ISO/IEC 15408 позволяет:
•охватить весь спектр ИТ и учесть особенности каждой конкретной системы при задании требований и правил безопасности;
•избежать жесткой классификации ИТ по уровню безопасности;
•предложить детальный и структурированный перечень требований для механизмов безопасности, мер и средств обеспечения их реализации;
•охватить весь жизненный цикл ИТ;
•реализовать возможность формирования наборов требований и правил безопасности по уровням безопасности ИТ, сопоставимых с другими системами оценки;
•гарантировать комплексность подхода к обеспечению безопасности ИТ;
•обеспечение комплексности оценки безопасности ИТ;
•предусмотреть расширяемость требований к безопасности ИТ.
Стандарт BSI (Германия)
«Руководство по защите информационных технологий для базового уровня защищенности» (1998 г.) посвящено детальному рассмотрению частных вопросов создания политик безопасности компании и управления безопасностью. Представляет собой гипертекстовый электронный учебник.
Встандарте BSI представлены:
•общая методика разработки политик безопасности и управления информационной безопасностью в целом;
•описания компонентов современных информационных технологий;
•описания основных компонентов организации режима информационной безопасности;
•характеристики объектов информатизации;
•характеристики основных информационных активов компании;
•характеристики компьютерных сетей на основе различных сетевых технологий;
•характеристика активного и пассивного телекоммуникационного оборудования;
•подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
Стандарт CobiT
Ассоциация ISACA занимается открытым аудитом информационных систем.
Под аудитом информационной безопасности понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятии в части эффективности информационных технологий.
Состав СоbiТ 3rd Edition:
•Часть 1. Резюме для руководителей (Executive Summary);
•Часть 2. Определения и основные понятия (Framework);
•Часть 3. Цели контроля (Control Objectives);
•Часть 4: Принципы аудита (Audit Guidelines);
•Часть 5. Набор средств внедрения (Implementation Tool Set);
•Часть 6. Принципы управления (Management Guidelines).
Основная идея стандарта CobiT - все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией.
Информационная технология должна удовлетворять требованиям бизнес- процесса, сгруппированным определенным образом:
1. Требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю.
Показатели качества - подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности.
Характеристики доставки информации получателю — показатели, в обобщенном виде входящие в показатели доступности и частично — в показатели конфиденциальности и целостности.
Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии.
2.Доверие к технологии — группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность.
3.Показатели информационной безопасности — конфиденциальность, целостность и доступность обрабатываемой в системе информации.
Процессы управления ресурсами информационной системы
4. Инженерно-техническая защита периметра объекта связи
Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.
Поскольку совокупность целей, задач, объектов защиты и проводимых мероприятий очень
разнородна и многообразна, необходимо
систематизировать эту совокупность, введя классификацию средств по виду, ориентации и другим характеристикам.
По функциональному назначению средства инженерно- технической защиты классифицируются на следующие группы:
