Стандартизация вопросов управления информационной безопасностью
Анализ проблемы защиты информации в информационных системах требует, как правило, комплексного подхода, использующего общеметодологические концептуальные решения, которые позволяют определить необходимый системообразующей контекст для редуцирования общей задачи управления безопасностью ИТ к решению частных задач. Поэтому в настоящее время возрастает роль стандартов и регламентирующих материалов общеметодологического назначения.
На роль такого документа претендует, находящийся в стадии утверждения проект международного стандарта ISO/IEC DTR 13335-1,2,3 – «Информационная технология. Руководство по управлению безопасностью информационных технологий». Данный документ содержит:
· определения важнейших понятий, непосредственно связанных с проблемой управления безопасностью ИТ;
· определения важных архитектурных решений по созданию систем управления безопасностью ИТ (СУБ ИТ), в том числе, определение состава элементов, задач, механизмов и методов СУБ ИТ;
· описание типового жизненного цикла и принципов функционирования СУБ ИТ;
· описание принципов формирования политики (методики) управления безопасностью ИТ;
· методику анализа исходных данных для построения СУБ ИТ, в частности методику идентификации и анализа состава объектов защиты, уязвимых мест информационной системы, угроз безопасности и рисков и др.;
· методику выбора соответствующих мер защиты и оценки остаточного риска;
· принципы построения организационного обеспечения управления в СУБ ИТ и пр.