logo search
sistemy_zashhity_informacii_za_rubezhom

7.1. Предпосылки создания международных стандартов иб

Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартах ИБ. Использование стандартов способствует решению следующих пяти задач.

Во-первых, строго определяются цели обеспечения информационной безопасности компьютерных систем. Во-вторых, создается эффективная система управления информационной безопасностью. В-третьих, обеспечивается расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям. В-четвертых, создаются условия применения имеющегося инструментария (программных средств) обеспечения информационной безопасности и оценки ее текущего состояния. В-пятых, открывается возможность использования методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем.

Начиная с начала 80-х годов, были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга. Далее будут рассмотрены наиболее известные стандарты по хронологии их создания:

  1. Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);

  2. Гармонизированные критерии европейских стран;

  3. Рекомендации Х.800;

  4. Германский стандарт BSI;

  5. Британский стандарт BS 7799;

  6. Стандарт ISO 17799;

  7. Стандарт «Общие критерии» ISO 15408;

  8. Стандарт COBIT

Эти стандарты можно разделить на два вида:

Важно отметить, что между этими видами нормативных документов существует логическая взаимосвязь. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры. Далее рассмотрены особенности этих стандартов.