ISO 27032:2012. Приватность в эру всепроникающей информации

16 июля этого года был опубликован новый стандарт в области кибербезопасности ISO 27032:2012 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности». Кибербезопасность – это безопасность в  киберпространстве. Киберпространство же представляет собой виртуальную среду, в которой циркулируют данные всех компьютеров мира. Понятно, что в современном мире техническую возможность для нее создает сеть интернет. ISO 27032:2012 сконцентрирован на защите информации корпоративных и иных пользователей при посещении интернет-сайтов, оплате счетов и использовании интернет-банкинга.

Некоторые другие подробности об очередном нормативном документе Международной организации по стандартизации (International Organization for Standardization, – ред.) сообщает проект стандарта. Только он пока что находится в открытом доступе. Судя по этому тексту, значительное место создатели норматива уделили понятийному аппарату кибербезопасности. В частности, вводятся термины «вредоносного программного обеспечения», «атаки» и «смешанной атаки» (blended attack, – ред.). Последнее понятие стандарт определяет следующим образом:

Цитата: ‘Смешанной атакой является такая атака, которая преследует цель нанесения объекту максимального вреда с использованием комбинированных методов’

 Разработчики ISO 27032:2012, как об этом свидетельствует проект стандарта, не обошли вопрос cookies – фрагментов данных (текстовая информация, – ред.), которые сохраняют персональные настройки и другую информацию важную для открытия тех или иных страниц и интернет-сайтов. На практике они часто становятся источником угрозы, так как сохраняются на ПК пользователя, без его ведома.

В целом, стандарт ISO 27032 представляет собой свод рекомендаций в сфере информационной безопасности, в том числе мониторинга угроз, а не последовательность необходимых к осуществлению действий в строгой периодичности и с контролируемыми критериями эффективности. В вопросе конкретных методик управления рисками по своей проблематике ISO 27032:2012 ссылается на другие широко известные нормативные документы серии ISO 27000 (серия стандартов – совокупность нормативов посвященных одной и той же тематике, – ред.) – она полностью посвящена вопросам защиты информации и информационной безопасности. Отдельно стоит сказать о подпункте стандарта 12.5.3.2 «Обучение и доведение до сведения персонала». ISO 27032:2012 предлагает уделить в организации «некоторое время» на повышение компетентности персонала в вопросах кибербезопасности. Содержанием этого обучения, согласно проектной версии норматива, должны стать такие вопросы, как фишинг, угрозы из социальных сетей, причины атак и роль сотрудников в борьбе с ними, ряд других аспектов информационной безопасности. Фишинг – это вид электронного мошенничества, при котором добычей хакера становятся пароли и логины объектов атаки.

Стандарт ISO 27032:2012 был разработан Техническим Комитетом ISO/IEC JTC 1 «Информационные технологии», совместно с Подкомитетом SC 27 «Методы обеспечения безопасности IT». Председатель рабочей группы, разработавшей данный стандарт, Йохан Амсенг, недавно прокомментировал актуальность появления ISO 27032:2012…

Цитата: «Устройства и связанные сети, поддерживающие киберпространство, имеют множество владельцев, каждый из которых ведет собственный бизнес и решает вопросы эксплуатации и регулирования. Множество пользователей и провайдеров не только не имеют общих исходных данных, но и рассматривают проблемы обеспечения безопасности под разными углами зрения»

 В настоящий момент на разработке в техническом комитете ISO/IEC JTC 1, созданном совместными усилиями Международной организации по стандартизации и IEC (International Electrotechnical Commission – Международная электротехническая комиссия, – ред.) находится еще один нормативный документ – ISO/IEC DTS 11581-41.2. «Information technology. User interface icons. Part 41: Data structure to be used by the ISO/IEC JTC 1/SC 35 icon database» («Информационные технологии. Иконки пользовательского интерфейса. Часть 41: Программная структура, используемая ISO/IEC JTC 1/SC 35», – ред.).