Файл: Международные стандарты в сфере безопасности сетей (по дисциплине «Информационная безопасность и защита информации»).pdf
Добавлен: 06.07.2023
Просмотров: 79
Скачиваний: 1
7. Компьютерная безопасность должна периодически пересматриваться
В этом документе, наряду с остальной частью серии, подробно излагаются конкретные стратегии, процедуры и средства контроля, с помощью которых вопросы безопасности могут быть решены в соответствии с этими принципами. Они охватывают такие области, как руководство по безопасности электронной почты (SP800-45), создание информационно-технологической программы повышения осведомленности и обучения безопасности (SP800-50), руководство по электронной аутентификации (SP800-63) и руководство по безопасным веб-сервисам (SP800-95). Разъясняя важные концепции, стоимостные соображения и взаимосвязи средств контроля безопасности, руководство оказывает помощь в обеспечении безопасности компьютерных ресурсов (включая аппаратное обеспечение, программное обеспечение и информацию). Хотя NIST сама по себе не предоставляет программу сертификации, она обеспечивает поддержку целого ряда инициатив в области осведомленности, обучения и образования.
Bundesamt für Sicherheit in der Informationstechnik (сокращенно BSI - на английском языке: Федеральное управление информационной безопасности) - это немецкое правительственное учреждение, отвечающее за управление компьютерной и коммуникационной безопасностью для правительства Германии. Его сфера компетенции и ответственности включает в себя безопасность компьютерных приложений, защиту критической инфраструктуры, Интернет-безопасность, криптографию, противодействие прослушиванию, сертификацию продуктов безопасности и аккредитацию испытательных лабораторий безопасности. Она расположена в Бонне и насчитывает более 400 сотрудников. Предшественником BSI был криптографический отдел Агентства внешней разведки Германии (BND). BSI по-прежнему разрабатывает криптографические алгоритмы, такие как шифр Libelle. Стандарты BSI содержат рекомендации по методам, процессам, процедурам и подходам, связанным с информационной безопасностью. Для достижения этой цели стандарты BSI содержат принципиально важные области информационной безопасности в отношении государственных органов и компаний, для которых были разработаны соответствующие практические подходы. Стандарт BSI 100-1 является первым стандартом серии BSI IT-Grundschutz и определяет общие требования к внедрению ИСМ. Он полностью совместим со стандартом ISO 27001, а также учитывает рекомендации в рамках стандартов ISO 13335 и 27002. BSI-Standard 100-2, также известный как методология IT-Grundschutz, представляет собой пошаговое описание того, как управление ИТ-безопасностью может быть настроено и эксплуатироваться на практике. Методология IT-Grundschutz содержит подробное описание того, как выбрать соответствующие меры ИТ-безопасности, как разработать практическую концепцию ИТ-безопасности и как реализовать концепцию ИТ-безопасности. IT-Grundschutz интерпретирует общие требования стандартов ISO 27001, 27002 и 13335 и предоставляет множество Примечаний, справочных знаний и примеров, чтобы помочь пользователям реализовать их на практике. Каталоги IT-Grundschutz не только объясняют, что должно быть сделано, они также предоставляют очень конкретную информацию о том, как может выглядеть реализация. BSI-Standard 100-3: третий стандарт из серии BSI посвящен основанному на нем методу анализа рисков-Grundschutz. Этот подход может быть использован, когда организации уже успешно работают с руководством IT-Grundschutz и хотели бы добавить дополнительный анализ рисков к анализу IT - Grundschutz.
Форум по информационной безопасности (ISF)-это международная независимая некоммерческая организация, занимающаяся бенчмаркингом и передовой практикой в области информационной безопасности. Он был создан в 1989 году как Европейский форум безопасности, но расширил свою миссию и членство в 1990-х годах, так что теперь он включает в себя сотни членов, включая большое количество компаний из списка Fortune 500, из Северной Америки, Азии и других мест по всему миру. Группы членов организованы в виде отделений по всей Европе, Африке, Азии, Ближнему Востоку и Северной Америке. Штаб-квартира ISF находится в Лондоне, Англия, но также имеет штат, базирующийся в Нью-Йорке. Членство в ISF является международным и включает в себя крупные организации в области транспорта, финансовых услуг, химической/фармацевтической промышленности, производства, государственного управления, розничной торговли, средств массовой информации, телекоммуникаций, энергетики, транспорта, профессиональных услуг и других секторов. Стандарт надлежащей практики (SoGP) был впервые выпущен в 1996 году форумом по информационной безопасности (ISF) и представляет собой подробную документацию о передовой практике в области информационной безопасности. Стандарт публикуется и пересматривается раз в два года. Стандарт надлежащей практики, который находится в свободном доступе, вытекает из стандартов ISO/IEC 27002 и COBIT v4.1. и описывает функциональную методологию информационной безопасности, основанную как на исследованиях, так и на реальном мировом опыте. Стандарт сосредоточен вокруг следующих шести ключевых аспектов:
1. Компьютерные установки. Этот аспект ориентирован главным образом на ИТ-специалистов и касается аппаратного и программного обеспечения, которое поддерживает критически важные бизнес-приложения.
2. критические бизнес-приложения. Это приложения, от которых зависит деятельность организации. Этот аспект в первую очередь ориентирован на владельцев ЦБА, лиц, ответственных за бизнес-процессы и системных интеграторов.
3. Управление безопасностью. Аспект управления безопасностью ориентирован на лиц, принимающих решения в области безопасности, и аудиторов. Он обрабатывает принятие решений на уровне управления в отношении реализации безопасности в рамках всей организации.
4. Сети образуют особую категорию из-за их уникальных уязвимостей в системе безопасности. Его целью обычно является сетевые менеджеры, специалисты по сетевому обслуживанию и поставщики сетевых услуг. Сетевой аспект затрагивает природу и реализацию сетевых требований организации.
5. Разработка систем. Этот аспект адресован разработчикам систем и связан с определением, проектированием и реализацией системных требований.
6. Среда конечного пользователя. Среда конечного пользователя-это точка, в которой люди используют системы и приложения организации для поддержки бизнес-процессов. Поэтому этот аспект, как правило, ориентирован на бизнес-менеджеров и отдельных лиц, работающих в таких средах конечных пользователей.
Компьютерные установки и сети обращаются к базовой ИТ - инфраструктуре, на которой выполняются критически важные бизнес-приложения. Среда конечного пользователя охватывает механизмы, связанные с защитой корпоративных приложений и рабочих станций на конечной точке, используемой отдельными лицами. Разработка систем связана с тем, как создаются новые приложения и системы, а управление безопасностью - с управлением и контролем на высоком уровне. Сам стандарт состоит из изложения принципов и целей, дополненных обширной документацией, охватывающей рекомендации по осуществлению. Чтобы поддерживать валюту в быстро меняющемся мире информационной безопасности, стандарт пересматривается и обновляется раз в два года. В дополнение к стандарту надлежащей практики ISF также осуществляет надзор за двухгодичной программой бенчмаркинга, известной как обзор состояния информационной безопасности. Участвующие организации изучаются на предмет эффективности систем безопасности, и результаты сравниваются друг с другом.
ISACA (Information Systems Audit and Control Association) была основана в США в 1967 году группой лиц, занимающихся вопросами аудиторского контроля в компьютерных системах, когда они осознали необходимость разработки стандарта в этой области. В 1969 году Стюарт Тирнауэр основал организацию под названием EDP Auditors Association. В 1976 году ассоциация развивалась как образовательный фонд с целью расширения знаний и ценности в области управления ИТ и контроля. Сегодня в состав ISACA входят более 75 000 членов по всему миру. Члены клуба живут и работают в более чем 160 странах и занимают различные профессиональные должности, связанные с ИТ. Цели контроля для информационных и смежных технологий (COBIT) - это набор передовых практик (фреймворк) для управления информационными технологиями, созданный Ассоциацией аудита и контроля информационных систем (ISACA) и Институтом управления ИТ (ITGI). COBIT был впервые выпущен в 1996 году. Его миссия состоит в том, чтобы “исследовать, разрабатывать, публиковать и продвигать авторитетный, современный, международный набор общепринятых целей контроля информационных технологий для повседневного использования бизнес-менеджерами и аудиторами.” COBIT помогает менеджерам, аудиторам и другим пользователям понять свои ИТ-системы и решить, какой уровень безопасности и контроля необходим для защиты активов их компаний посредством разработки модели управления ИТ. COBIT-это система управления ИТ, которая позволяет менеджерам заполнить пробел между требованиями контроля, техническими вопросами и бизнес-рисками. Последнее обновление COBIT 4.1 помогает организациям повысить ценность, получаемую от ИТ, подчеркивает связи между бизнес-целями и ИТ-целями и упрощает внедрение фреймворка COBIT. COBIT 4.1 является точной настройкой фреймворка COBIT и может быть использован для улучшения уже выполненной работы на основе более ранних версий COBIT. COBIT 4.1 имеет 34 высокоуровневых процесса, которые охватывают 210 целей контроля, классифицированных в четырех областях: планирование и организация, приобретение и внедрение, поставка и поддержка, а также мониторинг и оценка: