Прочие телекоммуникационные системы.
· Стандартное программное обеспечение.
· Базы данных.
· Описания основных компонентов организации режима информационной безопасности:
- организационный и технический уровни защиты данных;
- планирование действий в чрезвычайных ситуациях;
- поддержка непрерывности бизнеса.
· Характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны).
· Характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и сервера под управлением операционных систем семейства DOS , Windows и UNIX ).
· Характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare , сети UNIX и Windows ).
· Характеристика активного и пассивного телекоммуникационного
оборудования ведущих компаний, например Cisco Systems.
· Подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
Все виды угроз в стандарте BSI разделены на следующие классы:
· Форс-мажорные обстоятельства.
· Недостатки организационных мер.
· Ошибки человека.
· Технические неисправности.
· Преднамеренные действия.
Аналогично классифицированы контрмеры:
· Улучшение инфраструктуры;
· Административные контрмеры;
· Процедурные контрмеры;
· Программно-технические контрмеры;
· Уменьшение уязвимости коммуникаций; планирование действий в чрезвычайных ситуациях.
|
|
Все компоненты рассматриваются и описываются по следующему плану:
1) общее описание;
2) возможные сценарии угроз безопасности (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);
3) возможные контрмеры (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);
3. Британский стандарт BS 7799
Один из первых международных стандартов управления информационной безопасностью — британский стандарт ВS 7799 — уже давно вышел за национальные рамки. Первая его часть, ВS 7799-1 «Практические правила управления информационной безопасностью» - была разработана в 1995 г. по заказу правительства Великобритании Британским институтом стандартов (British Standards Institution ( BSI ) при участии коммерческих организаций, таких как Shell , National Westminster Bank , Midland Bank , Unilever , British Telecommunications , Marks & Spencer , Logica и др.
Как следует из названий, этот документ является практическим руководством по управлению информационной безопасностью в организации независимо от профиля её практической деятельности. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения системы управления ИБ, определенных на основе лучших примеров из мировой практики.
|
|
В соответствии с этим стандартом любая служба безопасности, IT –отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных.
В 1998 году появилась вторая часть этого британского стандарта — ВS7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению», определившая общую модель построения системы управления ИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части ВS 7799, определившей, что должна из себя представлять система управления ИБ, началось активное развитие системы сертификации в области управления безопасностью. В 1999 году обе части ВS7799 были пересмотрены и гармонизированы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя. технический комитет ISO без изменений принял ВS 7799-1 в качестве международного стандарта ISO/IЕС 17799:2000.
Вторая часть ВS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISО в качестве международного стандарта ISO/IЕС 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». В это же время была обновлена и первая часть стандарта. С выходом ISO 27001 спецификации системы управления ИБ приобрели международный статус, и теперь следует ожидать значительного повышения роли и престижности системы управления ИБ, сертифицированных по стандарту ISO 27001.
|
|
Семейство международных стандартов управления безопасностью 2700х продолжает активно развиваться. В соответствии с планами ISO оно будет включать:
- стандарты, определяющие требования к системе управления ИБ;
- систему управления рисками;
- метрики и измерения эффективности механизмов контроля;
- руководство по внедрению. Для этого семейства стандартов будет использоваться последовательная схема нумерации, начиная с 27000 и далее. ISO/IЕС 17799:2005 в последующем будет переименован в ISO/IЕС 27002.
В начале 2006 г. был принят новый британский национальный стандарт в области управления рисками информационной безопасности ВS 7799-3, который в дальнейшем получил индекс 27005.
В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также Швеция, Нидерланды, Россия.
|
|
Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран.
Он состоит из двух частей.
"Часть 1: Практические рекомендации" (1995г.)
Определяются и рассматриваются следующие аспекты ИБ:
· Политика безопасности.
· Организация защиты.
· Классификация и управление информационными ресурсами.
· Управление персоналом.
· Физическая безопасность.
· Администрирование компьютерных систем и сетей.
· Управление доступом к системам.
· Разработка и сопровождение систем.
· Планирование бесперебойной работы организации.
· Проверка системы на соответствие требованиям ИБ.
"Часть 2: Спецификации системы" (1998г)
Аспекты, перечисленные в “Части 1” рассматриваются в этой части с точки зрения сертификации информационной системы на соответствие требованиям стандарта.
Здесь определятся возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки
зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.
Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов – British Standards Institution ( BSI ) http :// www . bsi - global . com/, изданные в период 1995-2003г.г. в виде следующей серии:
· Введение в проблему управления информационной безопасности – Information security managment : an introduction .
· Возможности сертификации на требования стандарта BS 7799 - Preparing for BS 7799 sertification .
· Руководство BS 7799 по оценке и управлению рисками -Guide to BS 7799 risk assessment and risk management.
· Готовы ли вы к аудиту на требования стандарта BS 7799- Are you ready for a BS 7799 audit ?
· Руководство для проведения аудита на требования стандарта -BS 7799 Guide to BS 7799 auditing .
· Практические рекомендации по управлению безопасностью информационных технологий -Code of practice for IT management .
Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO / IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution ( BSI ) – ( www . bsi - global . com ), и в частности служба UKAS ( United Kingdom Accredited Service ). Названная служба производит аккредитацию организаций на право аудита информационной безопасности в соответствии со стандартом BS ISO / IEC 7799:2000 ( BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах. Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO / IEC 7799:2000 ( BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или ISO /9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO / IEC 7799:2000 ( BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.
4. Международный стандарт ISО/IЕС 15408 "Критерии оценки безопасности информационных технологий" «Общие критерии»
Следуя по пути интеграции, в июне 1993 года Международная организация по стандартизации (ИСО) начала создавать международные
стандарты по критериям оценки безопасности информационных технологий для общего использования, названные "Со mmon С riteria ” (СС)", которая насчитывает более сотни различных документов IS О 15408. Самым полным среди оценочных стандартов, - является стандарт
"Критерий оценки безопасности информационных технологий" (издан 1 декабря 1999 года).
Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран и вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. По историческим причинам данный стандарт часто называют "Общими критериями" (или даже ОК).
Дата добавления: 2018-10-26; просмотров: 306; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!