Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.

Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

 

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; проводится федеральный закон о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Законодательные меры по защите информации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц – пользователей и обслуживающего технического персонала – за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также в ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре информации.

Цель законодательных мер – предупреждение и сдерживание потенциальных нарушителей. [8]

Роль стандартов зафиксирована в основных понятиях закона Российской Федерации «О техническом регулировании» от 27 декабря 2002 года под номером 184-ФЗ (принят Государственной Думой 15 декабря 2002 года):

· стандарт – документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплоатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг.

· стандартизация – деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ и услуг. [9]

Государственные (национальные) стандарты Российской Федерации.

Установление стандартов и нормативов в сфере обеспечения информационной безопасности Российской Федерации является наиболее важной регулирующей функцией.

Среди различных стандартов по безопасности информационных технологий, существующих в настоящее время в России, выделяют следующие нормативные документы по критериям оценки защищенности средств вычислительной техники и автоматизированных систем и документы, регулирующие информационную безопасность (таблица 7, строки 1 — 10). К ним можно добавить нормативные документы по криптографической защите систем обработки информации и информационных технологий (таблица 7, строки 11 —13).

Таблица 7.

Российские стандарты, регулирующие информационную безопасность

№ п/п	Стандарт	Наименование
	ГОСТ Р ИСО/МЭК 15408-1—2008	Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
	ГОСТ Р ИСО/МЭК 15408-2-2008	Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности
	ГОСТ Р ИСО/МЭК 15408-3-2008	Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
	ГОСТ Р 50739-95	Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
	ГОСТ Р 50922-2006	Защита информации. Основные термины и определения
	ГОСТ Р 51188-98	Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство
	ГОСТ Р 51275-99	Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
	ГОСТ Р ИСО 7498-1-99	Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель
	ГОСТ Р ИСО 7498-2-99	Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
	ГОСТ Р 50739-95	Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
	ГОСТ 28147-89	Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования
	ГОСТ Р 34.10-2001	Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи
	ГОСТ Р 34.11-94	Информационная технология. Криптографическая защита информации. Функция хэширования

 

Введение в 1999 г. Международного стандарта ISO 15408 в области обеспечения информационной безопасности стал гарантией качества и надежности сертифицированных по нему программных продуктов. Стандарт ISO 15408—2002 позволил потребителям лучше ориентироваться при выборе программного обеспечения и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT-компаний, сертифицирующих свою продукцию в соответствии с ISO 15408.

ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» действует в России с января 2004 г. и является аналогом стандарта ISO 15408. ГОСТ Р И СО/ МЭК 15408, называемый также «Общими критериями», является на сегодня самым полным стандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования. Он направлен на защиту информации от несанкционированного раскрытия, модификации, полной или частичной потери и применимы к защитным мерам, реализуемым аппаратными, программно-аппаратными и программными средствами.

ГОСТ Р ИСО/МЭК 15408-2002 состоит из трех частей.

Часть 1 (ГОСТ Р ИСО/МЭК 15408-1 «Введение и общая модель») устанавливает общий подход к формированию требований безопасности и оценке безопасности. На их основе разрабатываются основные конструкции (профиль защиты и задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ.

Часть 2 (ГОСТ Р ИСО/МЭК 15408-2 «Функциональные требования безопасности») содержит универсальный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.

Часть 3 (ГОСТ Р ИСО/МЭК 15408-3 «Требования доверия к безопасности») включает систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы информационных технологий для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.

Главные достоинства ГОСТ Р ИСО/МЭК 15408:

· полнота требований к И Б;

· гибкость в применении;

· открытость для последующего развития с учетом новейших достижений науки и техники.

Международные стандарты

ISO (Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, являющиеся членами ISO или IEC, участвуют в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности. Технические комитеты ISO и IEC сотрудничают в областях взаимных интересов. Другие международные организации, правительственные и не правительственные, совместно с ISO и IEC также принимают участие в этой работе. В области информационных технологий, ISO и IEC организован совместный технический комитет, ISO/IEC JTC 1. Основной задачей совместного технического комитета является подготовка Международных Стандартов. Проекты Международных Стандартов принятые совместным техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. [18]

Можно выделить две существенно отличающиеся друг от друга группы стандартов и спецификаций:

· оценочные стандарты, предназначенные для оценки и классификации информационныхсистем и средств защиты по требованиям безопасности;

· спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.

Оценочные стандарты описывают важнейшие, с точки зрения информационной безопасности, понятия и аспекты ИС, играя роль организационных и архитектурных спецификаций. Другие спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.

Первым оценочным стандартом, получившим международное признание и оказавшим исключительно сильное влияние на последующие разработки в области информационной безопасности, стал стандарт Министерства обороны США " Критерии оценки доверенных компьютерных систем", известный (по цвету обложки) под названием " Оранжевая книга". В нем заложен понятийный базис информационной безопасности.

После " Оранжевой книги" была выпущена целая " Радужная серия". С концептуальной точки зрения, наиболее значимый документ в ней - " Интерпретация " Оранжевой книги" для сетевых конфигураций". Он состоит из двух частей. Первая содержит интерпретацию, во второй описываются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.

Международный стандарт ISO/IEC 17799: 2000 (BS 7799-1: 2000) «Управление информационной безопасностью — Информационные технологии» является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799—1: 1995 «Практические рекомендации по управлению информационной безопасностью» и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем.

Первая часть стандарта ISO/IEC 17799: 2000 (BS 7799—1: 2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

· необходимость обеспечения информационной безопасности;

· основные понятия и определения информационной безопасности;

· политика информационной безопасности компании;

· организация информационной безопасности на предприятии;

· классификация и управление корпоративными информационными ресурсами;

· кадровый менеджмент и информационная безопасность;

· физическая безопасность;

· администрирование безопасности КИС;

· управление доступом;

· требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;

· управление бизнес-процессами компании с точки зрения информационной безопасности;

· внутренний аудит информационной безопасности компании.

Вторая часть стандарта BS 7799—2: 2000 «Спецификации систем управления информационной безопасностью», определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:

· «Введение в проблему управления информационной безопасностью»;

· «Возможности сертификации на требования стандарта BS 7799»;

· «Руководство BS 7799 по оценке и управлению рисками»;

· «Руководство для проведения аудита на требования стандарта;

· «Практические рекомендации по управлению безопасностью информационных технологий».

Федеральный стандарт США FIPS 140-2 " Требования безопасности для криптографических модулей" – выполняет организующую функцию, описывая внешний интерфейс криптографического модуля, общие требования к подобным модулям и их окружению. Наличие такого стандарта упрощает разработку сервисов безопасности и профилей защиты для них.

Германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению вопросов управления информационной безопасностью компании.

В германском стандарте BSI представлены:

· общая методика управления информационной безопасностью (организация менеджмента в области информационной безопасности, методология использования руководства);

· описания компонентов современных ИТ;

· описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);

· характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);

· характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и серверы под управлением ОС семейства DOS, Windows и UNIX);

· характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).

· характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;

· подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге). [9]

Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.

Таблица 8.

Международные стандарты

ISO/IEC 27000: 2009	Определения и основные принципы. Выпущен в июле 2009 г.
ISO/IEC 27001: 2005/BS 7799-2: 2005	Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования. Выпущен в октябре 2005 г.
ISO/IEC 27002: 2005, BS 7799-1: 2005, BS ISO/IEC 17799: 2005	Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью. Выпущен в июне 2005 г.
Таблица
ISO/IEC 27003: 2010	Руководство по внедрению системы управления информационной безопасностью. Выпущен в январе 2010 г.
ISO/IEC 27004: 2009	Измерение эффективности системы управления информационной безопасностью. Выпущен в январе 2010 г.
ISO/IEC 27005: 2008	Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности. Выпущен в июне 2008 г.
ISO/IEC 27006: 2007	Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью. Выпущен в марте 2007 г
ISO/IEC 27007	Руководство для аудитора СУИБ. Проект находится в финальной стадии. Выпуск запланирован на 2011 год.
ISO/IEC 27008	Руководство по аудиту механизмов контроля СУИБ. Будет служить дополнением к стандарту ISO 27007. Выпуск запланирован в конце 2011 года.
ISO/IEC 27010	Управление информационной безопасностью при коммуникациях между секторами. Стандарт будет состоять из нескольких частей, предоставляющих руководство по совместному использованию информации о рисках информационной безопасности, механизмах контроля, проблемах и/или инцидентах, выходящей за границы отдельных секторов экономики и государств, особенно в части, касающейся " критичных инфраструктур".
ISO/IEC 27011: 2008	Руководство по управлению информационной безопасностью для телекоммуникаций. Выпущен в мае 2009 г.
ISO/IEC 27013	Руководство по интегрированному внедрению ISO 20000 и ISO 27001. Выпуск запланирован в 2011 году.
ISO/IEC 27014	Базовая структура управления информационной безопасностью. Проект находится в разработке.
ISO/IEC 27015	Руководство по внедрению систем управления информационной безопасностью в финансовом и страховом секторе. Проект проходит начальную стадию обсуждения.
ISO/IEC 27031	Руководство по обеспечению готовности информационных и коммуникационных технологий к их использованию для управления непрерывностью бизнеса. Проект находится в финальной стадии. Выпуск запланирован в начале 2011 года.
ISO/IEC 27032	Руководство по обеспечению кибербезопасности. Проект находится в начальной стадии разработки.
ISO/IEC 27033	ISO 27033 заменит известный международный стандарт сетевой безопасности ISO 18028, состоящий из пяти частей. Новый стандарт возможно будет включать в себя более 7 частей. Проекты частей 2-7 ISO 27033 надятся в разной стадии готовности. ISO/IEC 27033-1: 2009 – Основные концепции управления сетевой безопасностью. Выпущен в январе 2010 года. ISO/IEC 27033-2 – Руководство по проектированию и внедрению системы обеспечения сетевой безопасности. ISO/IEC 27033-3 – Базовые сетевые сценарии - угрозы, методы проектирования и механизмы контроля. ISO/IEC 27033-4 – Обеспечение безопасности межсетевых взаимодействий при помощи шлюзов безопасности - угрозы, методы проектирования и механизмы контроля. ISO/IEC 27033-5 – Обеспечение безопасности Виртуальных Частных Сетей - угрозы, методы проектирования и механизмы контроля. ISO/IEC 27033-6 – Конвергенция в IP сетях (Определение угроз, методов проектирования и механизмов контроля в IP сетях с конвергенцией данных, голоса и видео). ISO/IEC 27033-7 – Руководство по обеспечению безопасности беспроводных сетей - Риски, методы проектирования и механизмы контроля.
ISO/IEC 27034	ISO/IEC 27034 - Безопасность приложений. Проекты различных частей стандарта ISO 27034 находятся в различной стадии разработки. ISO/IEC 27034-1 - Обзор и основные концепции в области обеспечения безопасности приложений. ISO/IEC 27034-2 - Нормативная база организации. ISO/IEC 27034-3 - Процесс управления безопасностью приложений. ISO/IEC 27034-4 - Оценка безопасности приложений. ISO/IEC 27034-5 - Протоколы и структура управляющей информации для обеспечения безопасности приложений (XML схема). ISO/IEC 27034-6 - Руководство по обеспечению безопасности конкретных приложений.
ISO/IEC 27035	Управление инцидентами безопасности. Проект находится в разработке и, после выпуска, заменит технический отчет ISO TR 18044.
ISO/IEC 27036	Руководство по аутсорсингу безопасности. Выпуск запланирован на 2012 год.
ISO/IEC 27037	Руководство по идентификации, сбору и/или получению и обеспечению сохранности цифровых свидетельств. Проект разрабатывается на базе британского стандарта BS 10008: 2008
ISO 27799: 2008	Управление информационной безопасностью в сфере здравоохранения. Опубликован в 2008 году.

 

Предыдущая123456789101112131415Следующая

Поделиться:

Популярное:

1. I. He могли узы смерти удержать Господа нашего.
2. I.6. МЕСТО ПРОВЕДЕНИЯ МЕРОПРИЯТИЯ
3. I: Указать номер правильного ответа
4. III. 38. Сущность и значение коммерческой деятельности предпринимателей
5. III. Обеспечение безопасности участников и зрителей
6. III. Обеспечение безопасности участников и зрителей,
7. III. Порядок защиты дипломной работы
8. III. Этапы по организации выполнения и защиты выпускной квалификационной работы
9. IX. Разработка тезисов доклада для защиты
10. Lex mercatoria в практике международного коммерческого арбитража.
11. Measuring Price Elasticities. Измерение ценовой эластичности
12. MERLE THOMAS CORPORATION (“Мерл томас корпорейшн”)