Международные стандарты информационной безопасности (Дисциплина «Компьютерные сети»)
Содержание:
Введение
В соответствии с международными и национальными стандартами обеспечение информационной безопасности в любой компании предполагает следующее:
- определение целей обеспечения информационной безопасности компьютерных систем;
- создание эффективной системы управления информационной безопасностью;
- расчет совокупности детализированных качественных и количественных показателей для оценки соответствия информационной безопасности поставленным целям;
- применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
- использование методик управления безопасностью, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
Рассмотрим наиболее известные международные стандарты в области защиты информации, которые могут быть использованы в отечественных условиях.
Стандарты ISO/IEC 17799:2002 (BS 7799:2000)
Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью — Информационные технологии» («Information technology — Information security management*) является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799—1:1995 «Практические рекомендации по управлению информационной безопасностью» («lnformation security management — Part 1: Code of practice for information security management*) и относится к новому поколению стандартов информационной безопасности компьютерных ИС.
Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799—1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
- необходимость обеспечения информационной безопасности;
- основные понятия и определения информационной безопасности;
- политика информационной безопасности компании;
- организация информационной безопасности на предприятии;
- классификация и управление корпоративными информационными ресурсами;
- кадровый менеджмент и информационная безопасность;
- физическая безопасность;
- администрирование безопасности КИС;
- управление доступом;
- требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;
- управление бизнес-процессами компании с точки зрения информационной безопасности;
- внутренний аудит информационной безопасности компании.
Вторая часть стандарта BS 7799—2:2000 «Спецификации систем управления информационной безопасностью» («Information security management — Part 2: Specification for information security management systems»), определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита КИС.
Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:
- «Введение в проблему управления информационной безопасностью» («Information security managment: an introduction*);
- «Возможности сертификации на требования стандарта BS 7799» («Preparing for BS 7799 sertification»);
- «Руководство BS 7799 по оценке и управлению рисками» («Guide to BS 7799 risk assessment and risk management*);
- «Руководство для проведения аудита на требования стандарта» («BS 7799 Guide to BS 7799 auditing*);
- «Практические рекомендации по управлению безопасностью информационных технологий» («Code of practice for IT management*).
В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях. По мнению специалистов, обновление международного стандарта ISO 17799 (BS 7799) позволит не только повысить культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.
Немецкий стандарт BSI
В отличие от ISO 17799 германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.
В германском стандарте BSI представлены:
- общая методика управления информационной безопасностью (организация менеджмента в области информационной безопасности, методология использования руководства);
- описания компонентов современных ИТ;
- описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);
- характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);
- характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и серверы под управлением ОС семейства DOS, Windows и UNIX);
- характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).
- характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;
- подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании — возможные угрозы и уязвимости безопасности — возможные меры, и средства контроля и защиты.
Международный стандарт ISO 15408 «Общие критерии безопасности информационных технологий»
Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. Важное место в этой системе стандартов занимает стандарт ISO 15408, известный как «Соттоп Criteria*.
В 1990 г. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки безопасности ИТ для общего использования. В разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция), которые опирались на свой солидный задел.
За десятилетие разработки лучшими специалистами мира документ неоднократно редактировался. Первые две версии были опубликованы соответственно в январе и мае 1998 г. Версия 2.1 этого стандарта утверждена 8 июня 1999 г. Международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий», или «Соттоп Criteria*.
«Общие критерии» (ОК) обобщили содержание и опыт использования Оранжевой книги, развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США.
В ОК проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства ОК — полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.
Ведущие мировые производители оборудования ИТ сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.
ОК разрабатывались для удовлетворения запросов трех групп специалистов, в равной степени являющихся пользователями этого документа: производителей и потребителей продуктов ИТ, а также экспертов по оценке уровня их безопасности. ОК обеспечивают нормативную поддержку процесса выбора ИТ-продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.
ОК рассматривают информационную безопасность, во-первых, как совокупность конфиденциальности и целостности информации, обрабатываемой ИТ-продуктом, а также доступности ресурсов ВС и, во-вторых, ставят перед средствами защиты задачу противодействия угрозам, актуальным для среды эксплуатации этого продукта и реализации политики безопасности, принятой в этой среде эксплуатации. Поэтому в концепцию ОК входят все аспекты процесса проектирования, производства и эксплуатации ИТ-продуктов, предназначенных для работы в условиях действия определенных угроз безопасности.
Потребители ИТ-продуктов озабочены наличием угроз безопасности, приводящих к определенным рискам для обрабатываемой информации. Для противодействия этим угрозам ИТ-продукты должны включать в свой состав средства защиты, противодействующие этим угрозам и направленные на устранение уязвимостей, однако ошибки в средствах защиты в свою очередь могут приводить к появлению новых уязвимостей. Сертификация средств защиты позволяет подтвердить их адекватность угрозам и рискам.
ОК регламентируют все стадии разработки, квалификационного анализа и эксплуатации ИТ-продуктов. ОК предлагают концепцию процесса разработки и квалификационного анализа ИТ-продуктов, требующую от потребителей и производителей большой работы по составлению и оформлению объемных и подробных нормативных документов.
Требования ОК являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по безопасности ИТ.
Стандарт ISO 15408 поднял стандартизацию ИТ на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных ИС, что в свою очередь откроет новые сферы применения ИТ.
Принятый базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен и для российских разработчиков.
Список литературы
- http://ypn.ru/177/international-standards-of-information-technologies-security/
- https://lektsii.org/3-35925.html
- https://studfiles.net/preview/6211046/page:3/
- https://vuzlit.ru/1009212/natsionalnye_mezhdunarodnye_standarty_rukovodstva_auditu_informatsionnoy_bezopasnosti
- Сравнительная характеристика трех программных продуктов
- Понятие семейного права
- Расчёт стоимости обыкновенных акций
- Понятие, цели, задачи и значение оценки бизнеса (Цели оценки бизнеса)
- Д. Дьюи и его метод проектов (ДЖОН ДЬЮИ И ЕГО ПЕДАГОГИЧЕСКИЕ ВЗГЛЯДЫ.)
- Методы и методики оценки в образовании (Цель оценивания— улучшить качество обучения».)
- Управление рентабельностью банка
- Сервер приложений (Технические характеристики)
- Понятие, цели, задачи, значение оценки бизнеса (идентификация объекта оценки в соответствии с требованиями нормативных документов)
- Виды связи в Российской Федерации
- Стандартные системы доступа к базам данных (Базы данных Основные понятия баз данных)
- Методы и методики оценки в образовании (Современные методы и методики оценивания.)