Управление рисками и международные стандарты Стандарт США nist 800-30 и немецкий стандарт bsi

Download 161,49 Kb.

Sana	24.02.2022
Hajmi	161,49 Kb.
	#201893
Turi	Практическая работа

Bog'liq
15 Практическая работа (1)

15 Практическая работа
Тема: Управление рисками и международные стандарты Стандарт США NIST 800-30 и немецкий стандарт BSI
Цель: Ознакомиться и изучить документ международных стандартов управления информационной безопасностью. Анализ стандарта США NIST 800-30 и немецкого стандарта BSI.
Немецкий стандарт BSI
В 1998 году в Германии было опубликовано Руководство по защите информационных технологий для базового уровня безопасности. Это около 4 МБ гипертекстовых данных (в формате HTML).
Общая структура документа представлена на рисунке 1.

Можно выделить следующие блоки этого документа:
- Методология управления АЗ (организация управления в области информационной безопасности, методология применения руководства);
- компоненты информационных технологий:
- Основные компоненты (организационный уровень информационной безопасности, процедурный уровень, организация защиты данных, планирование аварийного реагирования);
- инфраструктура (здания, строения, кабельные сети, организация удаленного подключения);
- различные типы клиентских компонентов (DOS, Windows, Unix, мобильные компоненты и другие типы);
- различные типы сетей (соединения точка-точка, сети Novell NetWare, сети Unix и Windows, различные сети);
- системы передачи данных (электронная почта, модемы, межсетевые экраны и др.);
Телекоммуникации (факсы, автоответчики, системы на базе ISDN, другие телекоммуникационные системы);
- стандартное программное обеспечение;
- базы данных;
- каталоги угроз безопасности и противодействия (каждый каталог содержит около 600 наименований).
Кроме того, все каталоги имеют следующую структуру.
Классовые угрозы:
- форс-мажор;
- недостатки в организационных мероприятиях;
- человеческие ошибки;
- технические сбои;
- умышленные действия.
Классовые контрмеры:
- улучшение инфраструктуры;
- административные меры противодействия;
- процессуальные меры противодействия;
- программно-аппаратные средства управления;
- снижение уязвимости общения;
- аварийное планирование

Стандарт США NIST 800-30

Этот стандарт предоставляет подробную информацию об управлении рисками. Считается, что система управления рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий, и гарантировать, что предприятие достигает своих основных бизнес-целей.
Для этого система управления рисками интегрирована в систему управления жизненным циклом информационных технологий компании (см. Таблицу 1).

Таблица 1. Управление рисками на разных этапах жизненного цикла информационных технологий
Информационные технологии - это этап жизненного цикла	Соблюдение этапа управления рисками
1. Предварительное планирование (концепция данных ИТ, постановка целей, выполнение задач и документация) 2. ИТ-дизайн 3. Создание ИТ: поставка, установка, настройка и настройка элементов. 4. Производительность ИТ 5. Прекращение работы AT (информационные и вычислительные ресурсы больше не используются должным образом и уничтожаются)	Цели и задачи Определить основные классы риска для данной ИТ на основе концепции ИТ-поддержки. Определите риски, присущие этой ИТ (особенности ИТ-архитектуры) Все классы риска должны быть определены и приняты во внимание для работы ИТ. Периодическая переоценка рисков, связанных с условиями окружающей среды и изменениями в конфигурации ИТ. Соблюдение требований информационной безопасности для указанных информационных ресурсов

Стандарты:

ISO/IEC 27005:2013
ISO/IEC 27002:2005
ISO/IEC 13335-1:2009
ISO/IEC 17799: 2000
ISO/IEC 27001: 2005
ISO/IEC 27005:2011
BS 7799

Download 161,49 Kb.

Do'stlaringiz bilan baham: