Android. Operacinė sistema. Multimedija. Socialinė žiniasklaida. Įrankiai. Kodekai. Grafikos menai
Ar tu čia: » »

Informacijos saugumo disciplina Rusijos ir tarptautiniai standartai. Tarptautiniai teisės standartai asmens duomenų apsaugos srityje

Užtikrinti informacinių sistemų saugumą Šiuo metu tai neįmanoma be kompetentingo ir kokybiško informacijos saugumo sistemų sukūrimo. Tai nulėmė pasaulinės bendruomenės darbą siekiant susisteminti ir supaprastinti pagrindinius tokių sistemų reikalavimus ir charakteristikas informacijos saugumo požiūriu.

Vienas pagrindinių tokios veiklos rezultatų buvo sistematarptautinius ir nacionalinius standartusinformacijos saugumas, kuriame yra daugiau nei šimtas įvairių dokumentų.

Tai ypač pasakytina apie vadinamuosius atviros sistemos komerciniam naudojimui, apdorojanti riboto naudojimo informaciją, kurioje nėra valstybės paslapčių, ir sparčiai besivystanti mūsų šalyje.

Pagal suprasti atviras sistemas įvairių gamintojų visų rūšių skaičiavimo ir telekomunikacijų įrangos kolekcija, kurios bendrą veikimą užtikrina standartų, pirmiausia tarptautinių, reikalavimų laikymasis.

Terminas " atviras " taip pat reiškia, kad jei kompiuterinė sistema atitinka standartus, ji bus atvira sujungimui su bet kuria kita sistema, kuri atitinka tuos pačius standartus. Tai visų pirma taikoma kriptografinės informacijos apsaugos arba apsaugos nuo neteisėtos prieigos mechanizmams ( NSD) prie informacijos.

Informacijos saugumo specialistai ( YRA) šiandien beveik neįmanoma išsiversti be atitinkamų standartų žinių.

Pirma, standartai ir specifikacijos yra viena iš žinių kaupimo formų, visų pirma apie informacijos saugumo procedūrinius ir programinės bei techninės įrangos lygius. Juose dokumentuojami patikrinti, kokybiški sprendimai ir metodikos, sukurtos kvalifikuotų specialistų.

Antra , abi jos yra pagrindinės priemonės, užtikrinančios abipusį techninės-programinės įrangos sistemų ir jų komponentų suderinamumą. internetas:-bendruomenėŠis produktas tikrai veikia ir yra labai efektyvus.

Pastaruoju metu įvairiose šalyse pasirodė naujos kartos standartai informacijos saugumo srityje, skirti praktiniams įmonės informacijos saugumo valdymo klausimams. Tai visų pirma tarptautiniai ir nacionaliniai informacijos saugumo valdymo standartai ISO 15408, YRAO 17799 (BS7799), BS.I.; informacinių sistemų ir informacijos audito standartai

saugumas internete PELĖDAT,SAC, COSAPIE ir kai kurie kiti panašūs į juos.

Tarptautiniai standartai yra ypač svarbūs ISO 15408, ISO 17799 būti bet kokio darbo šioje srityje pagrindas informacijos saugumas, įskaitant auditą.

ISO 15408 - apibrėžia išsamiai programinės ir techninės įrangos informacijos saugos priemonių reikalavimus.

ISO 17799 - orientuota į klausimus organizavimo ir saugumo valdymas.

Naudojimas tarptautiniu ir nacionaliniu standartus informacijos saugumo užtikrinimas padeda išspręsti šias penkias užduotis:

- Pirmiausia , kompiuterinių sistemų informacijos saugumo užtikrinimo tikslų nustatymas;

- Antra , efektyvios informacijos saugumo valdymo sistemos sukūrimas;

- Trečia , detalių ne tik kokybinių, bet ir kiekybinių rodiklių rinkinio skaičiavimas, siekiant įvertinti informacijos saugumo atitiktį užsibrėžtiems tikslams;

- ketvirta , informacijos saugumo priemonių taikymas ir esamos jos būklės įvertinimas;

- penkta , saugumo valdymo metodų panaudojimas su pagrįsta metrikų sistema ir informacinių sistemų kūrėjų palaikymo priemonėmis, leidžiančiomis objektyviai įvertinti informacinio turto saugumą ir valdyti įmonės informacijos saugumą.

Dėmesys tarptautiniam standartui ISO/ 15408 ir jo rusų kalba GOST R ISO/IEC15408 -2002 analogas „Informacinių technologijų saugumo vertinimo kriterijai“ ir specifikacijos"internetas-bendruomenės."

Audito atlikimas informacijos saugumas grindžiamas daugelio rekomendacijų, kurios daugiausia išdėstytos tarptautiniuose standartuose, naudojimu YRA.

Pradedant nuo pradžios 80-ieji, sukurta dešimtys tarptautinių ir nacionalinių standartų informacijos saugumo srityje, kurie tam tikru mastu papildo vienas kitą.

Paskaitoje aptariami svarbiausi standartai, kurių žinios būtinos saugos produktų kūrėjams ir vertintojams, sistemų administratoriams, informacijos saugos tarnybų vadovams, vartotojams pagal jų kūrimo chronologiją, įskaitant:

    Kompiuterinių sistemų patikimumo vertinimo kriterijus “ Oranžinė knyga"(JAV);

    Suderinti Europos šalių kriterijai;

    vokiškas standartas BSI;

    Didžiosios Britanijos standartas B.S. 7799 ;

    Standartinis " Bendrieji kriterijai“ISO 15408;

    Standartinis ISO 17799;

    Standartinis COBIT

Šiuos standartus galima suskirstyti į du skirtingus tipus:

    Vertinimo standartai , skirta klasifikuoti informacines sistemas ir apsaugos priemones pagal saugumo reikalavimus;

    Techninės specifikacijos reglamentuojantys įvairius apsaugos priemonių įgyvendinimo aspektus.

Svarbu tai pastebėti tarp šių norminių dokumentų tipų nėra tuščios sienos, priešingai, yra loginis ryšys.

Vertinimo standartai išryškinti svarbiausius informacijos saugumo aspektus informacijos saugumo požiūriu, atlieka architektūrinių specifikacijų vaidmenį.

Techninės specifikacijos nustatyti, kaip sukurti nustatytos architektūros IS. Toliau aprašomos šių standartų savybės.

2. Patikimų kompiuterinių sistemų vertinimo kriterijai

Oranžinė knyga“)

Kompiuterinės informacijos saugumo problema nėra nauja – specialistai su ja sprendžiasi nuo pat to momento, kai kompiuteris pradėjo apdoroti vartotojui itin vertingus duomenis. Tačiau pastaraisiais metais dėl tinklų plėtros ir augančios elektroninių paslaugų paklausos padėtis informacijos saugumo srityje labai pablogėjo, o jos sprendimo būdų standartizavimo klausimas tapo ypač aktualus tiek kūrėjams, tiek vartotojams. IT įrankių.

Kodėl jums reikia žinoti teoriją?

Bet kuris informacijos saugos specialistas pereina tris savo profesinio tobulėjimo etapus. Pirmasis iš jų yra „darbas rankomis“. Naujokas intensyviai, naudodamas specializuotus įrankius, ieško ir šalina labai specifines sistemos ir taikomosios programinės įrangos spragas. Skaitytuvas, pleistras, prievadas, ryšys – tai subjektai, su kuriais jis dirba šiame etape.

Antrasis etapas yra „darbas su galva“. Pavargęs kamšyti vis naujas spragas, specialistas pradeda kurti planus ir metodus, kurių tikslas – efektyvinti veiksmus, gerinant sistemų saugumą ir šalinant informacinių grėsmių pasekmes. Būtent šiame etape atsiranda „saugumo politikos“ sąvoka.

Pagaliau ateina laikas apmąstymams – šiame etape patyręs specialistas supranta, kad greičiausiai išradinėja dviratį iš naujo, nes saugumo strategijos tikriausiai jau buvo sukurtos anksčiau. Ir šiuo atžvilgiu jis tikrai teisus.

Daugybė organizacijų visame pasaulyje jau seniai sprendžia informacijos saugumo problemą, jų veiklos rezultatas – didžiuliai kiekiai standartų, reglamentų, rekomendacijų, taisyklių ir kt. Vargu ar patartina studijuoti visą tomą, tačiau, žinoma, verta žinoti pagrindinius dokumentus. Todėl šiame straipsnyje paminėsime tik svarbiausias Rusijos ir tarptautines nuostatas, kurios nustato standartus informacijos saugumo srityje.

Informacijos saugumo koncepcija

Įvairių paskirčių informacinių ir telekomunikacijų sistemų (pirmiausia interneto) kūrimas, taip pat elektroninis apsikeitimas vertinga informacija, kurią reikia apsaugoti, reikalavo, kad šioje srityje dirbantys specialistai susistemintų ir racionalizuotų pagrindinius kompiuterinių sistemų reikalavimus ir charakteristikas. saugumo. Tačiau prieš pereinant prie suformuotų standartų svarstymo, būtina apibrėžti, kas yra saugumas.

Atsižvelgdami į sąvokos svarbą, bandysime suformuluoti išplėstinį jos apibrėžimą, kuriame bus atsižvelgta į naujausius tarptautinius ir šalies pokyčius šioje srityje. Taigi informacijos saugumas yra duomenų atsparumo atsitiktiniam ar tyčiniam poveikiui būsena, neįtraukiant nepriimtinos jų sunaikinimo, iškraipymo ir atskleidimo rizikos, dėl kurios savininkui ar naudotojui padaroma materialinė žala. Šiame apibrėžime labiausiai atsižvelgiama į pagrindinę komercinės informacinės kompiuterinės sistemos paskirtį – sumažinti finansinius nuostolius, gauti maksimalų pelną esant realiai rizikai.

Ši nuostata ypač aktuali vadinamosioms viešosioms atviroms sistemoms, kurios apdoroja ribotos prieigos įslaptintą informaciją, kurioje nėra valstybės paslapčių. Šiandien tokio tipo sistemos sparčiai vystosi tiek pasaulyje, tiek mūsų šalyje.

Tarptautinis informacijos saugumo standartas

Gerai žinoma, kad standartizavimas yra visų rūšių produktų ir paslaugų kokybės nustatymo metodų pagrindas. Vienas pagrindinių tokios veiklos rezultatų saugių informacinių sistemų reikalavimų ir charakteristikų sisteminimo srityje buvo Tarptautinių ir nacionalinių informacijos saugumo standartų sistema, kurioje yra daugiau nei šimtas įvairių dokumentų. Pavyzdys yra ISO 15408 standartas, žinomas kaip „Bendrieji kriterijai“.

1998 m. priimtas pagrindinis informacijos saugos standartas ISO 15408 tikrai yra labai svarbus Rusijos kūrėjams. Be to, šiemet, 2001 m., „Gosstandart“ planuoja parengti suderintą šio dokumento versiją. Tarptautinė standartizacijos organizacija (ISO) 1990 metais pradėjo kurti tarptautinį informacinių technologijų saugumo vertinimo kriterijų standartą, skirtą bendro naudojimo, „Bendrieji kriterijai“. Kuriant ją dalyvauja: Nacionalinis standartų ir technologijų institutas ir Nacionalinė saugumo agentūra (JAV), Ryšių saugumo įstaiga (Kanada), Informacijos saugumo agentūra (Vokietija), Nacionalinė ryšių saugumo agentūra (Olandija), įgyvendinančios institucijos IT saugumo ir sertifikavimo programa (Anglija), sistemų saugumo centras (Prancūzija). Kai standartas buvo baigtas, jam buvo suteiktas ISO 15408 numeris.

Bendrieji kriterijai (CC) buvo sukurti abipusiam IT saugumo vertinimo rezultatų pripažinimui pasauliniu mastu ir yra jo pagrindas. Jie leidžia palyginti nepriklausomų informacijos saugumo ir rizikos tolerancijos vertinimų rezultatus, remiantis IT priemonių ir sistemų saugumo funkcijų bendrųjų reikalavimų rinkiniu bei joms taikomomis garantijomis testavimo proceso metu.

Pagrindiniai OK privalumai yra informacijos saugumo reikalavimų išsamumas, taikymo lankstumas ir atvirumas tolesnei plėtrai, atsižvelgiant į naujausius mokslo ir technologijų pasiekimus. Kriterijai sukurti taip, kad atitiktų visų trijų vartotojų grupių (vartotojų, kūrėjų ir vertintojų) poreikius, nagrinėjant IT įrankio ar sistemos (vertinimo objekto) saugumo savybes. Šis standartas naudingas kaip vadovas kuriant IT saugos priemones, taip pat perkant komercinius produktus su panašiomis savybėmis. Vertinant daugiausia dėmesio skiriama grėsmėms, kylančioms iš piktavališkų žmogaus veiksmų, tačiau OC gali būti naudojamas ir kitų veiksnių sukeltas grėsmės vertinimui. Ateityje tikimasi sukurti specializuotus reikalavimus komercinio kredito ir finansų sektoriui. Prisiminkime, kad ankstesni tokio tipo vidaus ir užsienio dokumentai buvo susieti su vyriausybės ar karinės sistemos, kuri apdoroja įslaptintą informaciją, kurioje gali būti valstybės paslapčių, sąlygomis.

Šio standarto išleidimas ir įdiegimas užsienyje kartu yra kuriama nauja, standartizuota architektūra, skirta kompiuterinių sistemų informacijos saugumui užtikrinti. Kitaip tariant, sukuriama kompiuterinė ir programinė įranga, atitinkanti Bendruosius kriterijus. Pavyzdžiui, tarptautinė organizacija „Open Group“, vienijanti apie 200 pirmaujančių skaičiavimo ir telekomunikacijų įmonių iš viso pasaulio, atsižvelgdama į šiuos kriterijus, išleido naują komercinių automatizuotų sistemų informacijos saugumo architektūrą. Be to, „Open Group“ kuria mokymo programas, kurios palengvina greitą ir kokybišką standartizacijos dokumentų įgyvendinimą.

Interneto standartizacijos proceso ypatybės

Pasaulinis tinklas jau seniai turi keletą komitetų, sprendžiančių visų interneto technologijų standartizavimą. Šios organizacijos, sudarančios didžiąją dalį Interneto inžinerijos darbo grupės (IETF), jau standartizavo keletą svarbių protokolų, taip paspartindamos jų pritaikymą internete. TCP/IP protokolų šeima, skirta duomenų perdavimui, SMTP ir POP el. paštui, taip pat SNMP (Simple Network Management Protocol) tinklo valdymui yra IETF rezultatai.

Per pastaruosius kelerius metus internetinė rinka liudijo tai, kas žinoma kaip fragmentiška įtaka standartų formavimui. Internetui išsiplėtus į vartotojų ir komercines rinkas, kai kurios įmonės pradėjo ieškoti būdų, kaip paveikti standartizaciją, sukurdamos konkurencijos įvaizdį. Net neformalios institucijos, tokios kaip IETF, jautė spaudimą. Vystantis su internetu susijusioms rinkoms, verslininkai pradėjo burtis į specialias grupes ar konsorciumus, siekdami propaguoti savo standartus. Pavyzdžiai: OMG (Objektų valdymo grupė), VRML (Virtual Reality Markup Language) forumas ir Java plėtros ryšys. Kartais rimti interneto paslaugų vartotojai savo pirkiniais ar užsakymais nustato de facto standartus.

Viena iš skirtingų standartų grupių atsiradimo priežasčių – prieštaravimas tarp vis spartėjančių technologijų plėtros tempų ir ilgo standartų kūrimo ciklo.

Interneto saugos standartai

Saugūs duomenų perdavimo protokolai yra populiarūs kaip saugumo užtikrinimo internete priemonės, būtent SSL (TLS), SET, IP v. 6. Jie pasirodė palyginti neseniai ir iš karto tapo de facto standartais.

SSL (TLS)

Šiuo metu populiariausias tinklo duomenų šifravimo protokolas saugiam perdavimui tinklu yra kriptografinių algoritmų, metodų ir jų taikymo taisyklių rinkinys. Leidžia užmegzti saugų ryšį, stebėti duomenų vientisumą ir spręsti įvairias susijusias problemas.

NUSTATYTI

SET (Security Electronics Transaction) yra perspektyvus protokolas, užtikrinantis saugias elektronines operacijas internete. Jis pagrįstas skaitmeninių sertifikatų naudojimu pagal X.509 standartą ir skirtas elektroninei prekybai tinkle organizuoti.

Šis protokolas yra standartas, kurį sukūrė MasterCard ir Visa, dalyvaujant IBM, GlobeSet ir kitiems partneriams. Tai leidžia klientams pirkti prekes internetu naudojant saugiausią šiandien prieinamą mokėjimo mechanizmą. SET yra atviro standarto daugiašalis protokolas, skirtas atsiskaityti internetu naudojant plastikines korteles. Tai suteikia kryžminį kortelės turėtojo sąskaitos, prekybininko ir prekybininko banko autentifikavimą, kad būtų galima patikrinti mokėjimo pasirengimą, taip pat pranešimų vientisumą ir slaptumą bei vertingų ir jautrių duomenų šifravimą. SET gali būti laikomas standartine technologija arba protokolų sistema, skirta saugiems mokėjimams atlikti naudojant plastikines korteles internetu.

IPSec

IPSec specifikacija įtraukta į IP v standartą. 6 ir papildo dabartinę TCP/IP protokolų versiją. Jį kuria IETF IP saugumo darbo grupė. Šiuo metu IPSec apima tris nuo algoritmų nepriklausomas pagrindines specifikacijas, atitinkančias atitinkamus RFC standartus.

IPSec protokolas suteikia standartinį būdą šifruoti srautą tinklo (trečiojo) IP sluoksnyje ir apsaugo informaciją, pagrįstą šifravimu nuo galo iki galo: nepriklausomai nuo veikiančios programos, kiekvienas duomenų paketas, einantis per kanalą, yra užšifruotas. Tai leidžia organizacijoms kurti virtualius privačius tinklus internete. IPSec veikia kartu su įprastiniais ryšio protokolais, palaiko DES, MD5 ir daugybę kitų kriptografinių algoritmų.

Informacijos saugumo užtikrinimas tinklo lygiu naudojant IPSec apima:

  • nemodifikuotų galinių sistemų palaikymas;
  • kitų nei TCP perdavimo protokolų palaikymas;
  • virtualių tinklų palaikymas neapsaugotuose tinkluose;
  • transporto sluoksnio antraštės apsauga nuo perėmimo (apsauga nuo neteisėtos eismo analizės);
  • apsauga nuo paslaugų atsisakymo atakų.

Be to, IPSec turi du svarbius privalumus:

  1. naudojant jį nereikia keisti tarpinių tinklo įrenginių;
  2. Staliniai kompiuteriai ir serveriai nebūtinai turi palaikyti IPSec.

Rusijos rinkos ypatybės

Istoriškai Rusijoje IT saugumo problemos buvo tiriamos ir operatyviai sprendžiamos tik valstybės paslapčių apsaugos srityje. Panašios, bet specifinės problemos komerciniame ūkio sektoriuje jau seniai nerado tinkamų sprendimų. Šis faktas vis dar gerokai pristabdo saugių IT priemonių atsiradimą ir plėtrą vidaus rinkoje, kuri integruojama į pasaulinę sistemą. Be to, informacijos saugumas komercinėje automatizuotoje sistemoje turi savo ypatybes, į kurias tiesiog būtina atsižvelgti, nes jos daro didelę įtaką informacijos saugumo technologijoms. Mes išvardijame pagrindinius:

  1. Ekonominių veiksnių prioritetas. Komercinei automatizuotai sistemai labai svarbu sumažinti arba panaikinti finansinius nuostolius ir užtikrinti, kad šio įrankio savininkas ir naudotojai gautų pelną esant realiai rizikai. Tam ypač svarbi sąlyga yra tipinių bankinių rizikų (pavyzdžiui, nuostolių dėl klaidingų mokėjimo nurodymų, mokėjimo dokumentų klastojimo ir pan.) sumažinimas;
  2. Projektavimo atvirumas, numatantis informacijos saugumo posistemio sukūrimą iš plačiai rinkoje prieinamų ir atvirose sistemose veikiančių įrankių;
  3. Komercinės informacijos, kuri gali būti apibrėžta kaip saugios informacijos savybė, suteikianti elektroniniams dokumentams ar informaciniams procesams teisinę galią pagal Rusijos Federacijos teisės aktų nustatytą informacinių išteklių teisinį režimą, teisinė reikšmė. Ši sąlyga pastaruoju metu mūsų šalyje tampa vis svarbesnė kartu su IT saugumo (ypač sąveikaujant skirtingų juridinių asmenų automatizuotoms sistemoms) reguliavimo bazei.

Akivaizdu, kad saugios IT, apdorojančios konfidencialią informaciją, kurioje nėra valstybės paslapčių, sukūrimas yra nepaprastai svarbus šiuolaikinės Rusijos ekonominiam ir finansiniam gyvenimui. Darniojo standarto ISO 15408 („Bendrieji kriterijai“), atspindinčio naujausius pasaulinius pasiekimus vertinant informacijos saugumą, taikymas Rusijoje leis:

  • supažindins Rusijos IT su šiuolaikiniais tarptautiniais informacijos saugumo reikalavimais, kurie supaprastins, pavyzdžiui, užsienietiškų produktų naudojimą ir savo eksportą;
  • palengvinti atitinkamos Rusijos specializuotos reguliavimo ir metodinės medžiagos, skirtos saugios bankininkystės ir kitų IT priemonių ir sistemų testavimui, vertinimui (stebėjimui) ir sertifikavimui, kūrimą;
  • sudaryti pagrindą kokybiniam ir kiekybiniam informacijos rizikų, reikalingų automatizuotoms sistemoms apdrausti, įvertinimui;
  • sumažinti bendrąsias informacijos saugumo režimo palaikymo bankuose ir korporacijose išlaidas, įvesdami ir suvienodindami informacijos apsaugos metodus, priemones ir priemones.

Valstybės standartai

Tarp įvairių mūsų šalyje egzistuojančių informacinių technologijų saugumo standartų reikėtų išskirti nemažai dokumentų, reglamentuojančių atvirų sistemų sujungimo apsaugą (1 lentelės 1-3 eilutės). Prie jų galite pridėti norminius dokumentus apie kompiuterinės įrangos ir automatizuotų sistemų saugumo vertinimo priemones, sistemas ir kriterijus (žr. 1 lentelės 4-8 eilutes). Paskutinė dokumentų grupė, kaip ir daugelis anksčiau sukurtų užsienio standartų, pirmiausia orientuota į valstybės paslapčių apsaugą.

1 lentelė. IT saugumo vertinimą reglamentuojantys norminiai dokumentai

p/p 		Dokumento numeris apibūdinimas
1 GOST R ISO 7498-2-99 Informacinės technologijos. Atvirų sistemų sujungimas. Pagrindinis etaloninis modelis. 2 dalis. Informacijos saugumo architektūra
2 GOST R ISO/IEC 9594-8-98 Informacinės technologijos. Atvirų sistemų sujungimas. Katalogas. 8 dalis: Autentifikavimo pagrindai
3 GOST R ISO/IEC 9594-9-95 Informacinės technologijos. Atvirų sistemų sujungimas. Katalogas. 9 dalis. Dubliavimas
4 - Valstybinės techninės komisijos vadovas „RD. SVT. Ugniasienės. Apsauga nuo neteisėtos prieigos prie informacijos. Apsaugos nuo neteisėtos prieigos prie informacijos rodikliai“ (Rusijos valstybinė techninė komisija, 1997 m.)
5 GOST R 50739-95 "Kompiuterinė technika. Apsauga nuo neteisėtos prieigos prie informacijos. Bendrieji techniniai reikalavimai"
6 GOST 28147-89 Informacijos apdorojimo sistemos. Kriptografinė apsauga. Kriptografinis konvertavimo algoritmas
7 GOST R 34.10-94 Informacinės technologijos. Kriptografinės informacijos apsauga. Elektroninio parašo, pagrįsto asimetriniu kriptografiniu algoritmu, generavimo ir tikrinimo procedūros
8 GOST R 34.11-94 Informacinės technologijos. Kriptografinės informacijos apsauga. Maišos funkcija

Kaip ir kur veikia skirtingi standartai

Visi šiuo metu galimi standartai yra daugiapakopiai. Tai reiškia, kad jų naudojimas apsiriboja tam tikru abstrakcijos lygiu informacinėse sistemose (pavyzdžiui, „Bendrieji kriterijai“ negali būti naudojami detaliai aprašyti TLS protokolo seanso rakto generavimo mechanizmą). Akivaizdu, kad norint efektyviai taikyti standartus, būtina gerai suprasti jų lygį ir paskirtį.

Taigi, kuriant saugumo politiką ir veiklos vertinimo sistemą, taip pat atliekant išsamius saugumo testus, geriausia vadovautis ISO 15408 („Bendrieji kriterijai“) nuostatomis. Atitinkami GOST standartai yra skirti šifravimo ir skaitmeninio parašo sistemų techniniam tobulumui įgyvendinti ir įvertinti. Jei reikia apsaugoti kanalą, skirtą keistis savavališka informacija, patartina naudoti TLS protokolą. Kalbant ne tik apie ryšio linijos apsaugą, bet ir apie finansinių operacijų saugumą, SET pradeda veikti, įskaitant kanalų saugos protokolus kaip vieną iš žemesnio lygio standartų.

Nuo teorijos iki praktikos

Siekdami parodyti praktinę aukščiau nurodytų nuostatų svarbą, pateikiame saugos standartų, taikomų kompleksiškai įgyvendinant InterBank elektroninės bankininkystės paslaugas, sąrašą.

SSL (TLS) protokolas gali būti naudojamas informacijos apsikeitimo kanalui apsaugoti RS portalo ir interneto klientų sistemose. Standartai GOST 28147-89, GOST R 34.10-94 ir GOST R 34.11-94, reglamentuojantys duomenų šifravimą ir elektroninio skaitmeninio parašo mechanizmą, yra įdiegti visose "kliento-banko" tipo posistemių ("DOS klientas") kriptografinės apsaugos sistemose. , „Windows klientas“ , „Interneto klientas“).

Naudodami IPSec protokolą, galite skaidriai apsaugoti bet kokį informacijos mainų kanalą tarp kliento ir banko naudojant IP tinklo protokolą. Tai taikoma tiek interneto sistemoms (RS-Portal ir Internet Client), tiek RS-Mail el. pašto sistemai, kuri palaiko IP operaciją.

Tikimės, kad straipsnyje pateikta informacija padės įvertinti Jūsų sistemų patikimumą, o kūrėjų pastangos ir laikas bus nukreipti kuriant tikrai geriausius įrankius, kurie taps nauju žingsniu kuriant informacijos saugumo technologijas.


Straipsniai šia tema
•

Tarptautiniai standartai

  • BS 7799-1:2005 – britų standarto BS 7799 pirmoji dalis. BS 7799 1 dalyje – Informacijos saugumo valdymo praktikos kodeksas aprašo 127 valdiklius, reikalingus sukurti informacijos saugumo valdymo sistemos(ISMS) organizacijos, nustatytos remiantis geriausiais pasaulinės patirties pavyzdžiais (geriausia praktika) šioje srityje. Šis dokumentas yra praktinis vadovas kuriant ISMS
  • BS 7799-2:2005 – Didžiosios Britanijos standartas BS 7799 yra antroji standarto dalis. BS 7799 2 dalis. Informacijos saugumo valdymas. Informacijos saugumo valdymo sistemų specifikacijoje nurodoma ISMS specifikacija. Antroji standarto dalis naudojama kaip kriterijai oficialios organizacijos ISMS sertifikavimo procedūroje.
  • BS 7799-3:2006 – Britų standartas BS 7799 trečioji standarto dalis. Naujas informacijos saugumo rizikos valdymo standartas
  • ISO/IEC 17799:2005 – „Informacinės technologijos – Saugumo technologijos – Informacijos saugumo valdymo praktika“. Tarptautinis standartas, pagrįstas BS 7799-1:2005.
  • ISO/IEC 27000 – žodynas ir apibrėžimai.
  • ISO/IEC 27001:2005 – „Informacinės technologijos – Saugos metodai – Informacijos saugumo valdymo sistemos – Reikalavimai“. Tarptautinis standartas, pagrįstas BS 7799-2:2005.
  • ISO/IEC 27002 – dabar: ISO/IEC 17799:2005. „Informacinės technologijos – Saugumo technologijos – Praktinės informacijos saugumo valdymo taisyklės“. Išleidimo data: 2007 m.
  • ISO/IEC 27005 – dabar: BS 7799-3:2006 – Informacijos saugumo rizikos valdymo gairės.
  • Vokietijos informacijos saugumo agentūra. IT bazinės apsaugos vadovas – standartinės saugos priemonės.

Rusijos Federacijos valstybiniai (nacionaliniai) standartai

  • GOST R 50922-2006 - Informacijos apsauga. Pagrindiniai terminai ir apibrėžimai.
  • R 50.1.053-2005 - Informacinės technologijos. Pagrindiniai terminai ir apibrėžimai techninės informacijos saugumo srityje.
  • GOST R 51188-98 - Informacijos apsauga. Kompiuterių virusų tikrinimo programinė įranga. Modelio vadovas.
  • GOST R 51275-2006 - Informacijos apsauga. Informacinis objektas. Informaciją įtakojantys veiksniai. Bendrosios nuostatos.
  • GOST R ISO/IEC 15408-1-2008 – Informacinės technologijos. Saugumo užtikrinimo būdai ir priemonės. Informacinių technologijų saugumo vertinimo kriterijai. 1 dalis. Įvadas ir bendras modelis.
  • GOST R ISO/IEC 15408-2-2008 – Informacinės technologijos. Saugumo užtikrinimo būdai ir priemonės. Informacinių technologijų saugumo vertinimo kriterijai. 2 dalis. Funkcinės saugos reikalavimai.
  • GOST R ISO/IEC 15408-3-2008 – Informacinės technologijos. Saugumo užtikrinimo būdai ir priemonės. Informacinių technologijų saugumo vertinimo kriterijai. 3 dalis. Saugumo užtikrinimo reikalavimai.
  • GOST R ISO/IEC 15408 – „Bendrieji informacinių technologijų saugumo vertinimo kriterijai“ – standartas, apibrėžiantis informacinių produktų ir sistemų saugumo vertinimo priemones ir metodus; jame pateikiamas reikalavimų, su kuriais galima palyginti nepriklausomų saugos vertinimų rezultatus, sąrašas, leidžiantis vartotojui priimti sprendimus dėl gaminių saugos. „Bendrųjų kriterijų“ taikymo sritis – informacijos apsauga nuo neteisėtos prieigos, modifikavimo ar nutekėjimo bei kiti techninės ir programinės įrangos įgyvendinami apsaugos būdai.
  • GOST R ISO/IEC 17799 - „Informacinės technologijos. Praktinės informacijos saugumo valdymo taisyklės“. Tiesioginis tarptautinio standarto taikymas su jo papildymu – ISO/IEC 17799:2005.
  • GOST R ISO/IEC 27001 - „Informacinės technologijos. Apsaugos metodai. Informacijos saugumo valdymo sistema. Reikalavimai“. Tiesioginis tarptautinio standarto taikymas yra ISO/IEC 27001:2005.
  • GOST R 51898-2002: Saugos aspektai. Įtraukimo į standartus taisyklės.

Vadovaujantys dokumentai

  • RD SVT. Apsauga nuo NSD. Saugos rodikliai nuo NSD iki informacijos – pateikiamas informacinių sistemų saugumo rodiklių aprašymas ir reikalavimai saugumo klasėms.

taip pat žr

  • Nedeklaruojami pajėgumai

Išorinės nuorodos


Wikimedia fondas. 2010 m.

Pažiūrėkite, kas yra „Informacijos saugumo standartai“ kituose žodynuose:

    Informacijos saugumo auditas – tai sistemingas procesas, kurio metu gaunami objektyvūs kokybiniai ir kiekybiniai esamos įmonės informacijos saugumo būklės įvertinimai pagal tam tikrus saugumo kriterijus ir rodiklius... ... Vikipedija

    GOST R 53114-2008: Informacijos apsauga. Informacijos saugumo užtikrinimas organizacijoje. Pagrindiniai terminai ir apibrėžimai- Terminija GOST R 53114 2008: Informacijos apsauga. Informacijos saugumo užtikrinimas organizacijoje. Pagrindiniai terminai ir apibrėžimai originalus dokumentas: 3.1.19 automatizuota saugaus dizaino sistema; Apsaugotas garsiakalbis: ... ... Norminės ir techninės dokumentacijos terminų žodynas-žinynas

    DARBO SAUGOS STANDARTAI- dokumentus, kurie, siekiant savanoriško pakartotinio naudojimo, nustato gaminio saugos charakteristikas, saugaus įgyvendinimo taisykles ir gamybos procesų, eksploatavimo, sandėliavimo, transportavimo, pardavimo charakteristikas... Rusijos darbo apsaugos enciklopedija

    Turinys 1 Saugumo politikos apibrėžimas 2 Vertinimo metodai 3 ... Vikipedija

    Nacionalinio saugumo agentūra / Centrinė saugumo tarnyba ... Vikipedija

    Auditas Audito rūšys Vidaus auditas Išorinis auditas Mokesčių auditas Aplinkos auditas Socialinis auditas Priešgaisrinis auditas Due diligence Pagrindinės sąvokos Auditoriaus medžiaga ... Wikipedia

    Valstybiniai gaminių, darbų ir paslaugų standartai- Valstybiniai standartai yra sukurti produktams, darbams ir paslaugoms, kurios turi tarpsektorinę reikšmę ir neturėtų prieštarauti Rusijos Federacijos įstatymams. Valstybiniuose standartuose turi būti: reikalavimai gaminiams, darbui... ... Žodynas: apskaita, mokesčiai, verslo teisė

    Ukrainos nepaprastųjų situacijų ministerija (LGUBZhD, LDU BZD) ... Vikipedija

    Klasikiškai buvo manoma, kad informacijos saugumo užtikrinimas susideda iš trijų komponentų: konfidencialumo, vientisumo, prieinamumo. Informacijos saugumo proceso taikymo informacinei sistemai taškai yra aparatinė ... Vikipedija

Knygos

  • Informacijos saugumo standartai. Konfidencialių dokumentų apsauga ir tvarkymas. Mokymo vadovas, Sychev Jurijus Nikolajevičius. Informacijos saugumo srityje dirbantys specialistai negali išsiversti be tarptautinių ir nacionalinių standartų bei rekomendacinių dokumentų išmanymo. Poreikis naudoti...
  • Tarptautiniai finansų ir ekonominių sistemų informacijos saugumo pagrindai ir standartai. Studijų vadovas, Julija Michailovna Beketnova. Leidinys skirtas informacinės apsaugos bakalauro ir magistrantūros studijų studentams, taip pat mokslininkams, dėstytojams, magistrantams,…

Tarptautiniai standartai

  • BS 7799-1:2005 – britų standarto BS 7799 pirmoji dalis. BS 7799 1 dalyje – Informacijos saugumo valdymo praktikos kodeksas aprašo 127 valdiklius, reikalingus sukurti informacijos saugumo valdymo sistemos(ISMS) organizacijos, nustatytos remiantis geriausiais pasaulinės patirties pavyzdžiais (geriausia praktika) šioje srityje. Šis dokumentas yra praktinis vadovas kuriant ISMS
  • BS 7799-2:2005 – Didžiosios Britanijos standartas BS 7799 yra antroji standarto dalis. BS 7799 2 dalis. Informacijos saugumo valdymas. Informacijos saugumo valdymo sistemų specifikacijoje nurodoma ISMS specifikacija. Antroji standarto dalis naudojama kaip kriterijai oficialios organizacijos ISMS sertifikavimo procedūroje.
  • BS 7799-3:2006 – Britų standartas BS 7799 trečioji standarto dalis. Naujas informacijos saugumo rizikos valdymo standartas
  • ISO/IEC 17799:2005 – „Informacinės technologijos – Saugumo technologijos – Informacijos saugumo valdymo praktika“. Tarptautinis standartas, pagrįstas BS 7799-1:2005.
  • ISO/IEC 27000 – žodynas ir apibrėžimai.
  • ISO/IEC 27001 – „Informacinės technologijos – Saugos metodai – Informacijos saugumo valdymo sistemos – Reikalavimai“. Tarptautinis standartas, pagrįstas BS 7799-2:2005.
  • ISO/IEC 27002 – dabar: ISO/IEC 17799:2005. „Informacinės technologijos – Saugumo technologijos – Praktinės informacijos saugumo valdymo taisyklės“. Išleidimo data: 2007 m.
  • ISO/IEC 27005 – dabar: BS 7799-3:2006 – Informacijos saugumo rizikos valdymo gairės.
  • Vokietijos informacijos saugumo agentūra. IT bazinės apsaugos vadovas – standartinės saugos priemonės.

Rusijos Federacijos valstybiniai (nacionaliniai) standartai

  • GOST R 50922-2006 - Informacijos apsauga. Pagrindiniai terminai ir apibrėžimai.
  • R 50.1.053-2005 - Informacinės technologijos. Pagrindiniai terminai ir apibrėžimai techninės informacijos saugumo srityje.
  • GOST R 51188-98 - Informacijos apsauga. Kompiuterių virusų tikrinimo programinė įranga. Modelio vadovas.
  • GOST R 51275-2006 - Informacijos apsauga. Informacinis objektas. Informaciją įtakojantys veiksniai. Bendrosios nuostatos.
  • GOST R ISO/IEC 15408-1-2012 – Informacinės technologijos. Saugumo užtikrinimo būdai ir priemonės. Informacinių technologijų saugumo vertinimo kriterijai. 1 dalis. Įvadas ir bendras modelis.
  • GOST R ISO/IEC 15408-2-2013 – Informacinės technologijos. Saugumo užtikrinimo būdai ir priemonės. Informacinių technologijų saugumo vertinimo kriterijai. 2 dalis. Funkcinės saugos reikalavimai.
  • GOST R ISO/IEC 15408-3-2013 – Informacinės technologijos. Saugumo užtikrinimo būdai ir priemonės. Informacinių technologijų saugumo vertinimo kriterijai. 3 dalis. Saugumo užtikrinimo reikalavimai.
  • GOST R ISO/IEC 15408 – „Bendrieji informacinių technologijų saugumo vertinimo kriterijai“ – standartas, apibrėžiantis informacinių produktų ir sistemų saugumo vertinimo priemones ir metodus; jame pateikiamas reikalavimų, su kuriais galima palyginti nepriklausomų saugos vertinimų rezultatus, sąrašas, leidžiantis vartotojui priimti sprendimus dėl gaminių saugos. „Bendrųjų kriterijų“ taikymo sritis – informacijos apsauga nuo neteisėtos prieigos, modifikavimo ar nutekėjimo bei kiti techninės ir programinės įrangos įgyvendinami apsaugos būdai.
  • GOST R ISO/IEC 17799 - „Informacinės technologijos. Praktinės informacijos saugumo valdymo taisyklės“. Tiesioginis tarptautinio standarto taikymas su jo papildymu – ISO/IEC 17799:2005.
  • GOST R ISO/IEC 27001 - „Informacinės technologijos. Apsaugos metodai. Informacijos saugumo valdymo sistema. Reikalavimai“. Tiesioginis tarptautinio standarto taikymas yra ISO/IEC 27001:2005.
  • GOST R 51898-2002: Saugos aspektai. Įtraukimo į standartus taisyklės.

Džiugu, kad rinka supranta informacijos saugumo svarbą ir būtinybę, o jos dėmesys informacijos saugumo klausimams nuolat auga.

Norint paaiškinti šią tendenciją, toli eiti nereikia: girdime apie itin aktualius informacinių sistemų kompromisus, kurie atneša didelių finansinių ir reputacijos nuostolių. Kai kuriais atvejais jie tapo visiškai negrįžtami konkrečiam verslui. Taigi pačios organizacijos informacijos saugumas tampa ne tik raktu į jos nenutrūkstamą veiklą, bet ir patikimumo kriterijumi partneriams bei klientams.

Rinka veikia pagal tas pačias taisykles, o esamo saugumo lygio ir informacijos saugumo valdymo procesų efektyvumo matavimo kriterijai yra vienodi visiems jos žaidėjams. Jų vaidmenį atlieka standartai, skirti padėti įmonei sukurti reikiamą informacijos apsaugos lygį. Populiariausi Rusijos bankininkystės sektoriuje yra ISO/IEC 27000 standartas, Rusijos banko standartas, užtikrinantis bankinių sistemų organizacijų informacijos saugumą ir PCI DSS mokėjimo kortelių infrastruktūros duomenų saugumo standartas.

Tarptautinė standartizacijos organizacija (ISO) ir Tarptautinė elektrotechnikos komisija (IEC) parengė ir paskelbė ISO/IEC 27000 serijos standartus, kuriuose pateikiamos rekomendacijos, kaip sukurti informacijos saugumo valdymo sistemą. Akredituotos audito įmonės turi teisę atlikti sertifikavimą pagal standartus, vadovaudamosi juose nustatytais reikalavimais.

Griežto reikalavimo laikytis standarto Rusijos rinkos dalyviams nebuvimas lemia, kad jo paplitimas yra gana mažas. Pavyzdžiui, vien Japonijoje įmonių, sėkmingai išlaikiusių auditą, kad atitiktų tarptautinio standarto reikalavimus, skaičius yra beveik 200 kartų didesnis nei toks pat rodiklis Rusijoje ir NVS šalyse.

Atkreiptinas dėmesys, kad į šį skaičiavimą neįtrauktos įmonės, kurios realiai atitinka Standarto reikalavimus, tačiau nėra formaliai sertifikuotos. Kitaip tariant, Rusijoje ir NVS šalyse yra daug įmonių, kurios nusprendė kurti procesus, skirtus informacijos saugumo lygiui valdyti ir palaikyti ne dėl „varnelės“ atitikties sertifikato pavidalu, o iš tikrųjų. naudos. Reikalas tas, kad dažnai 27000 serijos standartai yra pirmasis žingsnis kuriant informacijos apsaugos sistemas. O jų naudojimas kaip gairės yra pagrindas, suponuojantis tolesnę efektyvios informacijos saugumo valdymo sistemos kūrimą ir plėtrą.

IBBS STO BR yra gana artimas ISO/IEC 27001 standartas, Rusijos banko sukurtas bankų sektoriaus organizacijoms, skirtas užtikrinti priimtiną dabartinio bankų informacijos saugumo ir saugumo valdymo procesų lygį. Pagrindiniais tikslais ją kuriant buvo nurodyta didinti pasitikėjimą bankininkyste, užtikrinti apsaugą nuo grėsmių saugumui ir sumažinti informacijos saugumo incidentų žalą. Standartas yra patariamasis ir nebuvo ypač populiarus iki 2010 m. versijos.

Aktyvus IBBS STO BR diegimas prasidėjo nuo standarto versijos, kurioje buvo pateikti asmens duomenų saugumo užtikrinimo reikalavimai, ir vėlesnio informacinio laiško, apibrėžiančio standarto reikalavimų laikymosi pripažinimą alternatyviu atitikties būdu. su teisės aktais asmens duomenų saugumo užtikrinimo srityje. Šiuo metu, remiantis neoficialia statistika, apie 70% bankų yra priėmę Rusijos banko standartą kaip privalomą.

IBBS BR standartas yra gana dinamiškai besivystantis dokumentų rinkinys, kurio informacijos saugumo užtikrinimo ir valdymo reikalavimai yra adekvatūs šiuolaikinėms grėsmėms. Jo naudojimas bankuose jau de facto tampa būtinas, nepaisant oficialaus patarėjo statuso, nefinansinėms organizacijoms IBBS komplekso dokumentai gali pasitarnauti kaip gerosios praktikos užtikrinant informacijos saugumą rinkinys.

Galiausiai, dar vienas itin svarbus finansinių organizacijų standartas yra mokėjimo kortelių pramonės duomenų saugos standartas (PCI DSS, Payment Card Industry Data Security Standard). Jis buvo sukurtas penkių didžiausių pasaulyje mokėjimo sistemų – „Visa“, „MasterCard“, „JCB“, „American Express“ ir „Discover“ iniciatyva, kurios organizavo Mokėjimo kortelių pramonės saugumo tarybą (PCI SSC). Mokėjimo kortelių aptarnavimas turi būti vykdomas pagal vienodas taisykles ir atitikti tam tikrą informacijos saugumo lygį. Akivaizdu, kad naudojant su pinigais susijusias technologijas saugumas yra pagrindinis veiksnys. Todėl mokėjimo kortelių duomenų apsauga yra prioritetinė bet kurios mokėjimo sistemos užduotis.

Pagrindinis skirtumas tarp PCI DSS standarto ir aukščiau išvardintų yra privalomas jo taikymas visoms mokėjimo korteles tvarkančioms organizacijoms. Tuo pačiu metu atitikties vertinimo reikalavimai yra gana lankstūs – priklauso nuo tvarkomų operacijų skaičiaus: nuo įsivertinimo iki sertifikavimo audito išlaikymo. Pastarąjį vykdo PCI QSA statusą turinti įmonė.

Pagrindinis PCI DSS standarto atsiradimo bruožas buvo atitikties pasiekimo terminų nustatymas. Dėl to dauguma pagrindinių mokėjimo kortelių pramonės dalyvių padarė darbą, kad atitiktų reikalavimus. Dėl to tai paveikė bendrą saugumo lygį tiek atskiriems dalyviams, tiek visai mokėjimų negrynaisiais pinigais pramonei.

Nors standarto atsiradimas buvo didžiausių mokėjimo sistemų pramonės žaidėjų iniciatyva, jis gali rasti savo pritaikymą ir tapti gairėmis su šia industrija nesusijusioms organizacijoms. Pagrindinis jo naudojimo privalumas – nuolatiniai atnaujinimai ir dėl to dabartinės priemonės bei rekomendacijos, mažinančios informacijos saugumo grėsmes.

Standartų taikymas ir jų reikalavimų laikymasis neabejotinai yra gera praktika ir didelis žingsnis į priekį kuriant informacijos apsaugos sistemą. Tačiau, deja, yra pavyzdžių, kai vien atitikties faktas negarantuoja aukšto saugumo lygio. Sertifikato galiojimas pratęsiamas tam tikrą laikotarpį, kai nustoja veikti procedūros, skirtos tik formaliam atitikimui. Taigi gali pasirodyti, kad organizacijos informacijos saugos sistemos būklė audito metu neatitinka įvertinimo, atlikto po šešių mėnesių.

Be to, analizuojant galimas rizikas negalima atmesti žmogiškojo faktoriaus, kuris gali reikšti pačių auditorių klaidą nustatant audito apimtį, tikrinamų komponentų sudėtį ir bendras išvadas.

Baigdamas norėčiau pažymėti, kad standartų laikymasis nepakeičia vykstančio ypatingos svarbos informacijos saugumo užtikrinimo proceso. Tobulo saugumo nėra, tačiau naudojant skirtingus įrankius galima pasiekti maksimalų informacijos saugumo lygį. Informacijos saugumo standartai – kaip tik tokia priemonė.

Sąmata:

0 4

Antraštė: iOS
Dalintis