Мэк 20000 адаптация международного стандарта iso 20000 под российский рынок

ГОСТ Р ИСО/МЭК 27005: Описание

ГОСТ Р ИСО/МЭК 27005 Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства является стандартом, который посвящен управлению рисками информационной безопасности. Этот стандарт был принят в России с декабря 2011 года и является частью международной серии стандартов ISO/IEC 27001.

Процесс обновления стандарта

ФСТЭК опубликовал проект новой версии стандарта ГОСТ Р ИСО/МЭК 27005 на своем сайте для общественного обсуждения. Ответственный секретарь ТК 362 (Защита информации) разослал участникам комитета просьбу подготовить отзыв на новую версию стандарта и представить свои замечания до 20 октября.

Нововведения

Новая версия стандарта основана на обновленном международном стандарте ISO/IEC 27005:2022. Этот перевод был выполнен Национальным исследовательским университетом МИЭТ, включая руководителя разработки и ответственного разработчика.

Заключение

Обновление стандартов по управлению рисками информационной безопасности, таких как ГОСТ Р ИСО/МЭК 27005, является важным шагом для обеспечения эффективной защиты информации и обеспечения кибербезопасности. Участие участников комитета в обсуждении проекта новой версии стандарта позволит учесть различные точки зрения и повысить качество стандарта.

## Пояснительная записка

В пояснительной записке к проекту стандарта ГОСТ Р ИСО/МЭК 27005 сказано, что по сравнению с предыдущей версией, процесс управления риском осуществляется в 5 этапов вместо 6 (пересмотрен подход к принятию риска), добавлены 2 новых пункта в части документирования управления риском, всем действиям по управлению риском сопоставлены триггеры, при выполнении которых эти действия должны быть осуществлены, 6 приложений в предыдущей версии стандарта заменены 1 комплексным в новой, также была изменена структура пунктов в соответствии со структурой ISO/IEC 27001, адаптирована терминология с учетом ISO 31000:2018.


## ISO/IEC 27001

ISO/IEC 27001 - это международный стандарт по управлению информационной безопасностью, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Он устанавливает требования к системе управления информационной безопасностью, предназначенной для защиты конфиденциальности, целостности и доступности информации организации. Стандарт был впервые опубликован в 2005 году и пересмотрен впоследствии. 


### Получение сертификата ИСО/МЭК 27001

#### Основные этапы
- Разработка системы менеджмента информационной безопасности
- Подготовка необходимого пакета документов
- Прохождение сертификационного аудита
- Получение сертификата соответствия

#### Необходимые документы

**Политики и цели в области ИБ**
- Политика информационной безопасности
- Цели в области ИБ
- Обоснование исключений из области сертификации

**Оценка рисков ИБ**
- Методика оценки рисков ИБ
- Результаты оценки рисков
- План обработки рисков

**Документация СМИБ**
- Положение о СМИБ
- Распределение ответственности в СМИБ
- Описание процессов СМИБ
- Регламенты, инструкции, положения по ИБ

**Записи СМИБ**
- Отчеты о внутренних аудитах СМИБ
- Записи об инцидентах ИБ
- Протоколы анализа СМИБ со стороны руководства

**Персонал и инфраструктура**
- Описание организационной структуры
- Политика управления персоналом в части ИБ
- Регламент технического обеспечения ИБ

### Особенности в разных странах

Требования к пакету документов для оформления сертификата ИСО/МЭК 27001 могут различаться в зависимости от страны.

В России обычно запрашивают документы, перечисленные в разделе Необходимые документы.

В европейских странах уделяют больше внимания оценке рисков, методике и планам их обработки.

В США тщательно анализируют организационную структуру и политики управления персоналом в контексте обеспечения ИБ.

При первичной сертификации обязательно предоставление полного комплекта документации СМИБ. При повторных аудитах по возможности акцент делается на изменениях с предыдущего периода.

![ISO 27001](https://tda-systems.ru/wp-content/webp-express/webp-images/doc-root/wp-content/uploads/2023/03/sport-run-gym-banner-3.png.webp)  

#### **ISO 27001 (ГОСТ Р ИСО/МЭК 27001)**

ISO/IEC 27001 – это международный стандарт по информационной безопасности (ИБ). Он включает в себя требования в сфере информационной безопасности, направленные на успешное создание, внедрение и функционирование Системы менеджмента информационной безопасности (СМИБ).

В России этот стандарт представлен в виде ГОСТ Р ИСО/МЭК 27001. Его можно применить к любой компании, вне зависимости от ее вида деятельности, количества персонала и географического положения.

Цели стандарта ISO 27001:

• унифицировать требования по обеспечению информационной безопасности предприятий;
• обеспечить корректную коммуникацию между топ-менеджментом и персоналом;
• повысить эффективность мер, направленных на обеспечение и поддержание цифровой безопасности компаний.

Требования ISO 27001:

Система МЭК 27001 предъявляет ряд требований ко всем этапам внедрения системы ГОСТ Р ИСО/МЭК 27001 на предприятии: разработка документации, введение в работу, поддержка и постоянное улучшение системы ИБ в рамках компании. Стандарт ГОСТ Р ИСО/МЭК 27001 также определяет требования для корректной оценки опасностей системы ИБ, применимых к конкретной компании.

Следует отметить, что все требования системы обязательны к исполнению, но в том случае, если в организации невозможно применить какой-то из них – эти направления можно исключить.

Основные функции системы ИБ:

• защита внутренних систем компании от нелегального доступа – как от сотрудников предприятия, так и от попыток взлома извне;
• проведение авторизации и аутентификации;
• обеспечение безопасности систем передачи данных, а также актуальности документов – это необходимо при обмене данными с партнерами;
• введение эффективной системы электронного документооборота;
• отслеживание и управление опасностями и рисками, угрожающими системе ИБ;
• обеспечение непрерывности бизнес-процессов;
• внутренние и внешние проверки системы ИБ.

Внедрение системы ГОСТ Р ИСО/МЭК 27001:

Преимущества внедрения системы и сертификата ISO 27001:

• возрастает уровень лояльности партнеров и клиентов за счет демонстрации уровня ИБ – каждая из сторон в таком случае уверена в конфиденциальности касающейся их информации;
• компания функционирует более стабильно, а стоимость ее нематериальных активов значительно возрастает, что повышает ценность организации;
• появляются эффективные меры по защите от угроз кибер-безопасности, что в дальнейшем снижает, а то и вовсе предотвращает ущерб от инцидентов ИБ;
• операционные траты компании снижаются, а также исключаются случаи “перекрещивания” финансирования между службами компании в рамках одной системы.

Организация продукции на международном рынке

Организация получает возможность выйти со своим продуктом на международный рынок, а также укрепить свою репутацию и на внутреннем рынке, что расширит возможности для участия в больших государственных контрактах.

Услуги по системам ISO 27001

Компания ООО “ТДА Системс” оказывает услуги по различным направлениям, касающихся систем ISO 27001.

Изменения в стандарте ISO/IEC 14065:2020

С 1 сентября 2023 года вступают в силу изменения в приказ Минэкономразвития №707, предусматривающие требования по соответствию органов по валидации и верификации (ОВВ) новому национальному стандарту ГОСТ Р ИСО/МЭК 17029-2022.

Резолюцией Генеральной ассамблеи Международного форума по аккредитации (IAF) №2019-19 установлен трехлетний период перехода на стандарт ISO/IEC 14065:2020.

План перехода участников национальной системы аккредитации

Росаккредитация разработала и утвердила план перехода участников национальной системы аккредитации на применение национальных стандартов, идентичных международным.

План предусматривает ряд мероприятий для всех участников аккредитации, включая Службу и ФАУ НИА, экспертов по аккредитации и аккредитованных лиц.

Новый стандарт ГОСТ Р ИСО/МЭК 17029-2022

Новый стандарт содержит общие принципы и требования к компетентности, согласованности и беспристрастности органов, занимающихся оценкой соответствия в области валидации и верификации.

Оценка соответствия ОВВ данным стандартам будет осуществляться с 1 сентября 2023 года в ходе предоставления госуслуг.

Модель качества программного обеспечения согласно ISO 9126

Стандарт ISO/IEC 9126 был выпущен 19 декабря 1991 года и расширен 15 июня 2001 года в систему из четырех взаимосвязанных стандартов:

• ISO/IEC 9126-1:2001. Part 1: Quality model;
• ISO/IEC TR 9126-2:2003. Part 2: External metrics;
• ISO/IEC TR 9126-3:2003. Part 3: Internal metrics;
• ISO/IEC TR 9126-4:2004. Part 4: Quality in use metrics.

Функциональность — «Набор атрибутов, которые влияют на существование набора функций и их заданных свойств. Функции — это характеристики ПО, которые удовлетворяют заявленные или подразумеваемые потребности».

• Пригодность

• Точность

• Интероперабельность

• Безопасность

• Соответствие функциональности.

Надёжность — «Набор атрибутов, которые влияют на способность программного обеспечения поддерживать свой уровень производительности при указанных условиях в течение указанного периода времени».

• Зрелость

• Отказоустойчивость

• Восстанавливаемость

• Соответствие надежности.

Юзабилити — «Набор атрибутов, которые влияют на усилия, необходимые для использования, и на индивидуальную оценку такого использования заявленным или подразумеваемым набором пользователей».

• Понятность

• Обучаемость

• Работоспособность

• Привлекательность

• Соответствие юзабилити.

Эффективность — «Набор атрибутов, которые влияют на взаимосвязь между уровнем производительности программного обеспечения и количеством используемых ресурсов при указанных условиях».

• Поведение во времени

• Утилизация ресурсов

• Соответствие эффективности.

Ремонтопригодность — «Набор атрибутов, влияющих на усилия, необходимые для внесения определённых изменений».

• Анализируемость

• Изменчивость

• Стабильность

• Тестируемость

• Соответствие ремонтопригодности.

• Адаптивность

• Возможность установки

• Сосуществование

• Заменяемость

• Соответствие переносимости.

Каждая субхарактеристика качества (например, адаптивность) далее делится на атрибуты. Атрибут — это свойство, которое можно проверить или измерить в программном продукте. Атрибуты не определены в стандарте, поскольку они различаются для разных программных продуктов.

Программный продукт определяется в широком смысле: он включает в себя исполняемые файлы, исходный код, описания архитектуры и так далее. В результате понятие пользователя распространяется на операторов, а также на программистов, которые являются пользователями таких компонентов, как библиотеки программного обеспечения.

Стандарт предоставляет организациям основу для определения модели качества программного продукта. Однако при этом каждая организация оставляет за собой задачу точно определить свою собственную модель. Это может быть сделано, например, путем определения целевых значений для показателей качества, которые оценивают степень присутствия атрибутов качества.

• Определение требований к качеству в терминах характеристик и атрибутов качества

• Подготовка к оцениванию, включающая 3 этапа:

  • Выбор используемых метрик качества

  • Определение уровней ранжирования для каждой метрики

  • Определение критерия оценки

• Оценивание, включающее в себя 3 этапа:

  • Измерение значений выбранных метрик для получения значения количественного признака.

  • Ранжирование измеренных значений.

  • Получение обобщенной (интегральной) оценки качества.

ГОСТ Р ИСО/МЭК 20000Адаптация международного стандарта ISO 20000 под российский рынок

Сертификат ГОСТ Р ИСО/МЭК 20000-2010 является адаптацией международного стандарта ISO 20000 под российский рынок. Содержит в себе перечень требований, предъявляемый к менеджменту IT сервисов, и направлен на улучшение и развитие данного типа менеджмента.

Выгоды от внедрения и сертификации

• Оптимизация системы управления IT компанией или IT департамента;

• Улучшение результативности и повышение надежности работы IT сервисов;

• Увеличивает привлекательность компании для инвесторов;

• Существенный рост капитализации;

• Создание положительного имиджа организации, обеспечение лояльности клиентов и партнеров;/

• Сокращение шанса конфликтности с другими системами менеджмента;

• Рост возможностей по выходу на мировой рынок.

Сертификат ISO/IEC 20000-1 в России пока не получил широкого распространения, но, с учетом давления со стороны зарубежных IT сервисов и компаний, прохождение сертификации по этому стандарту будет отличным решением, как для моментального усиления, так и на перспективу, для всех компаний, плотно работающих с информационными технологиями./p>

Наиболее распространенными объектами сертификации в России являются компании, которые оказывают IT услуги (техподдержка, гарантийное обслуживание, улучшение информационно-вычислительных комплексов), а также крупные организации, имеющие внутренние IT подразделения, в которых информационные технологии влияют на протекание бизнес-процессов.

Если Вам необходим данный вид сертификации обратитесь в в сертификационный центр «SMK STANDART» .