Fontosabb nemzetközi informatikai biztonsági szabványok

Common Criteria (CC + CEM)

Jelenlegi verzió: 3.1 

Letölthető:

Common Critera portálról (CC v. 3.1 és CEM v. 3.1)

ISO portalról (CC v.2.1)
  • ISO IEC 15408-1:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model
  • ISO IEC 15408-2:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 2: Security functional requirements
  • ISO IEC 15408-3:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 3: Security assurance requirements

Típus: informatikai termékek és rendszerek értékelése

Rövid leírás: A "Common Criteria for Information Technology Security Evaluation (CC)" (azaz az információs technológia biztonsági értékelésének közös kritériuma) és az ezt kísérő  Common Methodology for Information Technology Security Evaluation (CEM) (azaz az információs technológia biztonsági értékelésének módszertana) adja a Common Criteria Recognition Agreement (CCRA) nemzetközi egyezmény technológiai alapját, amely biztosítja:

  • A termékeket csak hozzáértő, független és engedéllyel rendelkező laboratóriumok értékelik, meghatározzák hogy azok milyen mértékben tesznek eleget bizonyos biztonsági követelményeknek illetve garanciáknak. 
  • A CC tanúsítási folyamat során felhasznált dokumentumokat elkészítik, amelyek meghatározzák hogy a különböző  technológiák tanúsítása során hogyan alkalmazzák a kritériumokat és az értékelési eljárásokat.
  • Az értékelt termékek biztonsági tulajdonságainak értékelés után többféle tanúsítást adhatnak ki, amely tanúsítás az értékelés eredményétől függ.
  • Ezeket a tanúsítványokat minden a CCRA-t aláíró fél elfogadja.

Magyarország részéről a CCRA tagja az Informatikai és Hírközlési Minisztérium.

Korábbi termék/rendszerértékelési dokumentumok: 

COBIT

Jelenlegi verzió: 4.1

Letölthető: http://www.isaca.org/... (magyar változat is!)

Típus: informatikai biztonság irányítási rendszere (ISMS - information security management system)

Rövid leírás: A COBIT (Control Objectives for Information and related Technology) az információs technológia (IT) irányítása területén összegyűjtött legjobb gyakorlatok kézikönyve, melyet az ISACA (Information System Audit and Control Association) és az ITGI (IT Governance Institute) készített 1992-ben. Elsősorban vezetőknek, auditoroknak és IT felhasználóknak szánták, általánosan elfogadott intézkedéseket, indikátorokat, folyamatokat és gyakorlati lépéseket tartalmaz.

COBIT struktúra:

  • tervezés és szervezés
  • beszerzés és megvalósítás
  • szolgáltatás és támogatás
  • figyelemmel kísérés és értékelés 

 

ISO/IEC 27000 <- BS7799

Letölthető: http://www.iso.org/iso/search (nem ingyenes!)

Típus: informatikai biztonság irányítási rendszere (ISMS - information security management system)

Rövid leírás: Az ISO/IEC 27000 szabványsorozat az informatikai biztonság irányítási rendszerének "legjobb gyakorlatait" fogja össze. Elsősorban IT menedszerek számára készült.

Szabványok:

  • ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems -- Requirements
  • ISO/IEC 27002:2005 - Information technology -- Security techniques -- Code of practice for information security management 
  • ISO/IEC 27006:2007 - Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems

Előkészületben:

  • ISO/IEC CD 27000 - Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
  • ISO/IEC CD 27004 -  Information technology -- Security techniques -- Information security management measurements
  • ISO/IEC CD 27005 - Information technology -- Security techniques -- Information security risk management
  • ISO/IEC FDIS 27011 - Information technology -- Information security management guidelines for telecommunications
  • ISO/IEC FDIS 27799 - Health informatics -- Information security management in health using ISO/IEC 27002

 Korábbi szabványok:

 ISO/IEC 27002:2005 korábban ISO 17799 néven futott, azelőtt pedig a BS 7799 Part 1 volt.

ISO/IEC 20000 <- ITIL

Jelenlegi verzió: v3 

Letölthető: http://www.iso.org/iso/search  (nem ingyenes!)  

Hivatalos weblap:  http://www.itil-officialsite.com/home/home.asp

Típus: IT folyamatok kezelése

Rövid leírás: Az ITIL (Information Technology Infrastructure Library) olyan elvek és technikák gyűjteménye, amely az információs technológia infrastruktúrájára, az IT fejlesztésére és működtetésére vonatkozik. Az ITIL tulajdonképpen egy könyvsorozat, amelyet az angol Office of Government Commerce (OGC) készített.

A 2007. májusában készített ITIL v3 az alábbi öt kulcskötetet foglalja magába:

1. Service Strategy
2. Service Design
3. Service Transition
4. Service Operation
5. Continual Service Improvement

Szabványok:

  • ISO/IEC 20000-1:2005 Information technology -- Service management -- Part 1: Specification
  • ISO/IEC 20000-2:2005 Information technology -- Service management -- Part 2: Code of practice


Korábbi dokumentumok:


SAS 70 

Típus: auditing szabvány 

Hivatalos weblap: http://www.sas70.com/

Rövid leírás: A SAS 70 (Statement on Auditing Standards) auditing szabványt az AICPA (American Institute of Certified Public Accountants) 1992-ben hozta létre. A SAS 70 bemutatja, hogy egy független könyvvizsgáló és auditáló cég hogyan ellenőrzi az IT szolgáltatók irányítását és az ehhez tartozó folyamatokat.