К ВОПРОСУ ОЦЕНКИ СООТВЕТСТВИЯ ЭЛЕКТРОННЫХ СЕРВИСОВ ТРЕБОВАНИЯМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ СТАНДАРТА ISO 27001 В ТАМОЖЕННОМ СОЮЗЕ

Лонцих Павел Абрамович , Лившиц Илья Иосифович

2015 / Номер 11(106) 2015 [ Социально-экономические и общественные науки ]

Кратко рассмотрена проблема оценки соответствия электронных сервисов (ЭС) требованиям информационной безопасности (ИБ) для стран - участников Таможенного союза. Актуальность публикации определена широким диапазоном предлагаемых подходов к обеспечению ИБ и известными сложностями при формировании международного доверия к уровню обеспечения безопасности ЭС. Отмечено, что наряду с известными нормами, установленными различными национальными регуляторами, определенную перспективу с целью формирования объективных и независимых свидетельств доверия к оценке уровня обеспечения безопасности ЭС могут обеспечить международные стандарты ISO серии 27001. Методическая база стандартов ISO серии 27001 оперирует объективной и независимой оценкой множества метрик ИБ для формирования количественной оценки уровня защищенности ЭС. Полученные результаты могут найти применение при обеспечении международного доверия к ЭС за счет объективной и независимой оценки ИБ.

Ключевые слова:

информационная безопасность,система менеджмента информационной безопасности,аудит,стандарты,Таможенный союз,электронные сервисы,information security,information security management system,audit,standards,Customs Union,electronic services

Библиографический список:

1. ГОСТ Р /ISO/TR 18492:2005. Обеспечение долговременной сохранности электронных документов.
2. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию.
3. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
4. ГОСТ Р ИСО 15489-1-2007. Система стандартов по информации, библиотечному и издательскому делу. Управление документами.
5. ГОСТ Р /ISO/TR 15801-2009. Системы электронного документооборота. Управление документацией. Информация, сохраняемая в электронном виде. Рекомендации по обеспечению достоверности и надежности.
6. ГОСТ Р ИСО/МЭК 27005-2010. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
7. ГОСТ Р ИСО/МЭК 27003-2012. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности.
8. ГОСТ Р ИСО/МЭК 20000-1-2013. Информационная технология. Управление услугами. Часть 1. Требования к системе управления услугами.
9. Захаров А.О. Сужение множества Парето на основе зам-кнутой информации об отношении предпочтения ЛПР // Вестник Санкт-Петербургского университета. 2009. Вып. 4. С. 69-82.
10. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов - аэропортовых комплексов // Труды СПИИРАН. 2014. Вып. 6. С. 72- 94.
11. Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. Вып. 1. С. 22-34.
12. Лившиц И.И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и связь. 2013. Вып. 6. С. 62-67.
13. Ногин В.Д. Принятие решений при многих критериях: учеб.-метод. пособие. СПб.: Государственный университет - Высшая школа экономики, 2007. 103 с.
14. Положение о сертификации средств защиты информации по требованиям безопасности информации: утв. приказом пред. Гос. техн. комиссии при Президенте РФ от 27 октября 1995 г. № 199.
15. Положение по аттестации объектов информатизации по требованиям безопасности информации: утв. пред. Гос. техн. комиссии при Президенте РФ 25 ноября 1994 г.
16. Guidelines for auditing management systems: ISO 19011:2011. International Organization for Standardization, 2011. 44 p.
17. Information technology - Security techniques - Information security management - Measurement: ISO/IEC 27004:2009. International Organization for Standardization, 2009. 55 p.
18. Information technology - Service management - P. 1: Service management system requirements: ISO/IEC 20000-1:2011. International Organization for Standardization, 2011. 26 p.
19. Information technology - Security techniques - Information security risk management: ISO/IEC 27005:2011. International Organization for Standardization, 2011. 68 p.
20. Information technology - Security techniques - Information security management systems - Requirements: ISO/IEC 27001:2013. International Organization for Standardization, 2013. 23 p.
21. Information technology - Security techniques - Information security management systems - Overview and vocabulary: ISO/IEC 27000:2014. International Organization for Standardization, 2014. 31 p.
22. ISO/IEC 27003:2010. Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению системы менеджмента информационной безопасности.
23. ISO/IEC 27002:2013. Information technology - Security techniques - Code of practice for information security controls (Информационные технологии. Методы обеспечения безопасности. Свод установленных правил менеджмента информационной безопасности).
24. ItSMF 15/015. Scheme for Bodies Operating the Certification /Registration of IT Service Management Systems (Схема для органов, осуществляющих сертификацию/регистрацию систем менеджмента ИТ-сервисов).
25. Societal security - Business continuity management systems - Requirements: ISO 22301:2012. International Organization for Standardization, 2012. 24 p.

Файлы:

• 39.pdf (скачать | просмотреть) - скачано 36 раз