Стандарты информационной безопасности
Стандарты ИБ
Необходимость сохранять и транслировать данные, обеспечивать их актуальность и целостность возникает в процессе деятельности любой компании независимо от области ее работы. Методы защиты конфиденциальных сведений определяются выбранным способом их хранения. Для упорядочения и систематизации этого направления были разработаны стандарты информационной безопасности. Они играют роль мерила качества предоставляемых услуг.
Стандарты – это обязательные или желательные для выполнения документы, в которых определяются правила и критерии, применяемые при определении уровня информационной безопасности (ИБ) и требования к надежным информационным системам.
Какие задачи выполняют российские и зарубежные стандарты?
Обеспечение ИБ нуждается в проверке и контроле, для которых недостаточно использования методов индивидуальной оценки. Для систематизации имеющегося опыта и нормативной базы используются стандарты. На них возложен следующий функционал:
· разработка совокупности терминов и понятий, используемой в конкретной области;
· определение параметров и шкал, на основе которых определяется уровень ИБ;
· оценка продуктов и услуг, обеспечивающих ИБ;
· обеспечение технологической и информационной совместимости этих продуктов;
· сбор информации о передовых практиках в области ИБ и ее предоставление заинтересованным группам пользователей (разработчикам, IT-руководителям, системным администраторам, экспертам);
|
|
|
· придание отдельным нормам юридической силы и обеспечение их обязательного исполнения.
Стандарты информационной безопасности необходимы для всех субъектов, вовлеченных в процесс хранения, систематизации и транслирования данных. С их помощью потребители могут более продуманно выбирать информационные продукты, формулировать список требований к ним, имеют возможность выстроить качественную систему ИБ. Эксперты и разработчики получают четкие ориентиры при производстве программных продуктов, подтверждают их полезность и ценность.
Объектом стандартизации может выступать разработка или какой-либо сервис в сфере ИБ: система менеджмента, методика оценки, технические новации и т.д.
В зависимости от участников процесса стандартизации он может быть международным (реализуется специализированными организациями – ISO и консорциумами), региональным или национальным (в свою очередь делится на государственный и отраслевой).
Развитие стандартизации за рубежом
Процесс стандартизации ИБ за рубежом развивается уже несколько десятков лет. Многие страны, в частности, Великобритания, приобрели в этом направлении обширный опыт. Многие наработки экспертов этой страны вышли за государственные границы и приобрели статус международных.
|
|
|
Сегодня международные стандарты информационной безопасности включают три основных и наиболее используемых документа. К их числу относится:
ИСО 27000. Это наиболее распространенный стандарт, состоящий из 15 положений и их последовательной нумерации. Он включает само определение безопасности информации, список терминов, используемых в работе, с подробной расшифровкой. В нем дается описание требований к системе управления ИБ, выстроенной на предприятии, методик и инструментов ее создания. Документ включает рекомендации при проведении аудита системы менеджмента безопасности и ссылки на возможности ее развития и совершенствования.
ИСО 27001. Это подробный сборник критериев, используемых при сертификации системы управления ИБ на предприятии, итог которой – выдача коммерческой структуре сертификата соответствия. Требования, изложенные в документе, сформулированы в контексте существующих бизнес-рисков, они актуальны для компаний разных форм собственности и разных сфер деятельности.
|
|
|
Стандарт ISO 27001 гармонизирован с популярными стандартами – ИСО 9001, ISO 14001 и т.д. Он аналогичен им по списку требований и тоже базируется на процессном подходе. В нем выделяются три ключевых критерия эффективной системы управления ИБ – конфиденциальность, целостность и доступность информации.
ИСО 27002. Это свод правил, регламентирующих процесс построения эффективной системы управления информационной безопасностью в компании. Они затрагивают все основные направления ее функционирования: формирование политики ИБ, безопасность, связанная с коммуникациями и работой наемных сотрудников, соответствие требованиям нормативно-правовых актов, проработка инцидентов, управление доступами и т.д.
ИСО 27002 один из стандартов новой и активно развивающейся серии, которая находится в процессе формирования. Готовятся к выпуску ИСО 27003, 27004 и другие. Ожидается, что всего выйдет в свет около 30 документов.
Отечественные стандарты ИБ
Российские стандарты ИБ – это совокупность документации и нормативно-правовых актов, включающих около 30 положений (ГОСТ). Они устанавливают общие методики оценки систем менеджмента, содержат специфические рекомендации, актуальные для определенных отраслей, дают практическое руководство к повышению ИБ.
|
|
|
Сегодня в РФ действуют следующие стандарты ГОСТ:
· стандарты серии 15408 – методы и средства обеспечения безопасности, требования к ее поддержанию, критерии оценки;
· 50739-95 —ИБ компьютерной техники;
· 50922, 51188 – защита информации;
· 7498 – информационные технологии и т.д.
Российские и зарубежные стандарты связаны между собой. ГОСТ РФ дополняет и конкретизирует документы ISO, но не содержит противоречий им. Это определено положениями ФЗ №184.
Дата добавления: 2018-06-27; просмотров: 760; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!