ISO 27035
ISO 27035 — это международный стандарт, разработанный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC), который устанавливает руководящие принципы и процессы управления инцидентами информационной безопасности. Стандарт входит в семейство стандартов ISO/IEC 27000, посвящённых системам менеджмента информационной безопасности (СМИБ). Основная цель ISO 27035 — предоставить организациям структурированный подход к обнаружению, реагированию, анализу и предотвращению инцидентов, связанных с нарушением конфиденциальности, целостности или доступности информации.
История разработки
Первая версия стандарта, ISO/IEC 27035:2011, была опубликована в 2011 году и заменила собой более ранние национальные и отраслевые руководства (например, британский стандарт BS 7799-3). В 2016 году вышла вторая редакция — ISO/IEC 27035:2016, которая была разделена на две части. В 2023 году стандарт был пересмотрен и опубликован в виде трёх частей, что отражает эволюцию угроз (например, рост кибервымогательства) и необходимость интеграции с другими стандартами, такими как ISO 22301 (управление непрерывностью бизнеса).
Структура стандарта
ISO 27035 состоит из трёх частей, каждая из которых охватывает отдельный аспект управления инцидентами:
ISO/IEC 27035-1:2023 — Принципы и процессы
Эта часть определяет общие принципы и жизненный цикл управления инцидентами. Включает:
- Планирование и подготовка: создание политики управления инцидентами, формирование группы реагирования (CSIRT), определение каналов связи.
- Обнаружение и сообщение: классификация событий, регистрация инцидентов, уведомление заинтересованных сторон.
- Оценка и принятие решений: анализ серьёзности инцидента, определение приоритетов, запуск процедур реагирования.
- Реагирование: сдерживание, устранение последствий, восстановление нормальной работы.
- Извлечение уроков: пост-инцидентный анализ, документирование выводов, обновление политик.
ISO/IEC 27035-2:2023 — Руководство по реагированию
Эта часть содержит практические рекомендации для команд реагирования. Описывает:
- Типовые сценарии инцидентов (вредоносное ПО, атаки типа «отказ в обслуживании», утечки данных).
- Методы сбора и сохранения цифровых доказательств (криминалистика).
- Процедуры эскалации и взаимодействия с правоохранительными органами.
ISO/IEC 27035-3:2023 — Руководство по анализу и извлечению уроков
Третья часть фокусируется на анализе первопричин инцидентов и совершенствовании СМИБ. Включает:
- Методики расследования (например, анализ временных шкал, корреляция событий).
- Оценку эффективности реагирования (KPI, такие как время обнаружения и время восстановления).
- Внедрение корректирующих и предупреждающих действий.
Ключевые понятия
Стандарт вводит и разграничивает несколько терминов:
- Событие информационной безопасности — любое изменение в работе системы, которое может указывать на нарушение политики безопасности (например, сбой входа в систему).
- Инцидент информационной безопасности — одно или несколько событий, которые с высокой вероятностью нарушают безопасность и требуют вмешательства (например, успешная атака хакеров).
- Группа реагирования на инциденты (CSIRT, Computer Security Incident Response Team) — специализированное подразделение, координирующее действия при инцидентах.
Применение
ISO 27035 используется организациями любого размера и отраслевой принадлежности, включая государственные учреждения, финансовые компании, телекоммуникационных операторов и промышленные предприятия. Внедрение стандарта позволяет:
- Снизить ущерб от инцидентов за счёт быстрого реагирования.
- Улучшить координацию между IT-отделами, юридической службой и руководством.
- Соблюдать требования регуляторов (например, Федерального закона РФ «О персональных данных» № 152-ФЗ, который обязывает операторов уведомлять Роскомнадзор об утечках данных).
- Повысить доверие клиентов и партнёров.
Связь с другими стандартами
ISO 27035 интегрируется с другими стандартами семейства ISO 27000:
- ISO/IEC 27001 — определяет требования к СМИБ; ISO 27035 является практическим руководством по выполнению раздела «Управление инцидентами» из Приложения A.
- ISO/IEC 27002 — содержит общие рекомендации по контролю безопасности; ISO 27035 детализирует реагирование.
- ISO 22301 — стандарт по управлению непрерывностью бизнеса; ISO 27035 помогает минимизировать простои после инцидентов.
Критика и ограничения
Стандарт не лишён недостатков:
- Общий характер: ISO 27035 не учитывает специфику отдельных отраслей (например, медицинских или авиационных систем), что требует дополнительных отраслевых руководств.
- Сложность внедрения: для малых организаций полное выполнение требований (создание CSIRT, документирование всех процессов) может быть избыточным и дорогостоящим.
- Отсутствие обязательности: в отличие от ISO 27001, сертификация по ISO 27035 не проводится, что снижает мотивацию к точному следованию стандарту.
Примеры использования
- Финансовый сектор: банки применяют ISO 27035 для реагирования на атаки на системы дистанционного банковского обслуживания. В 2023 году Центральный банк РФ рекомендовал кредитным организациям использовать стандарт при построении процессов реагирования на кибератаки.
- Государственные органы: в России стандарт используется при разработке регламентов для Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
- Промышленность: предприятия критической информационной инфраструктуры (КИИ) внедряют ISO 27035 для выполнения требований Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ».
Интересные факты
- В 2022 году, после массовых утечек данных в России (например, утечка данных клиентов «Яндекс.Еда» и «СберМаркет»), интерес к ISO 27035 среди российских компаний резко вырос.
- Стандарт рекомендует проводить учения по реагированию на инциденты (tabletop exercises) не реже одного раза в год, что позволяет проверить готовность персонала.
- В 2023 году в третью часть стандарта (ISO 27035-3) были добавлены требования к использованию искусственного интеллекта для автоматизации анализа инцидентов.
Источники
- ISO/IEC 27035-1:2023 «Information technology — Information security incident management — Part 1: Principles and processes».
- ISO/IEC 27035-2:2023 «Information technology — Information security incident management — Part 2: Guidelines to plan and prepare for incident response».
- ISO/IEC 27035-3:2023 «Information technology — Information security incident management — Part 3: Guidelines for incident response operations».
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (РФ).
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Методические рекомендации Центрального банка РФ по управлению инцидентами информационной безопасности (2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →