Файл: Международные стандарты в сфере безопасности сетей (по дисциплине «Информационная безопасность и защита информации»).pdf
Добавлен: 06.07.2023
Просмотров: 69
Скачиваний: 1
Что такое стандарт информационной безопасности?
Вообще говоря, стандарт, будь то стандарт подотчетности, технический стандарт или стандарт информационной безопасности, представляет собой набор требований, которые должен выполнить продукт или система. Предположение о соответствии продукта или системы определенному стандарту свидетельствует о том, что они удовлетворяют всем требованиям стандарта. В настоящее время существует несколько основных стандартов, регулирующих информационную безопасность. Первый из них-это стандарты серии ISO/IEC 27000. Это самый узнаваемый стандарт, поскольку он носит всемирно престижное название международной организации по стандартизации и Международной электротехнической комиссии. Она была инициирована Британским институтом стандартов в 1995 году через BS7799 (Information Security Management System), а позже была принята ИСО (International Organization for Standardization) и выпущена под названием ISO/IEC 27000 series (ISMS Family of Standards) и ISO/IEC 17799:2005 “Information Technology – Code of practice for information security management”. Во-вторых, существует группа стандартов NIST SP800, опубликованная Национальным институтом стандартов и технологий (NIST) из США. Еще одним стандартом информационной безопасности является стандарт надлежащей практики информационной безопасности форума по информационной безопасности. Этот документ также включает описание стандартов COBIT и BSI серии 100. Из-за нехватки места другие международные стандарты безопасности, такие как ITIL, не могли быть представлены.
Зачем нужен стандарт информационной безопасности?
Использование стандартов является общепризнанным и дает возможность сравнить систему персональной безопасности с заданной системой отсчета, принятой на международном уровне. Хорошим примером является набор стандартов ИСО 9000, касающихся системы менеджмента качества, который является общим справочником независимо от отрасли, в которой работает определенная компания. Стандарты обеспечивают желательные характеристики продуктов и услуг, такие как качество, безопасность, надежность, эффективность и взаимозаменяемость - и по экономичной цене. Нам нужны стандарты информационной безопасности для того, чтобы внедрить средства контроля информационной безопасности в соответствии с требованиями организации, а также набор средств контроля деловых отношений с другими организациями, и наиболее эффективным способом сделать это является наличие общего стандарта наилучшей практики управления информационной безопасностью, такого как ISO/IEC 17799:2005. Затем организации могут воспользоваться общей передовой практикой на международном уровне и доказать защиту своих бизнес-процессов и деятельности для удовлетворения потребностей бизнеса. Любой человек, ответственный за разработку или внедрение систем информационной безопасности, знает, что иногда бывает трудно продемонстрировать эффективность своих решений как руководителям своей организации, так и ее клиентам. Лица, принимающие решения, должны знать, что бюджеты, которые они назначают, направлены на стоящие цели, в то время как клиенты требуют чувства уверенности, которое приходит с осознанием того, что их конфиденциальные данные и конфиденциальные детали находятся в надежных руках. Именно здесь становится существенной роль стандартов информационной безопасности. Подобно стандартам контроля качества для других отраслей промышленности, таких как обслуживание клиентов, стандарты информационной безопасности методично и сертифицированно демонстрируют, что организация соответствует лучшим отраслевым практикам и процедурам.
Международная организация по стандартизации (Organization internationale de normalization), известная как ИСО, является международным органом по установлению стандартов, состоящим из представителей различных национальных организаций по стандартизации. Основанная 23 февраля 1947 года, организация распространяет во всем мире собственные промышленные и коммерческие стандарты. Штаб-квартира ИСО находится в Женеве, Швейцария ИСО определяется как неправительственная организация, но ее способность устанавливать стандарты, которые часто становятся законом, либо через договоры, либо через национальные стандарты, делает ее более могущественной, чем большинство неправительственных организаций. Международные стандарты ИСО публикуются в соответствии со следующим форматом: ISO[/IEC][/ASTM] [IS] nnnnn[:yyyy] Title, где nnnnn-номер стандарта, yyyy-год публикации, а Title описывает предмет. МЭК расшифровывается как Международная электротехническая комиссия и включается в стандарт, если он является результатом работы Совместного технического комитета ИСО/МЭК JTC1 (The ISO/IEC Joint Technical Committee). Для стандартов, разработанных в сотрудничестве С ASTM International, используется ASTM. ИСО насчитывает 157 национальных членов из 195 стран мира. ИСО имеет три категории членства: органы-члены-это национальные органы, которые считаются наиболее представительными органами по стандартизации в каждой стране. Это единственные члены ИСО, которые имеют право голоса. Членами-корреспондентами являются страны, не имеющие собственной организации по стандартизации. Эти члены информируются о работе ИСО, но не участвуют в распространении стандартов. Подписчиками являются страны с небольшой экономикой. Они платят сниженные членские взносы, но могут следить за развитием стандартов. Серия ISO/IEC 27000 (также известная как "семейство стандартов ISMS" или сокращенно "ISO27k") включает стандарты информационной безопасности, опубликованные совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Серия содержит рекомендации по управлению информационной безопасностью, управлению рисками и внедрению средств контроля в контексте общей системы управления информационной безопасностью (ИСБ). Системы менеджмента качества (серия ИСО 9000) и охраны окружающей среды (серия ИСО 14000) также аналогичны по конструкции стандартам серии ИСО/МЭК 27000. Эта серия применима к организациям всех форм и размеров, охватывая не только вопросы конфиденциальности, конфиденциальности и ИТ-или технической безопасности. Первый из стандартов серии 27000 (27001) был опубликован в 2005 году. Однако, предшественник TS-ISO/IEC 17799 - восходит к 2000 году, когда рост интернета вызвал быстрое повышение осведомленности о важности безопасности в ИТ-индустрии. В настоящее время существует четыре опубликованных стандарта серии: 27001, 27002, 27005 и 27006. Еще десять находятся на различных стадиях призыва.
27001 устанавливает шаги, необходимые для сертификации систем управления информационной безопасностью организации (ISMS). Стандарт определяет семь ключевых элементов при создании сертифицированной СМИБ. Они заключаются в создании, внедрении, эксплуатации, мониторинге, анализе, обслуживании и совершенствовании системы. В качестве стандарта управления он не столько предписывает использование конкретных элементов управления, сколько определяет процессы управления, необходимые для определения элементов управления, подходящих для организации. Он предназначен для использования наряду с ISO/IEC 27002 (ранее ISO/IEC 17799), кодексом практики управления информационной безопасностью, в котором перечислены цели контроля безопасности и рекомендован ряд конкретных мер контроля безопасности. Организации, внедряющие СМИБ в соответствии с ISO/IEC 27002, скорее всего, одновременно будут соответствовать требованиям ISO/IEC 27001, но сертификация является полностью необязательной.
ISO/IEC 27002 - это стандарт информационной безопасности, опубликованный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) как ISO/IEC 17799:2005 и впоследствии перенумерованный ISO/IEC 27002:2005 в июле 2007 года, приведя его в соответствие с другими стандартами серии ISO/IEC 27000. Она называется "Информационные технологии - методы обеспечения безопасности - Кодекс практики управления информационной безопасностью". Настоящий стандарт представляет собой пересмотр версии, впервые опубликованной ИСО/МЭК в 2000 году, которая была дословной копией британского стандарта (BS) 7799-1:1999. Целью стандарта 27002 является изложение структурированного набора буквально из сотен элементов управления информационной безопасностью, использование которых поможет достичь соответствия стандарту 27001. Однако этот перечень не является обязательным: организации могут свободно применять меры контроля, не указанные в конкретном перечне, при условии, что они эффективны и соответствуют требованиям, изложенным в 27001 году. ISO/IEC 27002 содержит рекомендации по наилучшей практике управления информационной безопасностью для использования теми, кто отвечает за инициирование, внедрение или поддержание систем управления информационной безопасностью (ISMS). Информационная безопасность определяется в рамках стандарта в контексте триады C-I-A: сохранение конфиденциальности (обеспечение того, чтобы информация была доступна только тем, кто имеет право на доступ), целостность (обеспечение точности и полноты информации и методов обработки) и доступность (обеспечение того, чтобы авторизованные пользователи имели доступ к информации и связанным с ней активам, когда это требуется). ISO/IEC 27002 содержит рекомендации и средства контроля безопасности в следующих областях управления информационной безопасностью:
политика безопасности;
организация информационной безопасности;
управления активами;
обеспеченность трудовыми ресурсами;
физической и экологической безопасности;
сообщений и операции управления;
Контроль доступа;
Приобретение информационных систем;
разработка и техническое обслуживание;
управление инцидентами информационной безопасности;
управление непрерывностью бизнеса;
ISO/IEC 27005:2008 содержит руководящие принципы управления рисками информационной безопасности. Он поддерживает общие концепции, указанные в стандарте ISO/IEC 27001, и предназначен для содействия внедрению информационной безопасности на основе подхода управления рисками. Знание концепций и терминологии, описанных в стандартах ISO/IEC 27001 и ISO/IEC 27002, очень важно для полного понимания стандарта ISO/IEC 27005:2008. ISO/IEC 27005:2008 применим ко всем типам организаций (например, коммерческим предприятиям, государственным учреждениям, некоммерческим организациям), которые намерены управлять рисками, которые могут поставить под угрозу информационную безопасность организации.
27006 описывает процессы сертификации и регистрации, которым должны следовать сертифицирующие органы. Его главная цель-руководство аккредитованными органами по сертификации официальными процессами сертификации или регистрации систем управления информационной безопасностью других организаций. Сфера применения стандарта ISO/IEC 27006 заключается в том, чтобы “определить общие требования, которым должен соответствовать сторонний орган, осуществляющий сертификацию/регистрацию ИСМ, если он должен быть признан компетентным и надежным в области сертификации / регистрации исм.” Следующие стандарты разрабатываются компанией ISO/IEC JTC1:
ISO/IEC 27000 - введение и обзор для семейства стандартов ISMS, а также глоссарий общих терминов
ISO/IEC 27003 - руководство по внедрению ISMS
ISO/IEC 27004 - стандарт для измерений управления информационной безопасностью
ISO/IEC 27007 - руководство по аудиту СМИБ (с акцентом на систему менеджмента)
ISO/IEC 27008 - руководство по аудиту управления информационной безопасностью (с акцентом на контроль безопасности)
ISO/IEC 27011 - руководство по внедрению ISMS для телекоммуникационной отрасли (также известное как X. 1051)
ISO/IEC 27031 - спецификация готовности ИКТ к непрерывности бизнеса
ISO/IEC 27032 - руководство по кибербезопасности (по сути, "быть хорошим соседом" в Интернете)
ISO/IEC 27033 - IT network security, многосоставный стандарт, в настоящее время известный как ISO/IEC 18028:2006 ISO/IEC 27034-руководство по безопасности приложений
Основанная в 1901 году, NIST является нерегулируемым Федеральным агентством в рамках министерства торговли США. Миссия NIST заключается в продвижении инноваций и промышленной конкурентоспособности США путем развития измерительной науки, стандартов и технологий таким образом, чтобы повысить экономическую безопасность и улучшить качество жизни. Общий бюджет NIST составляет 931,5 млн. долл.США, в нем занято около 2900 ученых, инженеров, техников, вспомогательного и административного персонала. 2 лаборатории NIST обеспечивают измерения и стандарты для США. отрасль:
здания и пожарные исследования
химической науки и технологии
электроники и электротехники
информационных технологий
машиностроения
материаловедения и инженерии
наноразмерной науки и технологии
нейтронных исследований
физики
технического обслуживания
Основана в 1990 году в статье специальные публикации NIST 800 группа документов является старейшим из всех стандарты информационной безопасности. Он состоит из более чем ста документов, охватывающих практически все аспекты информационной безопасности. Наиболее представительным среди всех этих документов является справочник по компьютерной безопасности SP800-12, который дает хорошее представление о подходе NIST.
Основной документ серии, SP800-12, представляет собой руководство, в котором подробно рассматриваются основные принципы информационной безопасности. В нем кратко излагается подход NIST к этой теме, определяя следующие восемь основных руководящих элементов:
1. Компьютерная безопасность должна поддерживать миссию организации
2. Компьютерная безопасность является центральным элементом управления звуком
3. Компьютерная безопасность должна быть экономически эффективной
4. Обязанности и подотчетность в области компьютерной безопасности должны быть четко определены
5. Владельцы систем несут ответственность за безопасность вне своих собственных организаций
6. Компьютерная безопасность требует комплексного и комплексного подхода