Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4624 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Государственный университет — учебно-научно-производственный комплекс (бывш. ОрелГТУ)
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
стандарты безопасности.doc
Скачиваний:
218
Добавлен:
28.03.2015
Размер:
775.68 Кб
Скачать
►Содержание►

3.4. Германский стандарт bsi

В 1998 году в Германии вышло "Руководство по защите информационных технологий для базового уровня". Руководство представляет собой гипертекст объемом около 4 МБ (в формате HTML).

В дальнейшем оно было оформлено в виде германского стандарта BSI. В его основе лежит общая методология и компоненты управления информационной безопасностью:

  • Общий метод управления информационной безопасностью (организация менеджмента в области ИБ, методология использования руководства).

  • Описания компонентов современных информационных технологий.

  • Основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях).

  • Инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа).

  • Клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы).

  • Сети различных типов (соединения «точка-точка», сети Novell NetWare, сети с OC ONIX и Windows, разнородные сети).

  • Элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.).

  • Телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы).

  • Стандартное ПО.

  • Базы данных.

  • Описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса).

  • Характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны).

  • Характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и сервера под управлением операционных систем семейства DOS, Windows и UNIX).

  • Характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).

  • Характеристика активного и пассивного телекоммуникационного оборудования ведущих вендоров, например Cisco Systems.

  • Подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).

Все виды угроз в стандарте BSI разделены на следующие классы:

  • Форс-мажорные обстоятельства.

  • Недостатки организационных мер.

  • Ошибки человека.

  • Технические неисправности.

  • Преднамеренные действия.

Аналогично классифицированы контрмеры:

  • Улучшение инфраструктуры;

  • Административные контрмеры;

  • Процедурные контрмеры;

  • Программно-технические контрмеры;

  • Уменьшение уязвимости коммуникаций; планирование действий в чрезвычайных ситуациях.

Все компоненты рассматриваются и описываются по следующему плану:

  1. общее описание;

  2. возможные сценарии угроз безопасности (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);

  3. возможные контрмеры (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);

3.5. Британский стандарт bs 7799

Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. разработал стандарт информационной безопасности, который в 1995 г. был принят в качестве национального стандарта BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании.

В соответствии с этим стандартом любая служба безопасности, IT -отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Поэтому сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO.

Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран. Он состоит из двух частей.

В "Части 1: Практические рекомендации" (1995г.) определяются и рассматриваются следующие аспекты ИБ:

  • Политика безопасности.

  • Организация защиты.

  • Классификация и управление информационными ресурсами.

  • Управление персоналом.

  • Физическая безопасность.

  • Администрирование компьютерных систем и сетей.

  • Управление доступом к системам.

  • Разработка и сопровождение систем.

  • Планирование бесперебойной работы организации.

  • Проверка системы на соответствие требованиям ИБ.

"Часть 2: Спецификации системы" (1998г) рассматривает эти же аспекты с точки зрения сертификации информационной системы на соответствие требованиям стандарта.

Она определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов – British Standards Institution(BSI) http://www.bsi-giobal.com/, изданные в период 1995-2003 в виде следующей серии:

  • Введение в проблему управления информационной безопасности – Information security managment: an introduction.

  • Возможности сертификации на требования стандарта BS 7799 -Preparing for BS 7799 sertification.

  • Руководство BS 7799 по оценке и управлению рисками -Guide to BS 7799 risk assessment and risk management.

  • Готовы ли вы к аудиту на требования стандарта BS 7799-Are you ready for a BS 7799 audit?

  • Руководство для проведения аудита на требования стандарта -BS 7799Guide to BS 7799 auditing.

  • Практические рекомендации по управлению безопасностью информационных технологий -Code of practice for IT management.

Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution(BSI) – (www.bsi-global.com), и в частности служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасностью в соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах.

Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности