Германский стандарт bsi кратко

Обновлено: 04.07.2024

Delphi site: daily Delphi-news, documentation, articles, review, interview, computer humor.

Рис. 3.9. Структура германского стандарта BSI

В германском стандарте BSI представлены:

• общая методика разработки политик безопасности и управления информационной безопасностью в целом (организация менеджмента в области информационной безопасности, методология использования руководства);

• описания компонентов современных информационных технологий;

• описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);

• характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);

• характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и серверы под управлением операционных систем семейства DOS, Windows и UNIX);

• характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows;

• характеристика активного и пассивного телекоммуникационного оборудования ведущих вендоров, например Cisco Systems;

• подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).

В 1998 году в Германии вышло " Руководство по защите информационных технологий для базового уровня" . Руководство представляет собой гипертекст объемом около 4 МБ (в формате HTML).В дальнейшем оно было оформлено в виде германского стандарта BSI .

В его основе лежит общая методология и компоненты управления информационной безопасностью:

Все виды угроз в стандарте BSI разделены на следующие классы:

• Форс- мажорные обстоятельства.
• Недостатки организационных мер.
• Ошибки человека.
• Технические неисправности.
• Преднамеренные действия.

Аналогично классифицированы контрмеры:

• Улучшение инфраструктуры;
• Административные контрмеры;
• Процедурные контрмеры;
• Программно- технические контрмеры;
• Уменьшение уязвимости коммуникаций; планирование действий в чрезвычайных ситуациях.

Все компоненты рассматриваются и описываются по следующему плану:

1) общее описание;
2) возможные сценарии угроз безопасности (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);
3) возможные контрмеры (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);

Во многих информационных системах требования в области ИБ не являются жесткими: недоступность системы может составлять несколько десятков часов в год, степень конфиденциальности сведений не очень высока. Примерами таких систем являются практически все офисные системы, системы поддержки принятия решений для приложений, где не требуется высокая оперативность. Практические правила обеспечения режима ИБ в подобных случаях обычно основываются на концепции базового уровня ИБ. Базовый уровень обеспечивается совокупностью проверенных практикой правил обеспечения ИБ на всех этапах жизненного цикла информационной технологии. Эти правила носят комплексный характер, то есть охватывают административный, процедурный, программно-технический уровни и все этапы жизненного цикла информационной технологии. Достоинством подобного подхода является сравнительно низкая трудоемкость и ориентация на проверенные стандартные решения. Недостатком является отсутствие оценок параметров, характеризующих режим ИБ. При подобном подходе можно упустить из вида специфические для конкретной информационной системы классы угроз.

В последнее время появились национальные и ведомственные стандарты, в которых определены требования к базовому уровню безопасности информационных технологий.

Документ "BS7799: Управление ИБ" состоит из двух частей.

В "Части 1: Практические рекомендации", 1995 г. [2] , определяются и рассматриваются следующие аспекты ИБ:

• Политика безопасности.
• Организация защиты.
• Классификация и управление информационными ресурсами.
• Управление персоналом.
• Физическая безопасность.
• Администрирование компьютерных систем и сетей.
• Управление доступом к системам.
• Разработка и сопровождение систем.
• Планирование бесперебойной работы организации.
• Проверка системы на соответствие требованиям ИБ.

"Часть 2: Спецификации системы", 1998 г. [9] , рассматривает эти же аспекты с точки зрения сертификации информационной системы на соответствие требованиям стандарта.

Краткое содержание стандартов рассмотрено в Прил. II .

Британский институт стандартов BSI выпустил серию практических рекомендаций [8] [10] [11] [12] [13] [14] [15] [16] [17] , посвященных различным аспектам: оценке и управлению рисками, аудиту режима ИБ, сертификации информационной системы на соответствие стандартам BS7799, организации работы персонала. Эта серия существенно дополняет стандарт BS7799.

В США имеется похожий по подходу и степени подробности документ "Руководство по политике безопасности для автоматизированных информационных систем" [18] , в котором рассмотрены:

• общие положения политики безопасности;
• поддержание безопасности на протяжении жизненного цикла;
• минимальные (базовые) требования в области ИБ.

В 1998 году вышло "Руководство по защите информационных технологий для базового уровня". Руководство представляет собой гипертекст объемом около 4 МБ (в формате HTML). Общая структура документа приведена на Рис. 3 .

Можно выделить следующие блоки:

• Методология управления ИБ (организация менеджмента в области ИБ, методология использования Руководства).
• Компоненты информационных технологий:

• Основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях).
• Инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа).
• Клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы).
• Сети различных типов (соединения "точка-точка", сети Novell NetWare, сети с ОС UNIX и Windows, разнородные сети).
• Элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.).
• Телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы).
• Стандартное ПО.
• Базы данных.

Каталоги угроз безопасности и контрмер (около 600 наименований в каждом каталоге). Каталоги структурированы следующим образом.

Угрозы по классам:

• форсмажорные обстоятельства;
• недостатки организационных мер;
• ошибки человека;
• технические неисправности;
• преднамеренные действия.

Контрмеры по классам:

• улучшение инфраструктуры;
• административные контрмеры;
• процедурные контрмеры;
• программно-технические контрмеры;
• уменьшение уязвимости коммуникаций;
• планирование действий в чрезвычайных ситуациях.

Все компоненты рассматривается по следующему плану: общее описание, возможные сценарии угроз безопасности (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности), возможные контрмеры (перечисляются возможные контрмеры из каталога контрмер).

Фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты информационных технологий и максимально учесть их специфику. К примеру, существуют разделы с описанием сетей на базе Novell Netware 3.x и Novell Netware 4.x. Предполагается оперативное пополнение и обновление стандарта по мере появления новых компонент. Версии стандарта на немецком и английском языках имеются на Web-сервере [5] .

В британском стандарте декларируются некоторые общие принципы, которые предлагается конкретизировать применительно к исследуемым информационным технологиям. Во второй части основное внимание уделено сертификации информационной системы на соответствие стандарту, то есть формальной процедуре, позволяющей убедиться, что декларируемые принципы реализованы. Объем стандарта сравнительно невелик — менее 120 страниц в обеих частях. В германском стандарте, напротив, рассмотрено много "частных случаев" — различных элементов информационных технологий. Объем документа очень велик — несколько тысяч страниц; несомненно, он будет возрастать. Такой подход имеет свои достоинства и недостатки. Достоинство — учет специфики различных элементов. В частности, гораздо лучше, по сравнению с британским стандартом, рассмотрены особенности обеспечения ИБ в современных сетях. Другим достоинством является использование гипертекстовой структуры, что позволяет оперативно вносить изменения и корректировать связи между частями стандарта. Последняя версия стандарта всегда доступна на Web. Недостаток — невозможность объять необъятное — все множество элементов современных информационных технологий на одинаковом уровне детализации. Неизбежно приходится вводить раздел "прочее", в котором в общем виде рассматриваются менее распространенные элементы. В свою очередь, недостатком британского стандарта являются высокие требования к квалификации специалистов, осуществляющих проверку на соответствие требованиям стандарта. Кроме того, в нем недостаточно учитывается специфика современных распределенных систем. Таким образом, оба подхода имеют свои достоинства и недостатки, эволюционируют и только практика их использования позволит выявить лучший или, возможно, предложить иной подход.

Ряд организаций и ведомств предложил свои спецификации для базового уровня ИБ.

Консорциум X/Open выпустил документ под названием "Спецификации сервисов базового уровня ИБ" [3] . Спецификация применима к информационным системам, построенным на базе типовых проектных решений. Предполагается, что концепция обеспечения ИБ организации соответствует стандарту BS 7799. При разработке спецификации использовалось понятие профиля защиты с компонентами, удовлетворяющими требованиям "хорошей практики", формализованным в виде четких критериев (см. Прил. III .

Ведомственный стандарт NASA "Безопасность информационных технологий. Минимальные требования к базовому уровню защищенности" [4] соответствует документу "Руководство по политике безопасности для автоматизированных информационных систем" [18] и конкретизирует его положения. Используется дифференцированный подход: вводится 4 уровня критичности технологии, для которых по 30 позициям специфицируются требования. Следует отметить, что подобный подход — определение нескольких вариантов базовых требований для различных типов технологий, безусловно, оправдан и позволяет учесть их специфику.

Руководство по защите информационных технологий вышло в 1998 г. и представляет собой гипертекстовый электронный учебник. Общая структура германского стандарта BSI приведена ниже.

Структура германского стандарта BSI

Таким образом, в германском стандарте BSI представлены:

• Общая метод управления информационной безопасностью (организация менеджмента в области ИБ, методология использования руководства).
• Описания компонентов современных информационных технологий:
• Описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса ).
• Характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны).
• Характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и сервера под управлением операционных систем семейства DOS, Windows и UNIX).
• Характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).
• Характеристика активного и пассивного телекоммуникационного оборудования ведущих вендоров, например Cisco Systems.
• Подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).

Существенно, что вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании — возможные угрозы и уязвимости безопасности -возможные меры и средства контроля и защиты.

Читайте также:

  
• Виппер иван грозный кратко
  
• Параграф 32 география 6 класс кратко
  
• Бертран рассел неопозитивизм кратко
  
• Синдром страхов у детей кратко
  
• Представьте кратко модель вербальной коммуникации