Vonatkozó szabványok
Az információbiztonság területén számos szabvány és ajánlás létezik és alkalmazható. Az auditok és egyéb munkák során az alkalmazni kívánt szabványt, vagy szabványokat több szempont figyelembe vételével választjuk ki. A teljesség igénye nélkül ezek a következők lehetnek: az audit célja, az audit eredményének felhasználási célja, az ügyfél tevékenységi köre(i), esetleg már meglévő tanúsítványai, az auditált terület jellege, az audit során használni kívánt módszertan, stb.
Nem célunk a felsorolt szabványok teljes körű leírása. A kapcsolódó oldalakon további részletes információk találhatók.
Az alkalmazható szabványok az alábbiak:
- ISO/IEC 17799:2000 és a BS 7799 szabványok
- TCSEC - Trusted Computer Systems Evaluation Criteria, Orange Book
- ITSEC - Information Technology Evaluation Criteria
- ISO/IEC 15408 - Common Criteria
- ITIL (ISO 20000 korábban BS 15000:2000) - Information Technology Infrastructure Library
- COBIT
- ISO 9000-3
ISO/IEC 17799:2000 és a BS 7799 szabványok
A BS 7799 British Standards Institute által kiadott szabványrendszer. Jelenleg két része van a BS 7799 1 és a BS 7799 2.
A BS 7799 1 (Code Practice for Information Security Management - az információbiztonsági menedzsment gyakorlati kódexe).
Az információbiztonsági elvárásokat a szervezet üzleti céljaiból és stratégiájából vezeti le. Alapvetően szervezeti és működési és folyamatszintű információbiztonsági menedzsment szemléletben gondolkodik. Törekvése teljeskörű szervezeti-működési szintű információbiztonsági lefedettség megteremtése.
A Nemzetközi Szabványügyi Szervezet a BS 7799 1-et lényegében változatlan tartalommal nemzetközi szabványként fogadta el. Ez az ISO/IEC 17799.
A BS 7799 2 további kiegészítéseket tartalmaz a BS 7799 1-hez képest, de ezek egyelőre nem részei az ISO/IEC 17799-nek.
A BS 7799- 2 (Specification for Information Management Systems with gudance for use - Az Informatikai Biztonsági Menedzsment Rendszerének Specifikációja - alkalmazási segédlettel) meghatározza a megfelelőség és az ellőrzés (audit) követelményeit, valamint leírja az Informatikai Biztonsági Menedzsment Rendszer - Information Security Management System (ISMS) kialakításának folyamatát mindevégig az alkalmazhatóságot hangsúlyozva.
- http://en.wikipedia.org/wiki/BS_7799
- http://www.standardsdirect.org/iso17799.htm
- http://iso-17799.safemode.org/
- http://www.bsi-global.com/index.xalter
- http://www.17799central.com/cert.htm
- http://www.induction.to/bs7799/
TCSEC - Trusted Computer Systems Evaluation Criteria, Orange Book
Fordításban kb.: Biztonságos Számítógépes Rendszerek Értékelési Kritériumai, más néven: Narancs Könyv.
Az USA Védelmi Minisztériuma által kiadott szabvány. Elsősorban a beszállítóknál alkalmazták. 4 biztonsági osztályt különböztet meg (A, B, C, D), amelyek információvédelmi és működésbiztonsági paramétereken alapulnak.
Kapcsolódó oldalak:
ITSEC - Information Technology Evaluation Criteria
A TCSEC-el analóg és azon alapuló európai szabványrendszer, de azon túlmenően az egyes informatikai rendszertípusokra is definiál külön további biztonsági követelményeket.
ISO/IEC 15408 - Common Criteria
A TCSEC-en és az ITSEC-en alapuló, de az azok között lévő ellentmondásokat és különbségeket feloldó szabvány, amelyet különféle jelentős gyártók és piaci szereplők által támogatott független szervezet az X/Open Company Ltd. dolgozott ki.
Az alapjául szolgáló szabványoktól eltérően nem merev biztonsági elvárásoknak való megfelelésben gondolkodik, hanem eszközökre, eszközrendszerekre szabható védelmi profilokat definiál, egyfajta keretrendszert ad, lényegesen kifinomultabb értékelési rendszerben, mint az alapjául szolgáló szabványok.
Kapcsolódó oldalak:
- http://www.commoncriteriaportal.org
- The Common Criteria standard documents
- http://en.wikipedia.org/wiki/Common_Criteria
ITIL (ISO 20000 korábban BS 15000:2000) - Information Technology Infrastructure Library
Informatikai szolgáltatások minőségbiztosítását célzó szolgáló folyamatosan fejleszett módszertani tudásgyűjtemény. Keretrendszere az üzleti folyamatokat a technológia háttérrel összekötő területek feladatait és megfelelési követelményeit is leírja.
Az informatikai szolgáltatások különféle aspektusaira ad meg követelményrendszereket és módszertanokat: informatikai szolgáltatások tervezése, bevezetése, működtetése, fejlesztése, IT szolgáltatási stratégiák.
Kapcsolódó oldalak:
- http://en.wikipedia.org/wiki/ITIL
- http://www.itil.co.uk/
- http://www.itsmf.com/
- http://www.itil.org.uk/
- http://www.itilcommunity.com/
- http://www.itlibrary.org/
- ttp://itil.technorealism.org/
COBIT
Control Objectives for Information and related Technology (COBIT) az Information Systems Audit and Control Association (ISACA) álatl kiadott módszertani tudásgyűjtemény.
A COBIT elsősorban a vezetők, auditorok számára ad mérési és indikátor- valamint eljárási rendszert, az informatiki infrastruktúra kihasználásának maximalizálásához.
Kapcsolódó oldalak:
- http://en.wikipedia.org/wiki/COBIT
- http://it.safemode.org/
- http://www.isaca.org/
- http://www.controlit.org/
- http://www.theiia.org/ITAudit/index.cfm?act=itaudit.archive&fid=43
ISO 9000-3
A szoftverfejlesztés folyamatainak minőségbiztosítását célzó ISO szabvány. Vannak (lehetnek) információbiztonsági vonatkozásai is.