4.2.2. Германський стандарт bsi

На відміну від ISO 17799 германське «Керівництво по захисту інформаційних технологій для базового рівня захищеності» присвячене детальному розгляду приватних питань управління інформаційною безпекою компанії.

У германському стандарті BSI представлені:

•        загальна методика управління інформаційною безпекою(організація менеджменту в області інформаційної безпеки, методологія використання керівництва);

•        описи компонентів сучасних ИТ;

•        описи основних компонентів організації режиму інформаційної безпеки(організаційний і технічний рівні захисту даних, планування дій в надзвичайних ситуаціях, підтримка безперервності бізнесу);

•        характеристики об'єктів інформатизації(будівлі, приміщення, кабельні мережі, контрольовані зони);

•        характеристики основних інформаційних активів компанії(у тому числі апаратне і програмне забезпечення, наприклад робочі станції і сервери під управлінням ОС сімейства DOS, Windows і UNIX);

•        характеристики комп'ютерних мереж на основі різних мережевих технологій, наприклад мережі Novell NetWare, мережі UNIX і Windows).

•        характеристика активного і пасивного телекомунікаційного устаткування провідних постачальників, наприклад Cisco Systems;

•        детальні каталоги загроз безпеки і заходів контролю(більше 600 найменувань в кожному каталозі).

Питання захисту приведених інформаційних активів компанії розглядаються за певним сценарієм: загальний опис інформаційного активу компанії — можливі загрози і уразливості безпеки — можливі засоби контролю і захисту.

4.2.3. Міжнародний стандарт iso 15408 «Загальних критеріїв безпеки інформаційних технологій»

Одним з головних результатів стандартизації у сфері систематизації вимог і характеристик захищених інформаційних комплексів стала система міжнародних і національних стандартів безпеки інформації, яка налічує більше сотні різних документів. Важливе місце в цій системі стандартів займає стандарт ISO 15408, відомий як «Common Criteria».

У 1990 р. Міжнародна організація по стандартизації(ISO) приступила до розробки міжнародного стандарту за критеріями оцінки безпеки ИТ для загального використання. У розробці брали участь : Національний інститут стандартів і технології і Агентство національної безпеки(США), Установа безпеки комунікацій(Канада), Агентство інформаційної безпеки(Німеччина), Агентство національної безпеки комунікацій(Голландія), органи виконання Програми безпеки і сертифікації ИТ(Англія), Центр забезпечення безпеки систем(Франція), які спиралися на свій солідний заділ.

За десятиліття розробки кращими фахівцями світу документ неодноразово редагувався. Перші дві версії були опубліковані відповідно в січні і травні 1998 р. Версія 2.1 цього стандарту затверджена 8 червня 1999 р. Міжнародною організацією по стандартизації(ISO) в якості міжнародного стандарту інформаційної безпеки ISO/IEC 15408 під назвою «Загальні критерії оцінки безпеки інформаційних технологій», або «Common Criteria».

«Загальні критерії«(ОКИ) узагальнили зміст і досвід використання Помаранчевої книги, розвинули європейські і канадські критерії і утілили в реальні структури концепцію типових профілів захисту федеральних критеріїв США.

У ОКИ проведена класифікація широкого набору вимог безпеки ИТ, визначені структури їх групування і принципи використання. Головні достоїнства ОКИ — повнота вимог безпеки і їх систематизація, гнучкість в застосуванні і відкритість для подальшого розвитку.

Провідні світові виробники устаткування ИТ відразу стали поставляти замовникам засоби, що повністю відповідають вимогам ОКИ.

ОКИ розроблялися для задоволення запитів трьох груп фахівців, що в рівній мірі є користувачами цього документу : виробників і споживачів продуктів ИТ, а також експертів за оцінкою рівня їх безпеки. ОКИ забезпечують нормативну підтримку процесу вибору ІТпродукт, до якого пред'являються вимоги функціонування в умовах дії певних загроз, служать керівним матеріалом для розробників таких систем, а також регламентують технологію їх створення і процедуру оцінки забезпечуваного рівня безпеки.

ОКИ розглядають інформаційну безпеку, поперше, як сукупність конфіденційності і цілісності інформації, оброблюваною ИТпродуктом, а також доступності ресурсів ВС і, подруге, ставлять перед засобами захисту завдання протидії загрозам, актуальним для середовища експлуатації цього продукту і реалізації політики безпеки, прийнятої в цьому середовищі експлуатації. Тому в концепцію ОКИ входять усі аспекти процесу проектування, виробництва і експлуатації ІТпродуктів, призначених для роботи в умовах дії певних загроз безпеки.

Споживачі ІТпродуктів заклопотані наявністю загроз безпеки, що призводять до певних рисок для оброблюваної інформації. Для протидії цим загрозам ИТпро дукты повинні включати до свого складу засоби захисту, протидіючі цим загрозам і спрямовані на усунення уязвимостей, проте помилки в засобах захисту у свою чергу можуть призводити до появи нових уязвимостей. Сертифікація засобів захисту дозволяє підтвердити їх адекватність загрозам і рискам.

ОКИ регламентують усі стадії розробки, кваліфікаційного аналізу і експлуатації ІТпродуктів. ОКИ пропонують концепцію процесу розробки і кваліфікаційного аналізу ІТпродуктів, що вимагає від споживачів і виробників великої роботи по складанню і оформленню об'ємних і детальних нормативних документів.

Вимоги ОКИ є практично усеосяжною енциклопедією інформаційної безпеки, тому їх можна використати в якості довідника по безпеці ИТ.

Стандарт ISO 15408 підняв стандартизацію ИТ на міждержавний рівень. Виникла реальна перспектива створення єдиного безпечного інформаційного простору, в якому сертифікація безпеки систем обробки інформації здійснюватиметься на глобальному рівні, що надасть можливості для інтеграції національних ІС, що у свою чергу відкриє нові сфери застосування ИТ.

Прийнятий базовий стандарт інформаційної безпеки ISO 15408, безумовно, дуже важливий і для російських розробників.

У розд. 4.3 розглядається вітчизняний ГОСТ Р ИСО/ МЭК 15408-2002, являюицийся аналогом стандарту ISO 15408.