Anatoliy Bakal

Если вы работаете в сфере информационной безопасности, то несомнено вам приходилось сталкиваться, а скорее всего, использовать в своей работе стандарты в сфере ИБ. Под данными стандартами я имею ввиду документы организаций ISO (Международная организация по стандартизации) и IEC (Международная электротехническая комиссия). Многие страны гармонизирует и адаптирует данные международные стандарты под требования законодательства, нормотворчества и другие аспекты государства.

Порой новичкам в сфере информационной безопасности бывает сложно разобраться в огромном количестве нормативно-правовой документации. Для облегчения жизни приведу список из наиболее необходимых стандартов, которые необходимо знать и можно применить практически в любой организации:

1. Во-первых, это трилогия стандартов 15408 (1, 2 и 3-я части):
ISO/IEC 15408-1:2005 Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model (Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель)
ISO/IEC 15408-2:2008 Information technology — Security techniques — Evaluation criteria for IT security — Part 2: Security functional components (Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности)
ISO/IEC 15408-3:2008 Information technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance components (Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности)
В целом 15408 содержит общие требования оценки безопасности информационных технологий и предназначен для потребителей, разработчиков и оценщиков безопасных систем и продуктов ИТ.

2. Во-вторых, это серия стандартов 2700х:

ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems — Requirements (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)
ISO/IEC 27002:2005 Information technology — Security techniques — Code of practice for information security management (Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью)
ISO/IEC 27005:2008 Information technology — Security techniques — Information security risk management (Информационная технология. Методы и средства обеспечения безопасности. Управление рисками информационной безопасности)
ISO/IEC 27006:2007 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems (Информационная технология. Методы и средства обеспечения безопасности. Требования для органов, проводящих аудит и сертификацию систем управления информационной безопасностью)
Как видно из названий, данные документы представляют собой требования и инструкции по управлению рисками информационной безопасности.

3. Стандарты 18044 и 18045:
ISO/IEC TR 18044:2004 Information technology — Security techniques — Information security incident management (Информационная технология. Методы и средства обеспечения безопасности.  Управление инцидентами информационной безопасности)
ISO/IEC TR 18045:2008 Information technology — Security techniques — Methodology for IT security evaluation (Информационная технология.  Методы и средства обеспечения безопасности. Методология оценки безопасности  информационных технологий)
Данные стандарты предоставляют методологию и руководство по оценке безопасности информационных технологий и управлению инцидентами информационной безопасности.

4. Стандарт ISO/IEC 13335-1:2004 Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management (Информационные технологии. Способы защиты. Управление защитой информационных и коммуникационных технологий. Понятия и модели для управления защитой информационных и коммуникационных технологий)
Данный документ представляет собой руководство по управлению безопасностью информационных и коммуникационных технологий (ИКТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИКТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИКТ.

Связанные записи

• Эксперты составили рейтинг самых популярных мошеннических схем в Сети (0)
• Цензура в Интернет: где и зачем (инфографика) (0)
• Доклад об озабоченности пользователей конфиденциальностью в Интернете (0)
• 6 сценариев развития Всемирной паутины до 2025 года (0)
• Эволюция Windows за 25 лет в скриншотах #Microsoft (2)

Информационная безопасность Education, IT, Security