Лекция 3 (11)

Правовые нормы в области информационной безопасности. Международная, национальная и ведомственная нормативная правовая база в области информационной безопасности

Рассматриваемые вопросы:

1. Международная нормативная база в области информационной безопасности

1.1.Международные организации в области информационной безопасности

1.2.Обзор международных стандартов в области информационной безопасности

2.Национальная нормативная правовая база в области информационной безопасности

3.Ведомственная нормативная правовая база в области информационной безопасности

4.Коммерческая тайна

1.

1.1.

Для координации усилий в области обеспечения информационной безопасности в разных государствах образованы десятки коммерческих и некоммерческих объединений и организаций. Ниже приведены примеры нескольких известных и авторитетных организаций разного рода деятельности, активно развивающих международное сотрудничество в сфере защиты информации.

Ассоциация аудита и контроля информационных систем – ISACA

«Ассоциация аудита и контроля информационных систем»

(Information Systems Audit and Control Association, ISACA), к 2006 году объединяющая более 47 000 членов в 110 странах мира, является одним из признанных мировых лидеров в области управления, контроля и аудита информационных технологий. Учрежденная в 1969 году, ISACA выступает организатором международных конференций, присваивает международные квалификации «Сертифицированный аудитор информационных систем» (Certified Information Systems Auditor - CISA)

и «Сертифицированный менеджер информационной безопасности»

(Certified Information Security Manager - CISM). Обладателями этих квалификаций уже являются более чем 35 000 профессионалов во всем мире. [www.isaca.ru]

Сегодня ISACA объединяет широкую международную сеть филиалов в более чем 60 странах мира. Входящий в состав ISACA фонд (ISACF) проводит фундаментальные исследования в области разработки стандартов аудита и контроля информационных систем. ISACF активно проводит исследования, результаты которых является полезными для профессионалов в области аудита, контроля и безопасности информационных систем. Фонд также популяризирует важность контроля за информационными системами предприятий и организаций среди работников информационных технологий и пользователей информационных систем.

Внастоящее время ISACF работает над следующими проектами:

-Электронный бизнес: Контроль, аудит, безопасность.

-Частные виртуальные сети.

-Целостность информации.

-Беспроводные сети.

-ERP (SAP).

-OS/390: безопасность и контроль.

-Oracle Database: безопасность и контроль.

-Управление взаимоотношениями с клиентами.

-Практика контроля ИТ.

Средства Фонда складываются из средств, выделяемых компаниями, правительствами, членами и подразделениями ISACA, так как все они имеют общие интересы в данной области.

Учрежденный ассоциацией и фондом в 1998 году «Институт управления информационных технологий» является «базой знаний» по методикам управления развитием функции информационных технологий в организациях. Институт организует выступления на проводимых ISACA и схожих по тематике конференциях, готовит печатные и электронные публикации для популяризации роли и взаимодействий между информационными технологиями и руководством организаций. Одним из результатов работы Фонда является методика Control objectives for Information and related

Technology – CobIT, которая рассмотрена ниже.

Центр интернет-безопасности – CIS

Центр Интернет-безопасности (Center for Internet Security - CIS) - некоммерческое предприятие, задача которого состоит в том, чтобы помочь организациям во всем мире уменьшить риски потерь в электронной коммерции, следующих из неадекватных технических и организационных средств управления безопасностью. CIS предлагает методы эффективного управления организационными рисками, связанными с информационной безопасностью, и предоставляет средства улучшения, измерения и контроля уровня безопасности организации, а также позволяет сравнить его с практикой обеспечения безопасности информационных систем деловых партнеров.

Члены CIS развивают и пропагандируют широкое распространение и использование средств и методик обеспечения безопасности в государственном и частном секторах экономики. Практические рекомендации CIS совместимы с известными стандартами безопасности и детализируют то, как обеспечивать безопасность информационных систем, активно использующих возможности Интернет и включающих большое количество рабочих мест, серверов, сетевых устройств, программных продуктов. Разработанный CIS инструментарий позволяет анализировать степень соответствия информационной системы этим рекомендациям. CIS не привязан ни к какому коммерческому продукту и не оказывает платных услуг. Это способствует ясной формулировке угроз безопасности, непредвзятости рекомендаций и методологий оценки рисков.

Рекомендации и утилиты для работы с ними доступны для бесплатной загрузки на официальном веб-ресурсе организации http: // www.cisecurity.org.

Деятельность CIS может представлять интерес для:

-Пользователей сетевых и информационных технологий – частных лиц, компаний, университетов, правительственных служб, некоммерческих организаций, эффективность работы которых зависит от безопасных и надежных информационных систем.

-Аудиторов и консультантов по информационной безопасности, которые нуждаются в конкретных технических рекомендациях и инструментах оценки надежности сетей, а также в обмене опытом в этой области.

-Администраторов безопасности сетей, администраторов межсетевых экранов, специалистов по безопасности информационных систем, заинтересованных в гарантированной конфиденциальности, доступности и целостности доверенных им информационных активов.

-Операторов электронной коммерции, стремящихся к снижению потерь от киберпреступности и отказов в обслуживании.

-Страховых компаний, связанных с оценкой рисков и затрат связанных с нарушениями безопасности информационных систем.

-Инвесторов и потребителей, нуждающихся в информации о компаниях, организациях и сетях, в которых приняты соответствующие меры по обеспечению их безопасности и надежности.

Интернет-союз информационной безопасности – ISAlliance

Интернет-союз информационной безопасности (Internet security alliance, ISAlliance) - коммерческая ассоциация, предлагающая своим членам набор услуг по защите их информационных активов и корпоративной марки, правовой защите интересов в области информационной безопасности. Эти услуги варьируют от технических рекомендаций по безопасности вычислительных систем и сетей до комплексного управления информационными рисками корпорации. Основная цель ISAlliance – обеспечить максимальную отдачу от инвестиций своих членов в информационную безопасность. Членами ISAlliance являются компании многих стран мира, представляющие такие секторы экономики, как промышленность, финансы, развлечения, телекоммуникации, сфера услуг, образование, и других.

[http://www.isalliance.org]

Основной сервис, предоставляемый ISAlliance – консультации по работе с CERT (международный центр обработки компьютерных инцидентов), подразумевающее своевременное реагирование на возникающие угрозы и зарегистрированные CERT новые уязвимости. В результате члены ISAlliance имеют возможность принимать меры безопасности на основе предложенных им рекомендаций, например, в случае вирусных эпидемий в Интернет.

Перечень основных международных организаций по ИБ

1.ISACA (Information Systems Audit and Control Association)

Ассоциация аудита и контроля информационных систем - ассоциация специалистов в области ИБ/ИТ управления (с 1967 года).

~100.000 членов Ассоциация известна своими системами сертификации для для профессионалов ИБ: CISA (Certified Information System Auditor), CISM (Certified Information Security Manager), CGEIT (Certified in the Governance of Enterprise IT), CRISC (Certified in Risk and Information Systems Control).

2.(ISC)2 (International Information Systems Security Certification Consortium)- Консорциум известен своей системой сертификации - CISSP (Certified Information Systems Security Professional).

пересматривает станадрты по ИТ и ИБ (США).

4.ISF (The Information Security Forum) - Ассоциация известна своими материалами по ИБ, в частности, документом

5.CERT (Computer Emergency Response Team)

По сути это экспертная группа по ИБ. Исторически стартовали в

Carnegie Mellon University's Software Engineering Institute, сейчас в нем находится координационный центр.

6.SANS Institute –

7.CIS (Center for Internet Security)

9. BSI (British Standards Institution)

Британский институт стандартов. Самые "известные": BS 7799 (см.ISO 27001), BS 10012 (управление защитой ПДн), BS 25999 (управление непрерывностью бизнеса) и BS 25777 (управление непрерывностью ИТ-сервисов).