Please enable JavaScript.
Coggle requires JavaScript to display documents.
Міжнародні стандарти та стандарти зарубіжних країн - Бовкун Д.О. КБ-91 -…
Міжнародні стандарти та стандарти зарубіжних країн - Бовкун Д.О. КБ-91
Основні положення
Міжнародні стандарти в області інформаційної безпеки (ІБ) є орієнтиром при побудові систем управління інформаційною безпекою (СУІБ).
Міжнародні стандарти допомагають у вирішенні завдань усіх рівнів:
стратегічних;
тактичних;
операційних.
Вивчення стандартів дає можливість дізнатися таке:
термінологію в сфері ІБ;
загальні підходи до побудови систем ІБ;
загальноприйняті процеси ІБ;
конкретні заходи захисту, які використовуються в ІБ;
ролі фахівців при побудові процесів ІБ.
Загальновизнані стандарти міжнародного рівня дозволяють фахівцям спілкуватися між собою і з внутрішніми підрозділами компанії на одній мові з використанням усталених термінів і визначень. Це допомагає обґрунтовувати необхідність тих чи інших заходів ІБ за допомогою тих формулювань, що зрозумілими бізнесу.
Для підвищення ефективності роботи дуже важливо вміти комунікувати з фахівцями ІТ у цьому допомагає вивчення таких стандартів, як ISO, ITIL, COBIT тощо.
ISO
ISO - міжнародна організація, що займається випуском стандартів.
Цією організацією було розроблено низку стандартів щодо інформаційної безпеки. Найвідомішими з них є ISO / IEC 27000 та ISO 15408.
Стандарти серії ISO/IEC 27000
Стандарти серії ISO/IEC 27000 розроблені для регулювання управлінням інформаційною безпекою.
Найвідоміший стандарт серії - ISO/IEC 27001:2013
Визначає аспекти менеджменту інформаційної безпеки і містить кращі практики з вибудовування процесів для підвищення ефективності управління ІБ.
Стандарт декларує ризик-орієнтований підхід, який дозволяє вибрати необхідні заходи та засоби захисту, що найкращим чином відповідають потребам бізнесу.
За результатами впровадження стандарту може пройти сертифікацію.
ISO/IEC 27001:2013 як модель управління якістю бере за основу Цикл Демінга-Шухарта PDCA («планування-дія-перевірка-коригування»), що означає безперервне вдосконалення ІБ-процесів.
Стандарт ISO 15408 присвячений загальним критеріям оцінки безпеки інформаційних технологій (Common Criteria for Information Technology Security Evaluation).
COBIT
COBIT («Завдання інформаційних і суміжних технологій») являє собою пакет документів, що складається з понад 40 міжнародних і національних стандартів та настанов в області управління IT, аудиту та IT-безпеки.
Міжнародна асоціація аудиту і контролю за інформаційними системами (ISACA) провела аналіз і оцінку практик управління інформаційними системами. Результатом став COBIT, який поєднав найкраще з міжнародних технічних стандартів, стандартів управління якістю, аудиторської діяльності, а також з практичних вимог і досвіду.
ITIL
Бібліотека інфраструктури інформаційних технологій або ITIL (The IT Infrastructure Library) - це набір публікацій (бібліотека), що описує загальні принципи ефективного використання ІТ-сервісів.
Була розроблена Центральним агентством з обчислювальної техніки і телекомунікацій у Великобританії.
Переваги застосування
Оптимізування набору процесів, спрямованих на забезпечення високої якості IT-послуг і підвищення рівня послуг, що надаються.
Книга з управління IT-безпекою (Security Management) допомагає гармонійно інтегрувати процес управління IT безпекою в загальну систему управління інформаційними технологіями в компанії.
Результатом застосування ITIL в організації має стати підвищення конкурентоспроможності компанії в цілому.
У матеріалах ITIL не прописані конкретні вимоги до засобів захисту, а лише дається опис загальної організації безпечної роботи ІТ-сервісів.
У бібліотеці можна знайти як основні принципи вибудовування самого процесу управління ІБ, так і ключові рекомендації з підтримки СУІБ - Системи управління інформаційною безпекою (ISMS).
Ціль створення - структурування всіх існуючих методів успішного використання IT-ресурсів і розробки способів їх якісного застосування.
NIST
NIST - американський національний інститут стандартизації, аналог вітчизняного Держстандарту.
До складу інституту входить Центр з комп'ютерної безпеки, який публікує з початку 1990-х років Стандарти, а також детальні роз'яснення та рекомендації в галузі ІБ.
Серія з кодом 800
Серія для рекомендацій в області ІБ.
Серія містить документи, що описують підходи до управління інформаційною безпекою, і висвітлює технічні питання її забезпечення (забезпечення безпеки мобільних пристроїв, захист хмарних обчислень, вимоги до аутентифікації, віддаленого доступу).
Однією з найвідоміших публікацій є стандарт NIST SP 800-53 «Security and Privacy Controls for Federal Information Systems and Organizations», що містить опис засобів реалізації вимог ІБ і рекомендації щодо їх застосування.
NIST 800-30
Ще один відомий у фахівців документ, який визначає підходи до організації діяльності з управління ризиками ІБ.
Документ часто розглядають разом з ISO/IEC 27005:2018 «Information technology — Security techniques — Information security risk management», який присвячений управлінню ризиками ІБ.