Стандарты информационной безопасности

РАЗДЕЛ 3

СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В последние годы в связи с ростом спроса на электронные услуги и развитием компьютерных систем и сетей ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей ИТ-средств.

Роль стандартов информационной безопасности

Главная задача стандартов информационной безопасности – создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Стандарты предоставляют:

¨ потребителям:

· методику, которая позволяет обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы (шкала оценок);

· инструмент, с помощью которого потребитель формулирует свои требования производителям (характеристики и свойства конечного продукта);

¨ производителям:

· средство сравнения возможностей своих продуктов

· применение процедуры сертификации как механизма объективной оценки их свойств

· стандартизацию определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора (требования должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т.д.);

¨Экспертам по квалификации и специалистам по сертификации:

· инструмент, который позволяет обоснованно оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор.

Таким образом, перед стандартами информационной безопасности стоит задача – примирить три разных точки зрения и создать эффективный механизм взаимодействия всех сторон.

Первым и наиболее известным документом (стандартом) была Оранже­вая книга «Критерии безопасности компьютерных систем» Министерства обороны США. Она появилась в 90-х годах прошлого века. В этом документе определено четыре уровня безопасности – D, С, В и А. По мере перехода от уровня D до А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (Cl, C2, Bl, B2, ВЗ). Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее защита должна удовлетворять оговоренным требованиям.

К другим важным стандартам информационной безопасности этого поколения относятся руководящие документы Гостехкомиссии России, Европейские критерии безопасности информационных технологий, Федеральные критерии безопасности информационных технологий США, Канадские критерии безопасности компьютерных систем.

В последнее время появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасностью компании – международные стандарты управления информационной безопасностью ISO 15408, ISO 17799 и некоторые другие.

Международные стандарты информационной безопасности

В соответствии с международными и национальными стандартами обеспечение информационной безопасности предполагает следующее:

¨ определение целей обеспечения информационной безопасности компьютерных систем;

¨ создание эффективной системы управления информационной безопасностью;

¨ расчет совокупности детализированных качественных и количественных показателей для оценки соответствия информационной безопасности поставленным целям;

¨ применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;

¨ использование методик управления безопасностью, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.

Германский стандарт BSI

В отличие от ISO 17799, германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасности компании. В стандарте BSI представлены:

¨ общая методика управления информационной безопасностью (организация менеджмента в области ИБ, методология использования руководства);

¨ описания компонентов современных информационных технологий;

¨ описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);

¨ характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);

¨ характеристики основных информационных активов компании (в том числе аппаратного и программного обеспечения, например рабочих станций и серверов под управлением операционных систем семейства DOS, Windows и UNIX);

¨ характеристики компьютерных сетей на основе различных сетевых технологий (сетей Novell NetWare, UNIX и Windows);

¨ характеристики активного и пассивного телекоммуникационного оборудования ведущих поставщиков (Cisco Systems);

¨ подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).

Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании – возможные угрозы и уязвимости безопасности – возможные меры и средства контроля и защиты.

РАЗДЕЛ 3

СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В последние годы в связи с ростом спроса на электронные услуги и развитием компьютерных систем и сетей ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей ИТ-средств.

Наши рекомендации