ISMS

© Христо Тужаров,  

април 2009

СТАНДАРТИЗАЦИЯ НА ИНФОРМАЦИОННАТА СИГУРНОСТ

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

СТАНДАРТИЗАЦИЯ НА ИНФОРМАЦИОННАТА СИГУРНОСТ

ОРАНЖЕВА КНИГА

ПРЕПОРЪКИ X 800

СТАНДАРТ ISO/IEC 15408

СЕРИЯ СТАНДАРТИ ISO 2700х

СТАНДАРТ ISO/IEC 27001

СТАНДАРТ IS0/IЕС 17799  

Стандарт

За дефиниция на понятието “стандарт”, се възприема предложената  от международната организация по стандартизация ISO:

“Стандартите са документирани договорености, съдържащи технически спецификации или други прецизни критерии, които трябва да бъдат използвани последователно, като правила, ръководства или дефиниции на характеристики, с цел да осигуряват необходимата реализация на предназначението на материали, продукти, процеси и услуги”.

Стандартизация

Със  стандартизация в областта на информационните технологии се занимава науката итология.

Стандартите се изготвят и утвърждават на три нива:

• Международни организации, влизащи в структурата на ООН (ISO, IEC )

• Промишлени професионални или административни организации (IEEE, Internet и IAB )

• Промишлени консорциуми (X/Open, OSF )

Съществуват два вида стандартизиращи документи:

• Оценъчни стандарти, насочени към класификация на информационните системи и средствата за защита по изискванията за информационна сигурност.

• Технически спецификации, регламентиращи различни аспекти по реализация на средствата за защита.

Тези два вида нормативни документи са взаимосвързани. Оценъчните стандарти определят най-важните от гледна точка на информационата сигурност характеристики на информационната система, играейки роля на архитектурна спецификация, а техническите спецификации указват начините и средствата за достигане на тези характиристики.

Стандартизирани системи за управление  - разработват се на основата на системния подход и стандарти за съответната област.

Като стандартите:

• Са разработени и се развиват на базата на практически опит и наблюдения на експерти;

• Дават рамка, която може да се използва, за да се проектира, разработи и внедри една динамична и устойчива система за управление.

История на стандартизацията на информационната сигурност

         Оранжева книга - стандарт на министерството на отбраната на САЩ, който се явява първия стандарт за оценка и оказва огромно влияние на развитие стандартизацията на сигурността на информацията в много страни. За пръв път е публикуван през август 1983г.

        Препоръки Х 800 – появил се малко по-късно от  "Оранжевата книга", този документ много пълно разисква въпросите по информационна сигурност на разпределени системи. Той разглежда мрежовите услуги за сигурност и необходимите за реализацията им механизми за сигурност.

        Стандарт ISO/IEC 15408 – най-пълният съвременен оценъчен стандарт издаден на 1 декмври 1999 г. Явява се метастандарт, определящ инструментите за оценка на сигурността на информационните системи и порядъка на тяхното използване.

        BS 7799 – английски стандарт за управление на информационната сигурност, на който са базирани съвременните международни стандарти в тази област. В годините претърпява актуализация и развитие до три части. Първата му част е издадена през февруари 1995г.

        ISO/IEC 17799 – първият международен стандарт, определящ общ модел за създаване на система за информационна сигурност.  Базиран е на стандарта  BS 7799  част 1 и 2. За пръв път е публикуван през 2000г.

         ISO/IEC 2700х – серия  международни стандарти, която днес се използва за оценяване и създаване на системи за информационна сигурност. Първият стандарт от серията ISO/IEC 27001 е публикуван през 2005 г.