Досканальное знание методологий и стандартов в области компьютерной безопасности позволяет нам неизменно добиваться отличных результатов. Ниже Вы можете ознакомиться с используемыми нами методологиями и стандартами.
Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги—Меллона и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков. Ключевые элементы
OCTAVE предусматривает высокую степень гибкости, достигаемую путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий.
Мы первые в России разработали корпоративную Политику, Стандарт и Методологию управления ИТ-рисками на базе OCTAVE более, чем для 10 крупных предприятий.
Методология CORAS разработана в рамках программы Information Society Technologies. Ее суть состоит в адаптации, уточнении и комбинировании таких методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA.
CORAS использует технологию UML и базируется на Австралийском/новозеландском стандарте AS/NZS 4360:1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practiсe for Information Security Management.
В соответствии с CORAS информационные системы рассматриваются не только с точки зрения используемых технологий, как сложный комплекс, в котором учтен и человеческий фактор.
OSSTMM (Open Source Security Testing Methodology Manual) – открытое руководство по методологии тестирования и оценки мер информационной безопасности. Методология ориентирована на технические детали, например, какие меры безопасности должны быть протестированы, что нужно сделать до начала тестирования, во время проведения проверки и после нее, как оценить результаты.
OSSTMM охватывает следующие области:
- меры защиты информации;
- осведомленность сотрудников в области информационной безопасности;
- меры защиты от фрода и социальной инженерии;
- телекоммуникационные сети;
- беспроводные устройства;
- мобильные устройства;
- управление физическим доступом и физическая безопасность;
- процессы управления безопасностью.
CobIT (Control Objectives for Information and Related Technology) – это набор документов для управления, контроля и аудита информационных систем, например, «Резюме для руководства» (Executive Summary), "Концептуальное ядро" (Framework), "Руководство по управлению" (Management Guideline), "Руководство по аудиту" (Audit Guideline), "Описание назначения способов управления" (Detailed Control Objectives) и "Набор инструментов внедрения" (Implementation Tool Set)
В основе CobIT лежит утверждение: "Ресурсы информационных систем должны управляться набором разумно сгруппированных процессов для обеспечения организации необходимой и достоверной информацией". CobIT пользуется большой популярностью и в настоящее время переживает свое четвертое издание.
ITIL — библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области ИТ. Множество частных и государственных компаний в разных странах мира, включая и Россию, добились значительных успехов в повышении качества ИТ-сервисов, следуя изложенным в ITIL рекомендациям и принципам. В настоящее время ITIL становится стандартом де-факто для ИТ.
Опубликован в 2005 году. Стандарт представляет собой свод правил по управлению информационной безопасностью, разработанных на основе передового мирового опыта. ISO/IEC 17799 является стандартом высокого уровня и потому не зависит от конкретных технических реализаций средств защиты или технологий. Стандарт описывает:
- требования к политике информационной безопасности; организационные меры безопасности;
- классификация и контроль информационных ресурсов;
- кадровые аспекты информационной безопасности;
- физическую защиту информационных ресурсов;
- управление технологическим процессом;
- управление доступом;
- требования к безопасности компонентов систем в ходе их разработки, эксплуатации и сопровождения;
- правила обеспечения непрерывности работы и восстановления;
- требования к соответствию систем информационной безопасности нормативным и руководящим документам.
ISO/IEC 17799 является широко применяемым стандартом в мире.
ISO/IEC 27001
ISO/IEC 27001 – стандарт системы управления информационной безопасностью. Опубликован в 2005 г. организациями International Organization for Standardization and the International Electrotechnical Commission. Его полное название: ISO/IEC 27001:2005 - Information technology - Security techniques - Information security management systems - Requirements but it is commonly known as "ISO 27001". Стандарт предназначен для использования совместно со стандартом ISO 17799, the Code of Practice for Information Security Management.
Этот стандарт является первым в серии стандартов ISO/IEC 27* в области информационной безопасности, например:
-
ISO/IEC 27000 - a vocabulary or glossary of terms used in the ISO 27000-series standards;
-
ISO/IEC 27002 - the proposed re-naming of existing standard ISO 17799;
-
ISO/IEC 27003 - a new ISMS implementation guide;
-
ISO/IEC 27004 - a new standard for information security measurement and metrics;
-
ISO/IEC 27005 - a proposed standard for risk management, potentially related to the current British Standard BS 7799 part 3;
-
ISO/IEC 27006 - a guide to the certification/registration process;
-
ISO/IEC 27799 - a guide to ISO 27001 for health sector organizations;
-
ISO 27001 was based upon and replaced BS 7799 part 2 which was withdrawn.
AS/NZS 4360:2004
Австралийский/новозеландский стандарт AS/NZS 4360:2004 - первый признанный во всем мире стандарт в области управления рисками. Стандарт определяет основные положения по управлению рисками. Он может применяться в организациях различных типов и размеров.
NIST Contingency Planning Guide for Information Technology Systems
Документ представляет собой руководство по организации процессов управления информационными технологиями с точки зрения обеспечения планирования непрерывности бизнес-процессов
Sarbanes-Oxley Act of 2002
The Sarbanes-Oxley Act of 2002 was signed into law by President Bush on 30th of July 2002. This Act introduces many reforms which impact on corporate governance.
The Sarbanes-Oxley Act of 2002 requires that SEC-registered annual reports need to contain an "Internal Control Report".
The Internal Control Report needs to include both an assessment of the effectiveness of internal controls, as well as the procedures of the issuer for financial reporting.
-
Internal Controls have to be established and maintained. These must ensure that material information regarding the company (including consolidated subsidiaries) is known by the certifying officer, as well as others in the company; -
The effectiveness of the company's internal controls must be evaluated by the certifying officer. The report should include their conclusions with respect to the effectiveness of the internal controls;
-
Disclosure to the company's auditors and audit committee of all significant deficiencies with the company's internal controls;
-
Disclosure to the company's auditors and audit committee of any fraud (whether or not material) involving management or other company employees who play a significant role in the company's internal control system;
-
The report should disclose any changes that could significantly affect the company's internal controls since the date when such controls where last evaluated.
-
The penalty for a certifying officer who "knowingly" makes a false certification is a fine of up to US$1,000,000 and up to 10 years imprisonment, while a "willful" violation can result in a fine of up to US$5,000,000 and a jail term of up to 20 years.