Міжнародні стандарти інформаціоної безпеки

 Стандарти інформаційної безпеки — це стандарти забезпечення захисту, призначені для взаємодії між виробниками, споживачами і експертами з кваліфікації продуктів інформаційних технологій у процесі створення та експлуатації захищених систем оброблення інформації.



Стандарт забезпечення захисту звичайно містять опис послідовності оцінок, які необхідно виконати, щоб вважати дану характеристику безпеки підтвердженою з точки зору атестації захисту або множину характеристик безпеки, які повинна забезпечити система захисту, щоб її можна було використовувати в даному конкретному режимі забезпечення безпеки або у відповідності до загальної стратегії захисту.

Стандарти інформаційної безпеки викладені в опублікованих матеріалах, вони намагаються захистити кібернетичне середовище користувача чи організації. 
Це середовище включає в себе :
  • користувачів
  • мережі
  • пристрої
  • програмне забезпечення
  • процеси
  • інформацію в режимі зберігання або транзиту
  • служби та системи , які можуть бути безпосередньо або опосередковано підключені до мереж
Основна мета — знизити ризики, включаючи попередження або пом'якшення кібер-атак. 

Ці опубліковані матеріали включають збірки інструментів, політику, концепції безпеки, гарантії безпеки, керівні принципи, підходи до управління ризиками, дії, навчання, найкращі практики, забезпечення та технології.

Міжнародні стандарти

BS 7799-1: 2005 — Британський стандарт BS 7799 перша частина. BS 7799 Частина 1 — Кодекс практики управління інформаційною безпекою (Практичні правила управління інформаційної безпеки) описує 127 механізмів контролю, необхідних для побудови системи управління інформаційною безпекою (СУІБ) організації, визначених на основі кращих прикладів світового досвіду в цій області . Цей документ служить практичним керівництвом по створенню СУІБ.

BS 7799-2: 2005 — Британський стандарт BS 7799 друга частина стандарту. BS 7799 Частина 2 — Управління інформаційною безпекою — специфікація систем управління інформаційною безпекою (Специфікація системи управління інформаційної безпеки) визначає специфікацію СУИБ. Втора частина стандарту використовується як критерії при проведенні офіційної процедури сертифікації СУІБ організації.

BS 7799-3: 2006 — Британський стандарт BS 7799 третя частина стандарту. Новий стандарт в області управління ризиками інформаційної безпеки.
ISO/IEC 17799: 2005 — «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Міжнародний стандарт, базувався на BS 7799-1: 2005.

ISO/IEC 27000 — Словарь і визначення.

ISO/IEC 27001 — «Інформаційні технології — Методи забезпечення безпеки — Системы управління інформаційної безпеки — Требования». Міжнародний стандарт, базувався на BS 7799-2: 2005.

ISO/IEC 27002 — Зараз: ISO/IEC 17799: 2005. «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Дата выхода — 2007 год.

ISO/IEC 27005 — Зараз: BS 7799-3: 2006 — Руководство по управлению рисками ИБ.
Німецьке агентство з інформаційної безпеки. Інструкція з захисту базової лінії — стандартні гарантії безпеки (керівництво по базовому рівню захисту інформаційних технологій).

Висновок :

Відповідно до міжнародних і національних стандартів забезпечення інформаційної безпеки у будь-якій компанії припускає: визначення цілей забезпечення інформаційної безпеки комп'ютерних систем; створення ефективної системи управління інформаційною безпекою;  розрахунок сукупності деталізованих якісних і кількісних показників для оцінки відповідності інформаційної безпеки поставленим цілям; застосування інструментарію забезпечення інформаційної безпеки і оцінки її поточного стану; використання методик управління безпекою, що дозволяють об'єктивно оцінити захищеність інформаційних активів і управляти інформаційною безпекою компанії.


Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Виявлення атак. Захист периметра комп'ютерних мереж

Изображение
  Виявлення атак – це процес ідентифікації та регулювання на підозрілу діяльність, направлену на обчислювальні чи мережні ресурси. Усі існуючі технології виявлення мережевих атак можна розділити на два типи: - методи на основі сигнатур (зразкв і правил); - методи на основі аномалій. Класифiкацiї систем виявлення атак За способом виявлення атаки: Виявлення аномального поводження (anomaly-based) Виявлення зловживань (misuse detection або signature-based) За способом збору iнформацiї про атаку За способом реагування: Пасивнi просто фiксують факт атаки, записують данi у файл журналу й видають попередження Активнi намагаються протидiяти атацi  Аналіз активності атак Статичні Статичні засоби роблять «знімки» (snapshot) середовища та здійснюють їх аналіз, розшукуючи вразливе програмне забезпечення, помилки в конфігураціях і т. д. Виявляють сліди вторгнення. Динамічні Здійснюють моніторинг у реальному часі всіх дій, що відбуваються в системі, переглядаючи файли аудиту або мережні пакети,
Далее...

Основні ненавмисні і навмисні штучні загрози.

Изображение
Під безпекою ІС розуміється захищеність системи від випадкового або навмисного втручання в нормальний процес її функціювання, від спроб розкрадання (несанкційованого отримання) інформації, модифікації або фізичного руйнування її’ компонентів, тобто здатність протидіяти різним підбурює впливів на ІС. Основні ненавмисні штучні загрози Основні ненавмисні штучні загрози АС (дії, що здійснюються людьми випадково, через незнання, неуважність або недбалості, з цікавості, але без злого наміру): ненавмисні дії, що приводять до часткової або повної відмови системи або руйнуванню апаратних, програмних, інформаційних ресурсів системи (ненавмисне псування обладнання, видалення, спотворення файлів з важливою інформацією або програм, в тому числі системних і т. п.); неправомірне відключення обладнання або зміна режимів роботи пристроїв і програм; ненавмисне псування носіїв інформації; запуск технологічних програм, здатних при некомпетентному використанні викликати втрату працездатності системи (завис
Далее...