Международные стандарты информационной безопасности
Содержание:
Международные стандарты информационной безопасности
В соответствии с международными и национальными стандартами обеспечение информационной безопасности в любой компании предполагает следующее:
• определение целей обеспечения информационной безопасности компьютерных систем;
• создание эффективной системы управления информационной безопасностью;
• расчет совокупности детализированных качественных и количественных показателей для оценки соответствия информационной безопасности поставленным целям;
• применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
• использование методик управления безопасностью, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
Стандарты ISO/IEC 17799:2002 (BS 7799:2000)
Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью — Информационные технологии» («Information technology — Information security management*) является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799—1:1995 «Практические рекомендации по управлению информационной безопасностью»
Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799—1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
• необходимость обеспечения информационной безопасности;
• основные понятия и определения информационной безопасности;
• политика информационной безопасности компании;
• организация информационной безопасности на предприятии;
• классификация и управление корпоративными информационными ресурсами;
• кадровый менеджмент и информационная безопасность;
• физическая безопасность;
• администрирование безопасности КИС;
• управление доступом;
• требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;
• управление бизнес-процессами компании с точки зрения информационной безопасности;
• внутренний аудит информационной безопасности компании.
Вторая часть стандарта BS 7799—2:2000 «Спецификации систем управления информационной безопасностью» («Information security management — Part 2: Specification for information security management systems»), определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита КИС.
Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:
• «Введение в проблему управления информационной безопасностью» («Information security managment: an introduction*);
• «Возможности сертификации на требования стандарта BS 7799» («Preparing for BS 7799 sertification»);
• «Руководство BS 7799 по оценке и управлению рисками» («Guide to BS 7799 risk assessment and risk management*);
• «Руководство для проведения аудита на требования стандарта» («BS 7799 Guide to BS 7799 auditing*);
• «Практические рекомендации по управлению безопасностью информационных технологий» («Code of practice for IT management*).
Германский стандарт BSI
В отличие от ISO 17799 германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.
В германском стандарте BSI представлены:
• общая методика управления информационной безопасностью (организация менеджмента в области информационной безопасности, методология использования руководства);
• описания компонентов современных ИТ;
• описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);
• характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);
• характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и серверы под управлением ОС семейства DOS, Windows и UNIX);
• характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).
• характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;
• подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
Международный стандарт ISO 15408 «Общие критерии безопасности информационных технологий»
Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. Важное место в этой системе стандартов занимает стандарт ISO 15408, известный как «Соттоп Criteria*.
В 1990 г. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки безопасности ИТ для общего использования. В разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция), которые опирались на свой солидный задел.
Стандарт ISO 15408 поднял стандартизацию ИТ на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных ИС, что в свою очередь откроет новые сферы применения ИТ.
Принятый базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен и для российских разработчиков.
Стандарты для беспроводных сетей
Стандарт IEEE 802.11. В 1990 г. Комитет IEEE 802 сформировал рабочую группу 802.11 для разработки стандарта для беспроводных локальных сетей. Работы по созданию стандарта были завершены через 7 лет. В 1997 г. была ратифицирована первая спецификация беспроводного стандарта IEEE 802.11, обеспечивающего передачу данных с гарантированной скоростью 1 Мб/с (в некоторых случаях до 2 Мб/с) в полосе частот 2,4 ГГц. Эта полоса частот доступна для нелицензионного использования в большинстве стран мира.
Стандарт IEEE 802.11 является базовым стандартом и определяет протоколы, необходимые для организации беспроводных локальных сетей WLAN (Wireless Local Area Network). Основные из них — протокол управления доступом к среде MAC (Medium Accsess Control — нижний подуровень канального уровня) и протокол PHY передачи сигналов в физической среде. В качестве физической среды допускается использование радиоволн и инфракрасного излучения.
В основу стандарта IEEE 802.11 положена сотовая архитектура, причем сеть может состоять как из одной, так и нескольких ячеек. Каждая из них управляется базовой станцией, называемой точкой доступа АР (Access Point), которая вместе с находящимися в пределах радиуса ее действия рабочими станциями пользователей образует базовую зону обслуживания BSS (Basic Service Set).
Стандарт IEEE 802.1 lg представляет собой развитие 802.11b и обратно совместим с 802.11b; предназначен для обеспечения скоростей передачи данных до 54 Мбит/с. В числе достоинств 802.1 Ig надо отметить низкую потребляемую мощность, большие расстояния (до 300 м) и высокую проникающую способность сигнала.
Стандарт IEEE 802.1 li — стандарт обеспечения безопасности в беспроводных сетях; ратифицирован IEEE в 2004 г. Этот стандарт решил существовавшие проблемы в области аутентификации и протокола шифрования, обеспечив значительно более высокий уровень безопасности. Стандарт 802.11 i может применяться в сетях Wi-Fi, независимо от используемого стандарта — 802.1 la, b или g.
Стандарты информационной безопасности в Интернете
По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. Поэтому чрезвычайно важно добиваться эффективного решения проблем обеспечения безопасности коммерческой информации в глобальной сети Интернет и смежных Интранет-сетях, которые по своей технической сущности не имеют принципиальных отличий и различаются в основном масштабами и открытостью.
Рассмотрим особенности стандартизации процесса обеспечения безопасности коммерческой информации в сетях с протоколом передачи данных IP/TCP и с акцентом на защиту телекоммуникаций.
Обеспечение безопасности ИТ особенно актуально для открытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну. Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого обеспечивается соответствием требованиям международных стандартов.
Термин «открытые системы» подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от НСД к информации.
В Интернете популярны протоколы безопасной передачи данных, а именно SSL, SET, IPSec. Перечисленные протоколы появились в Интернете сравнительно недавно как необходимость защиты ценной информации и сразу стали стандартами де-факто.
Протокол SSL (Secure Socket Layer) — популярный сетевой протокол с шифрованием данных для безопасной передачи по сети. Он позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи. Протокол SSL обеспечивает защиту данных между сервисными протоколами (такими как HTTP, FTP и др.) и транспортными протоколами (TCP/IP) с помощью современной криптографии. Протокол SSL подробно рассмотрен в главе 11.
Протокол SET (Security Electronics Transaction) — перспективный стандарт безопасных электронных транзакций в сети Интернет, предназначенный для организации электронной торговли через сеть Интернет. Протокол SET основан на использовании цифровых сертификатов по стандарту Х.509.
Как упоминалось ранее, базовыми задачами защиты информации являются обеспечение ее доступности, конфиденциальности, целостности и юридической значимости. SET, в отличии от других протоколов, позволяет решать указанные задачи защиты информации в целом.
В частности, он обеспечивает следующие специальные требования защиты операций электронной коммерции:
• секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;
• сохранение целостности данных платежей. Целостность информации платежей обеспечивается с помощью цифровой подписи;
• специальную криптографию с открытым ключом для проведения аутентификации;
• аутентификацию держателя по кредитной карточке. Она обеспечивается применением цифровой подписи и сертификатов держателя карт;
• аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;
• аутентификацию того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процессинговой карточной системой. Аутентификация банка продавца обеспечивается использованием цифровой подписи и сертификатов банка продавца;
• готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
• безопасность передачи данных посредством преимущественного использования криптографии.
Основное преимущество SET по сравнению с другими существующими системами обеспечения информационной безопасности заключается в использовании цифровых сертификатов (стандарт Х509, версия 3), которые ассоциируют держателя карты, продавца и банк продавца с банковскими учреждениями платежных систем Visa и Mastercard. Кроме того, SET позволяет сохранить существующие отношения между банком, держателями карт и продавцами и интегрируется с существующими системами.
Протокол IPSec. Спецификация IPSec входит в стандарт IP v.6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разработана Рабочей группой IP Security IETF. В настоящее время IPSec включает 3 алгоритмо-независи-мых базовых спецификации, представляющих соответствующие RFC-стандарты. Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения при этом шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети.
Инфраструктура управления открытыми ключами PKI (Public Key Infrastructure) предназначена для защищенного управления криптографическими ключами электронного документооборота, основанного на применении криптографии с открытыми ключами. Эта инфраструктура подразумевает использование цифровых сертификатов, удовлетворяющих рекомендациям международного стандарта Х.509 и развернутой сети центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами.
Список используемой литературы
- http://www.altell.ru/legislation/standards/
- https://www.arinteg.ru/articles/standarty-informatsionnoy-bezopasnosti-27697.html
- https://www.iso.org/ru/isoiec-27001-information-security.html
- EMC Documentum (EMC Documentum)
- 12 правил Кодда (Краткая биография Эдгара Франка)
- Основные принципы и механизмы корпоративного управления (Основные принципы и механизмы корпоративного управления )
- Основные принципы и механизмы корпоративного управления (Основные принципы и механизмы корпоративного управления. Основные механизмы корпоративного управления.)
- Модель мотивации Портера-Лоулера
- Полиграфическая база и «Новые технологические возможности» в исполнении дизайнерской продукции.
- Функции управляющей компании.
- История развития ВРМ (EPM, по определению Gartner Group это:)
- Петровская реформа кириллицы.
- Институт президентства в современном мире
- Механизм соотношения международного публичного и международного частного права (Соотношение международного публичного и международного частного права.)
- Социальное партнерство в сфере труда (Понятие, принципыи стороны социального партнерства в сфере труда)