СодержаниеСОДЕРЖАНИЕ
<br>
<br>ВВЕДЕНИЕ 3
<br>1. ОБЗОР СТАНДАРТОВ ПО БЕЗОПАСНОСТИ: СУЩЕСТВУЮЩИЕ И РАЗРАБАТЫВАЕМЫЕ СТАНДАРТЫ МЕЖДУНАРОДНОЙ ОРГАНИЗАЦИИ ПО СТАНДАРТИЗАЦИИ (INTERNATIONAL STANDARDS ORGANIZATION - ISO) 6
<br>1.1 Краеугольные камни информационной безопасности 6
<br>1.2 История стандартов ISO по информационной безопасности 8
<br>1.3 Формирование и нумерация стандартов по информационной безопасности 9
<br>1.4 Международные стандарты управления безопасностью 10
<br>1.5 Другие предложенные стандарты по информационной безопасности 11
<br>2. АНАЛИЗ СЕМЕЙСТВА СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISO 2700 13
<br>2.1 Стандарт ISO 27001 13
<br>2.2 Стандарт ISO 27002 15
<br>2.3 Взаимосвязь ISO 27001 и 27002 18
<br>2.4 Взаимосвязь с другими стандартами 19
<br>3. СПЕЦИФИКА ВНЕДРЕНИЯ ИСО/МЭК 15480 21
<br>4. ОБЗОР СИСТЕМ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ИСО/МЭК 27000:2009 24
<br>5. ИСПОЛЬЗОВАНИЕ СЕМЕЙСТВА СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИСО 2700 КАК ИНСТРУМЕНТ ЭФФЕКТИВНОГО УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ 26
<br>ЗАКЛЮЧЕНИЯ 32
<br>СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 33ВведениеВВЕДЕНИЕ
<br>
<br>Актуальность. Для построения системы информационной безопасности необходимо прочное основание – путеводитель, который поможет избежать ошибок, оценить полноту и надежность системы информационной безопасности.
<br>В России создано множество нормативных документов по информационной безопасности. И каждый специалист в рассматриваемой области задается вопросом о том, подходят ли они для его компании. Если система информационной безопасности создается для государственных органов, то здесь деваться некуда – требования всех этих документов там обязательны к исполнению. Если система информационной безопасности создается для частного бизнеса, то есть несколько весомых причин, почему российские нормативные документы мало применимы:
<br>1. Требования национальных документов по информационной безопасности даже по отношению к конфиденциальной информации, которая не составляет государственную тайну, очень высоки. Выполнение всех требований к информационной безопасности во-первых очень сильно (и практически всегда необоснованно) увеличит бюджет, расходуемый на информационную безопасность, во-вторых очень сильно затруднит выполнение бизнес-процессов и тем самым станет препятствием к достижению основной цели бизнеса – получению прибыли.
<br>2. Требования национальных документов по информационной безопасности зачастую неполны и противоречивы. Это вызвано их большим количеством, несгрупированностью, несвоевременным их пересмотром.
<br>3. Требования национальных документов по информационной безопасности зачастую устаревшие и неактуальные.
<br>4. Требования национальных документов по информационной безопасности ориентированы в первую очередь на государственные структуры и практически не учитывают реалий бизнеса. Изначально требования и образцы документов по информационной безопасности рождаются в спецслужбах, откуда потом переписываются с незначительными изменениями другими государственными министерствами и ведомствами. Получаются практически одинаковые требования, как для Службы безопасности страны, так и для, например, Министерства статистики.
<br>Поэтому чаще всего руководители компаний прибегают к международному опыту. На конец 2008 года приняты следующие стандарты семейства ISO 27000:
<br>- ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования
<br>- ISO/IEC 27002:2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью (ранее ISO/IEC 17799:2005).
<br>- ISO/IEC 27005:2008 Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности.ЛитератураСПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
<br>
<br>1. ISO/IEC 27001. Information Technology—Security Techniques—Information Security Management Systems— Requirements, first edition. October 15, 2005. Доступен на сайте www.iso.org.
<br>2. ISO/IEC 17799. Information Technology—Security Techniques—Code of Practice for Information Security Management, second edition. June 15, 2005. Доступен на сайте www.iso.org.
<br>3. FIPS PUB 199. Federal Information Processing Standards Publication—Standard for Federal Information and Information Systems. February 2004. Доступен на сайте www.nist.gov
<br>4. Сайт компании Gamma - http://www.gammassl.co.uk/bs7799/history.html
<br>5. Информация из стандартов ITSC (Standards Technology Standard Committee). Новости о стандартах с форума RAISS. Доступен на сайте http://www.itsc.org.sg/.
<br>6. SP 800-18. Guide for Developing Security Plans for Information Technology Systems. Доступен на сайте www.nist.gov. Guides the design and documentation of IT security controls.
<br>7. OECD Guidance for Security of Information System and Network—Toward a Culture of Security. Доступен на сайте www.oecd.org. Новые рекомендации OECD от 2002 г. доступны по адресу http://www.oecd.org/dataoecd/16/22/15582260.pdf.
<br>8. Index of the ISO/IEC 17799, second edition. June 15, 2005. From pages III to VI.
<br>9. Shewhart, Walter Andrew (1939). Statistical Method for the Viewpoint of Quality Control. New York: Dover. (1980) Economic Control of quality of manufactured product/ 50th Anniversary Commemorative Issue. American Society For Quality. Для более детальной иформации:. http:en.wikipedia.org/wiki/Shewhart_cycle.
<br>10. SP 800-60. Guide to Mapping Types of Information Systems to Security Categories. Доступен на сайте www.nist.gov.
<br>11. SP 800-30. Risk Management Guide for Information Technology Systems from NIST [National Institute of Standards and Technology]. Доступен на сайте www.nist.gov.
<br>12. ISO/IEC TR 13335-3. Guidelines for the Management of IT Security: Techniques for the Management of IT Security from International Organization for Standardization. Доступен на сайте www.iso.org.
<br>13. Peltier, T. (2005) Information Security Risk Analysis. Auerbach Publications.
<br>14. Checklist for self-assessment for all controls for BS 7799-2:2002. Доступен по адресу http://www.sans.org/score/checklists/ISO_17799_checklist.pdf. Кроме этого, чек-лист для самооценки от Netigy. Доступен по адресу http://www.cccure.org/modules.php?name= Downloads&d_op=viewdownload&cid=67.
<br>15. Здесь несколько ссылок на пользовательские группы ISMS: U.S. ISMS user group, http://www.us-isms.org/; international user group, http://www.xisec.com/; есть еще информация на ITU в Канаде, http://www.ismsiug.ca; в Японии, www.j-isms.jp.
<br>16. .Схема оценки уполномоченными лицами, базирующаяся на общем международном стандарте — ISO 19011:2002, Guideline on Quality and/or Environmental Management System Audit. Доступен на сайте www.iso.org.
<br>17. Sarbanes–Oxley Act of 2002. Доступен по адресу http://news.findlaw.com/hdocs/docs/ gwbush/sarbanesoxley072302.pdf.
<br>18. Адрес, по которому можно найти информацию по Base II от Европейской Комиссии: http://europa.eu.int/comm/enterprise/entrepreneurship/financing/basel_2.htm.
<br>19. ISO 9001:2000. Quality Management Systems. Доступен на сайте www.iso.org.
<br>20. BS 7799-3:2006. Guidelines for Information Security Risk Management. Доступен по адресу http://www.bsonline.bsiglobal. com/server/index.jsp.
<br>21. ISO TR 13335-4:2000 определяет выбор мер безопасности (т.е. технических средств управления безопасностью). Этот стандарт в настоящее время пересматривается и будет выпущен как ISO 27005, доступен на сайте ISO www.iso.org.
<br>22. SP 800-53A. Guide for Assessing the Security Controls in Federal Information (draft). Доступен на сайте www.nist.gov.
<br>23. SP 800-53. Recommended Security Controls for Federal Information Systems. Доступен на сайте www.nist.gov. Фактически, другой стандарт на СМИБ, содержащий удобную таблицу, показывающую связь средств контроля, описанных в нем, со средствами контроля, задаваемыми в других стандартах, таких, как ISO 17799:2005.
<br>24. SP 800-55. Security Metrics Guide for Information Technology Systems. Доступен на сайте www.nist.gov. Название, на мой взгляд, гораздо привлекательнее содержания. Документ, по сути, немногим более, чем просто огромный список параметров, относящихся к безопасности, и которые могут быть измерены.
<br>25. FIPS 200. Minimum Security Requirements for Federal Information and Information Systems. Доступен на сайте www.nist.gov.
<br>26. SP 800-61. Computer Security Incident Handling Guide. Доступен на сайте www.nist.gov.
<br>27. SP 800-37. Guide for the Security Certification and Accreditation of Federal Information Systems. Доступен на сайте www.nist.gov. Содержит руководство по сертификации защиты, аккредитации и авторизации информационных систем.
<br>28. SP800-26. Government Audit Office Federal Information System Controls Audit Manual. Доступен на сайте www.nist.gov.
<br>29. SP 800-37. Guide for the Security Certification and Accreditation of Federal Information Systems. Доступен на сайте www.nist.gov. Содержит руководство по сертификации защиты, аккредитации и авторизации информационных систем..
<br>30. ISO 19011:2002. Guidelines for Quality and/or Environmental Management Systems Auditing. Доступен на сайте www.nist.gov.
<br>31. Control Objectives for Information and Related Technology (COBIT). Доступен на сайте www.isaca.org.
<br>32. Information Technology Infrastructure Library (ITIL). Доступен на сайте www.itsmf.com.
|
|