1.1.2. Стандарт nist 800-30

Стандарт NIST 800-30 был предложен национальным институтом стандартов США и описывает процесс управления рисками. Рассмотрим концепции, опубликованные национальным институтом стандартов США (NIST) [46].

В соответствии с данным стандартом система управления (информационными) рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий и обеспечить возможность выполнения основных целей предприятия. Необходимым условием является интеграция системы управления рисками в систему управления жизненным циклом информационной технологии (табл. 1.1).

Таблица 1.1

Этапы жизненного цикла ИТКС

Фаза жизненного цикла информационной технологии	Соответствие фазе управления рисками
1. Предпроектная стадия ИТКС (концепция данной ИТКС: определение целей и задач и их документирование)	Выявление основных классов рисков для данной ИТКС, вытекающих из целей и задач, концепция обеспечения ИБ
2. Проектирование ИТКС	Выявление рисков, специфичных для данной ИТКС (вытекающих из особенностей архитектуры ИТКС)
3 Продолжение табл. 1.1 . Создание ИТКС: поставка элементов, монтаж, настройка и конфигурирование	До начала функционирования ИТКС должны быть идентифицированы и приняты во внимания все классы рисков
4. Функционирование ИТКС	Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации ИТКС
5. Прекращение функционирования ИТКС (информационные и вычислительные ресурсы более не используются по назначению и утилизируются)	Соблюдение требований информационной безопасности по отношению к выводимым информационным ресурсам

Стандартом определяются основные стадии технологии управления рисками (рис. 1.1).

Рис. 1.1. Концепция управления рисками NIST 800-30

1.1.3. Стандарт СоbiТ

Концепция СоbiТ является продуктом независимой международной ассоциации аудита и управления информационными системами ISACA [24].

Ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями ИБ. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по организации управления, обеспечению режима ИБ.

Разработанный документ называется СоbiТ (Control Objectives for Information and Related Technology) и состоит из четырех частей:

- краткое описание концепции, положенной в основу (Executive Summary);

- определения и основные понятия (Framework), где определяются основные управляющие процессы для информационной технологии и требования к ним;

- спецификации управляющих процессов и возможные инструменты воздействия (Control Objectives);

- рекомендации по выполнению аудита информационной технологии (Audit Guidelines).

Модель управления СоbiТ описывает универсальную модель управления информационной технологией [27]. В модели присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса, которые группируются следующим образом:

- требования к качеству технологии - показатели качества, стоимость, характеристики доставки. Показатели качества должны подробно описывать возможные негативные аспекты, которые в обобщенном виде входят в целостность и доступность. Кроме того, включаются и показатели, относящиеся к субъективным аспектам: стиль, удобство интерфейсов и др. Характеристики доставки - показатели, в обобщенном виде входящие в доступность и частично конфиденциальность и целостность. Данная система показателей используется при управлении рисками и оценке эффективности информационной технологии.

- доверие к технологии - соответствие принятым стандартам и требованиям, достоверность информации, действенность.

- показатели ИБ - конфиденциальность, целостность, доступность. Обобщенные показатели для технологии, зависящие от соответствующих показателей качества.

- любая работающая информационная технология проходит следующие стадии жизненного цикла:

- планирование и организация. На данной стадии выделяется 11 основных задач.

- приобретение и ввод в действие. На данной стадии выделяется 6 основных задач.

- доставка и поддержка. На данной стадии выделяется 13 основных задач.

- мониторинг за процессами. На данной стадии выделяется 4 основные задачи.

Итого - 34 основные задачи, связанные с ресурсами информационных технологий и оказывающие воздействие на отдельные свойства информации, потребляемой бизнес-процессом. Кроме традиционных свойств информации: конфиденциальность, целостность, доступность, в данной модели используется еще 4 свойства - действенность, эффективность, соответствие формальным требованиям, достоверность.