2. Німецький стандарт bsi

У Німеччині у 1998 р. вийшло "Керівництво із захисту інформаційних технологій для базового рівня захищеності". Воно являє собою довідник об’ємом близько 4 Мб (у форматі HTML). Основними блоками цього документу є:

• методологія керування ІБ (організація менеджменту в галузі ІБ)

• компоненти інформаційних технологій, зокрема:

• основні компоненти (тобто організаційний рівень ІБ, процедурний рівень, організація захисту даних, планування дій у позаштатних ситуаціях);

• інфраструктура (будівлі, приміщення, кабельні мережі, організація віддаленого доступу);

• клієнтські компоненти різних типів (Windows, DOS тощо);

• мережі різних типів (сполучення "кожний з кожним", "зірка", "точка-точка");

• елементи систем передачі даних (електронна пошта, модеми тощо);

• телекомунікаційне обладнання (факси, автовідповідачі тощо)

• стандартне (базове) ПЗ;

• бази даних.

• каталоги загроз безпеці та контрзаходів.

При цьому усі каталоги структуровані наступним чином.

Загрози за класами:

• форс-мажорні обставини;

• недоліки організаційних заходів;

• помилки користувачів (тобто людський фактор);

• технічні несправності;

• навмисні дії.

Контрзаходи за класами:

• покращення інфраструктури;

• адміністративні контрзаходи;

• процедурні контрзаходи;

• програмно-технічні контрзаходи;

• зменшення вразливостей комунікацій;

• планування дій у позаштатних ситуаціях.

Усі компоненти розглядаються за наступним планом: загальний опис, можливі сценарії загроз безпеці (наводяться можливі до даного компоненту загрози з каталогу загроз безпеки), можливі контрзаходи (наводяться можливі контрзаходи з каталогу контрзаходів). Фактично зроблено спробу описати з точки зору ІБ найбільш розповсюджені компоненти інформаційних технологій та максимально врахувати їх специфіку. Пропонується оперативне поповнення та оновлення стандарту по мірі появи нових компонентів.

3. Стандарт сша nist 800-30

У даному стандарті детально розглядаються питання керування інформаційними ризиками. Система керування ризиками компанії повинна мінімізувати можливі негативні наслідки, пов’язані з використанням інформаційних технологій, та забезпечити виконання основних бізнес-планів компанії.

Для цього система керування ризиками інтегрується в систему керування життєвим циклом інформаційних технологій компанії.

Передпроектна стадія (концепція даної ІС: визначення мети, задач та їх документування) відповідає виявленню основних класів ризиків для даної ІС, що витікають з мети та задач Концепції забезпечення ІБ.

Проектування ІС відповідає виявленню ризиків, специфічної для даної ІС (що витікають з особливостей архітектори ІС).

Створення ІС відповідає ідентифікації всіх класів ризиків.

Функціонування ІС відповідає періодичній переоцінка ризиків, пов’язаній зі змінами зовнішніх умов та конфігурації ІС.

Контрольні запитання

1. Що у відповідності до міжнародних стандартів включає в себе організація режиму ІБ?

2. Що означає абревіатура ISO?

3. Що означає абревіатура IЕС?

4. У чому основна різниця нового покоління стандартів у галузі ІБ від попереднього?

5. Який стандарт став прототипом для ISO 27001?

6. Основні положення міжнародного стандарту ISO 27001.

7. Основні положення німецького стандарту BSI.

8. Основні положення стандарту США NIST 800-30.

9. Які стандарти стосуються вирішення практичних питань організації режиму ІБ?