5515044222

5. NORMY I ZALECENIA PODSTAWĄ ROZWOJU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Kluczowym dla zarządzania bezpieczeństwem informacji jest Raport Techniczny - ISO/IEC TR 13335, składający się z pięciu części, z których pierwsza obowiązuje od roku jako Polska Norma. Pozostałe części są w różnym stadium przygotowania. Poszczególne części raportu zawierają następujące informacje:

*    ISO/IEC/TR 13335-1/PN-I-13335-1: Wytyczne do zarządzania bezpieczeństwem systemów informatycznych:

-    terminologia, związki między pojęciami,

-    podstawowe modele.

*    ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpieczeństwem systemów informatycznych:

-    różne podejścia do prowadzenia analizy ryzyka,

-    plany zabezpieczeń,

-    rola szkoleń i działań uświadamiających,

-    stanowiska pracy w instytucji związane z bezpieczeństwem.

*    ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem systemów informatycznych:

-    formułowanie trój poziomowej polityki bezpieczeństwa,

-    rozwinięcie problematyki analizy ryzyka,

-    rozwinięcie problematyki implementacji planu zabezpieczeń,

-    reagowanie na incydenty.

*    ISO/IEC/TR 13335-4: Wybór zabezpieczeń:

-    klasyfikacja i charakterystyka różnych form zabezpieczeń,

-    dobór zabezpieczeń ze względu na rodzaj zagrożenia i rodzaj systemu.

*    ISO/IEC/WD 13335-5: Zabezpieczenie dla połączeń z sieciami zewnętrznymi:

-    dobór zabezpieczeń stosowanych do ochrony styku systemu z siecią zewnętrzną.

Oprócz dokumentów ISO istnieje szereg zaleceń zawierających wytyczne w zakresie ochrony systemów teleinformatycznych o zasięgu raczej lokalnym, dotyczących kraju, grupy krajów lub grupy użytkowników, np. Internetu. Dokumenty tego typu, opracowane w sposób dość szczegółowy, stanowią cenne uzupełnienie norm ISO/IEC. Należy przypuszczać, że na ich podstawie niebawem powstaną normy międzynarodowe.

Ponadto istnieje wiele standardów związanych z bezpieczeństwem teleinformatycznym, które pośrednio dotykają problematyki zarządzania bezpieczeństwem informacji. Do tej grupy należy zaliczyć przede wszystkim Wspólne Kryteria do Oceny Zabezpieczeń Teleinformatyki, które uzyskały status normy ISO (ISO/IEC 15408). Na uwagę zasługują także standardy FIPS, np. do oceny modułów kryptograficznych, standardy związane z infrastrukturą klucza publicznego, podpisem elektronicznym, zabezpieczeniami kryptograficznymi, kartami elektronicznymi i jeszcze z wieloma innymi zagadnieniami szczegółowymi z obszaru bezpieczeństwa.

Politechnika Rzeszowska im. Ignacego Łukasiewicza Zakład Systemów Rozproszonych Rzeszów 2002