Norma HMG Infosec nr 1
HMG Information Assurance Standard No.1 , zwykle w skrócie IS1 , był standardem bezpieczeństwa stosowanym w rządowych systemach komputerowych w Wielkiej Brytanii.
Norma została wykorzystana do oceny – i zaproponowania reakcji na – techniczne zagrożenia dla poufności, integralności i dostępności informacji rządowych. Technika modelowania zastosowana w standardzie była adaptacją Domain Based Security . Pod względem poufności IS1 nie miał zastosowania do informacji, które nie były oznaczone jako ochronne, ale nadal mógł być używany do oceny ryzyka dla integralności i dostępności takich informacji.
Ramy polityki bezpieczeństwa gabinetu brytyjskiego wymagają, aby wszystkie systemy ICT, które zarządzają informacjami rządowymi lub które są z nimi wzajemnie połączone, zostały ocenione pod kątem zidentyfikowania zagrożeń technicznych. IS1 był standardową metodą robienia tego i był wymagany przez poprzednie wersje Security Policy Framework, ale teraz można użyć innych metod.
Wyniki oceny IS1 oraz reakcje na zagrożenia zostały zapisane przy użyciu HMG Information Assurance Standard nr 2 , zwykle w skrócie IS2 , który dotyczył zarządzania ryzykiem i miał znaczenie dla akredytacji rządowych systemów komputerowych.
CESG dostarczyło narzędzia oceny ryzyka IS1.
Przykład
Oświadczenie o pełnej akredytacji HMG IS2 oparte na HMG IS1 ITSHC (kontrola stanu bezpieczeństwa IT) firmy Deloitte i późniejszej naprawie przez firmę Recipero interfejsu między NMPR firmy Recipero a PNC rządu Wielkiej Brytanii, które są systemami używanymi do śledzenia urządzeń mobilnych do celów egzekwowania prawa, zostało opublikowane publicznie. Publiczne oświadczenie o pełnej akredytacji HMG IS2 oparte na rzeczywistym ITSHC (w tym przypadku przez Deloitte) naraża reputację audytora na ryzyko, w przeciwieństwie do poufnego oświadczenia.