Андроид. Операционная система. Мультимедиа. Социальные сети. Инструменты. Кодеки. Графика
Вы здесь: » »

Информационная безопасность дисциплина российские и международные стандарты. Международные правовые нормы в сфере защиты персональных данных

Обеспечить безопасность информационных систем в настоящее время невозможно без грамотного и качественного создания систем защиты информации. Это определило работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем в части безопасности информации.

Одним из главных результатов подобной деятельности стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов.

Это особенно актуально для так называемых открытых систем коммерческого применения , обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну, и стремительно развивающихся в нашей стране.

Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого, обеспечивается соответствием требованиям стандартов, прежде всего международных.

Термин "открытые " подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа (НСД) к информации.

Специалистам в области информационной безопасности (ИБ ) сегодня почти невозможно обойтись без знаний соответствующих стандартов.

Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

Во-вторых , и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в internet :-сообществе это средство действительно работает, и весьма эффективно.

В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасности компании. Это, прежде всего, международные и национальные стандарты управления информационной безопасностью ISO 15408, IS О 17799 (В S 7799), В SI ; стандарты аудита информационных систем и нформаци-

онной безопасности СОВ I Т, S А C , СО S О и некоторые другие, аналогичные им.

Особое значение имеют международные стандарты ISO 15408, ISO 17799 служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита.

ISO 15408 - определяет детальные требования, предъявляемые к программно-техническим средствам защиты информации.

ISO 17799 - сосредоточен на вопросах организации и управления безопасностью.

Использование международных и национальных стандартов обеспечения информационной безопасности способствует решению следующих пяти задач:

- во-первых , определение целей обеспечения информационной безопасности компьютерных систем;

- во-вторых , создание эффективной системы управления информационной безопасностью;

- в третьих , расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;

- в четвертых , применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;

- в пятых , использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем,позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.

Основное внимание уделяется международному стандарту ISO / 15408 и его российскому аналогу ГОСТ Р ИСО/МЭК15408 -2002 «Критерии оценки безопасности информационных технологий» а также спецификациям « Internet -сообществ».

Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартахИБ .

Начиная с начала 80-х годов , были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга.

В лекции рассматриваются наиболее важные стандарты, знание которых необходимо разработчикам и оценщикам защитных средств, системным администраторам, руководителям служб защиты информации, пользователям по хронологии их создания, в том числе:

    Критерий оценки надежности компьютерных систем «Оранжевая книга » (США);

    Гармонизированные критерии европейских стран ;

    Германский стандарт BSI ;

    Британский стандарт BS 7799 ;

    Стандарт «Общие критерии» ISO 15408;

    Стандарт ISO 17799;

    Стандарт COBIT

Эти стандарты можно разделить на два разных вида:

    Оценочные стандарты , направленные на классификацию информационных систем и средств защиты по требованиям безопасности;

    Технические спецификации , регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов нет глухой стены, напротив,существует логическая взаимосвязь .

Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС,играя роль архитектурных спецификаций .

Технические спецификации определяют, как строить ИС предписанной архитектуры. Далее рассмотрены особенности этих стандартов.

2. Критерии оценки доверенных компьютерных систем

Оранжевая книга»)

Проблема информационной компьютерной безопасности не нова - специалисты занимаются ею с того самого момента, как компьютер начал обрабатывать данные, ценность которых высока для пользователя. Однако за последние годы в связи с развитием сетей, ростом спроса на электронные услуги ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей ИТ-средств.

Для чего нужно знать теорию

Любой специалист по информационной безопасности проходит в своем профессиональном развитии три этапа. Первый из них - "работа руками". Новичок усиленно, с привлечением специализированных средств, ищет и ликвидирует вполне конкретные бреши в системном и прикладном ПО. Сканер, патч, порт, соединение - вот сущности, с которыми он работает на данном этапе.

Вторая ступень - "работа головой". Устав затыкать все новые и новые бреши, специалист приступает к разработке планов и методик, цель которых - упорядочить действия по повышению безопасности систем и ликвидации последствий информационных угроз. Именно на данной стадии возникает понятие "политики безопасности".

Наконец, приходит пора осмысления - на этом этапе умудренный опытом специалист понимает, что он, скорее всего, изобретает велосипед, поскольку стратегии обеспечения безопасности наверняка уже были разработаны до него. И в этом он, безусловно, прав.

Многочисленные организации по всему миру уже давно занимаются проблемой информационной безопасности, итогом их деятельности стали увесистые фолианты стандартов, положений, рекомендаций, правил и т.д. Изучать весь объем вряд ли целесообразно, однако знать основополагающие документы, конечно же, стоит. Поэтому в данной статье мы упомянем лишь наиболее важные российские и международные положения, устанавливающие стандарты в области информационной безопасности.

Понятие безопасности информации

Развитие информационных и телекоммуникационных систем различного назначения (в первую очередь сети Интернет), а также электронный обмен ценной информацией, нуждающейся в защите, потребовали от специалистов, работающих в этой сфере, систематизировать и упорядочить основные требования и характеристики компьютерных систем в части обеспечения безопасности. Однако перед тем, как перейти к рассмотрению сформированных стандартов, нужно определить, что же такое безопасность.

Учитывая важность понятия, попробуем сформулировать его расширенное определение, в котором будут учтены последние международные и отечественные наработки в этой области. Итак, безопасность информации - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя. Такое определение наиболее полно учитывает главное назначение коммерческой информационной компьютерной системы - минимизация финансовых потерь, получение максимальной прибыли в условии реальных рисков.

Это положение особенно актуально для так называемых открытых систем общего пользования, которые обрабатывают закрытую информацию ограниченного доступа, не содержащую государственную тайну. Сегодня системы такого типа стремительно развиваются и в мире, и у нас в стране.

Международный стандарт информационной безопасности

Общеизвестно, что стандартизация является основой всевозможных методик определения качества продукции и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт ISO 15408, известный как "Common Criteria".

Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен для российских разработчиков. Тем более что в текущем, 2001 году Госстандарт планирует подготовить гармонизованный вариант этого документа. Международная организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

Общие критерии (ОК) созданы для взаимного признания результатов оценки безопасности ИТ в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования.

Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Этот стандарт полезен в качестве руководства при разработке функций безопасности ИТ, а также при приобретении коммерческих продуктов с подобными свойствами. Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами. В будущем ожидается создание специализированных требований для коммерческой кредитно-финансовой сферы. Напомним, что прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна.

Выпуск и внедрение этого стандарта за рубежом сопровождается разработкой новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. Иными словами, создаются технические и программные средства ЭВМ, отвечающие Общим критериям. Например, международная организация "Open Group", объединяющая около 200 ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, "Open Group" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации.

Особенности процесса стандартизации в Интернете

В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются стандартизацией всех интернет-технологий. Эти организации, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF), уже стандартизировали нескольких важных протоколов, тем самым ускорив их внедрение в сети. Семейство протоколов для передачи данных TCP/IP, SMTP и POP для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью - результаты деятельности IETF.

За несколько последних лет сетевой рынок стал свидетелем так называемого фрагментированного влияния на формирование стандартов. По мере того, как Интернет ширился и обретал черты потребительского и коммерческого рынка, некоторые фирмы стали искать пути влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали даже неформальные органы, такие как IETF. По мере развития рынков, связанных с Интернетом, предприниматели начали объединяться в специальные группы или консорциумы для продвижения своих собственных стандартов. В качестве примеров можно упомянуть OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum и Java Development Connection. Порой стандарты де-факто задают своими покупками или заказами серьезные потребители интернет-услуг.

Одна из причин появления различных групп по стандартизации состоит в противоречии между постоянно возрастающими темпами развития технологий и длительным циклом создания стандартов.

Стандарты безопасности в Интернете

В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.

SSL (TLS)

Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.

SET

SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту Х.509 и предназначен для организации электронной торговли через сеть.

Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет.

IPSec

Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.

Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других криптографических алгоритмов.

Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:

  • поддержку немодифицированных конечных систем;
  • поддержку транспортных протоколов, отличных от ТСР;
  • поддержку виртуальных сетей в незащищенных сетях;
  • защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного анализа трафика);
  • защиту от атак типа "отказ в обслуживании".

Кроме того, IPSec имеет два важных преимущества:

  1. его применение не требует изменений в промежуточных устройствах сети;
  2. рабочие места и серверы не обязательно должны поддерживать IPSec.

Особенности российского рынка

Исторически сложилось, что в России проблемы безопасности ИТ изучались и своевременно решались только в сфере охраны государственной тайны. Аналогичные, но имеющие собственную специфику задачи коммерческого сектора экономики долгое время не находили соответствующих решений. Данный факт до сих пор существенно замедляет появление и развитие безопасных ИТ-средств на отечественном рынке, который интегрируется с мировой системой. Тем более что у защиты информации в коммерческой автоматизированной системе есть свои особенности, которые просто необходимо учитывать, ведь они оказывают серьезное влияние на технологию информационной безопасности. Перечислим основные из них:

  1. Приоритет экономических факторов. Для коммерческой автоматизированной системы очень важно снизить либо исключить финансовые потери и обеспечить получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Важным условием при этом, в частности, является минимизация типично банковских рисков (например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т.п.);
  2. Открытость проектирования, предусматривающая создание подсистемы защиты информации из средств, широко доступных на рынке и работающих в открытых системах;
  3. Юридическая значимость коммерческой информации, которую можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с правовым режимом информационных ресурсов, установленным законодательством Российской Федерации. Это условие в последнее время приобретает все большую значимость в нашей стране наряду с созданием нормативно-правовой базы безопасности ИТ (особенно при взаимодействии автоматизированных систем разных юридических лиц).

Очевидно, что создание безопасных ИТ, обрабатывающих конфиденциальную информацию, не содержащую государственной тайны, исключительно важно для экономико-финансовой жизни современной России. Применение в России гармонизированного стандарта ISO 15408 ("Common Criteria"), отражающего новейшие мировые достижения оценки информационной безопасности, позволит:

  • приобщить российские ИТ к современным международным требованиям по информационной безопасности, что упростит, например, применение зарубежной продукции и экспорт собственной;
  • облегчить разработку соответствующих российских специализированных нормативно-методических материалов для испытаний, оценки (контроля) и сертификации средств и систем безопасных банковских и других ИТ;
  • создать основу для качественной и количественной оценки информационных рисков, необходимую при страховании автоматизированных систем;
  • снизить общие расходы на поддержание режима информационной безопасности в банках и корпорациях за счет типизации и унификации методов, мер и средств защиты информации.

Государственные стандарты

Среди различных стандартов по безопасности информационных технологий, существующих в нашей стране, следует выделить ряд документов, регламентирующих защиту взаимосвязи открытых систем (Таблица 1, строки 1-3). К ним можно добавить нормативные документы по средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем (cм. Таблицу 1, строки 4-8). Последняя группа документов, также как и многие ранее созданные зарубежные стандарты, ориентирована преимущественно на защиту государственной тайны.

Таблица 1. Нормативные документы, регламентирующие оценку защищенности ИТ

п/п 		Номер документа Описание
1 ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
2 ГОСТ Р ИСО/МЭК 9594-8-98 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации
3 ГОСТ Р ИСО/МЭК 9594-9-95 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование
4 - Руководящий документ Гостехкоммиссии "РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1997)
5 ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования"
6 ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования
7 ГОСТ Р 34.10-94 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма
8 ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования

Как и где работают различные стандарты

Все имеющиеся на сегодняшний день стандарты являются разноуровневыми. Это значит, что их применение ограничено определенным уровнем абстракции в информационных системах (например, нельзя применять "Common Criteria" для детального описания механизма выработки сеансового ключа в протоколе TLS). Очевидно, что для эффективного применения стандартов необходимо хорошо знать об их уровне и назначении.

Так, при формировании политики безопасности и системы оценок эффективности, а также при проведении комплексных испытаний защищенности лучше всего использовать положения ISO 15408 ("Common Criteria"). Для реализации и оценки технического совершенства систем шифрования и электронно-цифровой подписи предназначены соответствующие ГОСТы. Если нужно защитить канал обмена произвольной информацией, то целесообразно использовать протокол TLS. Когда же речь идет не просто о защите линии связи, а о безопасности финансовых транзакций, в дело вступает SET, включающий в себя протоколы защиты каналов в качестве одного из стандартов более низкого уровня.

От теории к практике

Чтобы продемонстрировать практическую важность перечисленных положений, приведем перечень стандартов безопасности, применяющихся в комплексе реализации электронных банковских услуг InterBank

Протокол SSL (TLS) может использоваться в качестве защиты канала обмена информацией в системах RS-Portal и "Интернет-Клиент" . Стандарты ГОСТ 28147-89, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94, регламентирующие шифрование данных и механизм электронно-цифровой подписи, реализованы во всех системах криптозащиты подсистем типа "клиент-банк" ("Клиент DOS", "Клиент Windows", "Интернет-Клиент").

С помощью протокола IPSec можно прозрачно защитить любой канал обмена информацией между клиентом и банком, использующий сетевой протокол IP. Это относится как к интернет-системам (RS-Portal и "Интернет-Клиент"), так и к системе электронной почты RS-Mail, поддерживающей работу по IP.

Надеемся, что приведенная в статье информация поможет вам оценить надежность ваших систем, а силы и время разработчиков будут направлены на создание действительно лучших средств, которые станут новой ступенью на пути развития технологии информационной безопасности.


Статьи на эту тему
•

Международные стандарты

  • BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
  • BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
  • BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
  • ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
  • ISO/IEC 27000 - Словарь и определения.
  • ISO/IEC 27001:2005 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
  • ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
  • ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
  • German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

  • ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
  • Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
  • ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
  • ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
  • ГОСТ Р ИСО/МЭК 15408-1-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
  • ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
  • ГОСТ Р ИСО/МЭК 15408-3-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
  • ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
  • ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
  • ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
  • ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.

Руководящие документы

  • РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации - содержит описание показателей защищенности информационных систем и требования к классам защищенности.

См. также

  • Недекларированные возможности

Внешние ссылки


Wikimedia Foundation . 2010 .

Смотреть что такое "Стандарты информационной безопасности" в других словарях:

    Аудит информационной безопасности системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности… … Википедия

    ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения - Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении; АС в защищенном исполнении:… … Словарь-справочник терминов нормативно-технической документации

    СТАНДАРТЫ БЕЗОПАСНОСТИ ТРУДА - документы, в которых в целях добровольного многократного использования устанавливаются характеристики безопасности продукции, правила безопасного осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации … Российская энциклопедия по охране труда

    Содержание 1 Определение политики безопасности 2 Методы оценки 3 … Википедия

    National Security Agency/Central Security Service … Википедия

    Аудит Виды аудита Внутренний аудит Внешний аудит Налоговый аудит Экологический аудит Социальный аудит Пожарный аудит Due diligence Основные понятия Аудитор Материа … Википедия

    Государственные стандарты на продукцию, работы и услуги - Государственные стандарты разрабатываются на продукцию, работы и услуги, имеющие межотраслевое значение, и не должны противоречить законодательству Российской Федерации. Государственные стандарты должны содержать: требования к продукции, работам… … Словарь: бухгалтерский учет, налоги, хозяйственное право

    МЧС Украины (ЛГУБЖД, ЛДУ БЖД) … Википедия

    Классически считалось, что обеспечение безопасности информации складывается из трех составляющих: Конфиденциальности, Целостности, Доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение … Википедия

Книги

  • Стандарты информационной безопасности. Защита и обработка конфиденциальных документов. Учебное пособ , Сычев Юрий Николаевич. Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость применения…
  • Международные основы и стандарты информационной безопасности финансово-экономических систем. Учебное пособие , Бекетнова Юлия Михайловна. Издание предназначено для студентов, обучающихся по специальности&171;Информационная безопасность&187;бакалавриата и магистратуры, а также научных работников, преподавателей, аспирантов,…

Международные стандарты

  • BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
  • BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
  • BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
  • ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
  • ISO/IEC 27000 - Словарь и определения.
  • ISO/IEC 27001 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
  • ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
  • ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
  • German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

  • ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
  • Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
  • ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
  • ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
  • ГОСТ Р ИСО/МЭК 15408-1-2012 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
  • ГОСТ Р ИСО/МЭК 15408-2-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
  • ГОСТ Р ИСО/МЭК 15408-3-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
  • ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
  • ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
  • ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
  • ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.

Отрадно, что рынок понимает важность и необходимость ИБ, и его внимание к вопросам ИБ неустанно растет.

Чтобы объяснить эту тенденции далеко ходить не надо: на слуху громкие компрометации информационных систем, которые приносят существенные финансовые и репутационные потери. В ряде случаев они стали и вовсе необратимыми для конкретного бизнеса. Таким образом безопасность собственной информации для организации становится не только залогом ее бесперебойной работы, но и критерием надежности для ее партнеров и клиентов.

Рынок играет по единым правилам, а критерии для измерения уровня текущей защищенности и эффективности процессов управления ИБ едины для всех его игроков. В их роли выступают стандарты, которые призваны помочь компании создать требуемый уровень защиты информации. К самым популярным в банковской сфере России можно отнести стандарт ISO/IEC 27000, стандарт Банка России по обеспечению информационной безопасности организаций банковской системы и стандарт безопасности данных инфраструктуры платежных карт PCI DSS.

Международная Организация по Стандартизации (ISO) и Международная Электротехническая Комиссия (IEC) разработали и опубликовали стандарты серии ISO/IEC 27000. Они содержат рекомендации к построению системы управления информационной безопасности. Аккредитованные компании-аудиторы имеют право совершать сертификацию по стандартам, руководствуясь заложенными в них требованиями.

Отсутствие строгого требования по выполнению Стандарта для участников российского рынка выливается в то, что его распространенность достаточно низкая. Например, в одной только Японии число компаний, удачно прошедших аудит по выполнению требования международного стандарта, больше аналогичного показателя для России и стран СНГ почти в 200 раз.

При этом нельзя не отметить, что в этот расчет не попадают компании, которые по факту выполняют требования Стандарта, но не прошли формальную сертификацию. Иными словами, на территории России и стран СНГ есть множество компаний, решивших выстроить процессы управления и поддержания уровня ИБ не ради «галочки» в виде сертификата соответствия, а для реальной пользы. Все дело в том, что часто стандарты серии 27000 являются первым шагом в развитии систем ИБ. А их использование в качестве ориентира - тот базис, которые предполагает дальнейшее строительство и развитие эффективной системы менеджмента ИБ.

ИББС СТО БР - достаточно близкий ISO/IEC 27001 стандарт, созданный Банком России для организаций банковской сферы, призванный обеспечить приемлемый уровень текущего уровня информационной безопасности и процессов управления безопасностью банков. Основными целями при создании были заявлены - повышение уровня доверия к банковской сфере, обеспечение защиты от угроз безопасности и снижение уровня ущерба от инцидентов ИБ. Стандарт является рекомендательным и до версии 2010 года особой популярностью не пользовался.

Активное внедрение ИББС СТО БР началось с выхода версии стандарта, включающей в себя требования по обеспечению безопасности персональных данных, и последующего за этим информационного письма, определяющего принятие к выполнению требований стандарта альтернативным путем выполнения законодательства в области обеспечения безопасности персональных данных. На настоящий момент по неофициальной статистике порядка 70% банков приняли стандарт Банка России в качестве обязательного к выполнению.

Стандарт ИББС БР является достаточно динамично развивающимся комплектом документов, с адекватными современным угрозам требованиями к обеспечению и управлению информационной безопасности. Использование его в Банках уже становится де-факто необходимым, несмотря на официальный рекомендательный статус, для организаций нефинансовой сферы документы комплекса ИББС могут послужить набором хороших практик в обеспечении безопасности информации.

Наконец, еще один крайне важный для финансовых организаций стандарт - Payment Card Industry Data Security Standard (PCI DSS, Стандарт безопасности данных индустрии платежных карт). Он был создан по инициативе пяти крупнейших мировых платежных систем - Visa, MasterCard, JCB, American Express и Discover, организовавших Совет по безопасности индустрии платежных карт (PCI SSC). Обслуживание платежных карт должно осуществляться по единым правилам и соответствовать определенному уровню ИБ. Очевидно, что безопасность - ключевой фактор при использовании технологий, связанных с денежными средствами. Поэтому защита данных платежных карт - это приоритетная задача любой платежной системы.

Ключевое отличие стандарта PCI DSS от перечисленных выше - его обязательное применение для всех организаций, обрабатывающих платежные карты. При этом требования к оценке соответствия достаточно гибкие - они зависят от числа обрабатываемых транзакций: от самостоятельной оценки до прохождения сертификационного аудита. Последний проводится компанией, имеющей статус PCI QSA.

Ключевой особенностью появления стандарта PCI DSS было обозначение крайних сроков по приведению к соответствию. Это привело к тому, что большинство крупных игроков индустрии платежных карт проделали работу по выполнению требований. В результате это отразилось на общем уровне защищенности как отдельных участников, так и всей индустрии безналичной оплаты.

Хотя появление стандарта и было инициативой крупнейших игроков индустрии платежных систем, он может найти свое применение и стать ориентиром для организаций, с этой индустрией не связанных. Главное преимущество его использования - постоянные обновления и, как следствие, актуальные меры и рекомендации по снижению угроз ИБ.

Применение стандартов и соответствие их требованиям, несомненно, является хорошей практикой и большим шагом вперед при выстраивании системы информационной безопасности. Но, к сожалению, есть примеры того, как сам факт соответствия не гарантирует высокий уровень защищенности. Действие сертификата распространяется на определенный период, когда процедуры, сделанные исключительно для формального соответствия, перестают работать. Таким образом может получиться, что состояние системы ИБ в организации на момент проведения аудита не соответствует оценке, сделанной через полгода.

К тому же при анализе возможных рисков нельзя исключать человеческий фактор, который может означать ошибку самих аудиторов в определении области проверки, состава проверяемых компонентов и общих выводах.

В заключение хотелось бы отметить, что соответствие стандартам не отменяет постоянный процесс обеспечения безопасности критичной информации. Идеальной безопасности не бывает, но использование разных инструментов позволяет добиться максимального уровня ИБ. Стандарты ИБ являются как раз таким инструментом.

Оценить:

0 4

Рубрика: Ios
Поделиться