Не важно, что произошло. То, что вы будете делать после этого, определяет результат. © Катрин Кульман 1023 - | 797 - или читать все...
Обратная связь Пожаловаться на материал

Прочие телекоммуникационные системы.


⇐ ПредыдущаяСтр 10 из 13Следующая ⇒

· Стандартное программное обеспечение.

· Базы данных.

· Описания основных компонентов организации режима информационной безопасности:

                - организационный и технический уровни защиты данных;

                - планирование действий в чрезвычайных ситуациях;

                - поддержка непрерывности бизнеса.

· Характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны).

· Характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и сервера под управлением операционных систем семейства DOS , Windows и UNIX ).

· Характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare , сети UNIX и Windows ).

· Характеристика активного и пассивного телекоммуникационного

оборудования ведущих компаний, например Cisco Systems.

· Подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).

Все виды угроз в стандарте BSI разделены на следующие классы:

· Форс-мажорные обстоятельства.

· Недостатки организационных мер.

· Ошибки человека.

· Технические неисправности.

· Преднамеренные действия.

 

Аналогично классифицированы контрмеры:

· Улучшение инфраструктуры;

· Административные контрмеры;

· Процедурные контрмеры;

· Программно-технические контрмеры;

· Уменьшение уязвимости коммуникаций; планирование действий в чрезвычайных ситуациях.

Все компоненты рассматриваются и описываются по следующему плану:

1) общее описание;

2) возможные сценарии угроз безопасности (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);

3) возможные контрмеры (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);

3. Британский стандарт BS 7799

 

Один из первых международных стандартов управления информационной безопасностью — британский стандарт ВS 7799 — уже давно вышел за национальные рамки. Первая его часть, ВS 7799-1 «Практические правила управления информационной безопасностью» - была разработана в 1995 г. по заказу правительства Великобритании Британским институтом стандартов (British Standards Institution ( BSI )  при участии коммерческих организаций, таких как Shell , National Westminster Bank , Midland Bank , Unilever , British Telecommunications , Marks & Spencer , Logica и др.

Как следует из названий, этот документ является практическим руководством по управлению информационной безопасностью в организации независимо от профиля её практической деятельности. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения системы управления ИБ, определенных на основе лучших примеров из мировой практики.

В соответствии с этим стандартом любая служба безопасности, IT –отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных.

 В 1998 году появилась вторая часть этого британского стандарта — ВS7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению», определившая общую модель построения системы управления ИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части ВS 7799, определившей, что должна из себя представлять система управления ИБ, началось активное развитие системы сертификации в области управления безопасностью. В 1999 году обе части ВS7799 были пересмотрены и гармонизированы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя. технический комитет ISO без изменений принял ВS 7799-1 в качестве международного стандарта ISO/IЕС 17799:2000.

Вторая часть ВS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISО в качестве международного стандарта ISO/IЕС 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». В это же время была обновлена и первая часть стандарта. С выходом ISO 27001 спецификации системы управления ИБ приобрели международный статус, и теперь следует ожидать значительного повышения роли и престижности системы управления ИБ, сертифицированных по стандарту ISO 27001.

Семейство международных стандартов управления безопасностью 2700х продолжает активно развиваться. В соответствии с планами ISO оно будет включать:

- стандарты, определяющие требования к системе управления ИБ;

- систему управления рисками;

- метрики и измерения эффективности механизмов контроля;

- руководство по внедрению.                                                                                                Для этого семейства стандартов будет использоваться последовательная схема нумерации, начиная с 27000 и далее. ISO/IЕС 17799:2005 в последующем будет переименован в ISO/IЕС 27002.

В начале 2006 г. был принят новый британский национальный стандарт в области управления рисками информационной безопасности ВS 7799-3, который в дальнейшем получил индекс 27005.

 В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также Швеция, Нидерланды, Россия.

Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран.

Он состоит из двух частей.

"Часть 1: Практические рекомендации" (1995г.)

 

Определяются и рассматриваются следующие аспекты ИБ:

· Политика безопасности.

· Организация защиты.

· Классификация и управление информационными ресурсами.

· Управление персоналом.

· Физическая безопасность.

· Администрирование компьютерных систем и сетей.

· Управление доступом к системам.

· Разработка и сопровождение систем.

· Планирование бесперебойной работы организации.

· Проверка системы на соответствие требованиям ИБ.

"Часть 2: Спецификации системы" (1998г)

 

Аспекты, перечисленные в “Части 1” рассматриваются в этой части с точки зрения сертификации информационной системы на соответствие требованиям стандарта.

Здесь определятся возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки

зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов – British Standards Institution ( BSI ) http :// www . bsi - global . com/, изданные в период 1995-2003г.г. в виде следующей серии:

· Введение в проблему управления информационной безопасности – Information security managment : an introduction .

· Возможности сертификации на требования стандарта BS 7799 - Preparing for BS 7799 sertification .

· Руководство BS 7799 по оценке и управлению рисками -Guide to BS 7799 risk assessment and risk management.

· Готовы ли вы к аудиту на требования стандарта BS 7799- Are you ready for a BS 7799 audit ?

· Руководство для проведения аудита на требования стандарта -BS 7799 Guide to BS 7799 auditing .

· Практические рекомендации по управлению безопасностью информационных технологий -Code of practice for IT management .

Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO / IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution ( BSI ) – ( www . bsi - global . com ), и в частности служба UKAS ( United Kingdom Accredited Service ). Названная служба производит аккредитацию организаций на право аудита информационной безопасности в соответствии со стандартом BS ISO / IEC 7799:2000 ( BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах. Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO / IEC 7799:2000 ( BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или ISO /9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO / IEC 7799:2000 ( BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.

 

4. Международный стандарт ISО/IЕС 15408 "Критерии оценки безопасности информационных технологий" «Общие критерии»

Следуя по пути интеграции, в июне 1993 года Международная организация по стандартизации (ИСО) начала создавать международные

стандарты по критериям оценки безопасности информационных технологий для общего использования, названные "Со mmon С riteria ” (СС)", которая насчитывает более сотни различных документов IS О 15408.   Самым полным среди оценочных стандартов,  - является стандарт

"Критерий оценки безопасности информационных технологий" (издан 1 декабря 1999 года).

Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран и вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. По историческим причинам данный стандарт часто называют "Общими критериями" (или даже ОК).

Дата добавления: 2018-10-26; просмотров: 306; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая45678910111213Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.019)