- •Международные критерии оценки безопасности информационных технологий зарубежных стран План лекции
- •1. Гармонизированные критерии европейских стран
- •2. Германский стандарт bsi
- •2.1. Структура германского стандарта bsi.
- •3. Британский стандарт bs 7799
- •Критерии оценки доверенных компьютерных систем (тсsес)
- •Европейские критерии (iтsес)
- •Канадские критерии безопасности компьютерных систем (стсрес)
- •4. Международный стандарт isо/iес 15408 "Критерии оценки безопасности информационных технологий" «Общие критерии»
- •Стандарты безопасности в Интернете
3. Британский стандарт bs 7799
Один из первых международных стандартов управления информационной безопасностью — британский стандарт ВS 7799 — уже давно вышел за национальные рамки. Первая его часть, ВS 7799-1 «Практические правила управления информационной безопасностью» - была разработана в 1995 г. по заказу правительства Великобритании Британским институтом стандартов (British Standards Institution (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др.
Как следует из названий, этот документ является практическим руководством по управлению информационной безопасностью в организации независимо от профиля её практической деятельности. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения системы управления ИБ, определенных на основе лучших примеров из мировой практики.
В соответствии с этим стандартом любая служба безопасности, IT –отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных.
В 1998 году появилась вторая часть этого британского стандарта — ВS7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению», определившая общую модель построения системы управления ИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части ВS 7799, определившей, что должна из себя представлять система управления ИБ, началось активное развитие системы сертификации в области управления безопасностью. В 1999 году обе части ВS7799 были пересмотрены и гармонизированы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя. технический комитет ISO без изменений принял ВS 7799-1 в качестве международного стандарта ISO/IЕС 17799:2000.
Вторая часть ВS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISО в качестве международного стандарта ISO/IЕС 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». В это же время была обновлена и первая часть стандарта. С выходом ISO 27001 спецификации системы управления ИБ приобрели международный статус, и теперь следует ожидать значительного повышения роли и престижности системы управления ИБ, сертифицированных по стандарту ISO 27001.
Семейство международных стандартов управления безопасностью 2700х продолжает активно развиваться. В соответствии с планами ISO оно будет включать:
- стандарты, определяющие требования к системе управления ИБ;
- систему управления рисками;
- метрики и измерения эффективности механизмов контроля;
- руководство по внедрению. Для этого семейства стандартов будет использоваться последовательная схема нумерации, начиная с 27000 и далее. ISO/IЕС 17799:2005 в последующем будет переименован в ISO/IЕС 27002.
В начале 2006 г. был принят новый британский национальный стандарт в области управления рисками информационной безопасности ВS 7799-3, который в дальнейшем получил индекс 27005.
В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также Швеция, Нидерланды, Россия.
Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран.
Он состоит из двух частей.
"Часть 1: Практические рекомендации" (1995г.)
Определяются и рассматриваются следующие аспекты ИБ:
Политика безопасности.
Организация защиты.
Классификация и управление информационными ресурсами.
Управление персоналом.
Физическая безопасность.
Администрирование компьютерных систем и сетей.
Управление доступом к системам.
Разработка и сопровождение систем.
Планирование бесперебойной работы организации.
Проверка системы на соответствие требованиям ИБ.
"Часть 2: Спецификации системы" (1998г)
Аспекты, перечисленные в “Части 1” рассматриваются в этой части с точки зрения сертификации информационной системы на соответствие требованиям стандарта.
Здесь определятся возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.
Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов – British Standards Institution(BSI) http://www.bsi-global.com/, изданные в период 1995-2003г.г. в виде следующей серии:
Введение в проблему управления информационной безопасности – Information security managment: an introduction.
Возможности сертификации на требования стандарта BS 7799 -Preparing for BS 7799 sertification.
Руководство BS 7799 по оценке и управлению рисками -Guide to BS 7799 risk assessment and risk management.
Готовы ли вы к аудиту на требования стандарта BS 7799-Are you ready for a BS 7799 audit?
Руководство для проведения аудита на требования стандарта -BS 7799Guide to BS 7799 auditing.
Практические рекомендации по управлению безопасностью информационных технологий -Code of practice for IT management.
Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution(BSI) – (www.bsi-global.com), и в частности служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасности в соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах. Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или ISO/9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.