ISO 13335

ISO 13335
Polecane artykuły


ISO/ IEC TR 13335 jest to tzw. raport techniczny pt. "Technika informacyjna - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych" (ang. 'Information Technology - Guidelines for the Management of IT Security' = GMITS). Raport wydany został wspólnie przez Międzynarodową Organizację Normalizacyjną (ang. ISO = International Standard Organisation) oraz Międzynarodową Komisję Elektrotechniczną (ang. IEC = International Electrotechnical Commission). Dokumenty takie ukazują się w szczególnych przypadkach, gdy jakaś dziedzina jest dopiero w stadium kształtowania. Naturalne jest, iż wówczas regulacje dość często się zmieniają. Z czasem, gdy pewne standardy się ugruntują, raport techniczny może zostać przekształcony w normę (w Polsce już teraz posiada on takowy status - jest to norma PN-I-13335, której pierwsza część została przetłumaczona na język polski).

Zarządzanie bezpieczeństwem systemów informatycznych

Każdy system informatyczny posiada zasoby podatne na zagrożenia pochodzące zarówno z zewnątrz, jak i wewnątrz tegoż systemu. Zasoby posiadają pewne słabości, które mogą zostać wykorzystane przez zagrożenie. Prawdopodobieństwo takiego wykorzystania nazywamy ryzykiem. W celu zminimalizowania ryzyka stosuje się zabezpieczenia, rozumiane jako praktyki, procedury oraz mechanizmy redukujące ryzyko. Jednakże żadne zabezpieczenie nie jest idealne, zawsze istnieje ryzyko szczątkowe. Zdarza się również tak, że słabości nie są wykorzystywane przez żadne znane ryzyko - wówczas zabezpieczenia nie są konieczne.

Kompleksowy proces przeciwdziałania zagrożeniom, polegający na stworzeniu i podtrzymaniu systemu bezpieczeństwa informatycznego instytucji, nazywany jest zarządzaniem bezpieczeństwem.

Treść ISO/ IEC TR 13335

Raport składa się z pięciu części:

* ISO/ IEC TR 13335-1 (PN-I-13335-1) - wytyczne dot. zarządzania bezpieczeństwem systemów informatycznych; omówienie terminologii, związków między pojęciami, podstawowych modeli,

* ISO/ IEC TR 13335-2 - opis planowania i zarządzania bezpieczeństwem systemów informatycznych: 1) cele i strategia bezpieczeństwa; 2) wymagania w zakresie polityki bezpieczeństwa; 3) analiza ryzyka (podejście podstawowego poziomu, nieformalne, szczegółowe, mieszane); 4) plan zabezpieczeń; 5) organizacja służb bezpieczeństwa; 6) szkolenia i działania uświadamiające; 7) lokalizacja i reagowanie na incydenty,

* ISO/ IEC TR 13335-3 - szczegółowy opis technik zarządzania bezpieczeństwem systemów informatycznych: trójpoziomowa polityka bezpieczeństwa, dogłębniejsze metody analizy ryzyka, implementacja zabezpieczeń, sposoby reagowania na incydenty,

* ISO/ IEC TR 13335-4 - zalecenia dot. doboru właściwego rodzaju zabezpieczeń: charakterystyka różnych typów zabezpieczeń, sposoby wyboru właściwego zabezpieczenia ze względu na rodzaj zagrożenia lub systemu, omówienie wytycznych wynikających z innych norm tudzież branżowych opracowań,

* ISO/ IEC TR 13335-5 - regulacje dot. zabezpieczeń połączeń z sieciami zewnętrznymi (sposoby zabezpieczania sieci wewnętrznej w miejscu jej połączenia z siecią zewnętrzną).

Bibliografia

  • Polaczek T., Audyt bezpieczeństwa informacji w praktyce, Wydawnictwo Helion, Gliwice 2006, s. 19-21.
  • Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwa Naukowo-Techniczne, Warszawa 2006.
  • ISO 13335:2004

Autor: Aleksandra Jaworska