Вы находитесь на странице: 1из 6

Стандарты на отдельные

процессы управления ИБ и
оценку безопасности ИТ
ISO/IEC 13335 “Information technology. Security techniques.
Management of information and communications technology
security”

Стандарт состоит из 4 частей:


1. ISO/IEC 13335-1:2004, который объясняет концепции и модели управления
безопасностью ИТТ;
2. ISO/IEC TR 13335-3:1998, устанавливающий методы управления ИБ ИТ, но
эта часть стандарта заменена на ISO/IEC 27005;
3. ISO/IEC TR 13335-4:2000 охватывает выбор защитных мер, но эта часть тоже
заменена на ISO/IEC 27005;
4. ISO/IEC TR 13335-5:2001 – это руководство по управлению безопасностью
сетей. И эта часть заменена на ISO/IEC 18028-1.

2
ISO/IEC 15408 “The Common Criteria for Information Technology
Security Evaluation”

Это наиболее распространённый международный стандарт в области ИБ,


в котором подробно рассмотрены общие подходы, методы и функции
обеспечения защиты информации программно-технического уровня в
организациях. Он состоит из 4 частей. Стандарт позволяет сравнить
результаты независимых оценок ИБ и допустимых рисков на основе
общих требований к функциям безопасности средств и систем ИТ, а
также гарантий, применяемых к ним в процессе тестирования. Функции
обеспечения безопасности ИТ в стандарте делятся на 11 классов и
представлены в виде четырёхуровневой иерархической структуры:
класс–семейство–компонент–элемент. Оценка безопасности ИТ
базируется на моделях системы безопасности, состоящих из этих
функций. В стандарте содержится ряд предопределённых моделей
(профилей защиты), описывающих стандартные модули системы
безопасности. 3
ISO/IEC 18045:2008 “Information technology. Security techniques.
Methodology for IT security evaluation”

В России принят идентичный стандарт ГОСТ Р ИСО/МЭК 18045-2008, который


представляет собой нормативный документ, применяемый совместно с ГОСТ
Р ИСО/МЭК 15408.
ГОСТ Р ИСО/МЭК 18045-2008 описывает минимум действий, выполняемых
оценщиком и органом сертификации, подтверждающим действия оценщика,
при проведении оценки безопасности ИТ по ИСО/МЭК 15408 с
использованием критериев и свидетельств оценки, определённых в
ИСО/МЭК 15408. Стандарт также предназначен для заявителей оценки,
разработчиков, авторов профилей защиты и заданий по безопасности и
другим сторонам, заинтересованным в безопасности ИТ.

4
ISO 19011:2011 “Guidelines for auditing management systems”

Стандарт отражает современные точки зрения на проведение внешних и


внутренних аудитов в соответствии с существующими стандартами на системы
менеджмента. Особое внимание уделено разработке, реализации и
управлению программой аудита. Установлены требования к компетентности
команды аудиторов. Признана важность применения технологий при
удалённом аудите.

Российский стандарт ГОСТ Р ИСО 19011-2003 идентичен стандарту


ISO 19011:2012. Он содержит руководящие указания по принципам аудита,
управлению программой аудита и т.д. В разделе стандарта по управлению
программой аудитов рассматриваются следующие вопросы: определение
цели программы аудитов, определение объёма программы аудитов,
ответственность, ресурсы и процедуры программы аудитов, внедрение
программы аудитов, мониторинг и анализ программы аудитов.
5
Спасибо за внимание!