Стандарт Управления Безопасностью ISO 13335

Автор работы: Пользователь скрыл имя, 11 Ноября 2015 в 13:55, реферат

Описание работы

Стандарт построения эффективной системы безопасности ISO 13335, со­зданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского ин­ститута стандартов, описывает комплексный подход к управлению информаци­онной безопасностью.

Файлы: 1 файл

refe.docx

— 211.89 Кб (Скачать файл)

 

 

 

 

Управление информационными системами

Реферат на тему

«Стандарт Управления Безопасностью ISO 13335»

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

Стандарт построения эффективной системы безопасности ISO 13335, со­зданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского ин­ститута стандартов, описывает комплексный подход к управлению информаци­онной безопасностью.

В соответствии со стандартом ISO 13335, при создании эффективной системы безопасности особое внимание следует уделить комплексному подходу к управлению информационной безопасностью. По этим причинам в качестве элементов управления рассматриваются не только технические, но и организационно-административные меры, направленные на обеспечение следующих требований к информации: конфиденциальность; целостность; достоверность; доступность.

Нарушение любого из них может повлечь за собой значительные потери ,как в виде убытков, так и в виде неполученного дохода. Для обеспечения указанных требований в стандарте перечислены основные области управления информационной безопасностью:

  • планирование непрерывности бизнеса (обеспечивает защиту критически важных бизнес-процессов от сбоев и нарушений);
  • управление доступом (контролирует доступ к информационным ресурсам и предоставляемым услугам, а также противодействует несанкционированной активности);
  • разработка и поддержка системных и прикладных средств (обеспечивает выполнение функций защиты информации в операционных системах и приложениях);
  • безопасность среды (предотвращает несанкционированные изменения, кражу и повреждение средств защиты и информации);
  • соответствие документам и стандартам (обеспечивает соблюдение общепринятых и внутренних правил, норм и стандартов);
  • персонал (снижает риск «человеческих ошибок» и преднамеренных нарушений, а также контролирует выполнение правил политики безопасности со сто­роны пользователей);
  • безопасность на уровне компании (управляет информационной безопасностью при взаимодействии с внешними объектами);
  • управление инфраструктурой (снижает риск возникновения системных сбоев, предотвращает повреждения сетевого оборудования, а также контролирует сохранение конфиденциальности, целостности и достоверности при передаче информации);
  • классификация и контроль материальных средств (обеспечивает охрану и надзор за материальными средствами организации);
  • наличие политики безопасности (определяет требования к поддержке заданно­го уровня безопасности).

Каждая область информационной безопасности подробно детализирована и представляет собой совокупность элементов безопасности

Полный набор элементов стандарта ISO 13335 всесторонне обеспечивает защиту информации, рассматривая весь спектр организационных вопросов. Это позволяет поддерживать уровень безопасности и не допускать появления «слабых мест».

 

Международный стандарт безопасности информационных систем ISO 13335

 

Несколько лет назад Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. занялся разработкой стандарта информационной безопасности. И в 1998 г. был принят национальный стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. Служба безопасности, IT-отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В конце 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799.

 

ISO 13335 в России

В России стандарт ISO 13335 пока не является общепринятым документом, в отличии от стандартов ГТК и ФАПСИ. Однако стандарты ГТК на практике применяются обычно только к программным продуктам, стандарты ФАПСИ регламентируют, в основном, применение криптографических средств. Применение этих стандартов к системе управления информационной безопасности компании практически не возможно, так как сами стандарты предназначались, скорее, для программного обеспечения и сертифицировать всю ИТ систему компании на соответствие стандартам ГТК представляется достаточно сложным и не совсем неэффективным занятием.

 Совершенно иным образом  обстоят дела со стандартом  ISO 13335. При всей своей обобщенности и отсутствии в некоторых частях стандарта конкретных деталей, сам стандарт разработан именно для применения его в сложных и разветвленных корпоративных системах и что немало важно - ISO 13335 не противоречит существующим российским стандартам ГТК и ФАПСИ.

 

Основные разделы стандарта ISO 13335:

  • Политика безопасности
  • Организационные меры по обеспечению безопасности
  • Управление форумами по информационной безопасности
  • Координация вопросов, связанных с информационной безопасностью
  • Распределение ответственности за обеспечение безопасности
  • Классификация и управление ресурсами
  • Инвентаризация ресурсов
  • Классификация ресурсов
  • Безопасность персонала
  • Безопасность при выборе и работе с персоналом
  • Тренинги персонала по вопросам безопасности
  • Реагирование на секьюрити инциденты и неисправности
  • Физическая безопасность
  • Управление коммуникациями и процессами
  • Рабочие процедуры и ответственность
  • Системное планирование
  • Защита от злонамеренного программного обеспечения (вирусов, троянских коней)
  • Управление внутренними ресурсами
  • Управление сетями
  • Безопасность носителей данных
  • Передача информации и программного обеспечения
  • Контроль доступа
  • Бизнес требования для контроля доступа
  • Управление доступом пользователя
  • Ответственность пользователей
  • Контроль и управление удаленного (сетевого) доступа
  • Контроль доступа в операционную систему
  • Контроль и управление доступом к приложениям
  • Мониторинг доступа и использования систем
  • Мобильные пользователи
  • Разработка и техническая поддержка вычислительных систем
  • Требования по безопасности систем
  • Безопасность приложений
  • Криптография
  • Безопасность системных файлов
  • Безопасность процессов разработки и поддержки
  • Управление непрерывностью бизнеса
  • Процесс управления непрерывного ведения бизнеса
  • Непрерывность бизнеса и анализ воздействий
  • Создание и внедрение плана непрерывного ведения бизнеса
  • Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса
  • Соответствие системы основным требованиям
  • Соответствие требованиям законодательства
  • Анализ соответствия политики безопасности
  • Анализ соответствия техническим требованиям
  • Анализ соответствия требованиям системного аудита

 

Сфера применения

 

В России стандарт ISO 13335 может применяться достаточно широко, так как несет в себе информацию о комплексном подходе к обеспечению защиты данных. В отличие от зарубежных компаний, отечественные организации ввиду быстрых темпов их развития имеют гораздо больше уязвимых мест, что вынуждает руководителей ИТ-отделов применять мировые стандарты в области информационной безопасности, адаптируя их в каждом конкретном случае и дополняя на основе собственного опыта.

С практической точки зрения, стандарт ISO 13335 может применяться как средство аудита системы информационной безопасности. К примеру, некоторые программные продукты, основанные на этом стандарте (в частности, CORBA ISO 13335 Consultant), представляют процесс аудита в виде анкетирования. Полный процесс аудита в этом случае можно представить в виде четырех последовательных этапов.

Анкетирование — заполнение анкет одним или несколькими сотрудниками, ответственными за обеспечение информационной безопасности.

 Определение элементов, соответствующих выдвинутым в стандарте требованиям к системе информационной безопасности.

Выявление элементов, нуждающихся в дополнительной защите (определение «слабых мест»).

 Выдача рекомендаций по улучшению защиты для выявленных на предыдущем этапе элементов. Примером таких рекомендаций в области «Управление доступом» может служить процедура регистрации пользователей, определенная в результате выявления «слабого места» в системе безопасности. Процедура регистрации пользователей должна выполнять следующие условия:

  • не отображать данные о системе до тех пор, пока полностью не завершится процедура входа пользователя в систему;
  • сообщать о том, что доступ к системе могут получить только авторизированные (зарегистрированные) пользователи;
  • не выводить сообщения-подсказки во время процедуры входа в систему, чтобы затруднить работу незарегистрированных пользователей;
  • прерывать соединение с пользователем, который предпринял попытку входа в систему, завершившуюся неудачно;
  • сообщать о корректности регистрации только после заполнения всех необходимых полей;
  • определить максимально возможное число попыток входа в систему, завершившихся неудачно (рекомендуется не более трех попыток); если лимит превышен, следует внести соответствующую запись в системный журнал и не воз­обновлять процедуру регистрации в течение определенного периода времени или полностью прервать сеанс работы с пользователем;
  • определить максимальное и минимальное время процедуры регистрации пользователя; если предельные значения превышены, то процедура должна быть прервана;
  • отображать информацию о дате и времени предыдущей успешной регистра­ции, а также полную информацию о всех некорректных процедурах регистра­ции, случившихся со времени последнего входа в систему.

 

Плюсы и минусы ISO 13335

К недостаткам стандарта можно отнести поверхностное освещение материала, который позволяет только обозначить области информационной безопасности, не конкретизируя их.

Преимуществом ISO 13335 является простота его применения и адаптации на практике. Кроме того, стандарт не зависит от конкретных технических средств и решений, что, с одной стороны, не показывает, как реализовывать защиту того или иного элемента, но с другой — обеспечивает свободу выбора платформ, оборудования, производителей

 

 

 

 

 

 

Заключение

Что же касается официальной сертификации по ISO 13335, то она изначально не была предусмотрена (полная аналогия с BS 7799). Была предусмотрена только сертификация по BS 7799:2, который представлял собой ряд обязательных требований (не вошедших в первую часть BS 7799/ISO 13335) и в приложении перечень условно обязательных (на усмотрение сертификатора) наиболее важных требований BS7799:1/ISO 13335. Процедура сертификации по ISO должна была появиться только после выхода в рамках ISO стандарта аналога BS 7799:2 (отметим, что это случилось только в конце 2005 года с выходом сертификационного стандарта ISO 27001).

 При этом была предусмотрена  стандартная процедура сертификации  по BS 7799:2 такая же, как и для  всех стандартов ISO. Сертификатор (компания, специализирующаяся на сертификации по различным стандартам от ISO 9001 до ISO 14001, обязательная аккредитованная при UKAS, например BSI, TUV, URS, DNV и др.) не имеет право готовить компании к сертификации: этим занимаются партнеры – независимые консультанты. В свою очередь консультант не имеет право заниматься сертификацией.

 Февраль 2002 года можно  смело называть отправной точкой  развития стандарта ISO 13335 в России и странах СНГ. В середине 2001 года в мире сложилась непростая ситуация в области стандартизации по информационной безопасности. Существовали различные стандарты, применимость которых на практике вызывала вопросы и серьезные сомнения. Кроме того, у большинства специалистов преобладал исключительно технологический подход к защищенности, и вопросам управления безопасностью уделялось минимальное внимание. Однако у узкого круга специалистов существовало понимание, что исключительно технологический подход к защите информации – это путь в никуда, это еще далеко не все. Поэтому нам всем жизненно необходимо еще выработать некий единый подход к тому, что теперь называется СУИБ (система управления информационной безопасностью).

 

 

 

 

 

 

 

 

 

Ответы на вопросы:

  1. Поясните понятие ИТ-менеджмента.

  1. Перечислите основные объекты ИТ-менеджмента.

  1. Что определяет инфраструктура ИТ-предприятия?

  1. Чем обусловлены постоянные изменения в ИС предприятий?

  1. Поясните понятие "ИТ-сервис".

 

1.  "Информационные технологии (ИТ), или информационные и коммуникационные технологии (ИКТ), — это технологии, применяемые для обработки информации. В частности, они используют компьютеры и программное обеспечение для преобразования, хранения, защиты, передачи и извлечения информации в любом месте и в любое время" [1]. С учетом этого определения ИТ-менеджмент охватывает управление всеми компьютерными и коммуникационными ресурсами предприятия. Его основная задача состоит в создании и поддержании в работоспособном состоянии приложений и инфраструктуры, на которой они исполняются. Подобный менеджмент можно разделить на три уровня: операционный, тактический и стратегический. На стратегическом уровне обеспечивается установление соответствия между информационными функциями системы и ее контентом, что сводится к атрибуции задач на поле информационной политики, определению содержания информационных функций и ИТ-поддержке. На операционном и тактическом уровнях ИТ-менеджмента должны обеспечиваться заданные уровни работоспособности и надежности эксплуатации приложений информационной системы (ИС) на продолжении всего жизненного цикла системы.

2. Создание системы управления ИТ, как и любой другой системы управления, предполагает определение управляемых объектов и управляющих воздействий (рис. 1.1).

 

 

Объектами ИТ-менеджмента являются:

  • инфраструктура;

  • приложения;

  • организационная структура службы ИС;

  • ИТ-проекты.

3.  Инфраструктура ИТ включает техническое и системное программное обеспечение. Техническое обеспечение ИТ состоит из серверов, персональных компьютеров, систем хранения данных, сети и коммуникационных приложений. Программное обеспечение характеризуется операционными системами, инструментальными средами разработки, программами поддержки ИТ-менеджмента и средствами обеспечения информационной безопасности.

Приложения обеспечивают поддержку бизнес-процессов предприятия и работоспособность отдельных автоматизированных рабочих мест.

Информация о работе Стандарт Управления Безопасностью ISO 13335