Основные международные стандарты иб в различных странах. Защита информации и информационная безопасность международные и российские стандарты

Одной из важнейших проблем и потребностей современного общества является защита прав человека в условиях вовлечения его в процессы информационного взаимодействия в том числе, право на защиту личной (персональной) информации в процессах автоматизированной обработки информации.

И. Н. Маланыч, студент 6 курса ВГУ

Институт защиты персональных данных сегодня уже не является той категорией, которую можно регулировать только национальным правом. Важнейшей особенностью современных автоматизированных информационных систем является «наднациональность» многих из них, «выход» их за пределы границ государств, развитие общедоступных мировых информационных сетей, таких, как Интернет, формирование единого информационного пространства в рамках таких международных структур.

Сегодня в Российской Федерации существует проблема не только введения в правовое поле института защиты персональных данных в рамках автоматизированных информационных процессов, но и соотнесения ее с существующими международно-правовыми стандартами в этой области.

Можно выделить три основные тенденции международно-правового регулирования института защиты персональных данных, относимого к процессам автоматизированной обработки информации.

1) Декларирование права на защиту персональных данных, как неотъемлемой части фундаментальных прав человека, в актах общегуманитарного характера, принимаемых в рамках международных организаций.

2) Закрепление и регулирование права за защиту персональной информации в актах регулятивного характера Европейского Союза, Совета Европы, отчасти Содружества Независимых Государств и некоторых региональных международных организаций. Этот класс норм – наиболее универсальный и непосредственно касается прав на защиту персональных данных в процессах автоматизированной обработки информации.

3) Включение норм об охране конфиденциальной информации (в том числе, и персональной) в международные договоры.

Первый способ – исторически появился раньше остальных. В современном мире информационные права и свободы являются неотъемлемой частью фундаментальных прав человека.

Всеобщая декларация прав человека 1948 г. провозглашает: «Никто не может подвергаться произвольному вмешательству в личную и семейную жизнь, произвольным посягательствам на … тайну его корреспонденции» и далее: «Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». Международный пакт о гражданских и политических правах 1966 г. в этой части повторяет декларацию. Европейская Конвенция 1950 г. детализирует это право: «Каждый человек имеет право на свободу выражения своего мнения. Это право включает свободу придерживаться своего мнения, получать и распространять информацию и идеи без вмешательства со стороны государственных органов и независимо от государственных границ».

Указанные международные документы закрепляют информационные права человека.

В настоящее время на международном уровне сформировалась устойчивая система взглядов на информационные права человека. В обобщенном плане это - право на получение информации, право на частную жизнь с точки зрения охраны информации о ней, право на защиту информации как с точки зрения безопасности государства, так и с точки зрения безопасности бизнеса, включая финансовую деятельность.

Второй способ - более детального регулирования права на защиту персональной информации связан со все возрастающей в последние годы интенсивностью обработки персональной информации с помощью автоматизированных компьютерных информационных систем. В последние десятилетия в рамках ряда международных организаций был принят ряд международных документов, развивающих основные информационные права в связи с интенсификацией трансграничного обмена информацией и использованием современных информационных технологий. Среди таких документов можно назвать следующие:

Совет Европы в 1980 г. разработал Европейскую конвенцию о защите физических лиц в вопросах, касающихся автоматической обработки личных данных, вступившую в силу в 1985 г. В Конвенции определяется порядок сбора и обработки данных о личности, принципы хранения и доступа к этим данным, способы физической защиты данных. Конвенция гарантирует соблюдение прав человека при сборе и обработке персональных данных, принципы хранения и доступа к этим данным, способы физической защиты данных, а также запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований. Россия присоединилась к Европейской Конвенции в ноябре 2001 года.

В Европейском Союзе вопросы защиты персональных данных регулируются целым комплексом документов. В 1979 г. была принята Резолюция Европарламента «О защите прав личности в связи с прогрессом информатизации». Резолюция предложила Совету и Комиссии Европейских сообществ разработать и принять правовые акты по защите данных о личности в связи с техническим прогрессом в области информатики. В 1980 году приняты Рекомендации Организации по сотрудничеству стран-членов Европейского Союза «О руководящих направлениях по защите частной жизни при межгосударственном обмене данными персонального характера». В настоящее время вопросы защиты персональных данных детально регламентируются директивами Европарламента и Совета Европейского Союза. Это Директивы № 95/46/EC и № 2002/58/EC Европейского парламента и Совета Европейского Союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», Директива № 97/66/EC Европейского парламента и Совета Европейского Союза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций и другие документы.

Акты Европейского Союза характеризуются детальной проработкой принципов и критериев автоматизированной обработки данных, прав и обязанностей субъектов и держателей персональных данных, вопросов их трансграничной передачи, а также ответственности и санкций за нанесение ущерба. В соответствии с Директивой № 95/46/EC в Европейском Союзе создана Рабочая группа по защите индивидуумов в отношении обработки их персональных данных. Она имеет статус консультативного органа и действует в качестве независимой структуры. Рабочая группа состоит из представителя органа, созданного каждым государством-участником для целей надзора за соблюдением на своей территории положений Директивы, представителя органа или органов, учрежденных для институтов и структур Сообщества, и представителя Еврокомиссии.

В рамках Организации по экономическому сотрудничеству и развитию (ОЭСР) действуют «Основные положения о защите неприкосновенности частной жизни и международных обменов персональными данными» , которая была принята 23 сентября 1980 года. В преамбуле этой Директивы говорится: «…Страны - члены ОЭСР сочли необходимым разработать Основные положения, которые могли бы помочь унифицировать национальные законы о неприкосновенности частной жизни и, обеспечивая соблюдение соответствующих прав человека, вместе с тем не допустили бы блокирования международных обменов данными…». Настоящие положения применяются как в государственном, так и в частном секторе к персональным данным, которые либо в связи с процедурой их обработки, либо в связи с их характером или контекстом их использования несут в себе угрозу нарушения неприкосновенности частной жизни и индивидуальных свобод. В ней определена необходимость обеспечения персональных данных должными механизмами защиты от рисков, связанных с их потерей, уничтожением, изменением или разглашением, несанкционированным доступом. Россия, к сожалению, в этой организации не участвует.

Межпарламентской ассамблеей государств – участников СНГ 16 октября 1999г. принят Модельный Закон «О персональных данных».

По закону «Персональные данные» - информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие. В законе также перечислены принципы правового регулирования персональных данных, формы государственного регулирования операций с персональными данными, права и обязанности субъектов и держателей персональных данных.

Представляется, что рассмотренный второй способ нормативного регулирования защиты персональных данных в международных правовых актов является наиболее интересным для анализа. Нормы этого класса не только непосредственно регулируют общественные отношения в этой области, но и способствуют приведению законодательства стран-членов к международным стандартам, тем самым обеспечивая действенность этих норм на их территории. Тем самым, обеспечивается и гарантированность закрепленных во Всеобщей декларации прав человека информационных прав в смысле декларированного в статье 12 последней «права на защиту закона от …вмешательства или …посягательств».

Третий способ закрепления норм о защите персональных данных - закрепление их правовой охраны в международных договорах.

Статьи об обмене информацией включаются в международные договоры о правовой помощи, об избежании двойного налогообложения, о сотрудничестве в определенной общественной, культурной сфере.

По ст. 25 Договора между Российской Федерацией и США об избежании двойного налогообложения и предотвращении уклонения от налогообложения в отношении налогов на доходы и капитал, государства обязаны предоставлять информацию, составляющую профессиональную тайну. Договор между Российской Федерацией и Республикой Индией о взаимной правовой помощи по уголовным делам содержит статью 15 «Конфиденциальность»: запрашиваемая сторона может потребовать сохранения конфиденциальности переданной информации. Практика заключения международных договоров показывает стремление договаривающихся государств соблюдать международные стандарты защиты персональных данных.

Представляется, что наиболее эффективным механизмом регулирования этого института на международно-правовом уровне является издание специальных регулятивных документов в рамках международных организаций. Этот механизм не только способствует соответствующему внутреннему регулированию затронутых в начале статьи актуальных проблем защиты персональной информации внутри этих организаций, но и благотворно влияет на национальное законодательство стран-участниц.

План лекции

1. Предпосылки создания международных стандартов информационной безопасности (ИБ)

1.1. Назначение и цели международной стандартизации

1.2. Международная организация по стандартизации, ISO

1.3. Основные международные стандарты информационной безопасности

2. Критерии оценки доверенных компьютерных систем («Оранжевая книга» )

2.1.Основные сведения

2.2 Основные требования и средства

3. Основные понятия

4.Механизмы реализации безопасности

5. Разделы и классы безопасности.

5.1. Разделы безопасности

5.2. Классы безопасности

6. Краткая классификация

Международные критерии оценки безопасности информационных технологий зарубежных стран

План лекции

1. Гармонизированные критерии европейских стран

2. Германский стандарт BSI

3. Британский стандарт BS 7799

4. Международный стандарт IS О/ I ЕС 15408 "Критерии оценки безопасности информационных технологий". «Общие критерии»

Предпосылки создания международных стандартов ИБ

1.1. Общие вопросы

За рубежом разработка стандартов проводится непрерывно, последовательно публикуются проекты и версии стандартов на разных стадиях согласования и утверждения. Некоторые стандарты поэтапно углубляются и детализируются в виде совокупности взаимосвязанных по концепциям и структуре групп стандартов.

Принято считать, что неотъемлемой частью общего процесса стандартизации информационных технологий (ИТ) является разработка стандартов, связанных с проблемой безопасности ИТ, которая приобрела большую актуальность в связи с тенденциями все большей взаимной интеграции прикладных задач, построения их на базе распределенной обработки данных, систем телекоммуникаций, технологий обмена электронными данными.

Разработка стандартов для открытых систем , в том числе и стандартов в области безопасности ИТ, осуществляется рядом специализированных международных организаций и консорциумов таких, как, например, ISO, IЕС, ITU-T, IEEE, IАВ, WOS, ЕСМА, X/Open, OSF, OMG.

Значительная работа по стандартизации вопросов безопасности ИТ проводится специализированными организациями и на национальном уровне. Все это позволило к настоящему времени сформировать достаточно обширную методическую базу, в виде международных, национальных и отраслевых стандартов, а также нормативных и руководящих материалов, регламентирующих деятельность в области безопасности ИТ.

1.2. Состояние международной нормативно-методической базы

С целью систематизации анализа текущего состояния международной нормативно-методической базы в области безопасности ИТ необходимо использовать некоторую классификацию направлений стандартизации .

В общем случае, можно выделить следующие направления :

1. Общие принципы управления информационной безопасностью.

2. Модели безопасности ИТ.

3. Методы и механизмы безопасности ИТ (такие, как, например: методы аутентификации, управления ключами и т.п.).

4. Криптографические алгоритмы.

5. Методы оценки безопасности информационных систем.

6. Безопасность EDI-технологий.

7. Безопасность межсетевых взаимодействий (межсетевые экраны).

8. Сертификация и аттестация объектов стандартизации.

Назначение и цели международной стандартизации

Стандартом называется документ, в котором устанавливаются характеристики продукции, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.

Международный стандарт - стандарт, принятый международной организацией. На практике под международными стандартами часто подразумевают также региональные стандарты и стандарты, разработанные научно-техническими обществами и принятые в качестве норм различными странами мира.

Международная стандартизация - стандартизация, участие в которой открыто для соответствующих органов всех стран.

Основное назначение международных стандартов - это создание на международном уровне единой методической основы для разработки новых и совершенствование действующих систем качества и их сертификации.

Научно-техническое сотрудничество в области стандартизации направле-но на гармонизацию национальной системы стандартизации с международной, региональными и прогрессивными национальными системами стандартизации.

В развитии международной стандартизации заинтересованы как индустриально развитые страны, так и страны развивающиеся, создающие собственную национальную экономику.

Международные стандарты не имеют статуса обязательных для всех стран-участниц. Любая страна мира вправе применять или не применять их. Решение вопроса о применении международного стандарта ИСО связано в основном со степенью участия страны в международном разделении труда и состоянием ее внешней торговли. ИСО является головной международной организацией в области стандартизации.

1.4. Международная организация по стандартизации, ISО

Международная организация по стандартизации, IS О (International О rganization for Standartization , ISO) - международная организация, занимающаяся выпуском стандартов.

Международная организация IS О начала функционировать 23 февраля 1947 г . как добровольная, неправительственная организация. Она была учреждена на основе достигнутого на совещании в Лондоне в 1946 г. соглашения между представителями 25-ти индустриально развитых стран о создании организации, обладающей полномочиями координировать на международном уровне разработку различных промышленных стандартов и осуществлять процедуру принятия их в качестве международных стандартов.

При создании организации и выборе ее названия учитывалась необходимость того, чтобы аббревиатура наименования звучала одинаково на всех языках. Для этого было решено использовать греческое слово isos - равный, вот почему на всех языках мира Международная организация по стандартизации имеет краткое название IS О (ИСО).

Сфера деятельности ISO касается стандартизации во всех областях, кроме электротехники и электроники , относящихся к компетенции Международной электротехнической комиссии (МЭК ). Некоторые виды работ выполняются совместными усилиями этих организаций. Кроме стандартизации ISO занимается и проблемами сертификации.

Цель ISO - содействие развитию стандартизации в мировом масштабе для облегчения международного товарообмена и взаимопомощи, а также для расширения сотрудничества в области интеллектуальной, научной, технической и экономической деятельности.

Георгий Гарбузов,
CISSP, MCSE:Security, дирекция информационной безопасности Страховой Группы "УРАЛСИБ"

ИСТОРИЯ стандартизации, как процесса установления единых требований, пригодных для многократного применения, насчитывает несколько тысячелетий - еще при строительстве пирамид в Древнем Египте использовались блоки стандартного размера, а специальные люди контролировали степень соответствия этому древнему стандарту. Сегодня стандартизация занимает прочное место практически во всех отраслях человеческой деятельности.

Стандартизация в области информационной безопасности

Стандартизация в области информационной безопасности (ИБ) выгодна и профессионалам, и потребителям продуктов и услуг ИБ, так как позволяет установить оптимальный уровень упорядочения и унификации, обеспечить взаимозаменяемость продуктов ИБ, а также измеряемость и повторяемость результатов, полученных в разных странах и организациях. Для профессионалов - это экономия времени на поиск эффективных и зарекомендовавших себя решений, а для потребителя - гарантия получения результата ожидаемого качества.

Объектом стандартизации может являться любой продукт или услуга ИБ: метод оценки, функциональные возможности средств защиты и параметры настройки, свойства совместимости, процесс разработки и производства, системы менеджмента и т.д.

Стандартизация, в зависимости от состава участников, бывает международной, региональной или национальной, при этом международная стандартизация (наравне с официальными органами стандартизации, такими как ISO) включает в себя стандартизацию консорциумов (например, IEEE или SAE), а национальная стандартизация бывает государственной или отраслевой.

Остановимся подробнее на некоторых востребованных сегодня зарубежных стандартах, так или иначе затрагивающих вопросы информационной безопасности.

Международные стандарты в области ИБ - зарубежный опыт

Стандартизация в области ИБ за рубежом развивается уже не один десяток лет, и некоторые страны, например Великобритания, имеют огромный опыт в разработке стандартов - многие британские национальные стандарты, такие как BS7799-1/2, приобрели со временем статус международных. С них и начнем.

Международные стандарты ISO 27002 и ISO 27001

Пожалуй, на сегодня это самые востребованные стандарты в области ИБ.

ISO 27002 (прежде ISO 17799) содержит свод рекомендаций по эффективной организации систем управления ИБ на предприятии, затрагивая все ключевые области, в частности:

формирование политики ИБ;
безопасность, связанная с персоналом;
безопасность коммуникаций;
физическая безопасность;
управление доступом;
обработка инцидентов;
обеспечение соответствия требованиям законодательства.

Стандарт ISO 27001 является сборником критериев при проведении сертификации системы менеджмента, по результатам которой аккредитованным органом по сертификации выдается международный сертификат соответствия, включаемый в реестр.

Согласно реестру, в России в настоящее время зарегистрировано около полутора десятка компаний, имеющих такой сертификат, при общем числе сертификаций в мире более 5000. Подготовка к сертификации может осуществляться либо силами самой организации, либо консалтинговыми компаниями, причем практика показывает, что намного проще получить сертификат ISO 27001 компаниям, уже имеющим сертифицированную систему управления (например, качеством).

Стандарты ISO 27001/27002 являются представителями новой серии стандартов, окончательное формирование которой еще не закончено: в разработке находятся стандарты 27000 (основные принципы и терминология), 27003 (руководство по внедрению системы управления ИБ), 27004 (измерение эффективности системы управления ИБ) и другие - всего в серии 27000 предполагается более 30 стандартов. Подробнее о составе серии и текущем состоянии ее разработки можно узнать на официальном сайте ISO (www.iso.org).

Международные стандарты ISO13335 и ISO15408

Стандарт ISO 13335 является семейством стандартов безопасности информационных технологий, охватывающих вопросы управления ИТ-безопасностью, предлагая конкретные защитные меры и способы. В настоящее время происходит постепенное замещение серии 13335 более новой серией 27000. Стандарт ISO 15408 содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном уровне (подобно знаменитой Оранжевой книге, которая также известна как критерии оценки TCSEC, или европейские критерии ITSEC), которые позволяют сравнивать результаты, полученные в разных странах.

В целом данные стандарты, хотя и содержат лишь технологическую часть, могут использоваться как независимо, так и при построении систем управления ИБ в рамках, например, подготовки к сертификации на соответствие ISO 27001.

CobiT

CobiT представляет собой набор из около 40 международных стандартов и руководств в области управления ИТ, аудита и безопасности и содержит описания соответствующих процессов и метрик. Основная цель CobiT заключается в нахождении общего языка между бизнесом, имеющим конкретные цели, и ИТ, способствующими их достижению, позволяя создавать адекватные планы развития информационных технологий организации.

CobiT применяется для аудита и контроля системы управления ИТ организации и содержит подробные описания целей, принципов и объектов управления, возможных ИТ-процессов и процессов управления безопасностью. Полнота, понятные описания конкретных действий и инструментов, а также нацеленность на бизнес делают CobiT хорошим выбором при создании информационной инфраструктуры и системы управления ею.

В следующей части статьи мы рассмотрим некоторые интересные национальные и отраслевые зарубежные стандарты, такие как NIST SP 800, BS, BSI, PCI DSS, ISF, ITU и другие.

Комментарий эксперта

Алексей Плешков,
начальник отдела защиты информационных технологий, Газпромбанк (Открытое акционерное общество)

Дополнительно к приведенному выше обзору международных стандартов хотелось бы обратить внимание на еще один регламентирующий документ по информационной безопасности, не распространенный на территории РФ. Одним из таких стандартов является документ из линейки методов EBIOS.

Проект EBIOS по разработке методов и инструментальных средств управления ИБ в информационных системах поддерживается правительством Франции и продвигается комиссией DCSSI при премьер-министре Франции на уровень общеевропейского. Назначение этого проекта - способствовать повышению безопасности информационных систем государственных или частных организаций (http://www.securiteinfo.com/conseils/ebios.shtml).

Текст комплекта документации на продукт автоматизации оценочных задач обеспечения ИБ "Методологические инструментальные средства достижения безопасности информационных систем EBIOS (определение потребностей и идентификация целей безопасности)" был опубликован на официальном сайте правительства Франции, посвященном вопросам обеспечения информационной безопасности автоматизированных систем в 2004 г.

Метод EBIOS, предложенный Генеральным секретариатом министерства национальной обороны Франции и названный "Определение потребностей и идентификация целей безопасности" (EBIOS), был разработан с учетом международных стандартов, направленных на обеспечение ИБ. Он формализует подход к осуществлению оценки и обработки рисков в области безопасности информационных систем и применяется для оценки уровня ИБ в разрабатываемых и существующих системах.
Цель метода - позволить любой организации, находящейся под управлением государства, определить перечень действий по обеспечению безопасности, которые необходимо предпринять в первую очередь. Метод может быть реализован администраторами подразделения безопасности организации и может применяться на всех уровнях структуры разрабатываемой или существующей информационной системы (подсистемы, прикладные программы).

Подход EBIOS учитывает три основных свойства ИБ: конфиденциальность, целостность и доступность как информации, так и систем, а также среды, в которой они находятся. В определенных случаях предлагается позаботиться об обеспечении потребностей неотказуемости, авторизации и аутентификации.

Международные стандарты

BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
ISO/IEC 27000 - Словарь и определения.
ISO/IEC 27001 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
ГОСТ Р ИСО/МЭК 15408-1-2012 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
ГОСТ Р ИСО/МЭК 15408-2-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
ГОСТ Р ИСО/МЭК 15408-3-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.

Обеспечить безопасность информационных систем в настоящее время невозможно без грамотного и качественного создания систем защиты информации. Это определило работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем в части безопасности информации.

Одним из главных результатов подобной деятельности стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов.

Это особенно актуально для так называемых открытых систем коммерческого применения , обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну, и стремительно развивающихся в нашей стране.

Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого, обеспечивается соответствием требованиям стандартов, прежде всего международных.

Термин "открытые " подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа (НСД) к информации.

Специалистам в области информационной безопасности (ИБ ) сегодня почти невозможно обойтись без знаний соответствующих стандартов.

Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

Во-вторых , и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в internet :-сообществе это средство действительно работает, и весьма эффективно.

В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасности компании. Это, прежде всего, международные и национальные стандарты управления информационной безопасностью ISO 15408, IS О 17799 (В S 7799), В SI ; стандарты аудита информационных систем и нформаци-

онной безопасности СОВ I Т, S А C , СО S О и некоторые другие, аналогичные им.

Особое значение имеют международные стандарты ISO 15408, ISO 17799 служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита.

ISO 15408 - определяет детальные требования, предъявляемые к программно-техническим средствам защиты информации.

ISO 17799 - сосредоточен на вопросах организации и управления безопасностью.

Использование международных и национальных стандартов обеспечения информационной безопасности способствует решению следующих пяти задач:

- во-первых , определение целей обеспечения информационной безопасности компьютерных систем;

- во-вторых , создание эффективной системы управления информационной безопасностью;

- в третьих , расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;

- в четвертых , применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;

- в пятых , использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем,позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.

Основное внимание уделяется международному стандарту ISO / 15408 и его российскому аналогу ГОСТ Р ИСО/МЭК15408 -2002 «Критерии оценки безопасности информационных технологий» а также спецификациям « Internet -сообществ».

Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартахИБ .

Начиная с начала 80-х годов , были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга.

В лекции рассматриваются наиболее важные стандарты, знание которых необходимо разработчикам и оценщикам защитных средств, системным администраторам, руководителям служб защиты информации, пользователям по хронологии их создания, в том числе:

Критерий оценки надежности компьютерных систем «Оранжевая книга » (США);

Гармонизированные критерии европейских стран ;

Германский стандарт BSI ;

Британский стандарт BS 7799 ;

Стандарт «Общие критерии» ISO 15408;

Стандарт ISO 17799;

Стандарт COBIT

Эти стандарты можно разделить на два разных вида:

Оценочные стандарты , направленные на классификацию информационных систем и средств защиты по требованиям безопасности;

Технические спецификации , регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов нет глухой стены, напротив,существует логическая взаимосвязь .

Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС,играя роль архитектурных спецификаций .

Технические спецификации определяют, как строить ИС предписанной архитектуры. Далее рассмотрены особенности этих стандартов.

2. Критерии оценки доверенных компьютерных систем

(«Оранжевая книга»)