Стандарты управления информационной безопасностью на предприятии

Национальный  исследовательский университет

«Московский Энергетический Институт (Технический Университет)»

Институт Экономики  и Менеджмента в промышленности и энергетике

 

 

 

 

 

Реферат по дисциплине

«Информационная безопасность»

на тему: «Стандарты управления информационной безопасностью на предприятии»

 

 

 

 

 

 

 

 

 

Выполнила: студентка ИМ-08-09

         Щекина Наталья

Проверил:    Хорев П.Б.

            

 

 

 

 

 

 

 

 

 

 

Москва 2012

 

Содержание

 

 

 

 

 

 

Введение.

Специалистам  в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартов. На то имеется несколько причин.

Формальная  состоит в том, что необходимость  следования некоторым стандартам (например, криптографическим и/или Руководящим документам Гостехкомиссии России) закреплена законодательно. Однако наиболее убедительны содержательные причины. Во-первых, стандарты - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами. Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в Internet-сообществе это средство действительно работает, и весьма эффективно.

Стандарт - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения;

С практической точки зрения, количество стандартов (международных, национальных, отраслевых и т.п.) в области информационной безопасности бесконечно.

Стандарты управления информационной безопасностью:

• ISO 27001 «Требования к системе управления безопасностью»
• ISO 27001-2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования».
• ISO/IEC 27001 «Information technology -- Security techniques -- Information security management systems – Requirements» - «Технологии информационные. Методы обеспечения защиты. Системы управления защитой информации. Требования»
• стандарт ISO/IEC 17799-2005 «Информационные технологии. Свод правил по управлению защитой информации» (Information technology -- Security techniques -- Code of practice for information security management)
• стандарт BS 7799 «Система менеджмента информационной безопасности»,
• стандарт ISO 15408-1999 «Общие критерии оценки безопасности ИТ» (Common Criteria for Information Technology Security Evaluation)
• стандарт ISO/IEC TR 13335 Information technology — Guidelines for the management of IT Security
• ISO/IEC TR 13335-1:1996 Part 1: Concepts and models for IT Security
• ISO/IEC TR 13335-2:1997 Part 2: Managing and planning IT Security
• ISO/IEC TR 13335-3:1998 Part 3: Techniques for the management of IT Security
• ISO/IEC TR 13335-4:2000 Part 4: Selection of safeguards
• ISO/IEC TR 13335-5:2001 Part 5: Management guidance on network security

 

Стандарты информационной безопасности

Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены  требования к безопасным информационным системам.

Стандарты в области информационной безопасности выполняют следующие важнейшие функции:

• - выработка понятийного аппарата и терминологии в области информационной безопасности
• - формирование шкалы измерений уровня информационной безопасности
• - согласованная оценка продуктов, обеспечивающих информационную безопасность
• - повышение технической и информационной совместимости продуктов, обеспечивающих ИБ
• - накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем
• - функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.

Рис.1 Преимущества использования стандартов ИБ разными группами ИТ-сообщества.

Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:

• - повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;
• - обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);
• - содействие соблюдению требований технических регламентов;
• - создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.

Основными областями  стандартизации информационной безопасности являются:

• аудит информационной безопасности
• модели информационной безопасности
• методы и механизмы обеспечения информационной безопасности
• криптография
• безопасность межсетевых взаимодействий
• управление информационной безопасностью.

 

Стандарты информационной безопасности имеют несколько классификаций:

Рис.2 Различные классификации стандартов информационной безопасности

 

Основные  стандарты, используемые в менеджменте  информационной безопасности.

 

Наиболее распространенными  стандартами управления корпоративной  информационной безопасностью являются ITIL, ISO 27000 и CobiT. Примечательно, что формально ни одна из вышеперечисленных аббревиатур не является стандартом. Многим известно, что ITIL называет себя «библиотекой», «лучшими практиками», но не стандартом. Документ CobiT называет себя «framework» – структурная основа – и также не является формальным стандартом, а ISO 27000 – это вообще целое семейство стандартов. При этом данные документы решают похожий круг задач в смежных, зачастую пересекающихся областях. Пересечение областей охвата нисколько не мешает совместному использованию ITIL, ISO 27000 и CobiT. Более того, такое использование увеличивает полноту охвата и детализацию предметной области.

ITIL(IT Infrastructure Library)

 

ITIL ( IT Infrastructure Library — библиотека инфраструктуры информационных технологий) — библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области информационных технологий.

 

В семи томах  библиотеки описан весь набор процессов, необходимых для того, чтобы обеспечить постоянное высокое качество ИТ-сервисов и повысить степень удовлетворенности пользователей.

 

Использованный  в библиотеке процессный подход полностью  соответствует стандартам серии ISO 9000 (ГОСТ Р ИСО 9000). Процессный подход акцентирует внимание предприятия на достижении поставленных целей, анализе ключевых показателей "эффективности" (KPI), а также на ресурсах, затраченных на достижение этих целей.

Библиотека ITIL появилась около 20 лет назад по заказу британского правительства. В настоящее время она издается британским правительственным агентством Office of Government Commerce и не является собственностью ни одной коммерческой компании (формально библиотека принадлежит королевскому дому Англии, в частности — нынешней королеве).

В 2006 OGC подписало  контракт с компанией APM Group о том, что та станет их коммерческим партнёром  по ITIL-сертификации.

В настоящее  время на основе ITIL разработан британский стандарт BSI 15 000, который практически  без изменений перешёл в категорию международного стандарта под именем ISO 20000. На базе рекомендаций ITIL реализован ряд программных средств автоматизации работы служб технической поддержки ИТ

 

 

 

Структура ITIL:

 

Вторая редакция ITIL включает в себя семь книг:

• Поддержка услуг (англ. Service Support)
• Предоставление услуг (англ. Service Delivery)
• Планирование внедрения управления услугами (англ. Planning to Implement Service Management)
• Управление приложениями (англ. Application Management)
• Управление инфраструктурой информационно-коммуникационных технологий (англ. ICT Infrastructure Management)
• Управление безопасностью (англ. Security Management)
• Бизнес-перспектива (англ. The Business Perspective)

 

• а также «дополнительную» книгу — «Управление конфигурациями ПО» (англ. Software Asset Management).

 

Третья редакция ITIL (ITIL v.3) была выпущена в мае 2007. В  ней полностью переработаны и  по-новому организованы разделы, чтобы  поддержать новый подход "формата  жизненного цикла услуг". ITIL v.3 содержит уже только пять книг и состоит из:

• Стратегия услуг (англ. Service Strategy)
• Проектирование услуг (англ. Service Design)
• Преобразование услуг (англ. Service Transition)
• Эксплуатация услуг (англ. Service Operation)
• Постоянное улучшение услуг (англ. Continual Service Improvement)

 

Наиболее известная часть ITIL — десять базовых процессов, обеспечивающих поддержку и предоставление ИТ сервисов — IT Service Management или ITSM:

• Процесс управления инцидентами
• Процесс управления проблемами
• Процесс управления конфигурациями
• Процесс управления изменениями
• Процесс управления релизами
• Процесс управления уровнем услуг
• Процесс управления мощностями (ёмкостью)
• Процесс управления доступностью
• Процесс управления непрерывностью
• Процесс управления финансами

 

Кроме того, в  структуре процессов ITSM важную роль играет служба поддержки пользователей — Service Desk.

CobiT(Control Objectives for Information and Related Technology)

 

CobiT (сокращение от Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий») — представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта — всё то, что так или иначе имело отношение к целям управления.

 

Задача CobiT заключается  в ликвидации разрыва между руководством компании с их видением бизнес-целей и IT-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей.

 

Нередко руководство  компании в силу объективных причин не понимает IT-специалистов. По представлению  руководства, сотрудники IT-подразделения разговаривают на каком-то птичьем языке. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Это всё приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.

 

CobiT, благодаря единой  терминологии, служит своеобразной  платформой-буфером для конструктивного  диалога между всеми участниками  бизнеса:

• топ-менеджерами;
• руководителями среднего звена (IT-директором, начальниками отделов);
• непосредственными исполнителями (инженерами, программистами и т. д.);
• аудиторами.

 

В CobiT детально описаны цели и принципы управления, объекты управления, чётко определены все IT-процессы (задачи), протекающие в компании, и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании IT-процессов также приведены практические рекомендации по управлению IT-безопасностью.

 

Кроме того, CobiT вводит целый  ряд показателей (метрик) для оценки эффективности реализации системы управления IT, которые часто используются аудиторами IT-систем. В их число входят показатели качества и стоимости обработки информации, характеристики её доставки получателю, показатели, относящиеся к субъективным аспектам обработки информации (например стиль, удобство интерфейсов). Оцениваются показатели, описывающие соответствие компьютерной IT-системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, её действенность, общепринятые показатели информационной безопасности — конфиденциальность, целостность и доступность обрабатываемой в системе информации.