Реферат на тему Сравнение директив безопасности

Йоханнес Зауэр

Управление безопасностью в соответствии с ITIL, ISO и BSI.

Современным предприятиям адекватный уровень безопасности нужен сегодня больше, чем когда-либо. Деловые и ИТ-процессы переплетаются все теснее: качество первых сильно зависит от готовности служб ИТ, а недоступность последних часто отрицательно сказывается на конкурентоспособности. В связи с этим вот уже в течение многих лет прослеживается тенденция к стандартизации методов и мероприятий в области безопасности информационных технологий.

В последние годы в области безопасности ИТ появилось множество стандартов. Все они нацелены на реализацию адекватной защиты информационных технологий. Соответствующие своды правил и эталонные модели описывают британская ITIL, британский стандарт BS 7799, опирающийся на него стандарт ISO/IEC 17799 и руководство по базовой защите, изданное германским ведомством по безопасности информационной техники (BSI).

Эталонная модель ITIL

Библиотека инфраструктуры ИТ (Information Technologies Infrastructure Library, ITIL) своим появлением обязана стремлению британских властей разработать стандартизированный метод для улучшения качества, безопасности и экономичности процессов ИТ. Для этого Управление государственной торговли Великобритании вместе с предприятиями и организациями выработало эталонную модель, в рамках которой возможна универсальная реализация процессов ИТ.

Содержащаяся в своде правил ITIL библиотека процессов предлагает практическую методологическую модель для внедрения стандартизированных процессов в управлении службами ИТ (IT Service Management, ITSM). Главные задачи улучшение качества услуг ИТ для непрерывных процессов и обеспечение их экономической эффективности. Библиотека процессов делится на несколько разделов. Важнейшие базовые процессы описываются в разделах Service Delivery (доставка услуг) и Service Support (поддержка услуг). Теме безопасности ИТ отводится раздел Security Management (управление безопасностью).

Управление безопасностью в соответствии с ITIL преследует две крайне важные цели:

выполнение требований по безопасности, содержащихся в соглашениях об уровне сервиса (Service Level Agreement, SLA), и других внешних требований, следующих из договоров, законов и правил корпоративной безопасности (политики);

создание определенной (не специфицированной более подробно) базовой защиты.

ITIL, как и BS 7799, уходит корнями в 1980-е гг. С тех пор она утвердилась в качестве стандарта де-факто для моделирования, реализации и управления деловыми процессами ИТ. Возможности сертификации предприятия на соответствие требованиям ITIL в данный момент не существует, вместо этого

ответственные лица могут подтвердить свое знание ITIL и стать обладателями сертификата ITIL Foundation Certificate. Его наличие является необходимым условием для получения базирующегося на нем и значительно более всеобъемлющего сертификата ITIL Service Manager Certificate.

BS 7799 И ISO 17799

British Standard 7799, как и ITIL, содержит практический опыт, которым предприятия и организации могут воспользоваться при реализации мер но обеспечению безопасности ИТ. Уже в конце 80-х гг. у британских властей возникла идея введения стандарта в области безопасности информации. Это привело к разработке Системы правил управления безопасностью информации под руководством Министерства торговли и промышленности. Первая часть BS 7799 была опубликована в качестве стандарта в 1995 г. Всего же в BS 7799 Две части:

BS 7799, часть 1 (ISO/IEC 17799) - руководство по управлению информационной безопасностью;

BS 7799- часть 2 - спецификация систем управления информационной безопасностью.

Если в первой части предлагаются лишь рекомендации по принятию необходимых мер, то во второй определяются методы и требования к системе управления информационной безопасностью (Information Security Management System, ISMS). Поскольку BS 7799 привлек к себе внимание специалистов других стран, в январе 2000 г. первая часть была преобразована в стандарт Международной организации по стандартизации (InternationalOrganizationforStandardization, ISO). ISO/IEC 17799:2000 в данный момент находится на доработке и предположительно летом текущего года будет опубликована в версии 17799:2005э Главные цели ISO/IEC 17799 включают в себя следующее:

определение практически полезных минимальных требований в области безопасности ИТ;

создание общей базы для предприятий, заинтересованных в разработке, реализации и измерении эффективной системы безопасности;

предоставление контрольного стандарта для управления безопасностью ИТ в пределах организации.

ISO/IEC 17799:2000 состоит из десяти тематических разделов, где содержится 127 рекомендаций, которые не представляют собой обязательных норм. Потому сертификация возможна лишь в рамках BS 7799-2.

Сравнение подходов

Все три подхода преследуют цель долгосрочного обеспечения безопасности ИТ и отличаются лишь лежащими в их основе принципами.

Руководство BSI по базовой защите ИТ предлагает структурированный метод создания концепции безопасности и реализации управления безопасностью ИТ. В нем четко описываются необходимые шаги по разработке концепции безопасности. Во многом благодаря такой процессной структуре его использование оказывается очень эффективным. Комплекс мер очень конкретен, и в некоторых случаях даже приводятся значения параметров, которые непосредственно могут быть реализованы в соответствующей системе ИТ. Это очевидная сильная сторона модели BSI. Степень детализации рекомендаций но предлагаемым мерам позволяет быстро внедрить адекватный уровень безопасности информационных технологий. Однако такая техническая глубина не всегда оправдана при интеграции в области деловых процессов, где требуется более высокая степень абстракции. Так, к примеру, руководство BSI не описывает, как предприятие может интегрировать ISMS в уже существующие процессы.

В противовес этому TSO/TEC 17799 описывает требования к мерам по безопасности ИТ скорее с информационной точки зрения и ориентируется на некий типовой уровень. 127 общепризнанных рекомендаций ISO/IEC 17799 чосят все же примерный характер: они служат в качестве ориентира и не обязательны к исполнению. Так, пользователь не найдет советов по поводу длины пароля и прочих деталей конфигурации систем ИТ, как это свойственно для руководства по базовой безопасности систем ИТ. Такой описательный подход позволяет провести общее определение целей безопасности, не вникая во все технические детали.

Оба названных стандарта концентрируются исключительно на безопасности ИТ, между тем как ITIL появилась вследствие совершенно иной мотивации. Хотя безопасность ИТ очень важная часть самых разных базовых процессов ITIL, к примеру управления непрерывностью, первичной мотивацией внедрения ITIL являются цели бизнеса: ITIL в первую очередь нацелена на то, чтобы адаптировать ландшафт ИТ к требованиям пользователей и клиентов. В этот иерархический процессный подход включается и управление безопасностью. Поэтому внедрение системы управления безопасностью в соответствии с 1TIL имеет смысл лишь тогда, когда организация ИТ уже отвечает требованиям ITIL или ее планируется привести в соответствие с ними. Тогда станет возможным обращаться к имеющимся процессам ITIL и дополнять их функциями и процессам и безопасности.

Внедрение управления безопасностью в соответствии с ITIL оказывает значительное влияние на организацию служб ИТ: свод правил предусматривает дополнение всех базовых процессов значительным относящимся к безопасности содержимым (Service Desk, например, в качестве единой точки обращения за помощью). При этом могут использоваться имеющиеся структуры процессов и инструменты отчетности. ITIL предлагает возможность определения ключевого индикатора производительности (Key Performance Indicator, KPI) для измерения эффективности на основе количественных характеристик. Так, об эффективности принятых мер можно судить по количеству инцидентов в области безопасности за определенный промежуток времени.

Кроме того, база данных управления конфигурацией (Configuration Management Database, CMDB) предоставляет централизованную структуру данных. Она очень хорошо расширяется в соответствии с требованиями трех целей защиты: готовности, надежность и целостность. Таким образом оказывается доступен всеобъемлющий инструмент с широким набором интерфейсов. Что касается ISMS, то IT1L в этом случае ссылается на BS 7799 как на эталон в управлении безопасностью, а в приложении А дастся сравнение ITIL и BS 7799.

В случае всех трех подходов речь идет о признанных на международном уровне стандартах безопасности информационных технологий, причем ITIL, в силу исторических причин, занимает особое место. Каждый отличается своими особенностями. Одним из возможных критериев выбора может быть стремление или потребность сертификации: ITIL предлагает лишь возможность персональной сертификации; сертификация в рамках BS 7799 проводится только для второй части (7799-2), а сертификат базовой защиты ИТ, напротив, включает в себя проверку определенного в нем управления безопасностью ИТ, а также реализацию соответствующих мер. На практике часто предлагается своего рода комбинация в целях наилучшего использования особенностей содержания и методов каждого стандарта.

Список литературы

Журнал LAN 8 2005

Похожие рефераты:

Реферат на тему Сказка о том, как Windows и Linux дружили в одной сети Доклад: Флэш-память: типы и принципы Доклад: WiMAX в России Реферат на тему Строим сеть для видео Реферат на тему Как измерить качество речевой связи Реферат на тему Управление услугами triple play Реферат на тему Симметричный доступ на последней миле Реферат на тему Public Ethernet - широкополосная сеть нового поколения. Взгляд на услуги сквозь призму технологии Реферат на тему Контент-вопрос. Видеоконтент в телекоммуникациях, или Video over Broadband как символ времени Реферат на тему Расцвет БЛВС Реферат на тему Внешняя память компьютера Реферат на тему Характеристики процессора и внутренней памяти компьютера (быстродействие, разрядность, объем памяти и др.) Реферат на тему Функциональная схема компьютера. Основные устройства компьютера и их функции Курсовая работа на тему MatLab Курсовая работа на тему Ethernet Курсовая работа на тему Исторические этапы развития массовых коммуникаций Реферат на тему Flash. Кривые Безье Реферат на тему Технологии 3D-звука Реферат на тему Безопасность www-серверов Реферат на тему Восемь мифов про Java Реферат на тему Основы сканирования изображений Реферат на тему Три способа улучшить юзабилити внешних поисковых серверов Доклад: Логическое проектирование Доклад: Каскадные таблицы стилей Реферат на тему Текстовый процессор Word 7.0 Доклад: Закон Мура Реферат на тему Школа И.С. Брука. Малые и управляющие ЭВМ Доклад: Электронные виды информационных ресурсов в области социально-экономических и гуманитарных знаний (концепция разработки) Доклад: Информация и управление. Обратная связь Доклад: Алгоритм и программа Доклад: Компьютер рисует Доклад: Информатика и информационные технологии Реферат на тему Динамические структуры данных: очереди Реферат на тему Динамические структуры данных: двоичные деревья Реферат на тему Что такое информационная модель, и какие бывают информационные структуры Реферат на тему Компьютерное моделирование Доклад: Сжатие информации Доклад: Статические и динамические информационные модели Реферат на тему Компьютер-связист Доклад: Компьютер и текст Доклад: Как оформляют документы Доклад: Виды программного обеспечения, операционной система Реферат на тему Современные тенденции в развитии интернет-технологий Реферат на тему Подпрограммы (процедуры и функции) Реферат на тему Российский путь в информационные технологии 21 века Реферат на тему Создание баннеров с помощью программы Adobe PhotoShop 7.0 Курсовая работа на тему Организация и применение микропроцессорных систем обработки данных и управления Дипломная работа на тему Создание электронного обучающего комплекса по дисциплине "Инновационный менеджмент" Реферат на тему Зарубежные статистические пакеты: описание, возможности, недостатки, перспективы развития Реферат на тему Микросхемотехника Доклад: Применение контент-анализа в изучении межэтнической напряженности Реферат на тему Проект создания политологического сайта в сети Интернет Доклад: Монитор Доклад: Мышиный король Дуглас: специальность: изобретение чудовищ Доклад: Устройства ЭВМ: КЭШ-память Реферат на тему Лазерный принтер Реферат на тему Проблема критического падения производительности ИТ системы в час пик, при условии нехватки оперативных серверных ресурсов Курсовая работа на тему История возникновения Интернет Доклад: Knowledge blogging Реферат на тему Алгоритм сжатия исторической информации Доклад: Информатика Реферат на тему Экономическая дискриминация и рынок рабочей силы в период индустриализации в нефтяной промышленности Баку Реферат на тему Анализ машиночитаемых документов компьютерными средствами Реферат на тему Отраслевые стандарты исторической науки в информационных технологиях: к постановке проблемы Доклад: Археологический источник и база данных. Выбор модели. Доклад: Десятичные матрицы поиска Реферат на тему Интерактивное исследование неколичественных данных: методика и инструментарий Реферат на тему Структурные методы распознавания сложноорганизованных исторических табличных форм Доклад: Совершенствование концепции обучения в техническом университете на примере подготовки специалистов по САПР Реферат на тему Технология выбора эффективных тактик преподавателя при моделировании процесса обучения Доклад: Некоторые аспекты применения УМК Моделирование цифровых систем на языке VHDL Реферат на тему Некоторые проблемы подготовки специалистов на основе перспективных инфор-мационных технологий Доклад: Бизнес-планирование для Интернет-проекта Реферат на тему О синергетической концепции высшего образования Реферат на тему Проблемы информатизации наукоемких технологий обучения Реферат на тему Информационные технологии как инструмент повышения конкурентоспособности торгового предприятия Реферат на тему Программные средства и приёмы работы на компьютере Реферат на тему О спецкурсе Компьютер для историков философии Реферат на тему Автоматизированные обучающие системы Реферат на тему Контент-анализ Курсовая работа на тему Азы программирования и обучающие программы Реферат на тему Работа с готовыми программными продуктами Реферат на тему Персональный компьютер: углубление знакомства Реферат на тему Свойства и признаки объектов гуманитарного Интернета Доклад: Некоторые принципы функционирования сетевого телевидения Реферат на тему К вопросу определения понятия сетевых СМИ Реферат на тему Особенности журналистского процесса в сети Интернет (на опыте США) Реферат на тему Проблемы несанкционированных электронных рассылок Реферат на тему Основные проблемы новой сетевой политики политических партий и общественных организаций Дипломная работа на тему Компьютерные вирусы и борьба с ними Реферат на тему Ликвидация вертикальных конфликтов межсоединений в канале перед трассировкой Реферат на тему Проблемы функционального проектирования самотестируемых СБИС Реферат на тему Задача выбора стратегии для организации в условиях противодействия внешней среды Реферат на тему Проверка непротиворечивости исходных описаний конечных автоматов Реферат на тему Пополнение знаний интеллектуальных систем на основе казуально-зависимых рассуждений Доклад: Принятие решений в экологической геоинформационной системе на основе нечеткой модели классификации Доклад: Комментарии в Cache Доклад: Прикладной или системный? Доклад: Cache': перехват текущего устройства Реферат на тему Агрегация или наследование?