В 1998 году в Германии вышло "Руководство по защите информационных технологий для базового уровня". Руководство представляет собой гипертекст объемом около 4 МБ (в формате HTML).В дальнейшем оно было оформлено в виде германского стандарта BSI.
В его основе лежит общая методология и компоненты управления информационной безопасностью:
• Общий метод управления информационной безопасностью (организация менеджмента в области ИБ, методология использования руководства).
• Описания компонентов современных информационных технологий.
• Основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях).
• Инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа).
• Клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы).
• Сети различных типов (соединения «точка-
• Элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.).
• Телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы).
• Стандартное ПО.
• Базы данных.
• Описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса).
• Характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны).
• Характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и сервера под управлением операционных систем семейства DOS, Windows и UNIX).
• Характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).
• Характеристика активного и пассивного телекоммуникационного оборудования ведущих вендоров, например Cisco Systems.
• Подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
Все виды угроз в стандарте BSI разделены на следующие классы:
• Форс-
• Недостатки организационных мер.
• Ошибки человека.
• Технические неисправности.
• Преднамеренные действия.
Аналогично классифицированы контрмеры:
• Улучшение инфраструктуры;
• Административные контрмеры;
• Процедурные контрмеры;
• Программно-
• Уменьшение уязвимости коммуникаций; планирование действий в чрезвычайных ситуациях.
Все компоненты рассматриваются и описываются по следующему плану:
1) общее описание;
2) возможные сценарии угроз безопасности (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);
3) возможные контрмеры (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);