Кодекс менеджмента безопасности информационных технологий

В настоящем приложении приведено краткое описание национальных стандартов Великобритании [1] и [2] серии BS 7799.

 

Область применения

Серия стандартов BS 7799 включает в себя две части:

BS 7799-1:1999 Кодекс менеджмента безопасности информационных технологий;

BS 7799-2:1999 Технические условия по системам менеджмента безопасности информационных технологий.

Данные стандарты опубликованы Британским институтом стандартов. Стандарт ВS 7799-1:1999 ([1]) заменяет версию 1995 г. Обе части стандарта BS 7799 предназначены для высшего руководства и персонала, ответственного за инициирование, реализацию и поддержание в рабочем состоянии информационной безопасности организации, и могут использоваться в качестве основы для разработки стандартов по обеспечению безопасности организации.

Стандарты [1] и [2] подготовлены комитетом Британского института стандартов по управлению защитой информации. Данные стандарты учитывают последние разработки в области применения технологии обработки информации, особенно в сетях и средствах связи. В них также уделено внимание вовлечению и ответственности высшего руководства организации за обеспечение безопасности информации. В процессе их пересмотра был учтен опыт организаций разных стран мира.

Содержание данных стандартов включают в себя полный набор средств управления и наилучший практический опыт в области информационной безопасности. Данные стандарты также предназначены для применения в качестве основы для выявления диапазона средств управления, необходимых для большинства ситуаций, связанных с использованием информационных систем в промышленности и торговле и, следовательно, могут быть применены в больших, средних и малых организациях.

 

Содержание [1]:

1 Область применения

2 Термины и определения

3 Политика обеспечения безопасности

3.1 Политика обеспечения информационной безопасности

4 Организация безопасности

4.1 Инфраструктура обеспечения безопасности информации

4.2 Безопасность доступа третьей стороны

4.3 Аутсорсинг

5 Классификация и управление активами

5.1 Подотчетность активов

5.2 Классификация информации

6 Обеспечение безопасности персонала

6.1 Безопасность в определении видов работ и выделенных ресурсов

6.2 Обучение пользователей

6.3 Реагирование на инциденты

7 Безопасность физической и окружающей среды

7.1 Области безопасности

7.2 Безопасность оборудования

7.3 Общие средства управления

8 Управление систем связи и операционный менеджмент

8.1 Операционные процедуры и распределение ответственности

8.2 Планирование и приемка систем

8.3 Защита от злонамеренных кодов

8.4 Действия по обслуживанию

8.5 Управление сетью

8.6 Обращение и безопасность носителей информации

8.7 Обмен данными и программным обеспечением

9 Управление доступом

9.1 Требования к системам доступа в организации

9.2 Управление доступом пользователей

9.3 Ответственность пользователей

9.4 Управление доступом в сеть

9.5 Управление доступом в компьютер

9.6 Управление доступом к приложениям

9.7 Мониторинг систем доступа и пользователей

9.8 Мобильная обработка данных и дистанционная работа

10 Разработка и техническое обслуживание системы

10.1 Требования к системам обеспечения безопасности

10.2 Безопасность в прикладных системах

10.3 Криптографические средства управления

10.4 Безопасность файлов прикладных систем

10.5 Безопасность при разработке и поддержки окружающей среды

11 Управление непрерывностью бизнеса

11.1 Аспекты управления непрерывностью бизнеса

12 Соответствие

12.1 Соответствие законодательным и обязательным требованиям

12.2 Анализ политики безопасности и технического соответствия

12.3 Вопросы, связанные с аудитом системы

 

Приложение В

(справочное)

 

Стандарт ETSI * "Свойства и механизмы обеспечения базового уровня безопасности"

________________

* Европейский институт телекоммуникационных стандартов.

В настоящем приложении приведено краткое описание стандарта ETSI [3].

 

Область применения

В стандарте ETSI перечислены все свойства и механизмы обеспечения базового уровня безопасности, которые подверглись оценке и могут применяться в других стандартах ETSI. Однако в приложении к данному стандарту приведены руководящие указания по выбору и применению специальных механизмов обеспечения безопасности. Для специальных рекомендаций приведены соответствующие ссылки на источники информации. Более того, эксперты соответствующих комитетов ETSI могут помочь в случае возникновения вопросов. В большинстве случаев официальные стандарты по применению механизмов обеспечения безопасности отсутствуют, однако сами механизмы обеспечения безопасности используются в организациях. Многие механизмы не опубликованы по причине обеспечения безопасности, так как они используются в специальных приложениях ETSI. Так как наблюдается значительная активность в областях телекоммуникации и криптографии, то данный стандарт периодически пересматривается и корректируется.

 

Содержание

1 Область применения

2 Нормативные ссылки

2.1 Общие свойства и механизмы

2.2 Свойства и механизмы, имеющие отношение к прикладным системам

3 Определения, символы и сокращения

3.1 Определения

3.2 Сокращения

4 Свойства безопасности

4.1 Введение

4.2 Обзор свойств безопасности

4.2.1 Аутентификация

4.2.2 Конфиденциальность

4.2.3 Целостность

4.2.4 Управление доступом

4.2.5 Управление ключами

4.2.6 Неотказуемость

4.2.7 Аудит безопасности

5 Механизмы обеспечения безопасности

5.1 Введение

5.2 Краткий обзор

5.2.1 Механизмы аутентификации/идентификации

5.2.2 Механизмы конфиденциальности

5.2.3 Механизмы целостности

5.2.4 Механизмы управления доступом

5.2.5 Механизмы управления ключами

5.2.6 Механизмы неотказуемости

5.3 Формат описания

Приложение А (справочное) Описание механизмов:

Механизмы обеспечения безопасности/аутентификация/идентификация

Механизмы обеспечения безопасности/аутентификация/идентификация/методы на основе практических знаний

Механизмы обеспечения безопасности/конфиденциальность/шифрование

Механизмы обеспечения безопасности/целостность

Механизмы обеспечения безопасности/управление доступом

Механизмы обеспечения безопасности/управления ключами/распределения открытых ключей

Приложение В (справочное) Связь между услугами и механизмами безопасности

 

Приложение С

(справочное)

 

Руководство по базовой защите информационных технологий

В настоящем приложении приведено краткое описание стандарта [4].

 

Область применения

Целью базовой защиты ИТ путем соответствующего применения стандартизованных организационных, персональных, инфраструктурных и технических защитных мер является достижение стандарта безопасности систем ИТ, который является адекватным и достаточным для удовлетворения требований защиты среднего уровни и может служить в качестве основы для применения в ИТ, требующих более высокого уровня защиты.

С этой целью руководство по базисной защите ИТ рекомендует пакет контрмер для типичных конфигураций, окружающей среды и организационных структур ИТ. При подготовке этого руководства орган по обеспечению безопасности информации Германии принял расчетные оценки риска на основе известных угроз и уязвимостей и разработал для этой цепи пакет мер. Таким образом, пользователям руководства по базисной защите ИТ не придется снова проводить подобный анализ базовой защиты ИТ. Пользователи должны только обеспечить последовательную и полную реализацию рекомендованных защитных мер.

В то же время руководство по базовой защите ИТ помогает обеспечить безопасность ИТ в том, что касается экономически эффективного выполнения требований к защите на среднем уровне, так как политика безопасности индивидуальных систем может ссылаться на это руководство. Таким образом, базовая защита ИТ становится общепринятой основой соглашения по защитным мерам для соответствия требованиям защиты среднего уровня.

 

Содержание

1 Менеджмент безопасности ИТ

2 Применение руководства по базовой защите ИТ

2.1 Применение руководства по базовой защите ИТ

2.2 Установление требований к защите

2.3 Использование руководства по базовой защите ИТ

2.4 Практические советы и операционные вспомогательные средства

3 Базовая защита ИТ основных компонентов

3.1 Организация

3.2 Персонал

3.3 Планирование действий в нештатных ситуациях

3.4 Резервирование

3.5 Защита данных

3.6 Защита от компьютерного вируса

3.7 Общее представление о криптографии

4 Инфраструктура

4.1 Здания

4.2 Прокладка кабелей

4.3 Помещения

4.3.1 Офис

4.3.2 Помещение для сервера

4.3.3 Архивы запоминающих устройств

4.3.4 Помещение технической инфраструктуры

5 Системы, не входящие в сеть

5.1 Дисковая операционная система DOS PC (одиночный пользователь)

5.2 Системы UNIX

5.3 Портативный переносной компьютер

5.4 Дисковая операционная система DOS PC (несколько пользователей)

5.5 ПК Windows NT

5.6 ПК Windows 95

5.7 Общая система, не входящая в сеть

6 Сетевые системы

6.1 Сеть ПК на основе сервера

6.2 Сеть UNIX

6.3 Структура сети равноправных ЭВМ на базе Windows для рабочих групп

6.4 Сеть на основе Windows NT

6.5 Семейство операционных систем Novel Netware 3.x

6.6 Семейство операционных систем Novel Netware 4.x

6.7 Гетерогенные сети

6.8 Управление сетью и системами

7 Системы передачи данных

7.1 Обмен между средами хранения

7.2 Модем

7.3 Межсетевая защита

7.4 Электронная почта

7.5 Интернет сервер

8 Дистанционная передача данных (телекоммуникация)

8.1 Телекоммуникационные системы

8.2 Факсимильные аппараты

8.3 Автоответчики

8.4 Аппаратура дистанционного действия

9 Другие компоненты ИТ

9.1 Стандартное программное обеспечение

9.2 Базы данных

9.3 Средства передачи данных

Каталоги защитных мер

Каталоги угроз

Каталоги угроз с таблицами защитных мер

 

Приложение D

(справочное)

 

Справочник NIST* пo компьютерной безопасности

________________

* Национальный институт стандартов и технологий США.

 

В настоящем приложении приведено кратное описание справочника NIST [5].

 

Область применения

Справочник NIST обеспечивает защиту компьютеризованных ресурсов, включая аппаратуру, программное обеспечение и информацию. В нем разъясняются важные концепции, вопросы стоимости и взаимоотношения средств управления безопасностью. В нем приведены преимущества внедрения средств управления безопасностью, основные технологии или подходы для каждого вида контроля.

Справочник NIST дает широкий обзор компьютерной безопасности с тем, чтобы пользователь мог понять свои нужды в этой области и разработать правильный подход к выбору подходящих средств управления безопасностью. Справочник NIST не содержит описания этапов, необходимых для реализации программы обеспечения компьютерной безопасности. Справочник NIST предоставляет подробные методики внедрения средств управления безопасностью или предлагает руководящие указания по аудиту безопасности специальных систем. В конце каждой главы справочника NIST приведены ссылочные данные.

Целью справочника NIST не является описание требований. В нем рассматриваются преимущества использования различных средств управления компьютерной безопасностью и ситуации, в которых их применение может быть необходимым. Особые требования для национальных систем выделены в тексте. Справочник NIST содержит рекомендации и руководящие указания, в нем не предусмотрены какие-либо меры наказания.

 

Содержание

I Введение и общий обзор

1 Введение

2 Элементы компьютерной безопасности

3 Распределение ответственности и полномочий

4 Общие угрозы: краткий обзор

II Средства менеджмента

5 Политика обеспечения компьютерной безопасности

6 Менеджмент программы компьютерной безопасности

7 Менеджмент риска компьютерной безопасности

8 Безопасность и планирование в жизненном цикле компьютерной системы

9 Гарантии

III Средства операционного управления

10 Управление персоналом/пользователями

11 Подготовка к внештатным ситуациям и стихийным бедствиям

12 Обработка инцидента в компьютерной безопасности

13 Осведомленность, обучение и образование

14 Вопросы безопасности при эксплуатации и технической поддержки компьютера

15 Безопасность физической и окружающей среды

IV Технические средства управления

16 Идентификация и аутентификация

17 Логическое управление доступом

18 Следы аудита

19 Криптография

V Пример

20 Оценка и снижение риска для гипотетической компьютерной системы

 

Приложение Е

(справочное)