два основных подхода к измерению эффективности:

1. Показатели эффективности реализации (Process Effectiveness)

Используются для демонстрации прогресса в реализации процесса СМИБ. Эти показатели измеряют:

  • Как были реализованы элементы управления

  • Соответствие реализации требованиям политик и процедур

  • Выполнение установленных нормативных требований

Примеры: процент подготовленного персонала, наличие документации, своевременность проведения аудитов.

2. Показатели эффективности результатов (Operational Effectiveness)

Определяют, работают ли процессы СМИБ и средства контроля так, как задумано, и достигают ли желаемых результатов:

  • Количество выявленных уязвимостей

  • Время обнаружения и реагирования на инциденты

  • Уровень соответствия политикам безопасности

  • Снижение количества инцидентов информационной безопасности

2.3 Программа измерений

Программа измерений в ISO 27004 основана на:

  • Глубоком понимании рисков информационной безопасности, с которыми сталкивается организация

  • Правильном выполнении оценки риска в соответствии с требованиями ISO 27001 на основе ISO 27005

  • Регулярном сборе данных для отслеживания динамики показателей

  • Представлении результатов в доступном формате для принятия управленческих решений


3. ISO 27005: Управление рисками информационной безопасности

3.1 Введение в ISO 27005

ISO 27005:2018 (Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент рисков информационной безопасности) обеспечивает руководство по управлению рисками информационной безопасности и является вспомогательным стандартом, описывающим, как организация может наилучшим образом внедрить СМИБ ISO 27001, используя управление рисками.

ISO 27005 соответствует общим принципам, изложенным в ISO 31000 (Менеджмент риска) и фокусируется на том, как организации могут использовать управление рисками посредством методологического процесса для защиты информационных активов.

3.2 Компоненты управления рисками

Управление рисками в ISO 27005 начинается с определения и оценки активов организации:

Установление контекста:

  • Определение политик и процедур для устранения риска

  • Внедрение контроля на основе оценки риска

  • Рассмотрение ценности информации и систем обработки информации

  • Учёт правовых и нормативных требований

  • Выравнивание с бизнес-целями

Установление критериев принятия риска:

  • Определение, как бизнес-цели соотносятся с выявленными рисками

  • Установка пороговых значений риска на основе обязательств и желаемой прибыли

  • Категоризация рисков по типам

3.3 Процесс оценки и обработки рисков

Стандарт ISO 27005 описывает итеративный процесс управления рисками:

1. Идентификация рисков

  • Определение активов (данные, оборудование, программное обеспечение, персонал)

  • Выявление угроз (кибератаки, стихийные бедствия, ошибки человека)

  • Определение уязвимостей, которые могут быть использованы

  • Оценка потенциального воздействия (финансовые потери, ущерб репутации)

2. Анализ рисков

  • Оценка вероятности возникновения выявленных рисков

  • Определение влияния рисков

  • Использование качественных (высокий/средний/низкий) или количественных методов

3. Оценка рисков

  • Сравнение проанализированных рисков с критериями риска

  • Определение значимости каждого риска

  • Приоритизация рисков по степени серьёзности

4. Обработка рисков

ISO 27005 предусматривает несколько стратегий обработки рисков:

  • Избежание (Avoidance) - отказ от определённых технологий или практик при непомерно высокой стоимости снижения риска

  • Снижение (Mitigation) - внедрение мер контроля для уменьшения вероятности или влияния риска

  • Принятие (Acceptance) - формальное согласие на уровень риска

  • Распределение (Sharing) - передача или распределение управления и последствий риска (аутсорсинг, страхование)

5. Мониторинг и анализ рисков

  • Постоянное отслеживание рисков и средств контроля

  • Мониторинг изменений в среде риска (новые угрозы, уязвимости)

  • Периодическая проверка эффективности процесса управления рисками

  • Обновление оценок риска при необходимости

3.4 Жизненный цикл рисков в ISO 27005

Процесс управления рисками в ISO 27005 является циклическим и непрерывным, что позволяет организациям адаптироваться к изменяющейся угрозам и уязвимостям в течение всего периода функционирования информационных систем.


4. Интеграция ISO 27001, ISO 27004 и ISO 27005

4.1 Взаимосвязь между стандартами

Три стандарта работают в едином экосистеме:

 
 

4.2 Цикл взаимодействия

  1. ISO 27005 - идентифицирует и оценивает риски, определяет потребность в мерах контроля

  2. ISO 27001 - внедряет выявленные меры контроля и устанавливает СМИБ в соответствии с требованиями

  3. ISO 27004 - измеряет эффективность реализованных мер и СМИБ

  4. Обратная связь - результаты ISO 27004 используются для уточнения оценки рисков в ISO 27005


5. Ключевые инструменты и концепции

5.1 Цикл PDCA в контексте СМИБ

Цикл PDCA применяется во всех трёх стандартах:

  • План (P) - определение рисков (ISO 27005), постановка целей (ISO 27001), выбор показателей (ISO 27004)

  • Выполнение (D) - внедрение мер контроля, обучение персонала

  • Проверка (C) - измерение показателей эффективности, анализ результатов

  • Действие (A) - корректировка процессов, улучшение системы

5.2 Ключевые индикаторы рисков (KRI)

Ключевые индикаторы риска (KRI) являются инструментом мониторинга и контроля риска, используемыми для отслеживания и прогнозирования опасных событий:

  • Используются для контроля текущего уровня подверженности организации рискам

  • Отражают реальную опасность возникновения опасных событий

  • Служат сигналом для руководства о необходимости принятия мер

  • Применяются в соответствии с ISO 27005 для мониторинга рисков

  • Могут дополняться ежемесячными сводками при отсутствии серьёзных изменений

5.3 Три принципа информационной безопасности

Все три стандарта основаны на классическом триумвирате безопасности:

Конфиденциальность - защита секретных данных от несанкционированного доступа:

  • Шифрование с использованием цифровых сертификатов

  • Защищённое соединение SSL/TLS

  • Доступ через VPN

Целостность - обеспечение соответствия переданной и полученной информации:

  • Защита от несанкционированного изменения

  • Защита от перехвата данных

  • Применение алгоритмов шифрования

Доступность - обеспечение своевременного доступа к информации авторизованными пользователями:

  • Резервное копирование

  • Управление непрерывностью бизнеса

  • Восстановление после сбоев


6. Измеряемые домены и меры безопасности

6.1 Структура мер в ISO 27001

Приложение А стандарта ISO 27001 содержит описания мер обеспечения информационной безопасности, организованных по основным категориям:

Каждая категория содержит:

  • Цель применения меры - описание того, что должно быть достигнуто

  • Одна или несколько мер безопасности - которые могут быть применены для достижения цели

  • Руководство по применению - рекомендации по внедрению меры

  • Практические примеры - иллюстрация применения в контексте организации

6.2 Основные домены мер безопасности

Меры безопасности в ISO 27001 охватывают различные аспекты защиты информации:

  • Организационное управление - политики, роли, ответственность, разделение обязанностей

  • Управление активами - инвентаризация и классификация информационных активов

  • Управление персоналом - отбор, обучение, осведомлённость, дисциплина

  • Физическая безопасность - контроль доступа, защита периметра, зоны погрузки

  • Коммуникационная безопасность - политики передачи информации, соглашения о конфиденциальности

  • Криптография - управление ключами и алгоритмами шифрования

  • Управление инцидентами - выявление, обработка и анализ инцидентов

  • Непрерывность бизнеса - планирование и тестирование восстановления


7. Переход на ISO 27001:2022

7.1 Ключевые изменения в версии 2022

Новая версия стандарта (ISO 27001:2022, официально ГОСТ Р ИСО/МЭК 27001-2021) внесла существенные изменения:

  • Гармонизация высокоуровневой структуры с другими системами управления (ISO 9001, ISO 14001)

  • Требование к идентификации процессов - организация должна определить необходимые процессы и их взаимодействия в рамках СМИБ (пункт 4.4)

  • Явное выравнивание с передовыми практиками управления системами согласно высокоуровневой структуре (HLS)

7.2 Переходный период

С 31 октября 2022 года установлен трёхлетний переходный период:

  • Действие старых сертификатов - Сертификаты ISO 27001:2013 действительны до 31 октября 2025 года

  • Необходимость миграции - организации должны перейти на новый стандарт к установленной дате

  • Плановое внедрение - переход рекомендуется рассматривать как изменение в СМИБ со всеми его последствиями и взаимодействиями


8. Практическое внедрение и рекомендации

8.1 Этапы внедрения СМИБ

Организация, внедряющая ISO 27001, должна следовать следующему подходу:

  1. Определение контекста - выявление заинтересованных сторон, требований, границ СМИБ

  2. Лидерство - обеспечение участия высшего руководства, разработка политики, определение ролей

  3. Планирование - постановка целей, оценка рисков (на основе ISO 27005), планирование мероприятий

  4. Обеспечение ресурсами - выделение средств, развитие компетенций, информирование персонала

  5. Эксплуатация - внедрение мер безопасности, управление процессами

  6. Оценка результатов - проведение внутренних аудитов, анализ метрик, управленческий анализ

  7. Непрерывное улучшение - устранение несоответствий, внедрение корректирующих действий

8.2 Интеграция с другими стандартами

Организации, работающие с конфиденциальной информацией, часто должны соответствовать нескольким стандартам одновременно:

  • ISO 27031 - Готовность информационно-коммуникационных технологий к обеспечению непрерывности бизнеса

  • ISO 27035 - Управление инцидентами информационной безопасности

  • ISO 27002 - Руководство по применению мер безопасности

  • ГОСТ Р 53647 - Менеджмент непрерывности бизнеса

  • ISO/TS 22331, 22332 - Системы управления непрерывностью бизнеса

📘 Понравилась публикация?
Больше практики — в Kraken Academy.
Подписывайся на наш Telegram-канал.
Рекомендуемые публикации
Обложка

Мой первый CTF

Читать полностью →
Обложка

Эмоциональный интеллект - ваш главный инструмент в управлении киберрисками

Читать полностью →
Обложка

Анонимность в интернете

Читать полностью →