37
- оценка по ИСО/МЭК 21827;
- последующий аудит по ИСО/МЭК 21827;
- составление плана улучшения процесса проектирования безопасности.
В отличие от ИСО/МЭК 15408 или ИСО/МЭК 19790 любое официальное или федеральное агентство, представляющее какую-нибудь систему сертификации по ИСО/МЭК 21827, отсутствует.
B.4 ИСО/МЭК 13335
B 4.1 Цель обеспечения безопасности
Комплект, в настоящее время содержащий ИСО/МЭК 13335-1, был опубликован как технический отчет (часть 1 — в 1996 г., часть 2 — в 1997 г., часть 3 — в 1998 г., часть 4 — в 2000 г. и часть 5 — в 2001 г.). В части 1 «Концепции и модели безопасности ИТ» даны определения основных терминов, относящихся к безопасности ИТ, элементарным аспектам (угрозы, риск, уязвимости и т. д.) и процессам (например, планирование непредвиденных обстоятельств, оценка риска, повышение осведомленности). Данная часть предназначена для ответственных руководителей и работников службы безопасности в организациях. В части 2 «Управление безопасностью ИТ и ее планирование» представлена информация по проектированию процесса обеспечения безопасности ИТ и его интеграции в существующие технологические процессы предприятия и предлагается организация безопасности ИТ. В части 3 «Способы управления безопасностью ИТ» уточняются этапы процесса обеспечения безопасности ИТ и предоставляется информация о методах и способах, которые могут использоваться для достижения этой цели. Наконец, в части 4 «Выбор мер безопасности» представлена информация о том, какие меры безопасности соответствуют каким угрозам и как можно определить приемлемый уровень базовой защиты для организации. В части 5 «Руководство по управлению сетевой безопасностью» представлены рекомендации по управлению безопасностью ИТ без регламентирования каких-либо определенных решений.
Вторая редакция ИСО/МЭК 13335 была опубликована как международный стандарт, состоящий из двух частей; ИСО/МЭК 13335-1 был издан в 2004 г.; он отменяет и заменяет ИСО/МЭК ТО 13335-1-1996 г. и ИСО/МЭК ТО 13335-2-1997 г. ИСО/МЭК 13335-2 заменяет ИСО/МЭК ТО 13335-3 и ИСО/МЭК ТО 13335-4. ИСО/МЭК ТО 13335-5 (управление сетями) объединен с ИСО/МЭК 18028-1.
Существует намерение изменить обозначение стандарта ИСО/МЭК 13335-2 на ИСО/МЭК 27005.
B.4.2 Целевая аудитория
Данный метод обеспечения доверия касается доверия к эксплуатации.
Основной целевой группой являются руководители предприятий или организаций, непосредственно участвующие в планировании и реализации процесса обеспечения безопасности ИТ.
Часть 1 предназначена для руководителей на уровне правления, особенно тех, кто несет ответственность за программу обеспечения безопасности ИТ в масштабе предприятия.
Часть 2 предназначена для руководителей, ответственных за системы ИТ предприятия, или для тех, чья сфера ответственности в значительной степени зависит от использования ИТ.
Части 3 и 4 предназначены для тех, кому приходится иметь дело с безопасностью ИТ на различных этапах жизненного цикла проектов.
Отчеты могут использоваться учреждениями независимо от их начальной структуры. Однако они предназначены для изучения и (при необходимости) модификации структуры необходимых процессов обеспечения безопасности ИТ. Предоставляемая для этого информация не зависит от сложности имеющихся структур и целевого уровня безопасности.
B.4.3 Характеристики
Метод обеспечения доверия включает в себя подход к доверию к среде. В отдельных частях ИСО/МЭК 13335 не излагаются какие-либо конкретные процедуры и решения, а содержатся рекомендации по разработке этих процедур и решений и их адаптации для конкретного предприятия, а также существующие для этих целей методы и модели. Документация не предназначена для измерения уровня безопасности ИТ или любой демонстрации соответствия стандарту.
B.4.4 Разносторонность
В основном стандарты следует адаптировать к конкретным особенностям учреждений и инфраструктуре их ИТ или проектам. Различные части стандарта содержат рекомендации для разных уровней — от уровня правления до уровня проекта. В реальности процессы и процедуры могут реализоваться полностью только в учреждениях среднего масштаба или крупных учреждениях. Однако повсеместно стандарты используются в качестве руководства.
B.4.5 Своевременность
ИСО/МЭК 13335 был опубликован недавно и находился в процессе публикации на момент разработки ИСО/МЭК15443. Однако общий характер положений ИСО/МЭК 13335 не предполагает необходимости в повторном их пересмотре в обозримом будущем.
B.4.6 Завершенность
Данные стандарты являются завершенными относительно описания организации и компонентов процесса обеспечения безопасности ИТ. Они дают только направление определения этих процессов и структур внутри организации; уровень безопасности не обозначается, так как определение этого уровня происходит только в рамках сформированных с их использованием организации и процессов.
B.4.7 Стоимость реализации/объем работ по реализации
Расходы на внедрение и поддержание процесса обеспечения безопасности ИТ на предприятии зависят от имеющейся организационной структуры и не могут утверждаться для всех аспектов. Аналогичные соображения