Стандарти щодо охорони інформації
Після законодавчої бази стандарти являють собою важливу ступень орга-
нізації відносин у сфері інформаційної безпеки. Цими документами є:
• ДСТУ 3396.0-96 "Захист інформації. Технічний захист інформації. Ос-
новні положення.";
• ДСТУ 3396.1-96 "Захист інформації. Технічний захист інформації. По-
рядок проведення робіт.";
• ДСТУ 3396.2-97 "Захист інформації. Технічний захист інформації. Тер-
міни та визначення.";
• ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист ін-
формації. Цифровий підпис, що ґрунтується на еліптичних кривих, фор-
мування та перевіряння ".
• ДСТУ 3918-1999 (ISO/IES 1207:1995) "Інформаційні технології. Процеси
життєвого циклу програмного забезпечення ".
• ДСТУ ISO/IES TR 13335-1:2003 "Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частина І. Концепції та
моделі безпеки інформаційних технологій. "
• ДСТУ ISO/IES TR 13335-2:2003 "Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частина 2. Керування та
планування безпеки інформаційних технологій ".
• ДСТУ ISO/IES TR 13335-3:2003 "Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частина 3. Методи ке-
рування захистом інформаційних технологій".
• ДСТУ ISO/IES TR 13335-4:2005 "Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частина 4. Вибір засобів
захисту".
• ДСТУ ISO/IES TR 13335-5:2005 "Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частина 5. Настанова з
керування мережею безпеки".
Далі слід розглянути Положення та постанови Кабінету Міністрів України.
• Положення про технічний захист інформації в прикордонних військах.
• Концепція технічного захисту інформації в Україні.
• Положення про порядок здійснення криптографічного захисту інформа-
ції в Україні.
• Положення про технічний захист інформації в Україні.
• Положення про контроль за функціонуванням системи технічного захи-
сту інформації.
• Постанова KM України "Про деякі питання захисту інформації, охорона
якої забезпечується державою ".
• Розпорядження Президента України "Про заходи щодо забезпечення ро-
звитку і функціонування Національної системи конфіденційного зв'язку.
• Державна Програма інформаційно-телекомунікаційного забезпечення
правоохоронних органів, діяльність яких пов'язана з боротьбою із зло-
чинністю.
Державний стандарт України ДСТУ 3396.0-96 отримав чинність від
01.01.1997 р. та установлює об'єкт захисту, мету, основні організаційно-
технічні положення технічного захисту інформації, неправомірний доступ до
якої може завдати шкоди громадянам, організаціям та державі.
Вимоги стандарту обов'язкові для підприємств та установ усіх форм влас-
ності і підпорядкування, громадян, органів державної влади, органів місцевого
самоврядування, військових частин усіх військових формувань, представництв
України за кордоном, які володіють, користуються та розпоряджаються інфор-
мацією, що підлягає технічному захисту.
Цей стандарт складається із слідуючих частин:
в галузь використання;
• нормативні посилання;
• загальні положення;
• побудова системи захисту інформації;
• нормативні документи з ТЗІ.
Загальні положення Стандарту установлюють важливі положення щодо
ТЗІ.
Об'єктом технічного захисту є інформація, що становить державну або ін-
шу передбачену законодавством України таємницю, конфіденційна інформація,
що є державною власністю чи передана державі у володіння, користування, ро-
зпорядження.
Носіями інформації з обмеженим доступом ІзОД можуть бути фізичні по-
ля, сигнали, хімічні речовини, що утворюються в процесі інформаційної діяль-
ності, виробництва й експлуатації продукції різного призначення.
Середовищем поширення носіїв ІзОД можуть бути лінії зв'язку, сигналі-
зації, керування, енергетичні мережі, інженерні комунікації і споруди, повітря-
не, водне та інше середовища, грунт, тощо.
Витік або порушення цілісності ІзОД можуть бути результатом реалізації
загроз безпеці інформації.
Мета ТЗІ може бути досягнута побудовою системи ЗІ, що є організованою
сукупністю методів і засобів забезпечення ТЗІ.
Технічний захист інформації здійснюється поетапно:
1 етап - визначення й аналіз загроз;
2 етап - розроблення системи захисту інформації;
3 етап - реалізація плану захисту інформації;
4 етап - контроль функціонування та керування системою захисту інфор-
мації.
Розділ "Побудова системи захисту інформації" складається з слідуючих
підрозділів:
• визначення й аналіз загроз;
• розроблення системи захисту інформації;
• реалізація плану захисту інформації;
• контроль функціонування та керування системою захисту інформації.
На першому етапі необхідно здійснити аналіз об'єкту захисту, ситуаційно-
го плану, умов функціонування підприємства, установи, організації, оцінити
ймовірність прояву загроз та очікувану шкоду від їх реалізації, підготувати за-
садничі дані для побудови окремої моделі загроз.
Загрози можуть здійснюватися:
- технічними каналами, що включають канали побічних електромагнітних
випромінювань і наводок, акустичні, оптичні, радіо -, радіотехнічні, хі-
мічні та інші канали;
- каналами спеціального впливу шляхом формування полів і сигналів з ме-
тою руйнування системи захисту або порушення цілісності інформації;
- несанкціонованим доступом шляхом підключення до апаратури та ліній
зв'язку, маскування під зареєстрованого користувача, подолання заходів
для використання інформації або нав'язування хибної інформації, засто-
сування підкладних пристроїв чи програм та вкорінення комп'ютерних
вірусів.
На другому етапі слід здійснити розроблення плану ТЗІ, що містить орга-
нізаційні, первинні технічні та основні технічні заходи захисту ІзОД, визначити
зони безпеки інформації.
Організаційні заходи регламентують порядок інформаційної діяльності з
урахуванням норм і вимог ТЗІ для всіх періодів життєвого циклу об'єкта захис-
ту.
Первинні технічні заходи передбачають захист інформації блокуванням
загроз без використання засобів ТЗІ.
Основні технічні заходи передбачають захист інформації з використанням
засобів забезпечення ТЗІ.
Заходи захисту інформації повинні:
- бути відповідними загрозам;
- бути розробленими з урахуванням можливої шкоди від їх реалізації і ва-
ртості захисних заходів та обмежень, що вносяться ними;
- забезпечувати задану ефективність захисту інформації на встановленому
рівні протягом часу обмеження доступу до неї або можливості здійснен-
ня загроз.
Рівень захисту інформації означується системою кількісних та якісних
показників, які забезпечують розв'язання завдання захисту інформації на основі
норм та вимог ТЗІ.
На третьому етапі слід реалізувати організаційні, первинні технічні та ос-
новні технічні заходи захисту ІзОД, установити необхідні зони безпеки інфор-
мації, провести атестацію технічних засобів забезпечення інформаційної діяль-
ності, приміщень на відповідність вимогам безпеки інформації.
Засоби ТЗІ можуть функціонувати автономно або спільно з технічними за-
собами забезпечення інформаційної діяльності у вигляді самостійних пристроїв
або вбудованих у них складових елементів.
На четвертому етапі слід провести аналіз функціонування системи захисту
інформації, перевірку виконання заходів ТЗІ, контроль ефективності захисту,
підготувати та видати засадничі дані для керування системою захисту інформа-
ції.
Керування системою захисту інформації полягає у адаптації заходів ТЗІ до
поточного завдання захисту інформації. За фактами зміни умов здійснення або
виявлення нових загроз заходи ТЗІ реалізуються у найкоротший строк.
У разі потреби підвищення рівня захисту інформації необхідно виконати
роботи, передбачені 1, 2 та 3 етапами побудови системи захисту інформації.
Розділ " Нормативні документи з ТЗІ " визначає, які нормативні докумен-
ти повинні забезпечувати:
- проведення єдиної технічної політики;
- створення і розвиток єдиної термінологічної системи;
- функціонування багаторівневих систем захисту інформації на основі
взаємно погоджених положень, правил, методик, вимог та норм;
- функціонування систем сертифікації, ліцензування й атестації згідно з
вимогами безпеки інформації;
- розвиток сфери послуг у галузі ТЗІ;
- установлення порядку розроблення, виробництва, експлуатації засобів
забезпечення ТЗІ;
- організацію проектування будівельних робіт у частині забезпечення ТЗІ;
- підготовку та перепідготовку кадрів у системі ТЗІ.
Нормативні документи з ТЗІ поділяються на:
- нормативні документи із стандартизації у галузі ТЗІ;
- державні стандарти та прирівняні до них нормативні документи;
- нормативні акти міжвідомчого значення, що реєструються у Міністерст-
ві юстиції України;
- нормативні документи міжвідомчого значення технічного характеру, що
реєструються органом, уповноваженим Кабінетом Міністрів України;
- нормативні документи відомчого значення органів державної влади та
органів місцевого самоврядування.
Крім того, стандарт визначає порядок проведення робіт із стандартизації
та нормування у галузі ТЗІ, порядок розроблення, оформлення, погодження, за-
твердження, реєстрації, видання, впровадження, перевірки, перегляду, зміни та
скасування нормативних документів.
Державний стандарт України ДСТУ 3391.1-96 "Захист інформації. Техніч-
ний захист інформації. Порядок проведення робіт " отримав чинність від
01.07.1997 року і має слідуючи розділи:
- галузь використання;
- нормативні посилення;
- загальні положення;
- організація проведення обстеження;
- організація розроблення системи захисту інформації;
- реалізація організаційних заходів захисту;
- реалізація первинних технічних заходів захисту;
- реалізація основних технічних заходів захисту;
- приймання, визначення повноти та якості робіт.
Також стандарт має додаток, у якому наведений склад засобів забезпечен-
ня технічного захисту інформації.
Цей стандарт установлює вимоги до порядку проведення робіт з ТЗІ.
У розділі "Загальні положення " визначається здатність системи захисту
інформації протистояти впливу загроз.
Можливі такі варіанти постановки задач захисту інформації:
- досягнення необхідного рівня захисту ІзОД за мінімальних затрат і до-
пустимого рівня обмежень видів інформаційної діяльності;
- досягнення найбільш можливого рівня захисту ІзОД за доступних за-
трат і заданого рівня обмежень видів інформаційної діяльності;
- досягнення максимального рівня захисту ІзОД за необхідних затрат і
мінімального рівня обмежень видів інформаційної діяльності.
Захист інформації, яка не є державною таємницею, забезпечується, як пра-
вило, застосуванням першого чи другого варіанту.
Захист інформації, яка становить державну таємницю, забезпечується за-
стосуванням третього варіанту.
Зміст та послідовність робіт з протидії загрозам або їхньої нейтралізації
повинні відповідати зазначеним в ДСТУ 3396.0-96 етапам функціонування си-
стеми захисту інформації і полягають в:
- проведенні обстеження підприємства, установи, організації;
- розробленні і реалізації організаційних, первинних технічних, основних
технічних заходів з використанням засобів забезпечення ТЗІ;
- прийманні робіт у ТЗІ;
- атестації систем забезпечення інформаційної діяльності на відповідність
вимогам нормативних документів системи ТЗІ.
У розділі "Організація проведення обстеження " визначені мета та що не-
обхідно провести у ході обстеження.
Метою обстеження об'єкта є вивчення і визначення його інформаційної ді-
яльності, визначення об'єктів захисту - ІзОД, виявлення загроз, їхній аналіз та
побудова окремої моделі загроз.
У ході обстеження необхідно:
- провести аналіз умов функціонування об'єкта, його розташування на
місцевості для визначення можливих джерел загроз;
- дослідити засоби забезпечення інформаційної діяльності, які мають ви-
хід за межи контрольованої території;
- вивчити схеми засобів і систем життєзабезпечення об'єкта, а також ін-
женерних комунікацій та металоконструкцій;
- дослідити інформаційні потоки та технологічні процеси оброблення ін-
формації;
- визначити наявність та технічний стан засобів забезпечення ТЗІ;
- перевірити наявність на об'єкті нормативних документів, які забезпечу-
ють функціонування системи захисту інформації, організацію проекту-
вання будівельних робіт з урахуванням вимог ТЗІ, а також нормативної
та експлуатаційної документації, яка забезпечує інформаційну діяль-
ність;
- виявити наявність транзитних, незадіяних кабелів, кіл і проводів;
- визначити технічні засоби і системи, застосування яких не обгрунтовано
службовою чи виробничою необхідністю і які підлягають демонтуван-
ню;
- визначити технічні засоби, що потребують переобладнання та встанов-
лення засобів ТЗІ.
Розділ "Організація розроблення системи захисту інформації'" вимагає, що
на підставі матеріалів обстеження та окремої моделі загроз необхідно визначи-
ти головні задачі захисту інформації і скласти технічне завдання на розроблен-
ня системи захисту інформації.
Технічне завдання повинно включати основні розділи:
- вимоги до систем захисту інформації;
- вимоги до складу проектної та експлуатаційної документації;
- етапи виконання робіт;
- порядок внесення змін і доповнень до розділів технічного завдання;
- вимоги до порядку проведення випробування системи захисту.
Основою функціонування системи захисту інформації є план ТЗІ, що по-
винен містити такі документи:
- перелік розпорядчих, організаційно-методичних НД ТЗІ, а також вказів-
ки щодо їхнього застосування;
- інструкції про порядок реалізації організаційних, первинних технічних
та основних технічних заходів захисту;
- інструкції, що встановлюють обов'язки, права та відповідальність пер-
соналу;
- календарний план ТЗІ.
Шостий розділ "Організація організаційних заходів захисту" визначає, що
організаційні заходи захисту інформації - комплекс адміністративних та обме-
жувальних заходів, спрямованих на оперативне вирішення задач захисту шля-
хом регламентації діяльності персоналу і порядку функціонування систем за-
безпечення інформаційної діяльності та систем забезпечення ТЗІ.
У процесі розроблення і реалізації організаційних заходів потрібно:
- визначити окремі задачі захисту ІзОД;
- обгрунтувати структуру і технологію функціонування системи захисту
інформації;
- розробити і впровадити правила реалізації заходів ТЗІ;
- визначити і встановити права та обов'язки підрозділів та осіб, що бе-
руть участь в обробленні ІзОД;
- придбати засоби забезпечення ТЗІ та нормативні документи і забезпечи-
ти ними підприємство;
- установити порядок упровадження захищених засобів оброблення інфо-
рмації, програмних і технічних засобів захисту інформації, а також за-
собів контролю ТЗІ;
- установити порядок проведення атестації системи технічного захисту
інформації, її елементів і розробити програми атестаційного випробу-
вання;
- забезпечити керування системою захисту інформації.
Оперативне вирішення задач ТЗІ досягається організацією керування сис-
темою захисту інформації.
Сьомий розділ - це розділ "Реалізація первинних технічних заходів захис-
ту ".
У процесі реалізації первинних технічних заходів потрібно забезпечити:
- блокування каналів витоку інформації;
- блокування несанкціонованого доступу до інформації чи її носіїв;
- перевірку справності та працездатності технічних засобів забезпечення
інформаційної діяльності.
Усі заходи здійснюються відповідно до нормативних та експлуатаційних
документів, а також згідно діючих вказівок, методик та цього розділу стандар-
ту.
Розділ "Реалізація основних технічних заходів захисту " вказує, що у про-
цесі реалізації основних технічних заходів захисту потрібно:
- установити засоби виявлення та індикації загроз і перевірити їхню пра-
цездатність;
- установити захищені засоби оброблення інформації, засоби ТЗІ та пере-
вірити їхню працездатність;
- застосувати програмні засоби захисту в засобах обчислювальної техні-
ки, автоматизованих системах, здійснити їх функціональне тестування і
тестування на відповідність вимогам захищеності;
- застосувати спеціальні інженерно-технічні споруди, засоби та системи.
Вибір засобів забезпечення ТЗІ зумовлюється фрагментним або комплекс-
ним способом захисту інформації. Засоби ТЗІ застосовують автономно або спі-
льно з механічними засобами забезпечення інформаційної діяльності для паси-
вного або активного приховування ІзОД.
Спеціальні інженерно-технічні споруди, засоби та системи застосовують
для оптичного, акустичного, електромагнітного та іншого екранування носіїв
інформації.
Останній дев'ятий розділ "Приймання, визначення повноти та якості робіт
" визначає, що виконується на останньому етапі проведення робіт по ТЗІ.
Для визначення повноти та якості робіт з ТЗІ слід провести атестацію.
Атестація виконується організаціями, що мають ліцензії на право діяльності в
галузі ТЗІ.
У ході атестації необхідно:
- встановити відповідність об'єкта, що атестується, вимогам ТЗІ;
- оцінити якість та надійність заходів захисту інформації;
- оцінити повноту та достатність технічної документації для об'єкта атес-
тації;
- визначити необхідність внесення змін і доповнень до організаційно-
розпорядчих документів.
Порядок атестації встановлюється НД ТЗІ.
Третім стандартом є ДСТУ 3396.2-97. Цей стандарт установлює терміни та
визначення понять у сфері ТЗІ. Він набрав чинності 01.01.1998 року.
Терміни, регламентовані у цьому стандарті, обов'язкові для використання
в усіх видах організаційної та нормативної документації, а також для робіт зі
стандартизації і рекомендовані для використання у довідковій та навчально-
методичній літературі, що належить до сфери ТЗІ.
Для кожного поняття встановлено один стандартизований термін. Терміни-
синоніми подано як довідкові, вони є стандартизованими.
У стандарті як довідкові подано переклади термінів англійською та росій-
ською мовами, визначень - російською мовою.
Стандарт складається із слідуючих розділів:
- галузь використання;
- основні положення;
- нормативні посилання;
- види інформації, які підлягають технічному захисту;
- загроза для інформації;
- технічний канал витоку інформації;
- технічний захист інформації;
- організація технічного захисту інформації;
- абеткові скорочення українських, англійських та російських термінів.
Державний стандарт 4145-2002 "Інформаційні технології. Криптографіч-
ний захист інформації. Цифровий підпис, що грунтується на еліптичних кривих.
Формування та перевіряння " установлює механізм цифрового підписування,
що ґрунтується на властивостях груп точок еліптичних кривих над полями
GF(2m), та правила застосування цього механізму до повідомлень, що їх пере-
силають каналами зв'язку та/або обробляють у комп'ютеризованих системах
загального призначення.
Стандарт має 13 розділів та 5 додатків.
1,2,3,4 розділи надають інформацію щодо сфери застосування, норматив-
них посилань, термінів та визначень понять та позначень.
Розділ 5 "Зображення даних і перетворень даних " установлює формати
зображення математичних об'єктів, використовуваних в стандарті, і правила
перетворювання даних з одного типу до іншого.
Наводяться зображення полів, елементів полів, зображення еліптичних
кривих та перетворення.
У Розділі 6 " Обчислювальні алгоритми " описано правила реалізації про-
цедур, необхідних для побудови криптографічних алгоритмів.
Розділ 7 " Обчислення загальних параметрів цифрового підпису " встанов-
лює правила обчислення загальних параметрів цифрового підпису, а при цьому
слід враховувати, що загальні параметри цифрового підпису можуть бути одна-
ковими для довільного числа користувачів цифрового підпису.
У розділі 8 "Перевіряння правильності загальних параметрів цифрового
підпису " встановлено правила та умови перевіряння правильності загальних
параметрів цифрового підпису. Висока криптографічна стійкість цифрового пі-
дпису, який встановлено цим стандартом, гарантується тюльки в тому випадку,
якщо загальні параметри цифрового підпису обчислені правильно, тобто строго
відповідно до цього стандарту.
Розділу 9 "Обчислення ключів цифрового підпису " та 10 "Перевіряння
правильності ключів цифрового підпису " встановлюють порядок обчислення
особистого ключа цифрового підпису і відкритого ключа цифрового підпису, а
також встановлює правила перевіряння правильності відкритого й особистого
ключів цифрового підпису. Слід враховувати, що висока криптографічна стій-
кість цифрового підпису, обчисленого згідно з цим стандартом, гарантується
тюльки в тому випадку, якщо особистий і відкритий ключі цифрового підпису
правильні, тобто обчислені строго відповідно до цього стандарту.
У розділах 11 "Обчислення цифрового передпідпису" та 12 "Обчислення
цифрового підпису" встановлено алгоритми обчислення цифрового передпід-
пису та цифрового підпису. В них приведені вхідні дані алгоритми, результати
виконання алгоритму та самі алгоритми.
Розділ 13 "Перевіряння цифрового підпису " встановлює алгоритм переві-
ряння цифрового підпису: результат виконання алгоритму повідомлення "під-
пис дійсний " або "підпис недійсний ".
ДСТУ 3918-1999 (ISO/IES 1207:1995) Інформаційні технології. Процеси
життєвого циклу програмного забезпечення.
Стандарт запроваджує термінологію добре визначені загальну систему по-
нять для процесів життєвого циклу програмного забезпечення, яка може вико-
ристовуватися у індустрії програмного забезпечення. Він містить визначення
процесів, дій та завдань, які повинні застосовуватися під час придбання систе-
ми, що містить програмне забезпечення, придбання автономного програмного
продукту та послуг на основі використання програмного забезпечення, а також
під час постачання, розроблення, експлуатації та супроводу програмного про-
дукту. Програмний компонент програмно-апаратних засобів слід розглядати як
складову частину програмного забезпечення.
ДСТУ ISO/IES TR 13335:2003. Інформаційні технології. Настанови з керу-
вання безпекою інформаційних технологій. Частина 1. Концепція та моделі
безпеки інформаційній технологій.
Описує основні концепції керування та моделі, найсуттєвіші для введення
в процеси керування безпекою інформаційних технологій. Ці концепції і моделі
докладно буде розглянуто й деталізовано в решті частин для забезпечення іден-
тифікування і керування всіма аспектами захисту в інформаційних технологій.
Частина 1 необхідна для повного розуміння решти частин ISO/IES TR 13335.
ДСТУ ISO/IES TR 13335:2003 має таку структуру:
- описує призначеність цього стандарту;
- містить інформацію про допоміжні необхідні умови для керування безпе-
кою інформаційних технологій;
- містить загальний огляд концепцій і моделей захисту в інформаційних
технологіях;
- досліджує елементи безпеки інформаційних технологій;
- описує процеси, що їх використовують для керування безпекою інформа-
ційних технологій;
- містить огляд декількох моделей, необхідних для розуміння концепцій,
описаних у цьому стандарті.
Концепції і моделі, які розглянуті в цьому стандарті, можна використову-
вати для розроблення стратегії захисту активів інформаційних технологій орга-
нізації. Ці стратегії і пов'язані з ними методики захисту потрібно постійно пе-
реглядати в організації, щоб можна було реагувати на швидкі зміни в розвитку
й використанні технологій та інформаційних служб. Друга та третя частини
ISO/IES TR 13335 описують, як ці концепції і моделі можна ефективно викори-
стовувати в організації.
ДСТУ ISO/IES TR 13335-2:2003. Інформаційні технології. Настанови з ке-
рування безпекою інформаційних технологій. Частина 2. керування та плану-
вання без пеки інформаційних технологій.
Подано рекомендації, призначені для тих, хто пов'язаний з керуванням
безпекою інформаційних технологій, і які стосуються відносин між ними. Ці
рекомендації можна використовувати для ідентифікації і керування усіма аспе-
ктами безпеки інформаційних технологій.
Для повноцінного розуміння цього стандарту необхідно ознайомитися з
концепціями і моделями, описаними в частині першій.
Стандарт складається з 17 розділів. Розділи 5 і б подають інформацію про
цілі та основні засади цього стандарту. Розділ 7 подає загальний огляд різких
дій для успішного керування безпекою інформаційних технологій. Розділи з 8
по 16 конкретизують ці дії.
У частині 2 обговорюються обов'язки, процеси керування і колективної ві-
дповідальності за ефективність програми захисту. Обговорення призначено для
ознайомлення керівного персоналу з основними процесами і функціями, які
мають значення в керування захистом інформаційних технологій. Подана в цій
частині інформація не може безпосередньо застосовуватися для всіх організа-
цій. Зокрема, малі організації навряд чи будуть мати всі ресурси для повного
виконання описаних функцій. У цих ситуаціях важливо, щоб основні концепції
функції застосовували в організації відповідним способом. Навіть у деяких ве-
ликих організаціях деякі функції, обговорених у цій частині, не можуть бути за-
стосовані точно за описом. В частині 3 досліджується декілька технічних захо-
дів, які можуть бути використані для виконування функцій, описаних у частині
2. Наступні частини розглядають питання вибору засобів захисту і певних засо-
бів захисту для зовнішніх зв'язків.
ДСТУ ISO/IES TR 13335-3:2003. Інформаційні технології. Настанови з ке-
рування безпекою інформаційних технологій. Частина 3. Методи керування за-
хистом інформаційних технологій.
Рекомендації, що наведені в стандарті, призначені для тих, хто по в'язаний
з керуванням безпекою інформаційних технологій, і стосується відносин між
ними. Ці рекомендації можна використовувати для ідентифікування і керування
всіма аспектами без пеки інформаційних технологій.
Для повноцінного розуміння цієї частини необхідно ознайомитися з термі-
нами, концепціями і моделями, описаними в ISO/IES TR 13335-1 та ISO/IES TR
13335-2.
ДСТУ ISO/IES TR 13335-3:2003 має таку структуру:
- подає інформацію щодо цілей цієї частини ISO/IES TR 13335-3;
- дає загальний огляд процесу керування захистом в інформаційних техноло-
гіях;
- обговорює значення методик захисту інформаційних і їхній вміст;
- подає загальний огляд чотирьох різних підходів, які організація може вико-
ристовувати для визначення вимог захисту;
- докладно описує рекомендований підхід і супроводжується відповідним
описом застосування засобів захисту;
- містить докладний розгляд програм компетентності в захисті і процесу за-
твердження;
- містить опис декількох завершальних дій, що необхідні для забезпечення
ефективної роботи засобів захисту.
У цій частині ISO/IES TR 13335 досліджено кілька методів, що є важливи-
ми для керування безпекою інформаційних технологій. Ці методи засновані на
концепціях і моделях, поданих у ISO/IES TR 13335-1 і процесах керування та
обов'язках, обґрунтованих у ISO/IES TR 13335-2. Положення цієї частини
ISO/IES TR 13335-3 демонструють переваги і недоліки чотирьох можливих
стратегій аналізування ризику. Змішаний підхід і кілька методів, що є корисни-
ми за такого застосування, описані докладно. Деякі організації, особливо малі,
не мають можливості застосовувати всі методи, подані в цій частині ISO/IES
TR 13335-3 згідно з описом. Та все ж важливо, щоб кожній із цих методів був
застосований відповідно до особливостей організації.
ДСТУ ISO/IES TR 13335-4:2005. Інформаційні технології. Настанови з ке-
рування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту.
Даний стандарт надає настанову з вибору засобів захисту, Беручи до уваги
ділові потреби та проблеми без пеки. Описує процес вибору засобів захисту згі-
дно з ризиками безпеки та специфікою навколишнього середовища. Показує,
як досягни достатньо висого рівня захисту, як його підтримати, застосовуючи
базову без пеку. Надається пояснення того, як підхід, описаний у цій частині
ISO/IES TR 13335, забезпечує методи керування інформаційною безпекою, ви-
кладені в ISO/IES TR 13335-3.
Мета цього стандарту - надати настанову з вибору засобів захисту. Ця на-
станова застосована тоді, коли приймають рішення про вибір засобів захисту
інформаційної системи:
- відповідно до типу і характеристик інформаційної системи;
- відповідно до загального оцінювання загроз та наявних потреб безпеки;
- відповідно до результатів детального аналізування рисків.
В доповнення до цієї настанови надані перехресні посилання для того, щоб
показати, де вибір засобів захисту може бути підтриманий використанням зага-
льнодоступних довідників, що містять засоби захисту.
Цей стандарт також визначає, як можна розробити довідник з базової без-
пеки організації (чи частин організації).
ISO/IES TR 13335-4 описує різні способи вибору засобів захисту, які мож-
на використовувати для досягнення базової безпеки чи для допомоги методам,
описаним в ISO/IES TR 13335-3. ця частина ISO/IES TR 13335 також містить
огляд загальних засобів захисту, що можуть бути вибрані за допомогою будь-
якого підходу та за допомогою посилання на різні довідники з базових засобів
захисту, що містять детальніші описи цих засобів. Отже, описані різні способи
розроблення базової безпеки організації та переваги і недоліки описаних варіа-
нтів. Ця частина ISO/IES TR 13335 може бути використана будь-якою організа-
цією, великою чи малою, яка хоче вибрати засоби захисту своїх інформаційних
систем.
ДСТУ ISO/IES TR 13335-4:2005. Інформаційні технології. Настанови з ке-
рування безпекою інформаційних технологій. Частина 5. Настанова з керуван-
ня мережною безпекою.
Надає настанову з керування мережею та телекомунікаціями для тих, хто
відповідає за керуванням інформаційною безпекою. У цьому стандарті викори-
стано визначення та аналіз параметрів телекомунікацій, які необхідно врахову-
вати, щоб встановити вимоги до мережної безпеки.
Цей стандарт відповідає ISO/IES TR 13335-4 та містить вступ, де описано,
як визначити відповідні сфери застосування засобів захисту, пов'язані із з'є-
днаннями в комунікаційних мережах.
Сфера застосування цього стандарту не стосується порад щодо аспектів
детального проектування та реалізації сфер технічних засобів захисту.
Підхід прийнятий в цьому стандарті, по-перше, полягає в тому, щоб підсу-
мувати весь процес визначення та аналізування чинників, що належать до ко-
мунікацій, які необхідно враховувати, щоб встановити вимоги до мережевої
безпеки, а потім надати вказівки стосовно потенційних сфер застосування засо-
бів захисту (при цьому зазначається, де можна використовувати положення ін-
ших частин ISO/IES TR 13335).
Цей стандарт описує три простих критерії,які допомагають особам, відпо-
відальним за безпеку інформаційних технологій, визначити потенційні сфери
застосування засобів захисту.
Ці критерії визначають (1) різні типи мережних з'єднань, (2) різні мережні
характеристики та відповідні споріднені взаємозв'язки та (3) типи потенційних
ризиків безпеки, пов'язаних з мережними з'єднаннями (та використанням по-
слуг, які надаються через ці з'єднання). Результати об'єднання цих критеріїв
потім використовують для визначення потенційних сфер застосування засобів
захисту. Згодом наводять короткий вступний опис потенційних сфер застосу-
вання засобів захисту з посиланням на джерела, що містять ґрунтовий опис.
У цьому стандарті наведено настанову з керування безпекою інформацій-
них технологій для організації, яка приєднує свої інформаційні системи до ме-
реж. Прийнятий підхід полягає в тому, щоб по-перше, підсумувати загальний
процес визначення та аналізування чинників, пов'язаних з комунікаціями, які
треба враховувати, щоб встановити вимоги до мережевої безпеки. Потім пока-
зують потенційні сфери застосування засобів захисту. Даля цей стандарт описує
три простих критерії для допомоги особам, які відповідають за інформаційну
безпеку в частині потенційних сфер застосування засобів захисту.
До них належать:
- різні типи мережних з'єднань;
- різні мережні характеристики та довірчі стосунки;
- потенційні типи ризиків безпеки, пов'язані з мережними з'єднаннями та ви-
користання служб, які надають послуги через ці з'єднання.
Після цього критерії вибору заносять у матрицю, яка використовується для
показу потенційних сфер застосування засобів захисту. Згодом для потенційних
сфер застосування засобів захисту наводять короткий вступний опис.
ГЛАВА IV