суббота, 8 июля 2017 г.

Германия: Третья версия «дорожной карты» для стандартизации в сфере ИТ-безопасности


Данная заметка была опубликована 30 июня 2017 года на немецком портале QZ-online.de, посвященном вопросам менеджмента качества.

Требования и варианты реализации мер ИТ-защиты должны быть стандартизированы и скоординированы между секторами промышленности в период ускоренной технологической конвергенции. Именно на решение этой задачи направлены усилия контактной группы по информационной безопасности (Kontaktstelle Informationssicherheit, KSI) при Германской комиссии по электротехнике, электронике и информационной технике при немецком органе по стандартизации DIN и ассоциации VDE (Deutsche Kommission Elektrotechnik Elektronik Informationstechnik im DIN und VDE, DKE/VDE, https://www.dke.de/de  - DKE представляет Германию в таких органах по стандартизации, как CENELEC, ETSI и IEC. Ассоциация VDE, Verband der Elektrotechnik Elektronik und Informationstechnik,  https://www.vde.com/en  – это немецкая ассоциация специалистов по электротехнике, электронике и информационной технике, одна из крупнейших ассоциаций такого рода в Европе – Н.Х.) и координационного центра по вопросам информационной безопасности (Koordinierungsstelle IT-Sicherheit, KITS) при DIN (  http://www.din.de/en ). Последним их результатом стала третья, обновленная версия дорожной карты для стандартизации в сфере IT-безопасности – «Deutsche Normungs-Roadmap IT-Sicherheit Version 3».

Мой комментарий: скачать данный 67-страничный документ можно по адресу https://www.dke.de/resource/blob/778258/44e2d336c2702f285ba669ee5cd47b10/deutsche-normungs-roadmap-it-sicherheit-version-3-0-data.pdf . Также доступен текст предыдущей 2-й редакции «дорожной карты» 2014 года на английском языке, см. https://www.dke.de/resource/blob/778270/b6c1a0052acee92fed3b0d5e557376b5/german-standardization-roadmap-it-security-version-2-data.pdf

Реализация мер безопасности, особенно когда речь идёт о критически-важной инфраструктуре, не должна быть оставлена на волю случая или сведена к минимуму из-за финансовых обстоятельств. Для достижения главных целей ИТ-безопасности – обеспечения доступности, конфиденциальности, целостности и аутентичности – ключевую роль играют защищённые продукты и системы, включая системы менеджмента.

Новые обязанности и деловые процессы приводят к изменению базовых требований

Дорожная карта стандартизации принимает во внимание изменения в законодательно-нормативной базе на уровне Евросоюза, такие, как проект закона о защите персональных данных, который устанавливает новые требования к ИТ-безопасности.

Как поясняет эксперт VDE и глава "CERT@VDE" (первой платформы для координации вопросов ИТ-безопасности, особенно для малого и среднего бизнеса в условиях «промышленности 4.0») Андреас Харнер (Andreas Harner), «В настоящее время, масштабные изменения парадигм организационного, методического и технологического характера в деловых процессах оказывают чрезвычайно сильное влияние на требования и решения в области ИТ-безопасности и защиты персональных данных. Спектр технологических изменений очень широк, от новых поколений компьютерных архитектур и стремительно растущих возможностей по хранению данных до использования распределенных систем, мобильных технологий, искусственного интеллекта, больших данных и бизнес-аналитики, облачных вычислений, «социального бизнеса» и т.д.».

В фокусе внимания запроектированная безопасность и удобство использования

«Запроектированная безопасность» является необходимым условием для того, чтобы ИТ-решения и продукты были взаимно-совместимыми и «интернет вещей» стал реальностью. В то же время, однако, существует конфликт между ИТ-безопасностью и удобством использованием: сколько нужно усилий в области ИТ-безопасности, чтобы предотвратить атаки, и в какой момент меры по информационной безопасности в конечном итоге приводят к тому, что ИТ-система становится непригодной к использованию и неприемлемой для пользователя?

«Мы должны разрешить этот конфликт между ИТ-безопасностью и удобством использования, и здесь открывается ещё одно направление работ по стандартизации», продолжает ИТ-эксперт. Для паники нет оснований. Третья версия дорожной карты по стандартизации в области ИТ-безопасности показывает, что вопросы защиты данных, энергогенерации и энергоснабжения, промышленного производства, здравоохранения и медицинских технологий, «умной» среды обитания, а также критических инфраструктур хорошо покрыты стандартами. Только лишь доля совместно используемых стандартов остается относительно низкой, но эксперты из VDE/DKE и DIN уже работают над этим вопросом. Таким образом, есть уверенность в том, что появится и 4-й вариант дорожной карты.

Перечень соответствующих стандартов ИТ-безопасности, поддерживаемых DIN и VDE/DKE, можно найти по адресу: https://www.security-standards.de/ITSecurityGrid.html

Источник: портал QZ-online.de
https://www.qz-online.de/news/normen-richtlinien/artikel/3-normungs-roadmap-it-sicherheit-3798936.html

Комментариев нет:

Отправить комментарий