Стандарты информационной безопасности
РАЗДЕЛ 3
СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В последние годы в связи с ростом спроса на электронные услуги и развитием компьютерных систем и сетей ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей ИТ-средств.
Роль стандартов информационной безопасности
Главная задача стандартов информационной безопасности – создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Стандарты предоставляют:
¨ потребителям:
· методику, которая позволяет обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы (шкала оценок);
· инструмент, с помощью которого потребитель формулирует свои требования производителям (характеристики и свойства конечного продукта);
¨ производителям:
· средство сравнения возможностей своих продуктов
· применение процедуры сертификации как механизма объективной оценки их свойств
· стандартизацию определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора (требования должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т.д.);
¨Экспертам по квалификации и специалистам по сертификации:
· инструмент, который позволяет обоснованно оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор.
Таким образом, перед стандартами информационной безопасности стоит задача – примирить три разных точки зрения и создать эффективный механизм взаимодействия всех сторон.
Первым и наиболее известным документом (стандартом) была Оранжевая книга «Критерии безопасности компьютерных систем» Министерства обороны США. Она появилась в 90-х годах прошлого века. В этом документе определено четыре уровня безопасности – D, С, В и А. По мере перехода от уровня D до А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (Cl, C2, Bl, B2, ВЗ). Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее защита должна удовлетворять оговоренным требованиям.
К другим важным стандартам информационной безопасности этого поколения относятся руководящие документы Гостехкомиссии России, Европейские критерии безопасности информационных технологий, Федеральные критерии безопасности информационных технологий США, Канадские критерии безопасности компьютерных систем.
В последнее время появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасностью компании – международные стандарты управления информационной безопасностью ISO 15408, ISO 17799 и некоторые другие.
Международные стандарты информационной безопасности
В соответствии с международными и национальными стандартами обеспечение информационной безопасности предполагает следующее:
¨ определение целей обеспечения информационной безопасности компьютерных систем;
¨ создание эффективной системы управления информационной безопасностью;
¨ расчет совокупности детализированных качественных и количественных показателей для оценки соответствия информационной безопасности поставленным целям;
¨ применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
¨ использование методик управления безопасностью, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
Германский стандарт BSI
В отличие от ISO 17799, германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасности компании. В стандарте BSI представлены:
¨ общая методика управления информационной безопасностью (организация менеджмента в области ИБ, методология использования руководства);
¨ описания компонентов современных информационных технологий;
¨ описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);
¨ характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);
¨ характеристики основных информационных активов компании (в том числе аппаратного и программного обеспечения, например рабочих станций и серверов под управлением операционных систем семейства DOS, Windows и UNIX);
¨ характеристики компьютерных сетей на основе различных сетевых технологий (сетей Novell NetWare, UNIX и Windows);
¨ характеристики активного и пассивного телекоммуникационного оборудования ведущих поставщиков (Cisco Systems);
¨ подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании – возможные угрозы и уязвимости безопасности – возможные меры и средства контроля и защиты.
РАЗДЕЛ 3
СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В последние годы в связи с ростом спроса на электронные услуги и развитием компьютерных систем и сетей ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей ИТ-средств.