Международные стандарты информационной безопасности. Обзор.

Очень краткий обзор международных стандартов по информационной безопасности и управлению рисками.

NIST (National Institue of Standards and Technology, U.S. Department of Commerce)

 Это национальный институт по стандартам и технологиям министерства торговли США.
В части безопасности существуют такие стандарты:

• FIPS 199 (Стандарты по классификации по безопасности данных и информационных систем федеральных агенств США);
• FIPS 200 (Минимальные требования по безопасности данных и информационных систем федеральных агенств США).
• NIST SP 800-30 (Управление рисками информационных систем)
• NIST SP 800-37 (Сертификация и акредитация федеральных информационных систем)
• NIST Draft SP 800-39 (Управление рисками информационных систем: взгляд со стороны организации)
• NIST SP 800-53 (Рекомендованные контроли безопасности информационных систем федеральных агенств США)
• NIST SP 800-53A (Аудит контролей безопасности информационных систем федеральных агенств США)

NIST 800-60

NIST 800-60 определяет как федеральные агенства США должны классифицировать информацию и информационные системы, что требуется федеральным законом по управлению информационной безопасностью (FISMA).


NIST 800-30 Управление рисками информационных систем

NIST 800-30 описывает процесс управления рисками, оценку рисков и их применение, а также, ключевые концепции по работе с рисками.

Стратегия по управлению рисками заключается в описании того, как организация оценивает риски, реагирует на них и отслеживает их.

Оценка рисков заключается в том, чтобы (1) идентифицировать риски для организации или сквозные риски, направленные через организацию в сторону других организаций, (2) выявить внутренние и внешние уязвимости, (3) оценивать последствия этих рисков при их наступлении и (4) определить вероятности реализации этих рисков.

После оценки рисков организации вырабатывают свою реакцию на риски путем (1) выработки альтернативных вариантов действий, (2) оценки этих вариантов, (3) выбора приемлемого варианта действий, (4) выработки конкретных действий.

Мониторинг рисков заключается в (1) определении эффективности существующих мероприятий, (2) определение тех изменений в организации и информационных системах, которые привносят новые риски и (3) проверка соответствия планируемых мероприятий требованиям законодательства и другим организационным требованиям.



ISO (International Organization for Standardiztion)

Это международная организация по стандартизации.


ISO 27001

 Международный стандарт по информационной безопасности. Обязательные требования.

ISO 27002

 Рекомендации и лучшие практики по реализации системы управления информационной безопасностью на основании 27001.

ISO 27003

 Рекомендации по разработке системы управления информационной безопасностью. Согласование с менеджментом, дизайн.

ISO 27004

 Измерение эффективности системы управления информационной безопасностью. Метрики.

ISO 27005

 Управление рисками информационной безопасности.

ISO 27006

 Стандарт для организаций, которые проводят аудит информационных систем на соответствие ISO 27001. Требования и рекомендации.


ISO 27799 (Информатика в здравоохранении/Health Informatics)

Этот стандарт описывает применение ISO 27002 в организациях здравоохранения и в тех организациях, которые используют персональные данные о состоянии здоровья, с целью защиты этих данных.

ISO 31000

Это стандарт по управлению рисками.



CERT | Software Engineering Institute | Carnegie Mellon University

CERT  является подразделением Института разработки программного обеспечения. Плотно работает с Университетом Carnegie Mellon и Министерством Внутренней Безопасности США (Department of Homeland Security). Цель CERT - это борьба с киберпреступностью. 

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)

Набор инструментов, техник и метод оценки рисков информационной безопасности. Актуальная методика - OCTAVE Allegro, предыдущие - это OCTAVE и OCTAVE-S.

Стандарты Австралии и Новой Зеландии

AS/NZS 4360

Стандарт по управлению рисками. Заменен адаптированной версией ISO 31000:2009 и теперь актуальная версия - это AS/NZS ISO 31000:2009


Комитет спонсорских организаций Комиссии Тредвея 

COSO (Committee of Sponsoring Organizations of the Treadway Commission)

Управление рисками организаций.

"Управление рисками позволяет руководству эффективно действовать в условиях неопределенности и связанных с ней рисков и использовать возможности, увеличивая потенциал для роста стоимости компании. "