Международные стандарты в сфере безопасности сетей (по дисциплине «Информационная безопасность и защита информации»)
Содержание:
Что такое стандарт информационной безопасности?
Вообще говоря, стандарт, будь то стандарт подотчетности, технический стандарт или стандарт информационной безопасности, представляет собой набор требований, которые должен выполнить продукт или система. Предположение о соответствии продукта или системы определенному стандарту свидетельствует о том, что они удовлетворяют всем требованиям стандарта. В настоящее время существует несколько основных стандартов, регулирующих информационную безопасность. Первый из них-это стандарты серии ISO/IEC 27000. Это самый узнаваемый стандарт, поскольку он носит всемирно престижное название международной организации по стандартизации и Международной электротехнической комиссии. Она была инициирована Британским институтом стандартов в 1995 году через BS7799 (Information Security Management System), а позже была принята ИСО (International Organization for Standardization) и выпущена под названием ISO/IEC 27000 series (ISMS Family of Standards) и ISO/IEC 17799:2005 “Information Technology – Code of practice for information security management”. Во-вторых, существует группа стандартов NIST SP800, опубликованная Национальным институтом стандартов и технологий (NIST) из США. Еще одним стандартом информационной безопасности является стандарт надлежащей практики информационной безопасности форума по информационной безопасности. Этот документ также включает описание стандартов COBIT и BSI серии 100. Из-за нехватки места другие международные стандарты безопасности, такие как ITIL, не могли быть представлены.
Зачем нужен стандарт информационной безопасности?
Использование стандартов является общепризнанным и дает возможность сравнить систему персональной безопасности с заданной системой отсчета, принятой на международном уровне. Хорошим примером является набор стандартов ИСО 9000, касающихся системы менеджмента качества, который является общим справочником независимо от отрасли, в которой работает определенная компания. Стандарты обеспечивают желательные характеристики продуктов и услуг, такие как качество, безопасность, надежность, эффективность и взаимозаменяемость - и по экономичной цене. Нам нужны стандарты информационной безопасности для того, чтобы внедрить средства контроля информационной безопасности в соответствии с требованиями организации, а также набор средств контроля деловых отношений с другими организациями, и наиболее эффективным способом сделать это является наличие общего стандарта наилучшей практики управления информационной безопасностью, такого как ISO/IEC 17799:2005. Затем организации могут воспользоваться общей передовой практикой на международном уровне и доказать защиту своих бизнес-процессов и деятельности для удовлетворения потребностей бизнеса. Любой человек, ответственный за разработку или внедрение систем информационной безопасности, знает, что иногда бывает трудно продемонстрировать эффективность своих решений как руководителям своей организации, так и ее клиентам. Лица, принимающие решения, должны знать, что бюджеты, которые они назначают, направлены на стоящие цели, в то время как клиенты требуют чувства уверенности, которое приходит с осознанием того, что их конфиденциальные данные и конфиденциальные детали находятся в надежных руках. Именно здесь становится существенной роль стандартов информационной безопасности. Подобно стандартам контроля качества для других отраслей промышленности, таких как обслуживание клиентов, стандарты информационной безопасности методично и сертифицированно демонстрируют, что организация соответствует лучшим отраслевым практикам и процедурам.
Международная организация по стандартизации (Organization internationale de normalization), известная как ИСО, является международным органом по установлению стандартов, состоящим из представителей различных национальных организаций по стандартизации. Основанная 23 февраля 1947 года, организация распространяет во всем мире собственные промышленные и коммерческие стандарты. Штаб-квартира ИСО находится в Женеве, Швейцария ИСО определяется как неправительственная организация, но ее способность устанавливать стандарты, которые часто становятся законом, либо через договоры, либо через национальные стандарты, делает ее более могущественной, чем большинство неправительственных организаций. Международные стандарты ИСО публикуются в соответствии со следующим форматом: ISO[/IEC][/ASTM] [IS] nnnnn[:yyyy] Title, где nnnnn-номер стандарта, yyyy-год публикации, а Title описывает предмет. МЭК расшифровывается как Международная электротехническая комиссия и включается в стандарт, если он является результатом работы Совместного технического комитета ИСО/МЭК JTC1 (The ISO/IEC Joint Technical Committee). Для стандартов, разработанных в сотрудничестве С ASTM International, используется ASTM. ИСО насчитывает 157 национальных членов из 195 стран мира. ИСО имеет три категории членства: органы-члены-это национальные органы, которые считаются наиболее представительными органами по стандартизации в каждой стране. Это единственные члены ИСО, которые имеют право голоса. Членами-корреспондентами являются страны, не имеющие собственной организации по стандартизации. Эти члены информируются о работе ИСО, но не участвуют в распространении стандартов. Подписчиками являются страны с небольшой экономикой. Они платят сниженные членские взносы, но могут следить за развитием стандартов. Серия ISO/IEC 27000 (также известная как "семейство стандартов ISMS" или сокращенно "ISO27k") включает стандарты информационной безопасности, опубликованные совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Серия содержит рекомендации по управлению информационной безопасностью, управлению рисками и внедрению средств контроля в контексте общей системы управления информационной безопасностью (ИСБ). Системы менеджмента качества (серия ИСО 9000) и охраны окружающей среды (серия ИСО 14000) также аналогичны по конструкции стандартам серии ИСО/МЭК 27000. Эта серия применима к организациям всех форм и размеров, охватывая не только вопросы конфиденциальности, конфиденциальности и ИТ-или технической безопасности. Первый из стандартов серии 27000 (27001) был опубликован в 2005 году. Однако, предшественник TS-ISO/IEC 17799 - восходит к 2000 году, когда рост интернета вызвал быстрое повышение осведомленности о важности безопасности в ИТ-индустрии. В настоящее время существует четыре опубликованных стандарта серии: 27001, 27002, 27005 и 27006. Еще десять находятся на различных стадиях призыва.
27001 устанавливает шаги, необходимые для сертификации систем управления информационной безопасностью организации (ISMS). Стандарт определяет семь ключевых элементов при создании сертифицированной СМИБ. Они заключаются в создании, внедрении, эксплуатации, мониторинге, анализе, обслуживании и совершенствовании системы. В качестве стандарта управления он не столько предписывает использование конкретных элементов управления, сколько определяет процессы управления, необходимые для определения элементов управления, подходящих для организации. Он предназначен для использования наряду с ISO/IEC 27002 (ранее ISO/IEC 17799), кодексом практики управления информационной безопасностью, в котором перечислены цели контроля безопасности и рекомендован ряд конкретных мер контроля безопасности. Организации, внедряющие СМИБ в соответствии с ISO/IEC 27002, скорее всего, одновременно будут соответствовать требованиям ISO/IEC 27001, но сертификация является полностью необязательной.
ISO/IEC 27002 - это стандарт информационной безопасности, опубликованный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) как ISO/IEC 17799:2005 и впоследствии перенумерованный ISO/IEC 27002:2005 в июле 2007 года, приведя его в соответствие с другими стандартами серии ISO/IEC 27000. Она называется "Информационные технологии - методы обеспечения безопасности - Кодекс практики управления информационной безопасностью". Настоящий стандарт представляет собой пересмотр версии, впервые опубликованной ИСО/МЭК в 2000 году, которая была дословной копией британского стандарта (BS) 7799-1:1999. Целью стандарта 27002 является изложение структурированного набора буквально из сотен элементов управления информационной безопасностью, использование которых поможет достичь соответствия стандарту 27001. Однако этот перечень не является обязательным: организации могут свободно применять меры контроля, не указанные в конкретном перечне, при условии, что они эффективны и соответствуют требованиям, изложенным в 27001 году. ISO/IEC 27002 содержит рекомендации по наилучшей практике управления информационной безопасностью для использования теми, кто отвечает за инициирование, внедрение или поддержание систем управления информационной безопасностью (ISMS). Информационная безопасность определяется в рамках стандарта в контексте триады C-I-A: сохранение конфиденциальности (обеспечение того, чтобы информация была доступна только тем, кто имеет право на доступ), целостность (обеспечение точности и полноты информации и методов обработки) и доступность (обеспечение того, чтобы авторизованные пользователи имели доступ к информации и связанным с ней активам, когда это требуется). ISO/IEC 27002 содержит рекомендации и средства контроля безопасности в следующих областях управления информационной безопасностью:
политика безопасности;
организация информационной безопасности;
управления активами;
обеспеченность трудовыми ресурсами;
физической и экологической безопасности;
сообщений и операции управления;
Контроль доступа;
Приобретение информационных систем;
разработка и техническое обслуживание;
управление инцидентами информационной безопасности;
управление непрерывностью бизнеса;
ISO/IEC 27005:2008 содержит руководящие принципы управления рисками информационной безопасности. Он поддерживает общие концепции, указанные в стандарте ISO/IEC 27001, и предназначен для содействия внедрению информационной безопасности на основе подхода управления рисками. Знание концепций и терминологии, описанных в стандартах ISO/IEC 27001 и ISO/IEC 27002, очень важно для полного понимания стандарта ISO/IEC 27005:2008. ISO/IEC 27005:2008 применим ко всем типам организаций (например, коммерческим предприятиям, государственным учреждениям, некоммерческим организациям), которые намерены управлять рисками, которые могут поставить под угрозу информационную безопасность организации.
27006 описывает процессы сертификации и регистрации, которым должны следовать сертифицирующие органы. Его главная цель-руководство аккредитованными органами по сертификации официальными процессами сертификации или регистрации систем управления информационной безопасностью других организаций. Сфера применения стандарта ISO/IEC 27006 заключается в том, чтобы “определить общие требования, которым должен соответствовать сторонний орган, осуществляющий сертификацию/регистрацию ИСМ, если он должен быть признан компетентным и надежным в области сертификации / регистрации исм.” Следующие стандарты разрабатываются компанией ISO/IEC JTC1:
ISO/IEC 27000 - введение и обзор для семейства стандартов ISMS, а также глоссарий общих терминов
ISO/IEC 27003 - руководство по внедрению ISMS
ISO/IEC 27004 - стандарт для измерений управления информационной безопасностью
ISO/IEC 27007 - руководство по аудиту СМИБ (с акцентом на систему менеджмента)
ISO/IEC 27008 - руководство по аудиту управления информационной безопасностью (с акцентом на контроль безопасности)
ISO/IEC 27011 - руководство по внедрению ISMS для телекоммуникационной отрасли (также известное как X. 1051)
ISO/IEC 27031 - спецификация готовности ИКТ к непрерывности бизнеса
ISO/IEC 27032 - руководство по кибербезопасности (по сути, "быть хорошим соседом" в Интернете)
ISO/IEC 27033 - IT network security, многосоставный стандарт, в настоящее время известный как ISO/IEC 18028:2006 ISO/IEC 27034-руководство по безопасности приложений
Основанная в 1901 году, NIST является нерегулируемым Федеральным агентством в рамках министерства торговли США. Миссия NIST заключается в продвижении инноваций и промышленной конкурентоспособности США путем развития измерительной науки, стандартов и технологий таким образом, чтобы повысить экономическую безопасность и улучшить качество жизни. Общий бюджет NIST составляет 931,5 млн. долл.США, в нем занято около 2900 ученых, инженеров, техников, вспомогательного и административного персонала. 2 лаборатории NIST обеспечивают измерения и стандарты для США. отрасль:
здания и пожарные исследования
химической науки и технологии
электроники и электротехники
информационных технологий
машиностроения
материаловедения и инженерии
наноразмерной науки и технологии
нейтронных исследований
физики
технического обслуживания
Основана в 1990 году в статье специальные публикации NIST 800 группа документов является старейшим из всех стандарты информационной безопасности. Он состоит из более чем ста документов, охватывающих практически все аспекты информационной безопасности. Наиболее представительным среди всех этих документов является справочник по компьютерной безопасности SP800-12, который дает хорошее представление о подходе NIST.
Основной документ серии, SP800-12, представляет собой руководство, в котором подробно рассматриваются основные принципы информационной безопасности. В нем кратко излагается подход NIST к этой теме, определяя следующие восемь основных руководящих элементов:
1. Компьютерная безопасность должна поддерживать миссию организации
2. Компьютерная безопасность является центральным элементом управления звуком
3. Компьютерная безопасность должна быть экономически эффективной
4. Обязанности и подотчетность в области компьютерной безопасности должны быть четко определены
5. Владельцы систем несут ответственность за безопасность вне своих собственных организаций
6. Компьютерная безопасность требует комплексного и комплексного подхода
7. Компьютерная безопасность должна периодически пересматриваться
В этом документе, наряду с остальной частью серии, подробно излагаются конкретные стратегии, процедуры и средства контроля, с помощью которых вопросы безопасности могут быть решены в соответствии с этими принципами. Они охватывают такие области, как руководство по безопасности электронной почты (SP800-45), создание информационно-технологической программы повышения осведомленности и обучения безопасности (SP800-50), руководство по электронной аутентификации (SP800-63) и руководство по безопасным веб-сервисам (SP800-95). Разъясняя важные концепции, стоимостные соображения и взаимосвязи средств контроля безопасности, руководство оказывает помощь в обеспечении безопасности компьютерных ресурсов (включая аппаратное обеспечение, программное обеспечение и информацию). Хотя NIST сама по себе не предоставляет программу сертификации, она обеспечивает поддержку целого ряда инициатив в области осведомленности, обучения и образования.
Bundesamt für Sicherheit in der Informationstechnik (сокращенно BSI - на английском языке: Федеральное управление информационной безопасности) - это немецкое правительственное учреждение, отвечающее за управление компьютерной и коммуникационной безопасностью для правительства Германии. Его сфера компетенции и ответственности включает в себя безопасность компьютерных приложений, защиту критической инфраструктуры, Интернет-безопасность, криптографию, противодействие прослушиванию, сертификацию продуктов безопасности и аккредитацию испытательных лабораторий безопасности. Она расположена в Бонне и насчитывает более 400 сотрудников. Предшественником BSI был криптографический отдел Агентства внешней разведки Германии (BND). BSI по-прежнему разрабатывает криптографические алгоритмы, такие как шифр Libelle. Стандарты BSI содержат рекомендации по методам, процессам, процедурам и подходам, связанным с информационной безопасностью. Для достижения этой цели стандарты BSI содержат принципиально важные области информационной безопасности в отношении государственных органов и компаний, для которых были разработаны соответствующие практические подходы. Стандарт BSI 100-1 является первым стандартом серии BSI IT-Grundschutz и определяет общие требования к внедрению ИСМ. Он полностью совместим со стандартом ISO 27001, а также учитывает рекомендации в рамках стандартов ISO 13335 и 27002. BSI-Standard 100-2, также известный как методология IT-Grundschutz, представляет собой пошаговое описание того, как управление ИТ-безопасностью может быть настроено и эксплуатироваться на практике. Методология IT-Grundschutz содержит подробное описание того, как выбрать соответствующие меры ИТ-безопасности, как разработать практическую концепцию ИТ-безопасности и как реализовать концепцию ИТ-безопасности. IT-Grundschutz интерпретирует общие требования стандартов ISO 27001, 27002 и 13335 и предоставляет множество Примечаний, справочных знаний и примеров, чтобы помочь пользователям реализовать их на практике. Каталоги IT-Grundschutz не только объясняют, что должно быть сделано, они также предоставляют очень конкретную информацию о том, как может выглядеть реализация. BSI-Standard 100-3: третий стандарт из серии BSI посвящен основанному на нем методу анализа рисков-Grundschutz. Этот подход может быть использован, когда организации уже успешно работают с руководством IT-Grundschutz и хотели бы добавить дополнительный анализ рисков к анализу IT - Grundschutz.
Форум по информационной безопасности (ISF)-это международная независимая некоммерческая организация, занимающаяся бенчмаркингом и передовой практикой в области информационной безопасности. Он был создан в 1989 году как Европейский форум безопасности, но расширил свою миссию и членство в 1990-х годах, так что теперь он включает в себя сотни членов, включая большое количество компаний из списка Fortune 500, из Северной Америки, Азии и других мест по всему миру. Группы членов организованы в виде отделений по всей Европе, Африке, Азии, Ближнему Востоку и Северной Америке. Штаб-квартира ISF находится в Лондоне, Англия, но также имеет штат, базирующийся в Нью-Йорке. Членство в ISF является международным и включает в себя крупные организации в области транспорта, финансовых услуг, химической/фармацевтической промышленности, производства, государственного управления, розничной торговли, средств массовой информации, телекоммуникаций, энергетики, транспорта, профессиональных услуг и других секторов. Стандарт надлежащей практики (SoGP) был впервые выпущен в 1996 году форумом по информационной безопасности (ISF) и представляет собой подробную документацию о передовой практике в области информационной безопасности. Стандарт публикуется и пересматривается раз в два года. Стандарт надлежащей практики, который находится в свободном доступе, вытекает из стандартов ISO/IEC 27002 и COBIT v4.1. и описывает функциональную методологию информационной безопасности, основанную как на исследованиях, так и на реальном мировом опыте. Стандарт сосредоточен вокруг следующих шести ключевых аспектов:
1. Компьютерные установки. Этот аспект ориентирован главным образом на ИТ-специалистов и касается аппаратного и программного обеспечения, которое поддерживает критически важные бизнес-приложения.
2. критические бизнес-приложения. Это приложения, от которых зависит деятельность организации. Этот аспект в первую очередь ориентирован на владельцев ЦБА, лиц, ответственных за бизнес-процессы и системных интеграторов.
3. Управление безопасностью. Аспект управления безопасностью ориентирован на лиц, принимающих решения в области безопасности, и аудиторов. Он обрабатывает принятие решений на уровне управления в отношении реализации безопасности в рамках всей организации.
4. Сети образуют особую категорию из-за их уникальных уязвимостей в системе безопасности. Его целью обычно является сетевые менеджеры, специалисты по сетевому обслуживанию и поставщики сетевых услуг. Сетевой аспект затрагивает природу и реализацию сетевых требований организации.
5. Разработка систем. Этот аспект адресован разработчикам систем и связан с определением, проектированием и реализацией системных требований.
6. Среда конечного пользователя. Среда конечного пользователя-это точка, в которой люди используют системы и приложения организации для поддержки бизнес-процессов. Поэтому этот аспект, как правило, ориентирован на бизнес-менеджеров и отдельных лиц, работающих в таких средах конечных пользователей.
Компьютерные установки и сети обращаются к базовой ИТ - инфраструктуре, на которой выполняются критически важные бизнес-приложения. Среда конечного пользователя охватывает механизмы, связанные с защитой корпоративных приложений и рабочих станций на конечной точке, используемой отдельными лицами. Разработка систем связана с тем, как создаются новые приложения и системы, а управление безопасностью - с управлением и контролем на высоком уровне. Сам стандарт состоит из изложения принципов и целей, дополненных обширной документацией, охватывающей рекомендации по осуществлению. Чтобы поддерживать валюту в быстро меняющемся мире информационной безопасности, стандарт пересматривается и обновляется раз в два года. В дополнение к стандарту надлежащей практики ISF также осуществляет надзор за двухгодичной программой бенчмаркинга, известной как обзор состояния информационной безопасности. Участвующие организации изучаются на предмет эффективности систем безопасности, и результаты сравниваются друг с другом.
ISACA (Information Systems Audit and Control Association) была основана в США в 1967 году группой лиц, занимающихся вопросами аудиторского контроля в компьютерных системах, когда они осознали необходимость разработки стандарта в этой области. В 1969 году Стюарт Тирнауэр основал организацию под названием EDP Auditors Association. В 1976 году ассоциация развивалась как образовательный фонд с целью расширения знаний и ценности в области управления ИТ и контроля. Сегодня в состав ISACA входят более 75 000 членов по всему миру. Члены клуба живут и работают в более чем 160 странах и занимают различные профессиональные должности, связанные с ИТ. Цели контроля для информационных и смежных технологий (COBIT) - это набор передовых практик (фреймворк) для управления информационными технологиями, созданный Ассоциацией аудита и контроля информационных систем (ISACA) и Институтом управления ИТ (ITGI). COBIT был впервые выпущен в 1996 году. Его миссия состоит в том, чтобы “исследовать, разрабатывать, публиковать и продвигать авторитетный, современный, международный набор общепринятых целей контроля информационных технологий для повседневного использования бизнес-менеджерами и аудиторами.” COBIT помогает менеджерам, аудиторам и другим пользователям понять свои ИТ-системы и решить, какой уровень безопасности и контроля необходим для защиты активов их компаний посредством разработки модели управления ИТ. COBIT-это система управления ИТ, которая позволяет менеджерам заполнить пробел между требованиями контроля, техническими вопросами и бизнес-рисками. Последнее обновление COBIT 4.1 помогает организациям повысить ценность, получаемую от ИТ, подчеркивает связи между бизнес-целями и ИТ-целями и упрощает внедрение фреймворка COBIT. COBIT 4.1 является точной настройкой фреймворка COBIT и может быть использован для улучшения уже выполненной работы на основе более ранних версий COBIT. COBIT 4.1 имеет 34 высокоуровневых процесса, которые охватывают 210 целей контроля, классифицированных в четырех областях: планирование и организация, приобретение и внедрение, поставка и поддержка, а также мониторинг и оценка:
1. Планирование и организация. Домен планирования и организации описывает, как он может это сделать. быть использованным для достижения целей и задач компании.
2. приобретайте и внедряйте. Эта область охватывает такие виды деятельности, как определение требований к ИТ, приобретение технологии и внедрение ее в рамках текущих бизнес-процессов компании.
3. Доставка и поддержка. Она охватывает такие области, как выполнение приложений в ИТ-системе и ее результаты, а также процессы, обеспечивающие эффективное выполнение этих ИТ-систем.
4. контролируйте и оценивайте.
Эта область имеет дело со стратегией оценки потребностей компании и устанавливает, соответствует ли текущая ИТ-система целям, для которых она была разработана.
5. COBIT и ISO/IEC 27002 не конкурируют друг с другом, а фактически дополняют друг друга. COBIT обычно охватывает более широкую область, чем ISO/IEC 27002.
Выводы
Стандарты информационной безопасности необходимы для того, чтобы внедрить средства контроля информационной безопасности в соответствии с требованиями организации, а также набор средств контроля деловых отношений с другими организациями. Самый эффективный способ сделать это - иметь общий стандарт наилучшая практика управления информационной безопасностью, такая как стандарты, описанные выше. Внедряя один из этих стандартов, организации могут извлечь выгоду из общей передовой практики на международном уровне и могут доказать защиту своих бизнес-процессов и деятельности в целях удовлетворения потребностей бизнеса. Единственная проблема заключается в том, чтобы выбрать, какой из стандартов подходит для организации, исходя из характера и сферы деятельности. Хотя существует ряд стандартов информационной безопасности, организация может извлечь выгоду только в том случае, если эти стандарты будут внедрены должным образом. Безопасность-это то, в чем должны участвовать все стороны. Высшее руководство, специалисты по информационной безопасности, ИТ-специалисты и пользователи-все они должны играть определенную роль в обеспечении безопасности активов организации. Успех информационной безопасности может быть достигнут только при полном сотрудничестве на всех уровнях организации, как внутри, так и снаружи.
- Источники формирования оборотных средств (сложная категория экономической науки)
- СТРУКТУРА ПЕДАГОГИЧЕСКОГО ОБЩЕНИЯ
- Профессиональные способности педагога
- Самоконтроль и самооценивание ученика
- Самовоспитание подростков и юношей
- Стратегия интериоризации — стратегия формирования новых знаний и способностей
- BPM-системы – основной вектор развития
- Создание коллажей с помощью графического редактора Adobe Photoshop (Теоретическая часть)
- Теория Государственного бюджета
- Социальные сети, движение и защита контента
- Социальные сети, движение и защита контента.
- Функции государственного кредита