Android. Операционна система. Мултимедия. Социални медии. Инструменти. Кодеци. Графика
Вие сте тук: » »

Дисциплина за информационна сигурност руски и международни стандарти. Международни правни стандарти в областта на защитата на личните данни

Гарантиране на сигурността на информационните системи в В момента е невъзможно без компетентно и висококачествено създаване на системи за информационна сигурност. Това определи работата на световната общност за систематизиране и рационализиране на основните изисквания и характеристики на подобни системи по отношение на информационната сигурност.

Един от основните резултати от подобни дейности беше системамеждународни и национални стандартиинформационна сигурност,който съдържа повече от сто различни документа.

Това важи особено за т.нар отворени системи за комерсиална употреба, обработваща информация с ограничен достъп, която не съдържа държавна тайна, и бързо развиваща се у нас.

Под разбират отворените системи набор от всички видове изчислително и телекомуникационно оборудване от различни производители, чието съвместно функциониране се осигурява от спазването на изискванията на стандартите, предимно международни.

Терминът " отворен " също така предполага, че ако една изчислителна система отговаря на стандартите, тогава тя ще бъде отворена за взаимно свързване с всяка друга система, която отговаря на същите стандарти. Това, по-специално, се отнася за механизми за защита на криптографска информация или защита срещу неоторизиран достъп ( NSD)към информация.

Специалисти по информационна сигурност ( Е) днес е почти невъзможно да се направи без познаване на съответните стандарти.

първо, Стандартите и спецификациите са една от формите за натрупване на знания, предимно за процедурните и софтуерно-хардуерните нива на информационна сигурност. Те документират доказани, висококачествени решения и методики, разработени от най-квалифицираните специалисти.

Второ , и двете са основното средство за осигуряване на взаимна съвместимост на хардуерно-софтуерните системи и техните компоненти, а в интернет:-общностТози продукт наистина работи и е много ефективен.

Наскоро в различни страни се появи ново поколение стандарти в областта на информационната сигурност, посветени на практическите въпроси на управлението на информационната сигурност на компанията. Това са преди всичко международни и национални стандарти за управление на информационната сигурност ISO 15408, ЕO 17799 (БС7799), БС.И.; стандарти за одит на информационни системи и информация

он-лайн сигурност БУХАЛазТ,САВ, COСЗАи някои други подобни на тях.

Международните стандарти са от особено значение ISO 15408, ISO 17799 служи като основа за всяка работа в областта информационна сигурност, включително одит.

ISO 15408 - определя подробно изисквания към софтуерните и хардуерни средства за защита на информацията.

ISO 17799 - фокусирани върху проблемите организация и управление на сигурността.

Използване на международни и национални стандарти осигуряването на информационна сигурност помага за решаването на следните пет задачи:

- Първо , определяне на цели за осигуряване на информационна сигурност на компютърните системи;

- на второ място , създаване на ефективна система за управление на информационната сигурност;

- трето , изчисляване на набор от подробни не само качествени, но и количествени показатели за оценка на съответствието на информационната сигурност с поставените цели;

- четвърто , прилагане на средства за информационна сигурност и оценка на текущото й състояние;

- пето , използването на техники за управление на сигурността с добре обоснована система от показатели и мерки за подпомагане на разработчиците на информационни системи, които им позволяват обективно да оценяват сигурността на информационните активи и да управляват информационната сигурност на компанията.

Съсредоточете се върху международния стандарт ISO/ 15408 и неговия руски аналог на GOST R ISO/IEC15408 -2002 „Критерии за оценка на сигурността на информационните технологии“и също спецификации"Интернет-общности."

Провеждане на одитинформационната сигурност се основава на използването на множество препоръки, които са изложени главно в международни стандарти Е.

Започвайки от самото начало 80-те години, са създадени десетки международни и национални стандарти в областта на информационната сигурност, които в известна степен се допълват взаимно.

В лекцията се разглеждат най-важните стандарти, чието познаване е необходимо на разработчиците и оценителите на продукти за сигурност, системните администратори, ръководителите на службите за информационна сигурност и потребителите според хронологията на тяхното създаване, включително:

    Критерий за оценка на надеждността на компютърните системи " Оранжева книга"(САЩ);

    Хармонизирани критерии на европейските страни;

    немски стандарт BSI;

    британски стандарт Б.С. 7799 ;

    стандарт " Общи критерии"ISO 15408;

    Стандартен ISO 17799;

    Стандартен COBIT

Тези стандарти могат да бъдат разделени на два различни вида:

    Стандарти за оценка , насочени към класифициране на информационни системи и средства за защита според изискванията за сигурност;

    Технически спецификации регулиране на различни аспекти от прилагането на защитните средства.

Важно е да се отбележи, че между тези видове нормативни документиняма празна стена, напротив, има логическа връзка.

Стандарти за оценка подчертават най-важните аспекти на информационната сигурност от гледна точка на информационната сигурност, играещи ролята на архитектурни спецификации.

Технически спецификации определя как да се изгради ИС с предписана архитектура. По-долу са описани характеристиките на тези стандарти.

2. Критерии за оценка на надеждни компютърни системи

оранжева книга")

Проблемът с компютърната информационна сигурност не е нов - специалистите се занимават с него от момента, в който компютърът започна да обработва данни, които са с висока стойност за потребителя. Въпреки това през последните години, поради развитието на мрежите и нарастващото търсене на електронни услуги, ситуацията в областта на информационната сигурност се влоши сериозно и въпросът за стандартизирането на подходите за решаването му стана особено актуален както за разработчиците, така и за потребителите на ИТ инструменти.

Защо трябва да знаете теорията?

Всеки специалист по информационна сигурност преминава през три етапа в своето професионално развитие. Първият от тях е „работа с ръцете си“. Новакът интензивно, използвайки специализирани инструменти, търси и елиминира много специфични пропуски в системния и приложен софтуер. Скенер, пач, порт, връзка - това са обектите, с които работи на този етап.

Вторият етап е „работа с главата“. Уморен от запушване на нови и нови пропуски, специалистът започва да разработва планове и методи, чиято цел е да рационализира действията за подобряване на сигурността на системите и премахване на последствията от информационни заплахи. Именно на този етап възниква понятието „политика за сигурност“.

И накрая, идва време за размисъл - на този етап опитният специалист разбира, че най-вероятно преоткрива колелото, тъй като стратегиите за сигурност вероятно вече са разработени преди него. И в това той със сигурност е прав.

Множество организации по света отдавна се занимават с проблема на информационната сигурност, а резултатът от тяхната дейност са огромни томове стандарти, регламенти, препоръки, правила и др. Едва ли е препоръчително да изучавате целия том, но със сигурност си струва да знаете основните документи. Ето защо в тази статия ще споменем само най-важните руски и международни разпоредби, които установяват стандарти в областта на информационната сигурност.

Концепция за информационна сигурност

Развитието на информационните и телекомуникационни системи за различни цели (предимно Интернет), както и електронният обмен на ценна информация, нуждаеща се от защита, изискват от специалисти, работещи в тази област, да систематизират и рационализират основните изисквания и характеристики на компютърните системи по отношение на на сигурността. Въпреки това, преди да се премине към разглеждане на формираните стандарти, е необходимо да се определи какво е сигурност.

Отчитайки важността на понятието, ще се опитаме да формулираме неговото разширено определение, което ще вземе предвид най-новите международни и вътрешни разработки в тази област. И така, информационната сигурност е състояние на устойчивост на данни срещу случайни или умишлени влияния, изключващи неприемливи рискове от тяхното унищожаване, изкривяване и разкриване, което води до материални щети на собственика или потребителя.

Това определение най-пълно отчита основната цел на търговската информационна компютърна система - минимизиране на финансовите загуби, получаване на максимални печалби при реални рискове.

Тази разпоредба е особено приложима за така наречените публични отворени системи, които обработват класифицирана информация с ограничен достъп, която не съдържа държавна тайна. Днес системи от този тип се развиват бързо както по света, така и у нас.

Международен стандарт за информационна сигурност

Основният стандарт за информационна сигурност ISO 15408, приет през 1998 г., със сигурност е много важен за руските разработчици. Освен това през тази 2001 г. Госстандарт планира да подготви хармонизирана версия на този документ.

Международната организация по стандартизация (ISO) започна да разработва Международния стандарт за критерии за оценка на сигурността на информационните технологии за обща употреба, „Общи критерии“ през 1990 г. В създаването му участват: Националният институт за стандарти и технологии и Агенцията за национална сигурност (САЩ), Службата за комуникационна сигурност (Канада), Агенцията за информационна сигурност (Германия), Националната агенция за сигурност на комуникациите (Холандия), изпълнителните органи на Програмата за ИТ сигурност и сертифициране (Англия), Център за системна сигурност (Франция).

След като стандартът беше финализиран, той получи номер ISO 15408.

Пускането и внедряването на този стандарт в чужбина е придружено от разработването на нова, стандартизирана архитектура, която е предназначена да гарантира информационната сигурност на изчислителните системи. С други думи, създават се компютърен хардуер и софтуер, които отговарят на Общите критерии. Например международната организация "Open Group", която обединява около 200 водещи компютърни и телекомуникационни компании от цял ​​свят, пусна нова архитектура за информационна сигурност за търговски автоматизирани системи, като вземе предвид тези критерии.

Освен това „Отворена група” създава обучителни програми, които спомагат за бързото и качествено внедряване на стандартизационните документи.

Характеристики на процеса на стандартизация на Интернет

Глобалната мрежа отдавна има редица комитети, които се занимават със стандартизацията на всички интернет технологии. Тези организации, които съставляват по-голямата част от Internet Engineering Task Force (IETF), вече са стандартизирали няколко важни протокола, като по този начин ускоряват приемането им в Интернет. Семейството TCP/IP протоколи за пренос на данни, SMTP и POP за имейл, както и SNMP (Simple Network Management Protocol) за управление на мрежата са резултатите от IETF.

През последните няколко години онлайн пазарът стана свидетел на това, което е известно като фрагментирано влияние върху формирането на стандарти. Тъй като Интернет се разшири до потребителските и търговските пазари, някои фирми започнаха да търсят начини да повлияят на стандартизацията, като създадоха подобие на конкуренция. Дори неофициални организации като IETF усетиха натиска. С развитието на пазарите, свързани с интернет, предприемачите започнаха да формират специални групи или консорциуми, за да популяризират собствените си стандарти. Примерите включват форум за OMG (Група за управление на обекти), VRML (Език за маркиране на виртуална реалност) и Java Development Connection. Понякога сериозните потребители на интернет услуги определят де факто стандарти със своите покупки или поръчки.

Една от причините за възникването на различни групи стандарти е противоречието между непрекъснато нарастващия темп на развитие на технологиите и дългия цикъл на създаване на стандарти.

Сигурните протоколи за предаване на данни са популярни като средство за гарантиране на сигурност в Интернет, а именно SSL (TLS), SET, IP v. 6. Те се появиха сравнително наскоро и веднага станаха де факто стандарти.

SSL (TLS)

Най-популярният в момента мрежов протокол за криптиране на данни за защитено предаване по мрежата е набор от криптографски алгоритми, методи и правила за тяхното прилагане. Позволява ви да установите защитена връзка, да наблюдавате целостта на данните и да решавате различни свързани проблеми.

НАБОР

SET (Security Electronics Transaction) е обещаващ протокол, който осигурява сигурни електронни транзакции в Интернет. Базира се на използването на цифрови сертификати по стандарта X.509 и е предназначен за организиране на електронна търговия в мрежата.

Този протокол е стандарт, разработен от MasterCard и Visa с участието на IBM, GlobeSet и други партньори. Той позволява на клиентите да купуват стоки онлайн, като използват най-сигурния механизъм за плащане, наличен днес. SET е отворен стандартен многостранен протокол за извършване на плащания в Интернет с пластмасови карти.

Той осигурява кръстосано удостоверяване между акаунта на картодържателя, търговеца и банката на търговеца, за да се провери готовността за плащане, както и целостта на съобщенията и поверителността, криптиране на ценни и чувствителни данни. SET може да се счита за стандартна технология или система от протоколи за извършване на сигурни плащания, базирани на пластмасови карти през Интернет.

IPSec

Спецификацията IPSec е включена в стандарта IP v. 6 и е допълнение към текущата версия на TCP/IP протоколите. Разработва се от IETF IP Security Working Group. В момента IPSec включва три независими от алгоритъма основни спецификации, представляващи съответните RFC стандарти.

Протоколът IPSec предоставя стандартен начин за криптиране на трафика на мрежовия (трети) IP слой и защитава информацията въз основа на криптиране от край до край: независимо от работещото приложение, всеки пакет от данни, преминаващ през канала, е криптиран.

  • Той позволява на организациите да създават виртуални частни мрежи в Интернет. IPSec работи върху конвенционалните комуникационни протоколи, поддържайки DES, MD5 и редица други криптографски алгоритми.
  • Осигуряването на информационна сигурност на мрежово ниво с помощта на IPSec включва:
  • поддръжка на виртуални мрежи в незащитени мрежи;
  • защита на хедъра на транспортния слой от прихващане (защита от неоторизиран анализ на трафика);
  • защита срещу атаки за отказ на услуга.

Освен това IPSec има две важни предимства:

  1. използването му не изисква промени в междинните мрежови устройства;
  2. Не е задължително настолните компютри и сървърите да поддържат IPSec.

Характеристики на руския пазар

Исторически в Русия проблемите на ИТ сигурността се изучават и своевременно решават само в областта на защитата на държавните тайни. Подобни, но специфични проблеми в търговския сектор на икономиката отдавна не намират подходящи решения. Този факт все още значително забавя появата и развитието на сигурни ИТ инструменти на вътрешния пазар, който се интегрира с глобалната система. Освен това информационната сигурност в търговската автоматизирана система има свои собствени характеристики, които просто трябва да бъдат взети под внимание, тъй като те оказват сериозно влияние върху технологията за информационна сигурност. Изброяваме основните:

  1. Приоритет на икономическите фактори. За една търговска автоматизирана система е много важно да се намалят или премахнат финансовите загуби и да се гарантира, че собственикът и потребителите на този инструмент печелят при реални рискове. Важно условие за това по-специално е минимизирането на типичните банкови рискове (например загуби поради грешни указания за плащане, фалшифициране на платежни документи и др.);
  2. Отвореност на дизайна, осигуряваща създаването на подсистема за информационна сигурност от инструменти, които са широко разпространени на пазара и работят в отворени системи;
  3. Правното значение на търговската информация, което може да се определи като свойство на защитена информация, което позволява да се осигури правна сила на електронни документи или информационни процеси в съответствие с правния режим на информационните ресурси, установен от законодателството на Руската федерация. Това условие напоследък придобива все по-голямо значение в нашата страна, заедно със създаването на регулаторна рамка за ИТ сигурност (особено при взаимодействието на автоматизирани системи на различни юридически лица).

Очевидно е, че създаването на защитени ИТ, които обработват поверителна информация, която не съдържа държавни тайни, е изключително важно за икономическия и финансов живот на съвременна Русия. Прилагането в Русия на хармонизирания стандарт ISO 15408 („Общи критерии“), отразяващ най-новите световни постижения в оценката на информационната сигурност, ще позволи:

  • запознаване на руските ИТ със съвременните международни изисквания за информационна сигурност, което ще опрости, например, използването на чужди продукти и износа на собствени;
  • улесняване на разработването на съответните руски специализирани регулаторни и методологични материали за тестване, оценка (мониторинг) и сертифициране на сигурни банкови и други ИТ инструменти и системи;
  • създаване на база за качествена и количествена оценка на информационните рискове, необходими за осигуряване на автоматизирани системи;
  • намаляване на общите разходи за поддържане на режим на информационна сигурност в банки и корпорации чрез типизиране и унифициране на методи, мерки и средства за защита на информацията.

Държавни стандарти

Сред различните стандарти за сигурност на информационните технологии, които съществуват в нашата страна, трябва да се подчертаят редица документи, регулиращи защитата на взаимното свързване на отворени системи (Таблица 1, редове 1-3). Към тях можете да добавите нормативни документи относно инструменти, системи и критерии за оценка на сигурността на компютърно оборудване и автоматизирани системи (вижте таблица 1, редове 4-8). Последната група документи, подобно на много по-рано създадени чуждестранни стандарти, е фокусирана предимно върху защитата на държавните тайни.

Таблица 1.Нормативни документи, регламентиращи оценката на ИТ сигурността

п/п 		Номер на документа Описание
1 ГОСТ Р ISO 7498-2-99 Информационни технологии. Взаимосвързаност на отворени системи. Базов референтен модел. Част 2. Архитектура за информационна сигурност
2 GOST R ISO/IEC 9594-8-98 Информационни технологии. Взаимосвързаност на отворени системи. Справочник. Част 8: Основи на удостоверяването
3 GOST R ISO/IEC 9594-9-95 Информационни технологии. Взаимосвързаност на отворени системи. Справочник. Част 9. Дублиране
4 - Ръководен документ на Държавната техническа комисия "RD. SVT. Защитни стени. Защита от неоторизиран достъп до информация. Индикатори за сигурност от неоторизиран достъп до информация" (Държавна техническа комисия на Русия, 1997 г.)
5 ГОСТ Р 50739-95 "Компютърна техника. Защита срещу неоторизиран достъп до информация. Общи технически изисквания"
6 ГОСТ 28147-89 Системи за обработка на информация. Криптографска защита. Алгоритъм за криптографско преобразуване
7 ГОСТ Р 34.10-94 Информационни технологии. Криптографска защита на информацията. Процедури за генериране и проверка на електронен подпис, базиран на асиметричен криптографски алгоритъм
8 ГОСТ Р 34.11-94 Информационни технологии. Криптографска защита на информацията. Хеш функция

Как и къде работят различните стандарти

Всички налични в момента стандарти са многостепенни. Това означава, че използването им е ограничено до определено ниво на абстракция в информационните системи (например „Общите критерии“ не могат да се използват за подробно описание на механизма за генериране на сесиен ключ в протокола TLS). Очевидно, за да се прилагат ефективно стандартите, е необходимо да се разбира добре тяхното ниво и цел.

По този начин, когато разработвате политика за сигурност и система за оценка на ефективността, както и когато провеждате цялостни тестове за сигурност, най-добре е да използвате разпоредбите на ISO 15408 („Общи критерии“). Съответните GOST стандарти са предназначени за внедряване и оценка на техническото съвършенство на системите за криптиране и цифров подпис. Ако трябва да защитите канал за обмен на произволна информация, тогава е препоръчително да използвате протокола TLS. Когато става въпрос не само за защита на комуникационната линия, но и за сигурността на финансовите транзакции, SET влиза в действие, включително протоколите за сигурност на канала като един от стандартите от по-ниско ниво.

От теория към практика

За да демонстрираме практическото значение на горните разпоредби, ние предоставяме списък със стандарти за сигурност, използвани при комплексното внедряване на електронни банкови услуги на InterBank

Протоколът SSL (TLS) може да се използва за защита на канала за обмен на информация в системите RS-Portal и Internet Client.

Стандартите GOST 28147-89, GOST R 34.10-94 и GOST R 34.11-94, регулиращи криптирането на данни и механизма за електронен цифров подпис, са внедрени във всички системи за криптографска защита на подсистеми от типа "клиент-банка" ("DOS Client" , "Windows клиент" , "Интернет клиент").

Надяваме се, че предоставената в статията информация ще ви помогне да оцените надеждността на вашите системи, а усилията и времето на разработчиците ще бъдат насочени към създаването на наистина най-добрите инструменти, които ще се превърнат в нова стъпка в развитието на технологиите за информационна сигурност.


Статии по тази тема
•

Международни стандарти

  • BS 7799-1:2005 - Британски стандарт BS 7799 първа част. BS 7799 Част 1 - Практическият кодекс за управление на информационната сигурност описва 127-те контроли, необходими за изграждане на системи за управление на информационната сигурност(ISMS) на организацията, определени въз основа на най-добрите примери от световния опит (най-добри практики) в тази област. Този документ служи като практическо ръководство за създаване на ISMS
  • BS 7799-2:2005 - Британски стандарт BS 7799 е втората част на стандарта. BS 7799 Част 2 - Управление на информационната сигурност - спецификацията за системи за управление на информационната сигурност определя спецификацията на ISMS. Втората част на стандарта се използва като критерии по време на официалната процедура за сертифициране на ISMS на организацията.
  • BS 7799-3:2006 - Британски стандарт BS 7799 трета част от стандарта. Нов стандарт в управлението на риска за информационната сигурност
  • ISO/IEC 17799:2005 - "Информационни технологии - Технологии за сигурност - Практики за управление на информационната сигурност." Международен стандарт, базиран на BS 7799-1:2005.
  • ISO/IEC 27000 - Речник и дефиниции.
  • ISO/IEC 27001:2005 - "Информационни технологии - Техники за сигурност - Системи за управление на информационната сигурност - Изисквания." Международен стандарт, базиран на BS 7799-2:2005.
  • ISO/IEC 27002 - сега: ISO/IEC 17799:2005. "Информационни технологии - Технологии за сигурност - Практически правила за управление на информационната сигурност." Дата на издаване: 2007 г.
  • ISO/IEC 27005 - Сега: BS 7799-3:2006 - Ръководство за управление на риска за информационната сигурност.
  • Германската агенция за информационна сигурност. Ръководство за IT Baseline Protection - Стандартни предпазни мерки за сигурност.

Държавни (национални) стандарти на Руската федерация

  • GOST R 50922-2006 - Защита на информацията. Основни термини и определения.
  • R 50.1.053-2005 - Информационни технологии. Основни термини и определения в областта на техническата информационна сигурност.
  • GOST R 51188-98 - Защита на информацията. Софтуер за тестване на компютърни вируси. Модел ръководство.
  • GOST R 51275-2006 - Защита на информацията. Информационен обект. Фактори, влияещи върху информацията. Общи положения.
  • GOST R ISO/IEC 15408-1-2008 - Информационни технологии. Методи и средства за осигуряване на сигурността. Критерии за оценка на сигурността на информационните технологии. Част 1. Въведение и общ модел.
  • GOST R ISO/IEC 15408-2-2008 - Информационни технологии. Методи и средства за осигуряване на сигурността. Критерии за оценка на сигурността на информационните технологии. Част 2. Изисквания за функционална безопасност.
  • GOST R ISO/IEC 15408-3-2008 - Информационни технологии. Методи и средства за осигуряване на сигурността. Критерии за оценка на сигурността на информационните технологии. Част 3. Изисквания за осигуряване на сигурност.
  • GOST R ISO/IEC 15408 - „Общи критерии за оценка на сигурността на информационните технологии“ - стандарт, който определя инструменти и методи за оценка на сигурността на информационни продукти и системи; той съдържа списък с изисквания, спрямо които могат да се сравняват резултатите от независими оценки на безопасността - което позволява на потребителя да взема решения относно безопасността на продуктите. Обхватът на приложение на „Общите критерии” е защита на информацията от неоторизиран достъп, модификация или изтичане, както и други методи за защита, реализирани чрез хардуер и софтуер.
  • GOST R ISO/IEC 17799 - „Информационни технологии. Практически правила за управление на информационната сигурност.” Директно прилагане на международния стандарт с неговото допълнение - ISO/IEC 17799:2005.
  • GOST R ISO/IEC 27001 - „Информационни технологии. Методи за сигурност. Система за управление на информационната сигурност. Изисквания“. Директното приложение на международния стандарт е ISO/IEC 27001:2005.
  • GOST R 51898-2002: Аспекти на безопасността. Правила за включване в стандарти.

Ръководни документи

  • RD SVT. Защита срещу NSD. Индикатори за сигурност от NSD към информацията - съдържа описание на показателите за сигурност на информационните системи и изискванията за класовете на сигурност.

Вижте също

  • Недекларирани възможности

Външни връзки


Фондация Уикимедия.

2010 г.

    Вижте какво представляват „Стандарти за информационна сигурност“ в други речници:

    GOST R 53114-2008: Защита на информацията. Осигуряване на информационна сигурност в организацията. Основни термини и определения- Терминология GOST R 53114 2008: Защита на информацията. Осигуряване на информационна сигурност в организацията. Основни термини и определения оригинален документ: 3.1.19 автоматизирана система в защитен дизайн; Защитен говорител:... ... Речник-справочник на термините на нормативната и техническата документация

    СТАНДАРТИ ЗА БЕЗОПАСНОСТ НА ТРУДА- документи, които с цел доброволна многократна употреба установяват характеристики за безопасност на продукта, правила за безопасно прилагане и характеристики на производствени процеси, експлоатация, съхранение, транспортиране, продажби... Руска енциклопедия по охрана на труда

    Съдържание 1 Дефиниране на политика за сигурност 2 Методи за оценка 3 ... Wikipedia

    Агенция за национална сигурност/Централна служба за охрана ... Уикипедия

    Одит Видове одит Вътрешен одит Външен одит Данъчен одит Екологичен одит Социален одит Пожарен одит Due diligence Основни понятия Одитор Материал ... Wikipedia

    Държавни стандарти за продукти, работи и услуги- Държавните стандарти се разработват за продукти, работи и услуги, които имат междусекторно значение и не трябва да противоречат на законодателството на Руската федерация. Държавните стандарти трябва да съдържат: изисквания за продукти, работа... ... Речник: счетоводство, данъци, търговско право

    Министерство на извънредните ситуации на Украйна (LGUBZhD, LDU BZD) ... Wikipedia

    Класически се смяташе, че осигуряването на информационна сигурност се състои от три компонента: Поверителност, Интегритет, Наличност. Точките на приложение на процеса на информационна сигурност към информационната система са хардуер ... Wikipedia

Книги

  • Стандарти за информационна сигурност. Защита и обработка на поверителни документи. Ръководство за обучение, Сичев Юрий Николаевич. Невъзможно е специалистите, работещи в областта на информационната сигурност, да се справят без познаване на международни и национални стандарти и ръководства. Необходимостта от използване на...
  • Международни основи и стандарти за информационна сигурност на финансовите и икономически системи. Учебно ръководство, Юлия Михайловна Бекетнова. Изданието е предназначено за студенти и магистри, изучаващи Информационна сигурност, както и научни работници, преподаватели, докторанти,...

Международни стандарти

  • BS 7799-1:2005 - Британски стандарт BS 7799 първа част. BS 7799 Част 1 - Практическият кодекс за управление на информационната сигурност описва 127-те контроли, необходими за изграждане на системи за управление на информационната сигурност(ISMS) на организацията, определени въз основа на най-добрите примери от световния опит (най-добри практики) в тази област. Този документ служи като практическо ръководство за създаване на ISMS
  • BS 7799-2:2005 - Британски стандарт BS 7799 е втората част на стандарта. BS 7799 Част 2 - Управление на информационната сигурност - спецификацията за системи за управление на информационната сигурност определя спецификацията на ISMS. Втората част на стандарта се използва като критерии по време на официалната процедура за сертифициране на ISMS на организацията.
  • BS 7799-3:2006 - Британски стандарт BS 7799 трета част от стандарта. Нов стандарт в управлението на риска за информационната сигурност
  • ISO/IEC 17799:2005 - "Информационни технологии - Технологии за сигурност - Практики за управление на информационната сигурност." Международен стандарт, базиран на BS 7799-1:2005.
  • ISO/IEC 27000 - Речник и дефиниции.
  • ISO/IEC 27001 - "Информационни технологии - Техники за сигурност - Системи за управление на информационната сигурност - Изисквания." Международен стандарт, базиран на BS 7799-2:2005.
  • ISO/IEC 27002 - сега: ISO/IEC 17799:2005. "Информационни технологии - Технологии за сигурност - Практически правила за управление на информационната сигурност." Дата на издаване: 2007 г.
  • ISO/IEC 27005 - Сега: BS 7799-3:2006 - Ръководство за управление на риска за информационната сигурност.
  • Германската агенция за информационна сигурност. Ръководство за IT Baseline Protection - Стандартни предпазни мерки за сигурност.

Държавни (национални) стандарти на Руската федерация

  • GOST R 50922-2006 - Защита на информацията. Основни термини и определения.
  • R 50.1.053-2005 - Информационни технологии. Основни термини и определения в областта на техническата информационна сигурност.
  • GOST R 51188-98 - Защита на информацията. Софтуер за тестване на компютърни вируси. Модел ръководство.
  • GOST R 51275-2006 - Защита на информацията. Информационен обект. Фактори, влияещи върху информацията. Общи положения.
  • GOST R ISO/IEC 15408-1-2012 - Информационни технологии. Методи и средства за осигуряване на сигурността. Критерии за оценка на сигурността на информационните технологии. Част 1. Въведение и общ модел.
  • GOST R ISO/IEC 15408-2-2013 - Информационни технологии. Методи и средства за осигуряване на сигурността. Критерии за оценка на сигурността на информационните технологии. Част 2. Изисквания за функционална безопасност.
  • GOST R ISO/IEC 15408-3-2013 - Информационни технологии. Методи и средства за осигуряване на сигурността. Критерии за оценка на сигурността на информационните технологии. Част 3. Изисквания за осигуряване на сигурност.
  • GOST R ISO/IEC 15408 - „Общи критерии за оценка на сигурността на информационните технологии“ - стандарт, който определя инструменти и методи за оценка на сигурността на информационни продукти и системи; той съдържа списък с изисквания, спрямо които могат да се сравняват резултатите от независими оценки на безопасността - което позволява на потребителя да взема решения относно безопасността на продуктите. Обхватът на приложение на „Общите критерии” е защита на информацията от неоторизиран достъп, модификация или изтичане, както и други методи за защита, реализирани чрез хардуер и софтуер.
  • GOST R ISO/IEC 17799 - „Информационни технологии. Практически правила за управление на информационната сигурност.” Директно прилагане на международния стандарт с неговото допълнение - ISO/IEC 17799:2005.
  • GOST R ISO/IEC 27001 - „Информационни технологии. Методи за сигурност. Система за управление на информационната сигурност. Изисквания“. Директното приложение на международния стандарт е ISO/IEC 27001:2005.
  • GOST R 51898-2002: Аспекти на безопасността. Правила за включване в стандарти.

Радващо е, че пазарът разбира важността и необходимостта от информационна сигурност и вниманието му към проблемите на информационната сигурност непрекъснато нараства.

За да обясните тази тенденция, не е нужно да отивате далеч: чуваме за високопоставени компромиси на информационни системи, които носят значителни финансови и репутационни загуби. В някои случаи те са станали напълно необратими за определен бизнес. Така сигурността на собствената информация на организацията става не само ключът към нейната непрекъсната работа, но и критерий за надеждност за нейните партньори и клиенти.

Пазарът играе по едни и същи правила и критериите за измерване на нивото на текущата сигурност и ефективността на процесите на управление на информационната сигурност са еднакви за всички негови играчи. Тяхната роля се изпълнява от стандарти, които са предназначени да помогнат на компанията да създаде необходимото ниво на защита на информацията. Най-популярните в руската банкова индустрия включват стандарта ISO/IEC 27000, стандарта на Банката на Русия за осигуряване на информационна сигурност на организациите на банковата система и стандарта за сигурност на данните на инфраструктурата на платежните карти PCI DSS.

Международната организация по стандартизация (ISO) и Международната електротехническа комисия (IEC) разработиха и публикуваха стандарти ISO/IEC 27000. Те съдържат препоръки за изграждане на система за управление на информационната сигурност. Акредитираните одиторски фирми имат право да извършват сертификация по стандарти, като се ръководят от заложените в тях изисквания.

Липсата на строго изискване за спазване на стандарта за руските участници на пазара води до това, че разпространението му е доста ниско. Например, само в Япония броят на компаниите, които успешно са преминали одит за съответствие с изискванията на международен стандарт, е почти 200 пъти по-голям от същия показател за Русия и страните от ОНД.

Трябва да се отбележи, че това изчисление не включва компании, които действително отговарят на изискванията на стандарта, но не са преминали формална сертификация. С други думи, в Русия и страните от ОНД има много компании, които са решили да изградят процеси за управление и поддържане на нивото на информационна сигурност не заради „отметка“ под формата на сертификат за съответствие, а реално полза. Работата е там, че често стандартите от серия 27000 са първата стъпка в развитието на системите за информационна сигурност. И използването им като ориентир е основата, която предполага по-нататъшното изграждане и развитие на ефективна система за управление на информационната сигурност.

IBBS STO BR е стандарт, доста близък до ISO/IEC 27001, създаден от Банката на Русия за организации в банковия сектор, предназначен да осигури приемливо ниво на текущото ниво на информационна сигурност и процесите на управление на сигурността на банките. Основните цели при създаването му бяха посочени като повишаване на нивото на доверие в банковата индустрия, осигуряване на защита срещу заплахи за сигурността и намаляване на нивото на щетите от инциденти, свързани със сигурността на информацията. Стандартът е препоръчителен и не беше особено популярен до версията от 2010 г.

Активното внедряване на IBBS STO BR започна с пускането на версия на стандарта, която включва изисквания за гарантиране на сигурността на личните данни, и последващо информационно писмо, определящо приемането на съответствие с изискванията на стандарта чрез алтернативен начин за спазване със законодателството в областта на гарантиране сигурността на личните данни. В момента, според неофициална статистика, около 70% от банките са приели стандарта на Банката на Русия като задължителен.

Стандартът IBBS BR е доста динамично развиващ се набор от документи, с изисквания за осигуряване и управление на информационната сигурност, които са адекватни на съвременните заплахи. Използването му в банките вече става де факто необходимо, въпреки официалния консултативен статут за нефинансови организации, документите на комплекса IBBS могат да служат като набор от добри практики за осигуряване на информационна сигурност;

И накрая, друг изключително важен стандарт за финансовите организации е стандартът за сигурност на данните в индустрията за разплащателни карти (PCI DSS, стандарт за сигурност на данните в индустрията за разплащателни карти). Създадена е по инициатива на петте най-големи платежни системи в света - Visa, MasterCard, JCB, American Express и Discover, които организират Съвета за сигурност на индустрията за разплащателни карти (PCI SSC). Обслужването на платежни карти трябва да се извършва по единни правила и да отговаря на определено ниво на информационна сигурност. Очевидно сигурността е ключов фактор при използването на технологии, свързани с парите. Следователно защитата на данните на платежните карти е приоритетна задача на всяка платежна система.

Основната разлика между стандарта PCI DSS и изброените по-горе е задължителното му прилагане за всички организации, обработващи платежни карти. В същото време изискванията за оценка на съответствието са доста гъвкави - те зависят от броя на обработените транзакции: от самооценка до преминаване на сертификационен одит. Последното се извършва от компания с PCI QSA статус.

Ключова характеристика на появата на стандарта PCI DSS беше определянето на крайни срокове за постигане на съответствие. Това доведе до това, че повечето от основните играчи в индустрията на разплащателните карти свършиха работата, за да се съобразят. В резултат на това това повлия на общото ниво на сигурност както за отделните участници, така и за цялата индустрия за безкасови плащания.

Въпреки че появата на стандарта е инициатива на най-големите играчи в индустрията на платежните системи, той може да намери своето приложение и да се превърне в насока за организации, които не са свързани с тази индустрия. Основното предимство на използването му са постоянните актуализации и в резултат на това текущите мерки и препоръки за намаляване на заплахите за информационната сигурност.

Прилагането на стандарти и спазването на техните изисквания несъмнено е добра практика и голяма крачка напред при изграждането на система за информационна сигурност. Но, за съжаление, има примери как самият факт на съответствие не гарантира високо ниво на сигурност. Валидността на сертификата продължава за определен период, когато процедурите, направени единствено за формално съответствие, престанат да работят. Така може да се окаже, че състоянието на системата за информационна сигурност на организацията към момента на одита не съответства на оценката, направена шест месеца по-късно.

Освен това, когато се анализират възможните рискове, човешкият фактор не може да бъде изключен, което може да означава грешка на самите одитори при определяне на обхвата на одита, състава на проверяваните компоненти и общите заключения.

В заключение бих искал да отбележа, че спазването на стандартите не замества текущия процес на гарантиране на сигурността на критична информация. Няма идеална сигурност, но използването на различни инструменти ви позволява да постигнете максимално ниво на информационна сигурност. Стандартите за информационна сигурност са точно такъв инструмент.

Оценете:

0 4

Заглавие: iOS
Споделете