Не вступил в силу

ГОСТ Р 59503-2021/ISO/IEC TR 27016:2014



НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Менеджмент информационной безопасности. Экономика информационной безопасности организации

Information technology. Security techniques. Information security management. Organizational economics



ОКС 35.040

Дата введения 2021-11-30



Предисловие

     

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 386-ст

4 Настоящий стандарт идентичен международному документу ISO/IEC TR 27016:2014* "Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации" (ISO/IEC TR 27016:2014 "Information technology - Security techniques - Information security management - Organizational economics", IDT).     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ISO/IEC TR 27016 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.

Дополнительные сноски в тексте стандарта, выделенные курсивом, приведены для пояснения текста оригинала

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


В настоящем стандарте содержатся рекомендации по экономическому обеспечению информационной безопасности (ИБ) в виде процесса принятия решений, касающихся производства, распространения и потребления товаров и услуг, имеющих ограничения. Для принятия мер по защите информационных активов организации требуются ресурсы, которые в ином случае могли бы быть выделены на другие цели, не относящиеся к ИБ. Настоящий стандарт предназначен преимущественно для исполнительного руководства, выполняющего решения административного органа по стратегии и политике, например генеральных директоров (СЕО), глав правительственных организаций, финансовых директоров (CFO), главных операционных директоров (СОО), директоров по информационным технологиям (С10), директоров по ИБ (CISO) и прочих лиц, выполняющих схожие обязанности.

________________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

Менеджмент ИБ часто рассматривается как комплекс мер в области информационных технологий с использованием технических средств управления (например, шифрования, межсетевых экранов, инструментов нейтрализации вторжений и вредоносного кода). Однако никакие меры по обеспечению ИБ не будут эффективны без использования широкого спектра других средств управления (т.е. физических средств управления, средств управления персоналом, политик, правил и т.п.). Для реализации всего этого спектра средств управления в рамках менеджмента ИБ необходимы решения о выделении достаточных ресурсов. В этом техническом отчете излагаются сведения, необходимые для решения задач ИБ в соответствии с комплексом стандартов ИСО/МЭК 27000. Подход заключается во внедрении экономической модели как ключевого элемента процесса принятия решений.

Наряду с методикой менеджмента рисков (см. ИСО/МЭК 27005) и возможностью измерения параметров ИБ (см. ИСО/МЭК 27004), экономические факторы следует рассматривать в контексте менеджмента ИБ в процессе планирования, развертывания, обслуживания и улучшения системы безопасности информационных активов организации. В частности, эффективное расходование средств на информационную безопасность невозможно без экономического обоснования.

Как правило, экономические преимущества менеджмента ИБ полностью или частично заключаются в следующем:

a) сведение к минимуму любого отрицательного воздействия на коммерческие задачи организации;

b) ограничение любых финансовых потерь приемлемым уровнем;

c) отсутствие необходимости в выделении дополнительных средств на покрытие рисков или непредвиденных расходов.

Менеджмент ИБ также может обеспечить преимущества, не связанные напрямую с материальными вопросами. Такие нематериальные преимущества немаловажны, но обычно остаются вне рамок финансово-экономического анализа. Преимущества подобного характера должны получить количественную оценку и стать частью экономического анализа. Примерами преимуществ являются:

a) возможность для организации участвовать в проектах, сопряженных с повышенным риском;

b) возможность для организации обеспечивать соблюдение законодательных и нормативных требований;

c) возможность для организации соответствовать ожиданиям потребителей;

d) возможность для организации соответствовать ожиданиям сообществ;

e) повышение репутации и доверия к организации;

f) гарантии полноты и точности финансовой отчетности.

Все более острой проблемой организаций становятся отрицательные финансовые и нефинансовые воздействия, являющиеся результатом ее неспособности обеспечить надежную защиту своих информационных активов. Среди прочих ценных аспектов менеджмента ИБ можно указать выявление прямой зависимости между затратами на средства управления, призванные предотвратить потери, и достигаемой благодаря этому экономией.

Ужесточение конкуренции вынуждает организации сосредоточиться на экономической подоплеке рисков.

Настоящий стандарт представляет собой дополнение к комплексу стандартов ИСО/МЭК 27000, обосновывающее экономический подход к защите информационных активов организации в контексте расширенной общественной и социальной среды ее деятельности.

     1 Область применения


Настоящий стандарт содержит рекомендации по принятию организациями решений, связанных с защитой информации, и учету экономических последствий таких решений в контексте неоднозначных требований к ресурсам.

Настоящий стандарт применим к организациям любого типа и масштаба деятельности и включает в себя информацию, необходимую для принятия экономических решений в сфере менеджмента ИБ высшим руководством.

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Общий обзор и терминология)

     3 Термины и определения


В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:

3.1 ожидаемые потери в годовом исчислении; ALE (annualized loss expectancy, ALE): Ожидаемые материальные потери (3.13), связанные с активом, из-за актуальных рисков в течение года.

Примечание - Показатель ALE рассчитывается следующим образом: ALE=SLE·ARO, где SLE - потенциальный ущерб от реализации единичной угрозы, ARO - ожидаемая годовая частота реализации угрозы.

3.2 прямая ценность (direct value): Ценность, определяемая ценностью идентичной замены или замещения в случае повреждения либо потери информационного актива.

Примечание - Этот показатель имеет положительное значение при отсутствии повреждения актива, однако рассматривается как потеря при наступлении соответствующего события.

3.3 экономический фактор (economic factor): Компонент или информация, влияющие на стоимость актива.

3.4 экономическое сравнение (economic comparison): Анализ взаимоисключающих или альтернативных вариантов распределения ресурсов.

3.5 экономическое обоснование (economic justification): Элементы экономической модели, создаваемые для поддержки выделения ресурсов.

3.6 добавленная экономическая ценность (economic value added): Индикатор сравнения чистой операционной прибыли и общей стоимости капитала.

3.7 экономика (economics): Эффективное использование ограниченных ресурсов.

3.8 ожидаемый убыток (expected value): Потеря стоимости на предприятии, связанная с повреждением или потерей информационного актива.

Примечание - Этот показатель имеет положительное значение при отсутствии повреждения актива, однако рассматривается как потеря при наступлении соответствующего события.

3.9 расширенный убыток (extented value): Ожидаемый убыток, помноженный на количество раз его возникновения.

3.10 косвенный убыток (indirect value): Потеря стоимости, связанная с затратами на замену или восстановление информационного(ых) актива(ов) в случае его (их) повреждения или потери.

Примечание - Этот показатель имеет положительное значение при отсутствии повреждения актива, однако рассматривается как отрицательный при наступлении соответствующего события.

3.11 экономическая модель информационной безопасности (information security economics): Эффективное использование ограниченных ресурсов для управления информационной безопасностью.

3.12 менеджмент информационной безопасности; ISM (information security management, ISM): Управление аспектами сохранения конфиденциальности, целостности и доступности информации.

3.13 потеря (loss): Уменьшение ценности актива.

Примечание - В контексте экономической модели информационной безопасности (3.11) потери выражаются положительными значениями. В настоящем стандарте понятие стоимости всегда имеет отрицательное значение при отсутствии указания на обратное.

3.14 рыночная стоимость (market value): Наивысшая цена, которую готов уплатить подготовленный, готовый к покупке и дееспособный покупатель и наименьшая цена, приемлемая для продавца.

3.15 чистая стоимость (net present value): Сумма показателей текущей стоимости (3.16) отдельных денежных потоков одного предприятия.

3.16 текущая стоимость (present value): Оцениваемая в данный момент сумма денежных средств или их потоков с учетом указанного коэффициента окупаемости.

3.17 неэкономическое преимущество (non economic benefit): Преимущество, за которое не производится оплата.

3.18 стоимость возможности (opportunity cost): Расчетная будущая стоимость определенного(ых) мероприятия(й) по обеспечению ИБ.

3.19 ценность возможности (opportunity value): Расчетная будущая выгода от определенного(ых) мероприятия(й) по обеспечению ИБ.

3.20 нормативные требования (regulatory requirements): Обязательные требования к ресурсам, связанные с определенным рынком.

3.21 коэффициент окупаемости инвестиций (return on investment): Уровень доходности (или убыточности) с учетом суммы вложенных в экономическую единицу средств за определенный период.

3.22 общественнозначимые ценности (societal value): Общепринятое представление о плохом и хорошем.

3.23 ценность (value): Относительная стоимость актива по сравнению с другими объектами или определенным абсолютным значением.

Примечание - Этот показатель может быть положительным или отрицательным в контексте экономической модели информационной безопасности (3.11). В настоящем стандарте понятие ценности всегда имеет положительное значение при отсутствии указания на обратное.

3.24 ценность под угрозой; VAR (value-at-risk, VAR): Максимальная сумма потерь (3.13) в наихудшем случае в течение данного периода времени и с заданной вероятностью.

Примечание - Период времени может составлять, например, один год, а заданную вероятность также называют степенью уверенности.

     4 Обозначения и сокращения


BVM - модель базовой стоимости;

CIA - конфиденциальность, целостность, доступность;

Доступ к полной версии документа ограничен
Этот документ доступен в системах «Техэксперт» и «Кодекс».