28 Августа, 2011

Перечень основных международных организаций по ИБ

Andrey Prozorov
Решил для себя систематизировать основные международные организации по ИБ, материалы которых я периодически читаю и считаю наиболее актуальными и интересными.

1. ISACA (Information Systems Audit and Control Association) - https://www.isaca.org
Ассоциация аудита и контроля информационных систем - ассоциация специалистов в области ИБ/ИТ управления (с 1967 года).
~100.000 членов (и я в том числе).

Ассоциация известна своими системами сертификации для для профессионалов ИБ: CISA (Certified Information System Auditor), CISM (Certified Information Security Manager), CGEIT (Certified in the Governance of Enterprise IT), CRISC (Certified in Risk and Information Systems Control).
 
Из интересных разработок Ассоциации: стандарт COBIT (я планирую в блоге выложить краткий анализ 4й и 5й версии), Business Model for Information Security (BMIS) и много другого.

Также для членов Ассоциации доступно много полезных материалов библиотеки, регулярный журнал ISACA и книжный магазин. Членство платное (~150 $ в год)

2. (ISC)2 (International Information Systems Security Certification Consortium) - https://www.isc2.org

Консорциум известен своей системой сертификации - CISSP (Certified Information Systems Security Professional).

3. NIST (National Institute of Standards and Technology) - http://www.nist.gov
Институт с 1901 года.
Институт регулярно разрабатывает и пересматривает станадрты по ИТ и ИБ (США)
Библиотека материалов тут . Самые "известные" стандарты по ИБ Института:
  • NIST SP 800-12 An Introduction to Computer Security: The NIST Handbook
  • NIST SP 800-30 Risk Management Guide for Information Technology Systems
  • NIST SP 800-39 Managing Information Security Risk: Organization, Mission, and Information System View
  • NIST SP 800-40 Creating a Patch and Vulnerability Management Program
  • NIST SP 800-50 Building an Information Technology Security Awareness and Training Program
  • NIST SP 800-55 Performance Measurement Guide for Information Security
  • NIST SP 800-61 Computer Security Incident Handling Guide
  • NIST SP 800-100 Information Security Handbook: A Guide for Managers
  • NIST SP 800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)
4. ISF (The Information Security Forum) - https://www.securityforum.org
Ассоциация известна своими материалами по ИБ, в частности, документом "2011 Standard of Good Practice for Information Security"

5. CERT (Computer Emergency Response Team) - http://www.cert.org
По сути это экспертная группа по ИБ. Исторически стартовали в Carnegie Mellon University's Software Engineering Institute, сейчас в нем находится координационный центр.

6. SANS Institute - http://www.sans.org
Много интересных стандартов и методологий.
Библиотека тут .

7. CIS (Center for Internet Security) - http://www.cisecurity.org
Много интересных стандартов и методологий.

8.  ISO (International Organization for Standardization) - http://www.iso.org
Организация разрабатывает стандарты, в том числе и по ИТ/ИБ.
Самыми "известными" являются:

  • ISO 9001 - управление качеством
  • ISO 13335 - управление ИТ-безопасностью
  • ISO 15408 - общие критерии оценки безопасности информационных технологи
  • ISO 18044 - управление инцидентами
  • ISO 19011 - аудиты (по 9001 и 14001)
  • ISO 20000 - управление ИТ
  • ISO 27001 - СУИБ
  • ISO 27002 - практические правила СУИБ
  • ISO 27005 - управление рисками
  • и другие

9. BSI (British Standards Institution) http://www.bsigroup.com/ и http://www.bsi-russia.ru/
Британский институт стандартов. Самые "известные":  BS 7799 (см.ISO 27001), BS 10012 (управление защитой ПДн), BS 25999 (управление непрерывностью бизнеса) и BS 25777 (управление непрерывностью ИТ-сервисов).


10. BSI (Bundesamt f