Стандарт NIST Special Publication 800-30
Вступ
Література
Лекція 4. Стандарти NIST Special Publication 800-30 і XBSS
Навчальні питання
1. Стандарт NIST Special Publication 800-30
2. XBSS-специфікації сервісів безпеки Х/Ореn
1. Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С. А., Симонов С. В. - М.: Компания АйТи; ДМК Пресс, 2004..
2. NIST Special Publication 800-30. Risk Management Guide for Information Technology Systems.
3. Спецификации сервисов базового уровня ИБ X/Open Baseline Security Services Specification (XBSS). C529 - X/Open company, 1996
Стандарт США "NIST Special Publication 800-30. Risk Management Guide for Information Technology Systems" подробно рассматривает вопросы управления информационными рисками. Считается, что система управления рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий, и обеспечить выполнение основных бизнес-целей предприятия.
Для этого система управления рисками интегрируется в систему управления жизненным циклом информационных технологий компании (см. табл. 1).
Рис. 1. Технология управления рисками NIST SP 800-30
Таблица 1. Управление рисками на различных стадиях жизненного цикла информационной технологии
Фаза жизненного цикла информационной технологии | Соответствие фазе управления рисками |
1. Предпроектная стадия (концепция данной ИС: определение целей и задач и их документирование) | Выявление основных классов рисков для данной ИС, вытекающих из целей и задач, концепция обеспечения ИБ |
2. Проектирование ИС | Выявление рисков, специфичных для данной ИС (вытекающих из особенностей архитектуры ИС) |
3. Создание ИС: поставка элементов, монтаж, настройка и конфигурирование | До начала функционирования ИС должны быть идентифицированы и приняты во внимание все классы рисков |
4. Функционирование ИС | Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации ИС |
5. Прекращение функционирования ИС (информационные и вычислительные ресурсы более не используются по назначению и утилизируются) | Соблюдение требований информационной безопасности по отношению к выводимым информационным ресурсам |
Основные стадии, которые согласно стандарту NIST 800-30 должна включать технология управления рисками, показаны на рис 1.
Обсудим эти стадии технологии управления информационными рисками подробнее.