Стандартизация в области ИБ: зарубежный опыт

Категория реферата: Рефераты по информатике, программированию
Теги реферата: шпоры по гражданскому праву, изложение на родине ломоносова
Добавил(а) на сайт: Luzhkov.

Международный стандарт ISO 18044 Стандарт ISO 18044 разработан в соответствии со стандартами ISO 13335-1 и ISO 17799 (ISO 27002) и описывает процесс управления инцидентами ИБ, а также усилия, которые должны быть предприняты на всех этапах жизненного цикла процесса управления инцидентами – от планирования и формирования команды реагирования до извлечения уроков и совершенствования. Он может применяться как при создании системы управления ИБ по ISO 27000, так и самостоятельно в рамках разработки единственного изолированного процесса.

***

Комментарий эксперта

Алексей Плешков, начальник отдела защиты информационных технологий, Газпромбанк (Открытое акционерное общество)

Дополнительно к приведенному выше обзору международных стандартов хотелось бы обратить внимание на еще один регламентирующий документ по информационной безопасности, не распространенный на территории РФ. Одним из таких стандартов является документ из линейки методов EBIOS.

Проект EBIOS по разработке методов и инструментальных средств управления ИБ в информационных системах поддерживается правительством Франции и продвигается комиссией DCSSI при премьерминистре Франции на уровень общеевропейского. Назначение этого проекта – способствовать повышению безопасности информационных систем государственных или частных организаций (http://www.securiteinfo. com/conseils/ebios.shtml).

Текст комплекта документации на продукт автоматизации оценочных задач обеспечения ИБ "Методологические инструментальные средства достижения безопасности информационных систем EBIOS (определение потребностей и идентификация целей безопасности)" был опубликован на официальном сайте правительства Франции, посвященном вопросам обеспечения информационной безопасности автоматизированных систем в 2004 г. Метод EBIOS, предложенный Генеральным секретариатом министерства национальной обороны Франции и названный "Определение потребностей и идентификация целей безопасности" (EBIOS), был разработан с учетом международных стандартов, направленных на обеспечение ИБ. Он формализует подход к осуществлению оценки и обработки рисков в области безопасности информационных систем и применяется для оценки уровня ИБ в разрабатываемых и существующих системах.

Цель метода – позволить любой организации, находящейся под управлением государства, определить перечень действий по обеспечению безопасности, которые необходимо предпринять в первую очередь. Метод может быть реализован администраторами подразделения безопасности организации и может применяться на всех уровнях структуры разрабатываемой или существующей информационной системы (подсистемы, прикладные программы). Подход EBIOS учитывает три основных свойства ИБ: конфиденциальность, целостность и доступность как информации, так и систем, а также среды, в которой они находятся. В определенных случаях предлагается позаботиться об обеспечении потребностей неотказуемости, авторизации и аутентификации. Методология EBIOS напрямую связана с оценкой и обработкой рисков. Эти риски квалифицируются как операционные, поскольку они оказывают непосредственное влияние на бизнес-деятельность организации и управление организацией. Данный метод не так неизвестен, как представленные ранее международные стандарты, но все же его можно с уверенностью назвать международным стандартом. На территории Европейского союза применение методологии EBIOS достаточно востребовано. Ряд компаний специализируются на проведении консалтинговых работ в части приведения системы ИБ организации в соответствие требованиям подхода EBIOS.

В качестве справочного материала для знакомства с практикой международных стандартов в области защиты информации рекомендую использовать Интернет-ресурс http://www.iso27000.ru

Георгий Гарбузов, CISSP, MCSE:Security, дирекция информационной безопасности Страховой Группы "УРАЛСИБ"

Список литературы

Information Security №1, февраль-март 2009

Поделитесь этой записью или добавьте в закладки