Открыть сервис

ISO 27035

ISO 27035 — это международный стандарт, разработанный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC), который устанавливает руководящие принципы и процессы управления инцидентами информационной безопасности. Стандарт входит в семейство стандартов ISO/IEC 27000, посвящённых системам менеджмента информационной безопасности (СМИБ). Основная цель ISO 27035 — предоставить организациям структурированный подход к обнаружению, реагированию, анализу и предотвращению инцидентов, связанных с нарушением конфиденциальности, целостности или доступности информации.

История разработки

Первая версия стандарта, ISO/IEC 27035:2011, была опубликована в 2011 году и заменила собой более ранние национальные и отраслевые руководства (например, британский стандарт BS 7799-3). В 2016 году вышла вторая редакция — ISO/IEC 27035:2016, которая была разделена на две части. В 2023 году стандарт был пересмотрен и опубликован в виде трёх частей, что отражает эволюцию угроз (например, рост кибервымогательства) и необходимость интеграции с другими стандартами, такими как ISO 22301 (управление непрерывностью бизнеса).

Структура стандарта

ISO 27035 состоит из трёх частей, каждая из которых охватывает отдельный аспект управления инцидентами:

ISO/IEC 27035-1:2023 — Принципы и процессы

Эта часть определяет общие принципы и жизненный цикл управления инцидентами. Включает:

  • Планирование и подготовка: создание политики управления инцидентами, формирование группы реагирования (CSIRT), определение каналов связи.
  • Обнаружение и сообщение: классификация событий, регистрация инцидентов, уведомление заинтересованных сторон.
  • Оценка и принятие решений: анализ серьёзности инцидента, определение приоритетов, запуск процедур реагирования.
  • Реагирование: сдерживание, устранение последствий, восстановление нормальной работы.
  • Извлечение уроков: пост-инцидентный анализ, документирование выводов, обновление политик.

ISO/IEC 27035-2:2023 — Руководство по реагированию

Эта часть содержит практические рекомендации для команд реагирования. Описывает:

  • Типовые сценарии инцидентов (вредоносное ПО, атаки типа «отказ в обслуживании», утечки данных).
  • Методы сбора и сохранения цифровых доказательств (криминалистика).
  • Процедуры эскалации и взаимодействия с правоохранительными органами.

ISO/IEC 27035-3:2023 — Руководство по анализу и извлечению уроков

Третья часть фокусируется на анализе первопричин инцидентов и совершенствовании СМИБ. Включает:

  • Методики расследования (например, анализ временных шкал, корреляция событий).
  • Оценку эффективности реагирования (KPI, такие как время обнаружения и время восстановления).
  • Внедрение корректирующих и предупреждающих действий.

Ключевые понятия

Стандарт вводит и разграничивает несколько терминов:

  • Событие информационной безопасности — любое изменение в работе системы, которое может указывать на нарушение политики безопасности (например, сбой входа в систему).
  • Инцидент информационной безопасности — одно или несколько событий, которые с высокой вероятностью нарушают безопасность и требуют вмешательства (например, успешная атака хакеров).
  • Группа реагирования на инциденты (CSIRT, Computer Security Incident Response Team) — специализированное подразделение, координирующее действия при инцидентах.

Применение

ISO 27035 используется организациями любого размера и отраслевой принадлежности, включая государственные учреждения, финансовые компании, телекоммуникационных операторов и промышленные предприятия. Внедрение стандарта позволяет:

  • Снизить ущерб от инцидентов за счёт быстрого реагирования.
  • Улучшить координацию между IT-отделами, юридической службой и руководством.
  • Соблюдать требования регуляторов (например, Федерального закона РФ «О персональных данных» № 152-ФЗ, который обязывает операторов уведомлять Роскомнадзор об утечках данных).
  • Повысить доверие клиентов и партнёров.

Связь с другими стандартами

ISO 27035 интегрируется с другими стандартами семейства ISO 27000:

  • ISO/IEC 27001 — определяет требования к СМИБ; ISO 27035 является практическим руководством по выполнению раздела «Управление инцидентами» из Приложения A.
  • ISO/IEC 27002 — содержит общие рекомендации по контролю безопасности; ISO 27035 детализирует реагирование.
  • ISO 22301 — стандарт по управлению непрерывностью бизнеса; ISO 27035 помогает минимизировать простои после инцидентов.

Критика и ограничения

Стандарт не лишён недостатков:

  • Общий характер: ISO 27035 не учитывает специфику отдельных отраслей (например, медицинских или авиационных систем), что требует дополнительных отраслевых руководств.
  • Сложность внедрения: для малых организаций полное выполнение требований (создание CSIRT, документирование всех процессов) может быть избыточным и дорогостоящим.
  • Отсутствие обязательности: в отличие от ISO 27001, сертификация по ISO 27035 не проводится, что снижает мотивацию к точному следованию стандарту.

Примеры использования

  • Финансовый сектор: банки применяют ISO 27035 для реагирования на атаки на системы дистанционного банковского обслуживания. В 2023 году Центральный банк РФ рекомендовал кредитным организациям использовать стандарт при построении процессов реагирования на кибератаки.
  • Государственные органы: в России стандарт используется при разработке регламентов для Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
  • Промышленность: предприятия критической информационной инфраструктуры (КИИ) внедряют ISO 27035 для выполнения требований Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ».

Интересные факты

  • В 2022 году, после массовых утечек данных в России (например, утечка данных клиентов «Яндекс.Еда» и «СберМаркет»), интерес к ISO 27035 среди российских компаний резко вырос.
  • Стандарт рекомендует проводить учения по реагированию на инциденты (tabletop exercises) не реже одного раза в год, что позволяет проверить готовность персонала.
  • В 2023 году в третью часть стандарта (ISO 27035-3) были добавлены требования к использованию искусственного интеллекта для автоматизации анализа инцидентов.

Источники

  • ISO/IEC 27035-1:2023 «Information technology — Information security incident management — Part 1: Principles and processes».
  • ISO/IEC 27035-2:2023 «Information technology — Information security incident management — Part 2: Guidelines to plan and prepare for incident response».
  • ISO/IEC 27035-3:2023 «Information technology — Information security incident management — Part 3: Guidelines for incident response operations».
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (РФ).
  • Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Методические рекомендации Центрального банка РФ по управлению инцидентами информационной безопасности (2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →