XVIII Международная студенческая научная конференция Студенческий научный форум - 2026

Международные стандарты ISO/IEC серии 27000 широко применяются в мировой практике как методологическая основа построения систем менеджмента информационной безопасности (СМИБ). Семейство стандартов ISO/IEC 27000 (таблица 1) представляет собой комплексную, взаимосвязанную систему документов, обеспечивающую единый подход к управлению информационной безопасностью (ИБ) [1, 2]. Центральным элементом является ISO/IEC 27001, устанавливающий требования к СМИБ и позволяющий пройти сертификацию. ISO/IEC 27002 предоставляет детальное руководство по реализации контролей, а ISO/IEC 27005 – методологию управления рисками и др. Современная версия стандартов отражает актуальные вызовы в области кибербезопасности, включая концепцию нулевого доверия, облачную безопасность и защиту от сложных атак. Гармонизация национальных стандартов с международными обеспечивает единообразие подходов и признание сертификации на глобальном уровне. Анализ источников [3, 4] показывает, что внедрение стандартов серии ISO/IEC 27000 позволяет организациям не только соответствовать регуляторным требованиям, но и создать устойчивую систему защиты информации, адаптируемую к изменяющимся угрозам и условиям ведения бизнеса. Независимо от масштаба организации, применение принципов и рекомендаций этих стандартов обеспечивает системный подход к управлению ИБ и повышает доверие со стороны клиентов и партнеров.

Таблица 1 – Перечень основных международные стандарты серии ISO/IEC 27000

Национальные стандарты в области ИБ часто представляют собой адаптированные версии международных стандартов ISO/IEC 27000. Например, британский стандарт BS EN ISO/IEC 27000 является национальным внедрением международных стандартов. Аналогично, канадский стандарт CSA ISO/IEC 27005 представляет собой принятый без изменений международный стандарт ISO/IEC 27005.

В России семейство ГОСТ Р ИСО/МЭК 27000 также гармонизировано с международными стандартами (таблица 2), что обеспечивает совместимость подходов к управлению ИБ. В соответствии с подходом стандарта ГОСТ Р ИСО/МЭК 27001‑2021 документы СМИБ включают внешние нормативные источники (законы, стандарты, методические рекомендации) и внутренние локальные акты организации (политика, положения, регламенты, инструкции, записи). Структурирование документированной информации целесообразно осуществлять по уровням управления. На стратегическом уровне формируются документы, определяющие общую политику и цели организации в области ИБ, а также программы развития системы менеджмента. На тактическом уровне разрабатываются стандарты организации, положения и регламенты, описывающие процессы управления ИБ и распределение ответственности между подразделениями. Операционный уровень представлен эксплуатационной документацией на средства защиты информации, инструкциями для пользователей и администраторов, а также записями, подтверждающими выполнение требований.

Таблица 1.2 – Анализ национальных стандартов в области ИБ

Однако на сегодняшний день стандарт ISO/IEC 27035:2023, посвящённый управлению информационными инцидентами и формированию процессов реагирования на них, не имеет прямого национального аналога в РФ. При этом в современных условиях цифровой трансформации и роста масштабов киберугроз управление инцидентами ИБ приобретает статус критически значимого элемента системы обеспечения устойчивости организаций. Международный стандарт ISO/IEC 27035:2023 формирует комплексную нормативно-методическую основу управления инцидентами ИБ, интегрированную в общую архитектуру СМИБ. Внедрение положений данного стандарта в национальную систему стандартизации РФ является обоснованным и необходимым шагом, направленным на устранение выявленного методологического разрыва в области реагирования на инциденты.

С точки зрения нормативного проектирования внедрение ISO/IEC 27035:2023 целесообразно осуществлять путем разработки национального стандарта ГОСТ Р ИСО/МЭК 27035 «Управление инцидентами информационной безопасности», гармонизированного с международным оригиналом по степени эквивалентности, обеспечивающей сохранение структуры, терминологии и логики процессной модели. Такой подход соответствует практике адаптации стандартов серии ISO/IEC 27000 в РФ и обеспечивает преемственность методологических принципов.

Научно-методологической основой предлагаемого стандарта должен выступать процессный подход, ориентированный на управление жизненным циклом инцидента ИБ. В соответствии с положениями ISO/IEC 27035:2023 управление инцидентами рассматривается как совокупность взаимосвязанных процессов, включающих подготовку к реагированию, обнаружение и идентификацию инцидентов, их анализ и оценку воздействия, принятие мер реагирования и локализации, восстановление нарушенных функций, а также проведение постинцидентного анализа с целью предотвращения повторных нарушений. Закрепление данной процессной модели в национальном стандарте позволит обеспечить формализованность и воспроизводимость процессов реагирования. Адаптация ISO/IEC 27035:2023 к условиям РФ должна осуществляться с учетом требований действующего законодательства и нормативных правовых актов в области защиты информации. В национальной редакции стандарта целесообразно предусмотреть положения, регламентирующие взаимодействие организаций с уполномоченными органами государственной власти при инцидентах, затрагивающих персональные данные, объекты критической информационной инфраструктуры и иную информацию ограниченного доступа. При этом терминологический аппарат стандарта должен быть согласован с действующими национальными стандартами, включая ГОСТ Р 50922-2008 и ГОСТ Р 51583-2014, с целью исключения правовой и понятийной неоднозначности. Особое значение в рамках внедрения национального стандарта следует уделить формированию системы показателей результативности управления инцидентами ИБ. К числу таких показателей относятся временные характеристики реагирования, степень минимизации ущерба, полнота восстановления нарушенных процессов, а также эффективность корректирующих и предупреждающих действий. Наличие формализованных метрик позволит обеспечить объективную оценку зрелости процессов реагирования и их соответствие требованиям СМИБ.

Таким образом, разработка и внедрение национального стандарта ГОСТ Р ИСО/МЭК 27035, гармонизированного с ISO/IEC 27035:2023, является целесообразным направлением развития системы стандартизации ИБ в РФ. Реализация предложенной модели внедрения позволит обеспечить нормативную определённость процессов реагирования на инциденты, повысить зрелость и управляемость СМИБ, а также создать условия для системного повышения устойчивости российских организаций к современным информационным и киберугрозам.

Список литературы

1 Шахалов, И.Ю. Основы управления информационной безопасностью современной организации/ И.Ю. Шахалов, А.В. Дорофеев // Правовая информатика. – 2013. – №3. – С. 4-14.

2 Каменев, А.В. Модель системы менеджмента информационной безопасности на предприятии (в организации) / А.В. Каменев, Е.В. Заворитько // Интеллект. Инновации. Инвестиции. – 2013. – №1. – С. 111-114.

3 Гугелев, А.В. Формирование модели оценки результативности системы менеджмента информационной безопасности организаций и предприятий России/ А.В. Гугелев, О.А. Можаев. // Информационная безопасность регионов. – 2016 – №1 (22). – С. 25-30.

4 Дорофеев, А.В. Менеджмент информационной безопасности: управление рисками / А.В. Дорофеев // Вопросы кибербезопасности. – 2014. – №2(3). – С. 66-73.

Работа выполнена под руководством доцента кафедры Метрологии стандартизации и сертификация ФГБОУ ВО «Оренбургский государственный университет» Вольнова Александра Сергеевича.