Про ISO 27004

Про ISO 27004
Я все же смог заставить себя внимательно изучить и проработать стандарт ISO 27004, а точнее его русский вариант ГОСТ Р ИСО/МЭК 27004-2011 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения" . На самом деле читать в оригинальном английском очень сложно, я пару раз пытался, но "не осилил". Такое чувство, что в стандарте ISO намерено усложняются и так не самые просты модели. Хотя аналогичные темы в ITIL/ISO20000/COBIT читать приятнее и понятнее...

Стандарт не большой (62 страницы) и по структуре, и по содержанию очень напоминает 27001, 9001 и прочие, что на мой взгляд не совсем нужно, т.к. появляется слишком много "воды", что затрудняет понимание стандарта. 

name='more'>
Содержание стандарта:
  1. Введение.Полезная глава, также есть краткая справка для должностных лиц.
  2. Область применения. Стандартная глава, особого интереса не представляет, т.к. во Введении уже все рассказали. 
  3. Нормативные ссылки. Стандартная глава, особого интереса не представляет.
  4. Термины и определения. В стандарте присутствуют много новых и не особо часто употребляемых терминов, поэтому главу надо читать обязательно. Я к ней возвращался ни один раз при прочтении стандарта.
  5. Структура. Дает краткое представление о главах стандарта.
  6. Общий обзор измерений, связанных с ИБ. Дает общее представление о модели, предлагаемой в стандарте, хотя в начале очень много "воды". Из интересных схем:



  7. Обязанности руководства. Практически идентична аналогичным главам в 27001 и прочих стандартах менеджмента. Пригодится лишь тем, кто не читал 27001. Хотя зачем может пригодится 27004 тому, кто не читал 27001, я не могу себе представить...
  8. Разработка измерений и мер измерений.Дает представление о самом процессе разработке измерений и мер измерений, конструктивных элементах измерений, информационных потребностях и пр. Основная теоретическая часть стандарта.
  9. Процесс измерений. Краткая глава, про то, как разрабатывать процессы и его общие элементы. По сути соответствует любому другому процессу СУИБ. Не заслуживает пристального внимания.
  10. Анализ данных и отчетность по результатам измерений. Общие положения про подготовку итоговых результатов и их передачу. Не заслуживает особого внимания.
  11. Оценивание и совершенствование программы измерений. Тоже достаточно стандартный пункт про пересмотр процесса, аналогичен любому другому процессу СУИБ. Из интересного только критерии оценивания изложенных результатов измерений (см. в майндкарте ниже).
  12. Приложение А. Типовая форма конструктивных элементов измерений, связанных с ИБ. Если вы разобрались с п. " Разработка измерений и мер измерений", то тут вы еще раз комплексно посмотрит на модель, элементы которой представленны в табличном виде с пояснениями. 
  13. Приложение Б. Примеры конструктивных элементов измерений. Тут представлен пример мер измерений со всеми атрибутами в связке с некоторыми контролями 27001/27002 (перечень приведу ниже). Как я уже говорил, сама схема представления слишком сложна и, на мой взгляд не удобна, хотя она и может послужить неким источником вдохновения (я для себя нашел пару интересных идей). Однако, обратите внимание, что Это лишь часть контролей, которые необходимо оценивать. Я лично рекомендую все же ориентироваться на процессы и области СУИБ ( например на такую структуру ), разрабатывая для каждого из них свои необходимы метрики, KPI и критерии.
    Перечень измерений (примеры из стандарта):
    • В.1 Обучение, связанное с СУИБ
    • В.2 Политика паролей
    • В.3 Процесс проверки СУИБ
    • В.4 Непрерывное улучшение СУИБ (включая эффективность управления инцидентами ИБ)
    • В.5 Обязательство руководства
    • В.6 Защита от вредоносных программ
    • В.7 Меры и средства контроля и управления физ.доступом
    • В.8 Анализ журналов регистрации
    • В.9 Менеджмент периодического технического обслуживания
    • В.10 Вопросы безопасности в соглашениях со сторонними организациями
  14. Приложение ДА. Сведения о соответствии стандартов.Бесполезное приложение
  15. Библиография. В этом приложении есть ссылки на другие интересные стандарты по оценке, например NIST SP 800-55

Итого, считаю, что данный стандарт слишком перегружен общими фразами и рекомендациями, хотя сама модель рабочая, но ее представление слишком наукоемкое, хотя вполне можно понять и, что самое главное, применять ее без использования специализированных терминов и явно излишних логических структур. Без знания и использования данного стандарта при построении СУИБ можно вполне обойтись если просто задействовать здравый смысл при проработке ISO 27001 (я говорю про процесс мониторинга и анализа СУИБ). Из "лучших практик" лучше брать ITIL и COBIT, там есть примеры метрик и KPI по определенным процессам, которые можно адаптировать и под процессы СУИБ по ISO 27001.


P.S. Майндкарта по стандарту (и pdf ):


P.S.S. ГОСТ 27004 использует термин СМИБ, а т.к. я предпочитаю СУИБ то везде по тексту так и написано. И вообще меня раздражает, когда в наших ГОСТах используют термин "менеджмент" вместо "управления", так глядишь и термин "гаверненс" появится :)))
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Andrey Prozorov

Информационная безопасность в России и мире