Android. Sistem de operare. Multimedia. Rețelele de socializare. Instrumente. Codec-uri. Arte grafice
Ești aici: » »

Disciplina de securitate a informațiilor Standardele rusești și internaționale. Standarde juridice internaționale în domeniul protecției datelor cu caracter personal

Asigurarea securitatii sistemelor informatice in În prezent, este imposibil fără crearea competentă și de înaltă calitate a sistemelor de securitate a informațiilor. Acest lucru a determinat munca comunității mondiale de a sistematiza și eficientiza cerințele și caracteristicile de bază ale unor astfel de sisteme în ceea ce privește securitatea informațiilor.

Unul dintre principalele rezultate ale unor astfel de activități a fost sistemstandarde internaționale și naționalesecuritatea informatiei, care conţine mai mult de o sută de documente diferite.

Acest lucru este valabil mai ales pentru așa-numitul sisteme deschise pentru uz comercial, prelucrează informații restricționate care nu conțin secrete de stat și se dezvoltă rapid în țara noastră.

Sub înțelege sistemele deschise o colecție de tot felul de echipamente de calcul și telecomunicații de la diferiți producători, a căror funcționare comună este asigurată prin respectarea cerințelor standardelor, în primul rând internaționale.

Termenul " deschis „, de asemenea, implică faptul că, dacă un sistem de calcul respectă standardele, atunci va fi deschis interconectarii cu orice alt sistem care îndeplinește aceleași standarde. Acest lucru, în special, se aplică mecanismelor de protecție a informațiilor criptografice sau de protecție împotriva accesului neautorizat ( NSD) la informare.

Specialisti in securitatea informatiei ( ESTE) astăzi este aproape imposibil să se facă fără cunoașterea standardelor relevante.

In primul rand, standardele și specificațiile sunt una dintre formele de acumulare de cunoștințe, în primul rând despre nivelurile procedurale și software și hardware de securitate a informațiilor. Aceștia documentează soluții și metodologii dovedite, de înaltă calitate, dezvoltate de cei mai calificați specialiști.

În al doilea rând , ambele sunt principalele mijloace de asigurare a compatibilității reciproce a sistemelor hardware-software și a componentelor acestora, iar în Internet:-comunitate Acest produs chiar funcționează și este foarte eficient.

Recent, în diferite țări a apărut o nouă generație de standarde în domeniul securității informațiilor, dedicate problemelor practice de gestionare a securității informațiilor unei companii. Acestea sunt, în primul rând, standardele internaționale și naționale de management al securității informațiilor ISO 15408, ESTEO 17799 (BS7799), BSI.; standarde de audit pentru sistemele informatice si informatii

securitate on-line BUFNIŢĂeuT,SAC, COSDESPRE si altele asemanatoare lor.

Standardele internaționale sunt de o importanță deosebită ISO 15408, ISO 17799 servesc drept bază pentru orice muncă în domeniu securitatea informațiilor, inclusiv auditul.

ISO 15408 - definește detaliat cerințe pentru instrumentele software și hardware de securitate a informațiilor.

ISO 17799 - concentrat pe probleme organizarea si managementul securitatii.

Utilizarea internațională și națională standardele asigurarea securității informațiilor ajută la rezolvarea următoarelor cinci sarcini:

- in primul rand , determinarea obiectivelor pentru asigurarea securității informaționale a sistemelor informatice;

- În al doilea rând , crearea unui sistem eficient de management al securității informațiilor;

- În al treilea rând , calculul unui set de indicatori detaliați nu numai calitativi, ci și cantitativi pentru a evalua conformitatea securității informațiilor cu obiectivele declarate;

- în al patrulea rând , aplicarea instrumentelor de securitate a informațiilor și evaluarea stării sale actuale;

- în al cincilea rând , utilizarea tehnicilor de management al securității cu un sistem bine fundamentat de metrici și măsuri de sprijinire a dezvoltatorilor de sisteme informatice care să le permită să evalueze în mod obiectiv securitatea activelor informaționale și să gestioneze securitatea informațională a companiei.

Concentrați-vă pe standardele internaționale ISO/ 15408 iar rusul lui analog cu GOST R ISO/IEC15408 -2002 „Criterii pentru evaluarea securității tehnologiilor informaționale”și specificații "Internet-comunitățile."

Efectuarea unui audit securitatea informațiilor se bazează pe utilizarea a numeroase recomandări, care sunt stabilite în principal în standardele internaționale ESTE.

Începând de la început anii 80, au fost create zeci de standarde internaționale și naționale în domeniul securității informațiilor, care într-o anumită măsură se completează reciproc.

Prelegerea discută cele mai importante standarde, a căror cunoaștere este necesară pentru dezvoltatorii și evaluatorii de produse de securitate, administratorii de sistem, șefii serviciilor de securitate a informațiilor și utilizatorii în funcție de cronologia creării lor, inclusiv:

    Criteriul de evaluare a fiabilității sistemelor informatice " Carte portocalie"(STATELE UNITE ALE AMERICII);

    Criterii armonizate ale țărilor europene;

    standard german BSI;

    standard britanic B.S. 7799 ;

    Standard " criterii generale"ISO 15408;

    Standard ISO 17799;

    Standard COBIT

Aceste standarde pot fi împărțite în două tipuri diferite:

    Standarde de evaluare , care vizează clasificarea sistemelor informaționale și a mijloacelor de protecție în funcție de cerințele de securitate;

    Specificatii tehnice reglementarea diferitelor aspecte ale implementării echipamentelor de protecţie.

Este important să rețineți că între aceste tipuri de documente de reglementare nu există perete gol, dimpotrivă, există o relație logică.

Standarde de evaluare evidențiază cele mai importante aspecte ale securității informațiilor din punct de vedere al securității informațiilor, jucând rolul caietului de sarcini arhitectural.

Specificatii tehnice stabiliți cum să construiți un IS cu o arhitectură prescrisă. În cele ce urmează sunt descrise caracteristicile acestor standarde.

2. Criterii de evaluare a sistemelor informatice de încredere

Cartea portocalie")

Problema securității informațiilor computerizate nu este nouă - specialiștii s-au ocupat de ea încă din momentul în care computerul a început să prelucreze date de mare valoare pentru utilizator. Cu toate acestea, în ultimii ani, din cauza dezvoltării rețelelor și a cererii în creștere pentru servicii electronice, situația în domeniul securității informațiilor s-a înrăutățit serios, iar problema standardizării abordărilor pentru rezolvarea acesteia a devenit deosebit de relevantă atât pentru dezvoltatori, cât și pentru utilizatori. a instrumentelor IT.

De ce trebuie să cunoașteți teoria?

Orice specialist în securitatea informațiilor parcurge trei etape în dezvoltarea sa profesională. Prima dintre ele este „a lucra cu mâinile tale”. Noul venit intens, folosind instrumente specializate, caută și elimină lacune foarte specifice în software-ul de sistem și aplicație. Scanner, patch, port, conexiune - acestea sunt entitățile cu care lucrează în această etapă.

A doua etapă este „lucrarea cu capul”. Obosit să astupe din ce în ce mai multe noi lacune, specialistul începe să dezvolte planuri și metode, al căror scop este eficientizarea acțiunilor pentru îmbunătățirea securității sistemelor și eliminarea consecințelor amenințărilor informaționale. În această etapă apare conceptul de „politică de securitate”.

În sfârșit, vine momentul reflecției - în această etapă, un specialist experimentat înțelege că cel mai probabil reinventează roata, deoarece probabil că strategiile de securitate au fost deja dezvoltate înaintea lui. Și în asta are cu siguranță dreptate.

Numeroase organizații din întreaga lume se confruntă de mult timp cu problema securității informațiilor; rezultatul activităților lor au fost volume importante de standarde, reglementări, recomandări, reguli etc. Cu greu este recomandabil să studiezi întregul volum, dar merită, desigur, să cunoști documentele fundamentale. Prin urmare, în acest articol vom aminti doar cele mai importante prevederi rusești și internaționale care stabilesc standarde în domeniul securității informațiilor.

Conceptul de securitate a informațiilor

Dezvoltarea sistemelor informaționale și de telecomunicații în diverse scopuri (în primul rând internetul), precum și schimbul electronic de informații valoroase care au nevoie de protecție, au impus specialiștilor care lucrează în acest domeniu să sistematizeze și să eficientizeze cerințele și caracteristicile de bază ale sistemelor informatice în ceea ce privește de securitate. Cu toate acestea, înainte de a trece la luarea în considerare a standardelor formate, este necesar să se definească ce este securitatea.

Având în vedere importanța conceptului, vom încerca să formulăm definiția lui extinsă, care să țină cont de cele mai recente evoluții internaționale și interne în acest domeniu. Deci, securitatea informațiilor este o stare de rezistență a datelor la influențe accidentale sau intenționate, excluzând riscurile inacceptabile de distrugere, denaturare și dezvăluire a acestora, care conduc la pagube materiale proprietarului sau utilizatorului. Această definiție ține cont cel mai pe deplin de scopul principal al unui sistem informatic informatic comercial - minimizarea pierderilor financiare, obținerea de profituri maxime în fața riscurilor reale.

Această prevedere este relevantă în special pentru așa-numitele sisteme publice deschise care procesează informații clasificate cu acces limitat care nu conțin secrete de stat. Astăzi, sistemele de acest tip se dezvoltă rapid atât în ​​lume, cât și în țara noastră.

Standardul internațional de securitate a informațiilor

Este bine cunoscut faptul că standardizarea stă la baza tuturor tipurilor de metode de determinare a calității produselor și serviciilor. Unul dintre principalele rezultate ale unor astfel de activități în domeniul sistematizării cerințelor și caracteristicilor sistemelor informaționale securizate a fost Sistemul de standarde internaționale și naționale de securitate a informațiilor, care conține peste o sută de documente diferite. Un exemplu este standardul ISO 15408, cunoscut sub numele de „Criterii comune”.

Standardul de bază de securitate a informațiilor ISO 15408, adoptat în 1998, este cu siguranță foarte important pentru dezvoltatorii ruși. Mai mult, în acest an, 2001, Gosstandart intenționează să pregătească o versiune armonizată a acestui document. Organizația Internațională pentru Standardizare (ISO) a început să dezvolte Standardul Internațional pentru Criteriile de Evaluare a Securității Tehnologiei Informației pentru uz general, „Criterii comune” în 1990. La crearea sa au participat: Institutul Național de Standarde și Tehnologie și Agenția Națională de Securitate (SUA), Instituția de Securitate a Comunicațiilor (Canada), Agenția de Securitate a Informațiilor (Germania), Agenția Națională de Securitate a Comunicațiilor (Olanda), autoritățile de implementare a Programul de Securitate și Certificare IT (Anglia), Centrul pentru Securitatea Sistemelor (Franța). Odată ce standardul a fost finalizat, i s-a acordat numărul ISO 15408.

Criteriile comune (CC) au fost create pentru recunoașterea reciprocă a rezultatelor evaluării securității IT la scară globală și reprezintă baza acesteia. Acestea vă permit să comparați rezultatele evaluărilor independente ale securității informațiilor și ale toleranței la risc pe baza unui set de cerințe generale pentru funcțiile de securitate ale instrumentelor și sistemelor IT, precum și a garanțiilor aplicate acestora în timpul procesului de testare.

Principalele avantaje ale OK sunt completitudinea cerințelor de securitate a informațiilor, flexibilitatea în aplicare și deschiderea pentru dezvoltarea ulterioară, luând în considerare cele mai recente realizări ale științei și tehnologiei. Criteriile sunt concepute pentru a satisface nevoile tuturor celor trei grupuri de utilizatori (consumatori, dezvoltatori și evaluatori) atunci când se examinează proprietățile de securitate ale unui instrument sau sistem IT (obiectul evaluării). Acest standard este util ca ghid atunci când se dezvoltă funcții de securitate IT, precum și la achiziționarea de produse comerciale cu caracteristici similare. Obiectivul principal al evaluării îl reprezintă amenințările care decurg din acțiunile umane rău intenționate, dar OC poate fi folosit și în evaluarea amenințărilor cauzate de alți factori. În viitor, este de așteptat crearea unor cerințe specializate pentru sectorul creditului comercial și financiar. Să ne amintim că documentele anterioare interne și străine de acest tip erau legate de condițiile unui sistem guvernamental sau militar care prelucrează informații clasificate care pot conține secrete de stat.

Lansarea și implementarea acestui standard în străinătate este însoțită de dezvoltarea unei noi arhitecturi standardizate, care este concepută pentru a asigura securitatea informațională a sistemelor de calcul. Cu alte cuvinte, sunt create hardware și software de calculator care îndeplinesc Criteriile Generale. De exemplu, organizația internațională „Open Group”, care reunește aproximativ 200 de companii de calcul și telecomunicații de top din întreaga lume, a lansat o nouă arhitectură de securitate a informațiilor pentru sistemele comerciale automatizate ținând cont de aceste criterii. În plus, „Open Group” creează programe de instruire care facilitează implementarea rapidă și de înaltă calitate a documentelor de standardizare.

Caracteristicile procesului de standardizare a Internetului

Rețeaua globală are de mult timp un număr de comitete care se ocupă de standardizarea tuturor tehnologiilor Internet. Aceste organizații, care formează cea mai mare parte a Internet Engineering Task Force (IETF), au standardizat deja câteva protocoale importante, accelerând astfel adoptarea lor pe Internet. Familia de protocoale TCP/IP pentru transferul de date, SMTP și POP pentru e-mail, precum și SNMP (Simple Network Management Protocol) pentru managementul rețelei sunt rezultatele IETF.

În ultimii câțiva ani, piața online a fost martoră a ceea ce este cunoscut ca o influență fragmentată asupra formării standardelor. Pe măsură ce Internetul s-a extins pe piețele de consum și comerciale, unele firme au început să caute modalități de a influența standardizarea creând o aparență de concurență. Chiar și organismele informale precum IETF au simțit presiunea. Pe măsură ce piețele legate de internet s-au dezvoltat, antreprenorii au început să formeze grupuri sau consorții speciale pentru a-și promova propriile standarde. Exemplele includ OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum și Java Development Connection. Uneori, consumatorii serioși de servicii de internet stabilesc standarde de facto cu achizițiile sau comenzile lor.

Unul dintre motivele apariției diferitelor grupuri de standarde este contradicția dintre ritmul tot mai mare de dezvoltare a tehnologiei și ciclul lung de creare a standardelor.

Standarde de securitate pe internet

Protocoalele securizate de transmisie a datelor sunt populare ca mijloace de asigurare a securității pe Internet, și anume SSL (TLS), SET, IP v. 6. Au apărut relativ recent și au devenit imediat standarde de facto.

SSL (TLS)

Cel mai popular protocol de criptare a datelor din rețea în prezent pentru transmisia securizată prin rețea este un set de algoritmi, metode și reguli criptografice pentru aplicarea lor. Vă permite să stabiliți o conexiune sigură, să monitorizați integritatea datelor și să rezolvați diverse probleme conexe.

A STABILIT

SET (Security Electronics Transaction) este un protocol promițător care oferă tranzacții electronice sigure pe Internet. Se bazează pe utilizarea certificatelor digitale conform standardului X.509 și este destinat organizării comerțului electronic în rețea.

Acest protocol este un standard dezvoltat de MasterCard și Visa cu participarea IBM, GlobeSet și alți parteneri. Permite clienților să cumpere bunuri online folosind cel mai sigur mecanism de plată disponibil în prezent. SET este un protocol multilateral standard deschis pentru efectuarea plăților pe internet folosind carduri de plastic. Acesta oferă autentificare încrucișată între contul deținătorului cardului, comerciant și banca comerciantului pentru a verifica disponibilitatea plății, precum și integritatea și secretul mesajului și criptarea datelor valoroase și sensibile. SET poate fi considerat o tehnologie standard sau un sistem de protocoale pentru efectuarea de plăți sigure pe baza de carduri de plastic prin Internet.

IPSec

Specificația IPSec este inclusă în standardul IP v. 6 și este suplimentar față de versiunea actuală a protocoalelor TCP/IP. Acesta este dezvoltat de Grupul de lucru IETF IP Security. IPSec include în prezent trei specificații de bază independente de algoritm, reprezentând standardele RFC corespunzătoare.

Protocolul IPSec oferă o modalitate standard de criptare a traficului la nivelul (al treilea) IP al rețelei și protejează informațiile bazate pe criptarea end-to-end: indiferent de aplicația care rulează, fiecare pachet de date care trece prin canal este criptat. Permite organizațiilor să creeze rețele private virtuale pe Internet. IPSec rulează pe deasupra protocoalelor de comunicații convenționale, acceptând DES, MD5 și o serie de alți algoritmi criptografici.

Asigurarea securității informațiilor la nivel de rețea folosind IPSec include:

  • suport pentru sisteme terminale nemodificate;
  • suport pentru protocoale de transport altele decât TCP;
  • suport pentru rețele virtuale în rețele neprotejate;
  • protecția antetului stratului de transport împotriva interceptării (protecția împotriva analizei traficului neautorizat);
  • protecție împotriva atacurilor de tip denial of service.

În plus, IPSec are două avantaje importante:

  1. utilizarea sa nu necesită modificări ale dispozitivelor intermediare de rețea;
  2. Desktopurile și serverele nu trebuie neapărat să accepte IPSec.

Caracteristicile pieței ruse

Din punct de vedere istoric, în Rusia, problemele de securitate informatică au fost studiate și rezolvate cu promptitudine numai în domeniul protejării secretelor de stat. Probleme similare dar specifice din sectorul comercial al economiei nu au găsit soluții adecvate de mult timp. Acest fapt încă încetinește semnificativ apariția și dezvoltarea instrumentelor IT securizate pe piața internă, care este integrată cu sistemul global. Mai mult, securitatea informațiilor într-un sistem automatizat comercial are propriile caracteristici care pur și simplu trebuie luate în considerare, deoarece au un impact grav asupra tehnologiei de securitate a informațiilor. Le enumerăm pe cele principale:

  1. Prioritatea factorilor economici. Pentru un sistem automatizat comercial, este foarte important să se reducă sau să se elimine pierderile financiare și să se asigure că proprietarul și utilizatorii acestui instrument fac profit sub riscuri reale. O condiție importantă pentru aceasta, în special, este reducerea la minimum a riscurilor bancare tipice (de exemplu, pierderi datorate instrucțiunilor de plată eronate, falsificarea documentelor de plată etc.);
  2. Deschiderea designului, care prevede crearea unui subsistem de securitate a informațiilor din instrumente care sunt disponibile pe scară largă pe piață și funcționează în sisteme deschise;
  3. Semnificația juridică a informațiilor comerciale, care poate fi definită ca o proprietate a informațiilor securizate care face posibilă acordarea de forță juridică documentelor electronice sau proceselor de informare în conformitate cu regimul juridic al resurselor informaționale stabilit de legislația Federației Ruse. Această condiție a devenit recent din ce în ce mai importantă în țara noastră odată cu crearea unui cadru de reglementare pentru securitatea IT (în special cu interacțiunea sistemelor automatizate ale diferitelor persoane juridice).

Este evident că crearea unui IT securizat care prelucrează informații confidențiale care nu conțin secrete de stat este extrem de importantă pentru viața economică și financiară a Rusiei moderne. Aplicarea în Rusia a standardului armonizat ISO 15408 („Criterii comune”), care reflectă cele mai recente realizări globale în evaluarea securității informațiilor, va permite:

  • introducerea IT-ului rusesc la cerințele internaționale moderne de securitate a informațiilor, ceea ce va simplifica, de exemplu, utilizarea produselor străine și exportul acestora;
  • să faciliteze dezvoltarea materialelor de reglementare și metodologice specializate relevante din Rusia pentru testarea, evaluarea (monitorizarea) și certificarea sistemelor bancare securizate și a altor instrumente și sisteme IT;
  • crearea unei baze pentru evaluarea calitativă și cantitativă a riscurilor informaționale necesare pentru asigurarea sistemelor automatizate;
  • reduce costurile globale de menținere a unui regim de securitate a informațiilor în bănci și corporații prin tastarea și unificarea metodelor, măsurilor și mijloacelor de protecție a informațiilor.

Standardele de stat

Dintre diversele standarde de securitate a tehnologiei informației care există în țara noastră, trebuie evidențiate o serie de documente care reglementează protecția interconexiunii sistemelor deschise (Tabelul 1, rândurile 1-3). La acestea se pot adăuga documente de reglementare privind instrumentele, sistemele și criteriile de evaluare a securității echipamentelor informatice și a sistemelor automatizate (vezi Tabelul 1, rândurile 4-8). Ultimul grup de documente, ca multe standarde străine create anterior, se concentrează în primul rând pe protejarea secretelor de stat.

Tabelul 1. Documente de reglementare care reglementează evaluarea securității IT

p/p 		numarul documentului Descriere
1 GOST R ISO 7498-2-99 Tehnologia de informație. Interconectarea sistemelor deschise. Model de referință de bază. Partea 2. Arhitectura de securitate a informațiilor
2 GOST R ISO/IEC 9594-8-98 Tehnologia de informație. Interconectarea sistemelor deschise. Director. Partea 8: Noțiuni de bază pentru autentificare
3 GOST R ISO/IEC 9594-9-95 Tehnologia de informație. Interconectarea sistemelor deschise. Director. Partea 9. Dublare
4 - Document de orientare al Comisiei Tehnice de Stat "RD. SVT. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații" (Comisia Tehnică de Stat a Rusiei, 1997)
5 GOST R 50739-95 "Tehnologia computerelor. Protecție împotriva accesului neautorizat la informații. Cerințe tehnice generale"
6 GOST 28147-89 Sisteme de prelucrare a informațiilor. Protecție criptografică. Algoritm de conversie criptografică
7 GOST R 34,10-94 Tehnologia de informație. Protecția informațiilor criptografice. Proceduri de generare și verificare a unei semnături electronice pe baza unui algoritm criptografic asimetric
8 GOST R 34.11-94 Tehnologia de informație. Protecția informațiilor criptografice. Funcția hash

Cum și unde funcționează diferitele standarde

Toate standardele disponibile în prezent sunt pe mai multe niveluri. Aceasta înseamnă că utilizarea lor este limitată la un anumit nivel de abstractizare în sistemele informaționale (de exemplu, „Criteriile comune” nu pot fi folosite pentru a descrie în detaliu mecanismul de generare a unei chei de sesiune în protocolul TLS). Evident, pentru a aplica în mod eficient standardele, este necesar să avem o bună înțelegere a nivelului și scopului acestora.

Astfel, atunci când se dezvoltă o politică de securitate și un sistem de evaluare a performanței, precum și atunci când se efectuează teste de securitate cuprinzătoare, cel mai bine este să folosiți prevederile ISO 15408 („Criterii comune”). Standardele GOST corespunzătoare sunt destinate implementării și evaluării perfecțiunii tehnice a sistemelor de criptare și semnătură digitală. Dacă trebuie să protejați un canal pentru schimbul de informații arbitrare, atunci este recomandabil să utilizați protocolul TLS. Când vine vorba nu doar de protejarea liniei de comunicație, ci și de securitatea tranzacțiilor financiare, intervine SET, inclusiv protocoalele de securitate ale canalului ca unul dintre standardele de nivel inferior.

De la teorie la practică

Pentru a demonstra importanța practică a prevederilor de mai sus, oferim o listă de standarde de securitate utilizate în implementarea complexă a serviciilor bancare electronice InterBank.

Protocolul SSL (TLS) poate fi utilizat pentru a proteja canalul de schimb de informații în sistemele RS-Portal și Internet Client. Standardele GOST 28147-89, GOST R 34.10-94 și GOST R 34.11-94, care reglementează criptarea datelor și mecanismul de semnătură digitală electronică, sunt implementate în toate sistemele de protecție criptografică ale subsistemelor de tip „client-bank” („DOS Client” , „Client Windows” , „Client Internet”).

Folosind protocolul IPSec, puteți proteja în mod transparent orice canal de schimb de informații între client și bancă folosind protocolul de rețea IP. Acest lucru se aplică atât sistemelor de Internet (RS-Portal și Internet Client) cât și sistemului de e-mail RS-Mail, care acceptă operarea IP.

Sperăm că informațiile furnizate în articol vă vor ajuta să evaluați fiabilitatea sistemelor dvs., iar eforturile și timpul dezvoltatorilor vor fi direcționate spre crearea cu adevărat a celor mai bune instrumente care vor deveni un nou pas în dezvoltarea tehnologiei de securitate a informațiilor.


Articole pe această temă
•

Standarde internaționale

  • BS 7799-1:2005 - Standardul britanic BS 7799 prima parte. BS 7799 Partea 1 - Codul de practică pentru managementul securității informațiilor descrie cele 127 de controale necesare pentru a construi sisteme de management al securității informațiilor(ISMS) al organizației, determinată pe baza celor mai bune exemple de experiență globală (cele mai bune practici) în acest domeniu. Acest document servește drept ghid practic pentru crearea unui ISMS
  • BS 7799-2:2005 - Standardul britanic BS 7799 este a doua parte a standardului. BS 7799 Partea 2 - Managementul securității informațiilor - specificația pentru sistemele de management al securității informațiilor specifică specificația ISMS. A doua parte a standardului este folosită ca criteriu în timpul procedurii oficiale de certificare pentru ISMS al organizației.
  • BS 7799-3:2006 - Standardul britanic BS 7799 a treia parte a standardului. Un nou standard în managementul riscului de securitate a informațiilor
  • ISO/IEC 17799:2005 - „Tehnologia informației - Tehnologii de securitate - Practică de management al securității informațiilor”. Standard internațional bazat pe BS 7799-1:2005.
  • ISO/IEC 27000 - Vocabular și definiții.
  • ISO/IEC 27001:2005 - „Tehnologia informației – Tehnici de securitate – Sisteme de management al securității informațiilor – Cerințe”. Standard internațional bazat pe BS 7799-2:2005.
  • ISO/IEC 27002 - Acum: ISO/IEC 17799:2005. „Tehnologii informaționale – Tehnologii de securitate – Reguli practice pentru managementul securității informațiilor”. Data lansării: 2007.
  • ISO/IEC 27005 - Acum: BS 7799-3:2006 - Ghid privind managementul riscului de securitate a informațiilor.
  • Agenția Germană de Securitate a Informațiilor. Manual de protecție IT de bază - Măsuri de siguranță standard.

Standardele de stat (naționale) ale Federației Ruse

  • GOST R 50922-2006 - Protecția informațiilor. Termeni și definiții de bază.
  • R 50.1.053-2005 - Tehnologii informaţionale. Termeni și definiții de bază în domeniul securității informațiilor tehnice.
  • GOST R 51188-98 - Protecția informațiilor. Testarea software-ului pentru viruși informatici. Manual model.
  • GOST R 51275-2006 - Protecția informațiilor. Obiect informativ. Factorii care influențează informația. Dispoziții generale.
  • GOST R ISO/IEC 15408-1-2008 - Tehnologia informației. Metode și mijloace de asigurare a securității. Criterii de evaluare a securității tehnologiilor informaționale. Partea 1. Introducere și model general.
  • GOST R ISO/IEC 15408-2-2008 - Tehnologia informației. Metode și mijloace de asigurare a securității. Criterii de evaluare a securității tehnologiilor informaționale. Partea 2. Cerințe de siguranță funcțională.
  • GOST R ISO/IEC 15408-3-2008 - Tehnologia informației. Metode și mijloace de asigurare a securității. Criterii de evaluare a securității tehnologiilor informaționale. Partea 3. Cerințe de asigurare a securității.
  • GOST R ISO/IEC 15408 - „Criterii generale de evaluare a securității tehnologiilor informaționale” - un standard care definește instrumente și metode de evaluare a securității produselor și sistemelor informaționale; conține o listă de cerințe cu care pot fi comparate rezultatele evaluărilor independente de siguranță – permițând consumatorului să ia decizii cu privire la siguranța produselor. Sfera de aplicare a „Criteriilor generale” este protecția informațiilor împotriva accesului, modificării sau scurgerii neautorizate și a altor metode de protecție implementate de hardware și software.
  • GOST R ISO/IEC 17799 - „Tehnologii informaționale. Reguli practice pentru managementul securității informațiilor.” Aplicarea directă a standardului internațional cu adăugarea ISO/IEC 17799:2005.
  • GOST R ISO/IEC 27001 - „Tehnologii informaționale. Metode de securitate. Sistem de management al securității informațiilor. Cerințe”. Aplicarea directă a standardului internațional este ISO/IEC 27001:2005.
  • GOST R 51898-2002: Aspecte de siguranță. Reguli de includere în standarde.

Documente directoare

  • RD SVT. Protecție împotriva NSD. Indicatori de securitate de la NSD la informații - conține o descriere a indicatorilor de securitate ai sistemelor informatice și cerințele pentru clasele de securitate.

Vezi si

  • Capabilitati nedeclarate

linkuri externe


Fundația Wikimedia. 2010.

Vedeți ce sunt „Standarde de securitate a informațiilor” în alte dicționare:

    Auditul securității informațiilor este un proces sistematic de obținere a unor evaluări calitative și cantitative obiective ale stării actuale a securității informațiilor unei companii în conformitate cu anumite criterii și indicatori de securitate... ... Wikipedia

    GOST R 53114-2008: Protecția informațiilor. Asigurarea securității informațiilor în organizație. Termeni și definiții de bază- Terminologie GOST R 53114 2008: Protecția informațiilor. Asigurarea securității informațiilor în organizație. Termeni de bază și definiții document original: 3.1.19 sistem automatizat într-un proiect securizat; Difuzor protejat:... ... Dicționar-carte de referință de termeni ai documentației normative și tehnice

    STANDARDE DE SECURITATE MUNCII- documente care, în scopul utilizării voluntare repetate, stabilesc caracteristicile de siguranță ale produsului, regulile de implementare în siguranță și caracteristicile proceselor de producție, exploatare, depozitare, transport, vânzare... Enciclopedia rusă a protecției muncii

    Cuprins 1 Definirea unei politici de securitate 2 Metode de evaluare 3 ... Wikipedia

    Agenția Națională de Securitate/Serviciul Central de Securitate ... Wikipedia

    Audit Tipuri de audit Audit intern Audit extern Audit fiscal Audit de mediu Audit social Audit de incendiu Due diligence Concepte de bază Auditor Material... Wikipedia

    Standarde de stat pentru produse, lucrări și servicii- Standardele de stat sunt dezvoltate pentru produse, lucrări și servicii care au semnificație intersectorială și nu ar trebui să contravină legislației Federației Ruse. Standardele de stat trebuie să conțină: cerințe pentru produse, muncă... ... Vocabular: contabilitate, impozite, drept comercial

    Ministerul Situațiilor de Urgență al Ucrainei (LGUBZhD, LDU BZD) ... Wikipedia

    În mod clasic se credea că asigurarea securității informațiilor constă din trei componente: Confidențialitate, Integritate, Disponibilitate. Punctele de aplicare a procesului de securitate a informațiilor la sistemul informațional sunt hardware ... Wikipedia

Cărți

  • Standarde de securitate a informațiilor. Protecția și prelucrarea documentelor confidențiale. Manual de instruire, Sychev Yuri Nikolaevich. Este imposibil pentru specialiștii care lucrează în domeniul securității informațiilor să se facă fără cunoașterea standardelor internaționale și naționale și a documentelor de orientare. Necesitatea de a folosi...
  • Fundamente și standarde internaționale de securitate a informațiilor sistemelor financiare și economice. Ghid de studiu, Iulia Mikhailovna Beketnova. Publicația este destinată studenților de licență și absolvenți care studiază Securitatea Informației, precum și cercetătorilor, profesorilor, studenților absolvenți,...

Standarde internaționale

  • BS 7799-1:2005 - Standardul britanic BS 7799 prima parte. BS 7799 Partea 1 - Codul de practică pentru managementul securității informațiilor descrie cele 127 de controale necesare pentru a construi sisteme de management al securității informațiilor(ISMS) al organizației, determinată pe baza celor mai bune exemple de experiență globală (cele mai bune practici) în acest domeniu. Acest document servește drept ghid practic pentru crearea unui ISMS
  • BS 7799-2:2005 - Standardul britanic BS 7799 este a doua parte a standardului. BS 7799 Partea 2 - Managementul securității informațiilor - specificația pentru sistemele de management al securității informațiilor specifică specificația ISMS. A doua parte a standardului este folosită ca criteriu în timpul procedurii oficiale de certificare pentru ISMS al organizației.
  • BS 7799-3:2006 - Standardul britanic BS 7799 a treia parte a standardului. Un nou standard în managementul riscului de securitate a informațiilor
  • ISO/IEC 17799:2005 - „Tehnologia informației - Tehnologii de securitate - Practică de management al securității informațiilor”. Standard internațional bazat pe BS 7799-1:2005.
  • ISO/IEC 27000 - Vocabular și definiții.
  • ISO/IEC 27001 - „Tehnologia informației – Tehnici de securitate – Sisteme de management al securității informațiilor – Cerințe”. Standard internațional bazat pe BS 7799-2:2005.
  • ISO/IEC 27002 - Acum: ISO/IEC 17799:2005. „Tehnologii informaționale – Tehnologii de securitate – Reguli practice pentru managementul securității informațiilor”. Data lansării: 2007.
  • ISO/IEC 27005 - Acum: BS 7799-3:2006 - Ghid privind managementul riscului de securitate a informațiilor.
  • Agenția Germană de Securitate a Informațiilor. Manual de protecție IT de bază - Măsuri de siguranță standard.

Standardele de stat (naționale) ale Federației Ruse

  • GOST R 50922-2006 - Protecția informațiilor. Termeni și definiții de bază.
  • R 50.1.053-2005 - Tehnologii informaţionale. Termeni și definiții de bază în domeniul securității informațiilor tehnice.
  • GOST R 51188-98 - Protecția informațiilor. Testarea software-ului pentru viruși informatici. Manual model.
  • GOST R 51275-2006 - Protecția informațiilor. Obiect informativ. Factorii care influențează informația. Dispoziții generale.
  • GOST R ISO/IEC 15408-1-2012 - Tehnologia informației. Metode și mijloace de asigurare a securității. Criterii de evaluare a securității tehnologiilor informaționale. Partea 1. Introducere și model general.
  • GOST R ISO/IEC 15408-2-2013 - Tehnologia informației. Metode și mijloace de asigurare a securității. Criterii de evaluare a securității tehnologiilor informaționale. Partea 2. Cerințe de siguranță funcțională.
  • GOST R ISO/IEC 15408-3-2013 - Tehnologia informației. Metode și mijloace de asigurare a securității. Criterii de evaluare a securității tehnologiilor informaționale. Partea 3. Cerințe de asigurare a securității.
  • GOST R ISO/IEC 15408 - „Criterii generale de evaluare a securității tehnologiilor informaționale” - un standard care definește instrumente și metode de evaluare a securității produselor și sistemelor informaționale; conține o listă de cerințe cu care pot fi comparate rezultatele evaluărilor independente de siguranță – permițând consumatorului să ia decizii cu privire la siguranța produselor. Sfera de aplicare a „Criteriilor generale” este protecția informațiilor împotriva accesului, modificării sau scurgerii neautorizate și a altor metode de protecție implementate de hardware și software.
  • GOST R ISO/IEC 17799 - „Tehnologii informaționale. Reguli practice pentru managementul securității informațiilor.” Aplicarea directă a standardului internațional cu adăugarea ISO/IEC 17799:2005.
  • GOST R ISO/IEC 27001 - „Tehnologii informaționale. Metode de securitate. Sistem de management al securității informațiilor. Cerințe”. Aplicarea directă a standardului internațional este ISO/IEC 27001:2005.
  • GOST R 51898-2002: Aspecte de siguranță. Reguli de includere în standarde.

Este îmbucurător faptul că piața înțelege importanța și necesitatea securității informațiilor, iar atenția ei pentru problemele de securitate a informațiilor este în continuă creștere.

Pentru a explica această tendință, nu trebuie să mergeți departe: auzim despre compromisuri importante ale sistemelor de informații care aduc pierderi financiare și reputaționale semnificative. În unele cazuri, acestea au devenit complet ireversibile pentru o anumită afacere. Astfel, securitatea informațiilor proprii ale unei organizații devine nu numai cheia funcționării acesteia neîntrerupte, ci și un criteriu de fiabilitate pentru partenerii și clienții săi.

Piața joacă după aceleași reguli, iar criteriile de măsurare a nivelului de securitate actual și a eficacității proceselor de management al securității informațiilor sunt aceleași pentru toți jucătorii săi. Rolul lor este jucat de standarde care sunt concepute pentru a ajuta compania să creeze nivelul necesar de protecție a informațiilor. Cele mai populare în industria bancară rusă includ standardul ISO/IEC 27000, standardul Bank of Russia pentru asigurarea securității informațiilor organizațiilor sistemului bancar și standardul de securitate a datelor pentru infrastructura cardurilor de plată PCI DSS.

Organizația Internațională pentru Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC) au dezvoltat și publicat standarde din seria ISO/IEC 27000. Acestea conțin recomandări pentru construirea unui sistem de management al securității informațiilor. Societățile de audit acreditate au dreptul de a efectua certificări conform standardelor, ghidându-se după cerințele prevăzute în acestea.

Absența unei cerințe stricte de a respecta Standardul pentru participanții de pe piața rusă are ca rezultat o prevalență destul de scăzută. De exemplu, numai în Japonia, numărul companiilor care au trecut cu succes un audit pentru a îndeplini cerințele unui standard internațional este de aproape 200 de ori mai mare decât același indicator pentru Rusia și țările CSI.

Trebuie remarcat faptul că acest calcul nu include companiile care îndeplinesc efectiv cerințele Standardului, dar nu au fost supuse certificării oficiale. Cu alte cuvinte, în Rusia și țările CSI există multe companii care au decis să construiască procese pentru gestionarea și menținerea nivelului de securitate a informațiilor nu de dragul unei „bifări” sub forma unui certificat de conformitate, ci în mod real. beneficiu. Chestia este că adesea standardele din seria 27000 sunt primul pas în dezvoltarea sistemelor de securitate a informațiilor. Iar utilizarea lor ca ghid este baza care presupune construirea și dezvoltarea în continuare a unui sistem eficient de management al securității informației.

IBBS STO BR este un standard destul de apropiat de ISO/IEC 27001, creat de Banca Rusiei pentru organizațiile din sectorul bancar, menit să asigure un nivel acceptabil al nivelului actual de securitate a informațiilor și proceselor de management al securității băncilor. Principalele obiective în timpul creării sale au fost declarate a fi creșterea nivelului de încredere în industria bancară, oferirea de protecție împotriva amenințărilor de securitate și reducerea nivelului de daune cauzate de incidentele de securitate a informațiilor. Standardul este consultativ și nu a fost deosebit de popular până în versiunea din 2010.

Implementarea activă a IBBS STO BR a început cu lansarea unei versiuni a standardului care includea cerințe pentru asigurarea securității datelor cu caracter personal și o scrisoare de informare ulterioară care definește acceptarea conformității cu cerințele standardului printr-o modalitate alternativă de conformare. cu legislatie in domeniul asigurarii securitatii datelor cu caracter personal. În prezent, conform statisticilor neoficiale, aproximativ 70% dintre bănci au acceptat standardul Băncii Rusiei ca fiind obligatoriu.

Standardul IBBS BR este un set de documente în curs de dezvoltare destul de dinamic, cu cerințe pentru asigurarea și gestionarea securității informațiilor care sunt adecvate amenințărilor moderne. Utilizarea acestuia în Bănci devine deja necesară de facto, în ciuda statutului oficial de consultanță; pentru organizațiile nefinanciare, documentele complexului IBBS pot servi ca un set de bune practici în asigurarea securității informațiilor.

În cele din urmă, un alt standard extrem de important pentru organizațiile financiare este Standardul de securitate a datelor pentru industria cardurilor de plată (PCI DSS, Standardul de securitate a datelor pentru industria cardurilor de plată). A fost creat la inițiativa celor mai mari cinci sisteme de plată din lume - Visa, MasterCard, JCB, American Express și Discover, care a organizat Consiliul de securitate al industriei cardurilor de plată (PCI SSC). Deservirea cardurilor de plată trebuie efectuată conform unor reguli uniforme și să respecte un anumit nivel de securitate a informațiilor. Evident, securitatea este un factor cheie atunci când se utilizează tehnologii legate de bani. Prin urmare, protejarea datelor cardului de plată este o sarcină prioritară a oricărui sistem de plată.

Diferența cheie dintre standardul PCI DSS și cele enumerate mai sus este aplicarea sa obligatorie pentru toate organizațiile care procesează carduri de plată. În același timp, cerințele pentru evaluarea conformității sunt destul de flexibile - depind de numărul de tranzacții care sunt procesate: de la autoevaluare până la trecerea unui audit de certificare. Acesta din urmă este realizat de o companie cu statut PCI QSA.

O caracteristică cheie a apariției standardului PCI DSS a fost desemnarea termenelor limită pentru atingerea conformității. Acest lucru a făcut ca majoritatea jucătorilor importanți din industria cardurilor de plată să facă munca pentru a se conforma. Ca urmare, acest lucru a afectat nivelul general de securitate atât pentru participanții individuali, cât și pentru întreaga industrie a plăților fără numerar.

Deși apariția standardului a fost o inițiativă a celor mai mari jucători din industria sistemelor de plată, acesta își poate găsi aplicarea și deveni un ghid pentru organizațiile care nu sunt asociate cu această industrie. Principalul avantaj al utilizării acestuia este actualizările constante și, ca urmare, măsurile și recomandările actuale pentru reducerea amenințărilor la securitatea informațiilor.

Aplicarea standardelor și respectarea cerințelor acestora este, fără îndoială, o bună practică și un mare pas înainte în construirea unui sistem de securitate a informațiilor. Dar, din păcate, există exemple în care simplul fapt de conformare nu garantează un nivel ridicat de securitate. Valabilitatea certificatului se prelungește pentru o anumită perioadă în care procedurile efectuate exclusiv pentru conformarea formală încetează să funcționeze. Astfel, se poate dovedi că starea sistemului de securitate a informațiilor al organizației la momentul auditului nu corespunde evaluării efectuate șase luni mai târziu.

În plus, atunci când se analizează posibile riscuri, nu se poate exclude factorul uman, ceea ce poate însemna o eroare a auditorilor înșiși în determinarea sferei auditului, a compoziției componentelor care se verifică și a concluziilor generale.

În concluzie, aș dori să menționez că respectarea standardelor nu înlocuiește procesul în curs de asigurare a securității informațiilor critice. Nu există o securitate perfectă, dar utilizarea diferitelor instrumente vă permite să atingeți nivelul maxim de securitate a informațiilor. Standardele de securitate a informațiilor sunt doar un astfel de instrument.

Estima:

0 4

Titlu: iOS
Acțiune