Grundlegende internationale IB-Standards in verschiedenen Ländern. Internationale und russische Standards für Informationsschutz und Informationssicherheit

Eines der wichtigsten Probleme und Bedürfnisse moderne Gesellschaft ist der Schutz der Menschenrechte unter den Bedingungen seiner Einbeziehung in die Prozesse der Informationsinteraktion, einschließlich des Rechts auf den Schutz personenbezogener Daten in den Prozessen der automatisierten Informationsverarbeitung.

I. N. Malanych, Student im 6. Jahr an der VSU

Das Institut für den Schutz personenbezogener Daten ist heute keine Kategorie mehr, die nur durch nationales Recht geregelt werden kann. Das wichtigste Merkmal moderner automatisierter Informationssysteme ist die „Supranationalität“ vieler von ihnen, ihr „Ausgang“ über die Staatsgrenzen hinaus, die Entwicklung einer öffentlich zugänglichen Welt Informationsnetzwerke, wie das Internet, die Bildung eines einzigen Informationsraums im Rahmen solcher internationaler Strukturen.

Heute besteht in der Russischen Föderation nicht nur das Problem, die Einrichtung des Schutzes personenbezogener Daten im Rahmen der Automatisierung in den Rechtsbereich einzuführen Informationsprozesse, sondern auch der Zusammenhang mit bestehenden internationalen Rechtsnormen in diesem Bereich.

Es gibt drei Haupttrends in der internationalen rechtlichen Regelung der Institution des Schutzes personenbezogener Daten, die sich auf Prozesse der automatisierten Informationsverarbeitung bezieht.

1) Erklärung des Rechts auf Schutz personenbezogener Daten als integraler Bestandteil der grundlegenden Menschenrechte in Handlungen allgemeiner humanitärer Natur, die von internationalen Organisationen angenommen werden.

2) Konsolidierung und Regelung des Rechts auf Schutz personenbezogener Daten in Rechtsakten der Europäischen Union, des Europarats, teilweise der Gemeinschaft Unabhängiger Staaten und einiger regionaler internationaler Organisationen. Diese Normenklasse ist die universellste und betrifft direkt die Rechte auf den Schutz personenbezogener Daten bei Prozessen der automatisierten Informationsverarbeitung.

3) Aufnahme von Regeln zum Schutz vertraulicher Informationen (einschließlich personenbezogener Daten) in internationale Verträge.

Die erste Methode erschien historisch gesehen früher als die anderen. In der modernen Welt sind Informationsrechte und -freiheiten ein integraler Bestandteil der grundlegenden Menschenrechte.

In der Allgemeinen Erklärung der Menschenrechte von 1948 heißt es: „Niemand darf willkürlichen Eingriffen in seine Privatsphäre oder Familie oder willkürlichen Angriffen auf ... die Privatsphäre seiner Korrespondenz ausgesetzt werden“ und weiter: „Jeder hat das Recht auf Schutz.“ des Gesetzes gegen solche Eingriffe oder Angriffe.“ Der Internationale Pakt über bürgerliche und politische Rechte von 1966 wiederholt die Erklärung in diesem Teil. Die Europäische Konvention von 1950 präzisiert dieses Recht: „Jeder hat das Recht auf freie Meinungsäußerung.“ Dieses Recht umfasst die Freiheit, Meinungen zu vertreten und Informationen und Ideen ohne Eingriffe öffentlicher Stellen und ohne Rücksicht auf Grenzen zu empfangen und weiterzugeben.“

Diese internationalen Dokumente legen die Menschenrechte auf Information fest.

Derzeit hat sich auf internationaler Ebene ein stabiles System von Ansichten zu Menscheninformationsrechten gebildet. Im Allgemeinen handelt es sich dabei um das Recht auf Erhalt von Informationen, das Recht auf Privatsphäre im Hinblick auf den Schutz der Informationen darüber, das Recht auf den Schutz von Informationen sowohl aus Sicht der Staatssicherheit als auch aus Sicht der Unternehmenssicherheit, einschließlich der finanziellen Aktivitäten.

Der zweite Weg – eine detailliertere Regelung des Rechts auf Schutz personenbezogener Daten ist mit der in den letzten Jahren immer intensiveren Verarbeitung personenbezogener Daten durch automatisierte Computerinformationssysteme verbunden. In den letzten Jahrzehnten wurden im Rahmen einer Reihe internationaler Organisationen eine Reihe internationaler Dokumente verabschiedet, die im Zusammenhang mit der Intensivierung des grenzüberschreitenden Informationsaustauschs und dem Einsatz moderner Informationstechnologien grundlegende Informationsrechte entwickeln. Zu diesen Dokumenten gehören die folgenden:

Der Europarat entwickelte 1980 das Europäische Übereinkommen zum Schutz Einzelpersonen in Fragen der automatischen Verarbeitung personenbezogener Daten, das 1985 in Kraft trat. Das Übereinkommen legt das Verfahren zur Erhebung und Verarbeitung personenbezogener Daten, die Grundsätze der Speicherung und des Zugriffs auf diese Daten sowie Methoden des physischen Datenschutzes fest. Das Übereinkommen garantiert die Achtung der Menschenrechte bei der Erhebung und Verarbeitung personenbezogener Daten, die Grundsätze der Speicherung und des Zugriffs auf diese Daten sowie Methoden des physischen Schutzes von Daten und verbietet außerdem die unangemessene Verarbeitung von Daten zu Rasse, politischen Meinungen, Gesundheit und Religion rechtliche Gründe. Russland ist der Europäischen Konvention im November 2001 beigetreten.

In der Europäischen Union werden Fragen des Schutzes personenbezogener Daten durch eine ganze Reihe von Dokumenten geregelt. Im Jahr 1979 wurde die Entschließung des Europäischen Parlaments „Über den Schutz der Rechte des Einzelnen im Zusammenhang mit dem Fortschritt der Informatisierung“ angenommen. In der Entschließung wurden der Rat und die Kommission der Europäischen Gemeinschaften aufgefordert, im Zusammenhang mit dem technischen Fortschritt im Bereich der Informatik Rechtsakte zum Schutz personenbezogener Daten zu entwickeln und zu verabschieden. Im Jahr 1980 wurden die Empfehlungen der Organisation für Zusammenarbeit der Mitgliedstaaten der Europäischen Union „Über Leitlinien zum Schutz von Privatsphäre beim zwischenstaatlichen Austausch personenbezogener Daten.“ Derzeit werden Fragen des Schutzes personenbezogener Daten detailliert durch Richtlinien des Europäischen Parlaments und des Rates der Europäischen Union geregelt. Dabei handelt es sich um die Richtlinien Nr. 95/46/EG und Nr. 2002/58/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz der Rechte natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur freien Verarbeitung personenbezogener Daten Übermittlung solcher Daten, Richtlinie Nr. 97/66/EG des Europäischen Parlaments und des Rates der Europäischen Union vom 15. Dezember 1997 über die Verwendung personenbezogener Daten und den Schutz der Privatsphäre in der Telekommunikation und anderen Dokumenten.

Die Rechtsakte der Europäischen Union zeichnen sich durch eine detaillierte Ausarbeitung der Grundsätze und Kriterien der automatisierten Datenverarbeitung, der Rechte und Pflichten der Subjekte und Inhaber personenbezogener Daten, der Fragen ihrer grenzüberschreitenden Übermittlung sowie der Haftung und Sanktionen für Schäden aus . Gemäß der Richtlinie Nr. 95/46/EG hat die Europäische Union eine Arbeitsgruppe zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten eingerichtet. Es hat den Status eines Beratungsgremiums und agiert als unabhängige Struktur. Die Arbeitsgruppe besteht aus einem Vertreter der von jedem Mitgliedstaat zur Überwachung der Einhaltung der Bestimmungen der Richtlinie in seinem Hoheitsgebiet eingerichteten Stelle, einem Vertreter der für die Gemeinschaftsorgane und -strukturen eingerichteten Stelle(n) und einem Vertreter von Die Europäische Kommission.

Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) verfügt über einen Rahmen zum Schutz der Privatsphäre und zum internationalen Austausch personenbezogener Daten, der am 23. September 1980 verabschiedet wurde. In der Präambel dieser Richtlinie heißt es: „...die OECD-Mitgliedsländer haben es für notwendig erachtet, Rahmenwerke zu entwickeln, die zur Harmonisierung nationaler Datenschutzgesetze beitragen könnten und unter Wahrung relevanter Menschenrechte keine Blockierung des internationalen Datenaustauschs zulassen würden ...“ Diese Bestimmungen gelten sowohl im öffentlichen als auch im privaten Sektor für personenbezogene Daten, die aufgrund der Art und Weise ihrer Verarbeitung oder aufgrund ihrer Art oder des Kontexts, in dem sie verwendet werden, das Risiko einer Verletzung der Privatsphäre und der individuellen Freiheiten bergen. Darin wird die Notwendigkeit definiert, personenbezogene Daten mit angemessenen Schutzmechanismen gegen Risiken im Zusammenhang mit Verlust, Zerstörung, Änderung oder Offenlegung oder unbefugtem Zugriff auszustatten. Russland beteiligt sich leider nicht an dieser Organisation.

Interparlamentarische Versammlung der GUS-Mitgliedstaaten am 16. Oktober 1999. Das Mustergesetz „Über personenbezogene Daten“ wurde verabschiedet.

Laut Gesetz handelt es sich bei „personenbezogenen Daten“ um (auf einem materiellen Datenträger gespeicherte) Informationen über eine bestimmte Person, die identifiziert werden kann oder mit ihr identifiziert werden kann. Zu den personenbezogenen Daten gehören biografische Daten und Identifikationsdaten, persönliche Merkmale, Informationen über Familie, sozialen Status, Bildung, Beruf, beruflicher und finanzieller Status, Gesundheitszustand und andere. Das Gesetz listet außerdem die Grundsätze der gesetzlichen Regelung personenbezogener Daten, Formen der staatlichen Regelung des Umgangs mit personenbezogenen Daten sowie Rechte und Pflichten der Subjekte und Inhaber personenbezogener Daten auf.

Es scheint, dass die betrachtete zweite Methode der regulatorischen Regelung des Schutzes personenbezogener Daten in internationalen Rechtsakten für die Analyse am interessantesten ist. Die Normen dieser Klasse regeln nicht nur direkt die Öffentlichkeitsarbeit in diesem Bereich, sondern tragen auch dazu bei, die Gesetzgebung der Mitgliedsländer an internationale Standards anzupassen und so die Wirksamkeit dieser Normen auf ihrem Territorium sicherzustellen. Damit ist die in der Allgemeinen Erklärung der Menschenrechte verankerte Gewährleistung der Informationsrechte im Sinne des in Artikel 12 der Allgemeinen Erklärung der Menschenrechte verankerten „Rechts auf Schutz des Gesetzes vor ... Eingriffen oder ... Übergriffen“ gewährleistet.

Die dritte Möglichkeit, die Regeln zum Schutz personenbezogener Daten zu festigen, besteht darin, ihren rechtlichen Schutz in internationalen Verträgen zu festigen.

Artikel zum Informationsaustausch sind in internationalen Verträgen zur Rechtshilfe, zur Vermeidung der Doppelbesteuerung und zur Zusammenarbeit in bestimmten öffentlichen und kulturellen Bereichen enthalten.

Gemäß Art. Gemäß Artikel 25 des Vertrags zwischen der Russischen Föderation und den Vereinigten Staaten zur Vermeidung der Doppelbesteuerung und zur Verhinderung der Steuerhinterziehung im Bereich der Einkommens- und Kapitalsteuern sind die Staaten verpflichtet, Informationen bereitzustellen, die ein Berufsgeheimnis darstellen. Der Vertrag zwischen der Russischen Föderation und der Republik Indien über gegenseitige Rechtshilfe in Strafsachen enthält Artikel 15 „Vertraulichkeit“: Die ersuchte Partei kann verlangen, dass die übermittelten Informationen vertraulich behandelt werden. Die Praxis des Abschlusses internationaler Verträge zeigt den Wunsch der Vertragsstaaten, internationale Standards zum Schutz personenbezogener Daten einzuhalten.

Es scheint, dass der wirksamste Mechanismus zur Regulierung dieser Institution auf internationaler Rechtsebene die Veröffentlichung spezieller Regulierungsdokumente im Rahmen internationaler Organisationen ist. Dieser Mechanismus fördert nicht nur eine angemessene interne Regulierung der dringenden Fragen des Schutzes personenbezogener Daten innerhalb dieser zu Beginn des Artikels erwähnten Organisationen, sondern wirkt sich auch positiv auf die nationale Gesetzgebung der teilnehmenden Länder aus.

Vorlesungsübersicht

1. Voraussetzungen für die Erstellung internationaler Standards Informationssicherheit(IB)

1.1. Zweck und Ziele der internationalen Normung

1.2. Internationale Standardisierungsorganisation, ISO

1.3. Grundlegende internationale Informationssicherheitsstandards

2. Kriterien zur Bewertung vertrauenswürdiger Computersysteme („ Oranges Buch")

2.1.Grundlegende Informationen

2.2 Grundvoraussetzungen und Tools

3. Grundkonzepte

4. Sicherheitsimplementierungsmechanismen

5. Abschnitte und Sicherheitsklassen.

5.1. Sicherheitsabschnitte

5.2. Sicherheitsklassen

6. Kurze Klassifizierung

Internationale Kriterien zur Beurteilung der Sicherheit von Informationstechnologien im Ausland

Vorlesungsübersicht

1. Harmonisierte Kriterien europäischer Länder

2. Deutscher Standard BSI

3. Britischer Standard BS 7799

4. Internationaler Standard IS O/ I EC 15408„Kriterien zur Beurteilung der Sicherheit von Informationstechnologien.“ „Allgemeine Kriterien“

Voraussetzungen für die Schaffung internationaler Informationssicherheitsstandards

1.1. Allgemeine Probleme

Im Ausland erfolgt die Entwicklung von Normen kontinuierlich; Entwürfe und Fassungen von Normen werden in unterschiedlichen Abstimmungs- und Genehmigungsstadien regelmäßig veröffentlicht. Einige Normen werden schrittweise vertieft und in Form einer Reihe von Normengruppen vertieft, die konzeptionell und strukturell miteinander verbunden sind.

Es ist allgemein anerkannt, dass ein integraler Bestandteil des allgemeinen Prozesses der Standardisierung der Informationstechnologie (IT) die Entwicklung von Standards im Zusammenhang mit dem Problem der IT-Sicherheit ist, das aufgrund der Tendenzen zur zunehmenden gegenseitigen Integration angewandter Aufgaben immer relevanter wird sie auf der Grundlage verteilter Datenverarbeitung, Telekommunikationssystemen und elektronischen Datenaustauschtechnologien.

Entwicklung Standards für offene Systeme , einschließlich Standards im Bereich der IT-Sicherheit, wird von einer Reihe spezialisierter internationaler Organisationen und Konsortien umgesetzt, wie beispielsweise ISO, IEC, ITU-T, IEEE, IAB, WOS, ECMA, X/Open, OSF, OMG.

Wesentliche Arbeiten zur Standardisierung von IT-Sicherheitsfragen werden von spezialisierten Organisationen und auf nationaler Ebene durchgeführt. All dies hat es bisher ermöglicht, eine recht umfangreiche methodische Basis in Form von internationalen, nationalen und Branchenstandards sowie Regulierungs- und Leitfäden zur Regulierung von Aktivitäten im Bereich der IT-Sicherheit zu schaffen.

1.2. Stand des internationalen regulatorischen und methodischen Rahmens

Um die Analyse des aktuellen Stands des internationalen Regulierungs- und Methodenrahmens im Bereich der IT-Sicherheit zu systematisieren, ist es notwendig, einige zu verwenden Klassifizierung von Normungsgebieten .

Generell lassen sich folgende Richtungen unterscheiden :

1. Allgemeine Grundsätze Informationssicherheitsmanagement.

2. IT-Sicherheitsmodelle.

3. IT-Sicherheitsmethoden und -mechanismen (wie zum Beispiel: Authentifizierungsmethoden, Schlüsselverwaltung usw.).

4. Kryptografische Algorithmen.

5. Methoden zur Bewertung der Sicherheit von Informationssystemen.

6. Sicherheit von EDI-Technologien.

7. Sicherheit von Internetinteraktionen (Firewalls).

8. Zertifizierung und Zertifizierung von Standardisierungsobjekten.

Zweck und Ziele der internationalen Normung

Standard ist ein Dokument, das die Eigenschaften von Produkten, Betrieb, Lagerung, Transport, Verkauf und Entsorgung, Ausführung von Arbeiten oder Erbringung von Dienstleistungen festlegt. Standard können auch Anforderungen an Terminologie, Symbole, Verpackungen, Kennzeichnungen oder Etiketten sowie Regeln für deren Anwendung enthalten.

Internationaler Standard - ein von einer internationalen Organisation übernommener Standard. Unter internationalen Standards versteht man in der Praxis oft auch regionale Standards und Standards, die von wissenschaftlichen und technischen Gesellschaften entwickelt und von verschiedenen Ländern auf der ganzen Welt als Normen übernommen wurden.

Internationale Standardisierung - Standardisierung, an der die zuständigen Behörden aller Länder teilnehmen können.

Der Hauptzweck internationaler Standards - Dies ist die Schaffung einer einheitlichen methodischen Grundlage auf internationaler Ebene für die Entwicklung neuer und die Verbesserung bestehender Qualitätssysteme und deren Zertifizierung.

Die wissenschaftliche und technische Zusammenarbeit im Bereich der Normung zielt auf die Harmonisierung des nationalen Normungssystems mit internationalen, regionalen und fortschrittlichen nationalen Normungssystemen ab.

Sowohl Industrieländer als auch Entwicklungsländer, die eigene Volkswirtschaften aufbauen, sind an der Entwicklung internationaler Standardisierung interessiert.

Internationale Standards sind nicht für alle teilnehmenden Länder verbindlich. Jedes Land der Welt hat das Recht, sie anzuwenden oder nicht anzuwenden. Lösung des Problems der Anwendung eines internationalen Standards ISO hängt hauptsächlich mit dem Grad der Beteiligung des Landes an der internationalen Arbeitsteilung und der Lage seines Außenhandels zusammen. ISO ist die führende internationale Organisation auf dem Gebiet der Standardisierung.

1.4. Internationale Organisation für Normung, ISO

Internationale Standardisierungsorganisation , IS О (International Organization for Standardization, ISO) - eine internationale Organisation, die Standards erstellt.

Internationale Organisation IST O begann zu funktionieren 23. Februar 1947. als freiwillige Nichtregierungsorganisation. Es wurde auf der Grundlage dessen gegründet, was bei einem Treffen in London im Jahr erreicht wurde 1946 Vereinbarungen zwischen Vertretern 25 Industrieländer über die Gründung einer Organisation mit der Befugnis, die Entwicklung verschiedener Industriestandards auf internationaler Ebene zu koordinieren und das Verfahren für deren Übernahme als internationale Standards durchzuführen.

Bei der Gründung der Organisation und der Wahl ihres Namens wurde darauf geachtet, dass die Abkürzung des Namens in allen Sprachen gleich klingt. Dafür wurde beschlossen, das griechische Wort zu verwenden Isos- gleich, weshalb die Internationale Organisation für Normung in allen Sprachen der Welt einen Kurznamen hat IST O (ISO).

Anwendungsbereich ISO betrifft die Standardisierung in allen Bereichen, außer Elektrotechnik und Elektronik, fällt in die Zuständigkeit der Internationalen Elektrotechnischen Kommission ( IEC). Einige Arten von Arbeiten werden von diesen Organisationen gemeinsam durchgeführt. Zusätzlich zur Standardisierung ISO befasst sich auch mit Zertifizierungsfragen.

ISO-Zweck - Förderung der Entwicklung der Normung auf globaler Ebene, um den internationalen Handel und die gegenseitige Hilfe zu erleichtern sowie die Zusammenarbeit im Bereich intellektueller, wissenschaftlicher, technischer und wirtschaftlicher Aktivitäten auszubauen.

Georgy Garbusov,
CISSP, MCSE:Sicherheit, Informationssicherheitsdirektion, URALSIB Insurance Group

DIE GESCHICHTE der Standardisierung als Prozess zur Festlegung einheitlicher, für den wiederholten Gebrauch geeigneter Anforderungen reicht mehrere tausend Jahre zurück – selbst beim Bau der Pyramiden im alten Ägypten wurden Blöcke in Standardgröße verwendet, und spezielle Personen kontrollierten den Grad der Konformität mit diesem alten Standard. Heutzutage nimmt die Standardisierung in fast allen Bereichen der menschlichen Tätigkeit einen festen Platz ein.

Standardisierung im Bereich Informationssicherheit

Die Standardisierung im Bereich der Informationssicherheit (IS) ist sowohl für Fachleute als auch für Verbraucher von IS-Produkten und -Dienstleistungen von Vorteil, da sie es ermöglicht, ein optimales Maß an Rationalisierung und Vereinheitlichung festzulegen, die Austauschbarkeit von IS-Produkten sowie die Messbarkeit sicherzustellen Wiederholbarkeit der in verschiedenen Ländern und Organisationen erzielten Ergebnisse. Für Fachleute bedeutet dies eine Zeitersparnis bei der Suche nach wirksamen und bewährten Lösungen und für Verbraucher ist es eine Garantie dafür, ein Ergebnis in der erwarteten Qualität zu erhalten.

Gegenstand der Normung kann jedes Produkt oder jede Dienstleistung im Bereich Informationssicherheit sein: Bewertungsmethode, Funktionalität Sicherheitsmerkmale und -einstellungen, Kompatibilitätseigenschaften, Entwicklungs- und Produktionsprozess, Managementsysteme usw.

Die Normung kann je nach Zusammensetzung der Teilnehmer international, regional oder national sein, während die internationale Normung (zusammen mit offiziellen Normungsgremien wie ISO) die Normung von Konsortien (z. B. IEEE oder SAE) umfasst und die nationale Normung staatlicher oder nationaler Natur sein kann Industrie.

Lassen Sie uns näher auf einige der heute gefragten ausländischen Standards eingehen, die sich auf die eine oder andere Weise auf Fragen der Informationssicherheit auswirken.

Internationale Standards im Bereich Informationssicherheit – Auslandserfahrung

Die Standardisierung im Bereich der Informationssicherheit im Ausland entwickelt sich seit Jahrzehnten weiter, und einige Länder, beispielsweise das Vereinigte Königreich, verfügen über umfangreiche Erfahrung in der Entwicklung von Standards – viele britische nationale Standards, wie z. B. BS7799-1/2, haben im Laufe der Zeit internationalen Status erlangt. Beginnen wir mit ihnen.

Internationale Standards ISO 27002 und ISO 27001

Vielleicht sind dies heute die beliebtesten Standards im Bereich der Informationssicherheit.

ISO 27002 (ehemals ISO 17799) enthält eine Reihe von Empfehlungen für die effektive Organisation von Informationssicherheits-Managementsystemen in einem Unternehmen, die alle Schlüsselbereiche abdecken, insbesondere:

  • Bildung einer Informationssicherheitsrichtlinie;
  • personenbezogene Sicherheit;
  • Sicherheit der Kommunikation;
  • physische Sicherheit;
  • Zugangskontrolle;
  • Vorfallbearbeitung;
  • Sicherstellung der Einhaltung gesetzlicher Anforderungen.

Bei der Norm ISO 27001 handelt es sich um eine Kriteriensammlung für die Zertifizierung von Managementsystemen, auf deren Grundlage von einer akkreditierten Zertifizierungsstelle ein internationales Konformitätszertifikat ausgestellt und in das Register aufgenommen wird.

Dem Register zufolge sind in Russland derzeit etwa ein Dutzend Unternehmen registriert, die über ein solches Zertifikat verfügen, wobei die Gesamtzahl der Zertifizierungen weltweit über 5.000 liegt. Die Vorbereitung auf die Zertifizierung kann entweder von der Organisation selbst oder von Beratungsunternehmen durchgeführt werden. Und die Praxis zeigt, dass es für Unternehmen, die bereits über ein zertifiziertes Managementsystem (z. B. Qualität) verfügen, viel einfacher ist, ein Zertifikat ISO 27001 zu erhalten.

Die ISO 27001/27002-Standards sind Vertreter einer neuen Reihe von Standards, deren endgültige Ausarbeitung noch nicht abgeschlossen ist: Standards 27000 (Grundprinzipien und Terminologie), 27003 (Richtlinien für die Implementierung eines Informationssicherheits-Managementsystems), 27004 ( zur Messung der Wirksamkeit eines Informationssicherheitsmanagementsystems) und weitere sind in der Entwicklung – insgesamt werden in der 27000er-Reihe insgesamt mehr als 30 Standards erwartet. Weitere Informationen zur Zusammensetzung der Serie und zum aktuellen Stand ihrer Entwicklung finden Sie auf der offiziellen ISO-Website (www.iso.org).

Internationale Standards ISO13335 und ISO15408

Der ISO 13335-Standard ist eine Familie von Sicherheitsstandards für die Informationstechnologie, die das IT-Sicherheitsmanagement abdecken und spezifische Schutzmaßnahmen und -techniken bieten. Derzeit wird die 13335-Serie schrittweise durch die neuere 27000-Serie ersetzt. Die Norm ISO 15408 enthält einheitliche Kriterien zur Bewertung der Sicherheit von IT-Systemen auf Software- und Hardwareebene (ähnlich dem berühmten Orange Book, das auch als TCSEC-Bewertung bekannt ist). Kriterien oder europäische ITSEC-Kriterien), die einen Vergleich der in verschiedenen Ländern erzielten Ergebnisse ermöglichen.

Im Allgemeinen können diese Standards, obwohl sie nur einen technologischen Teil enthalten, sowohl unabhängig als auch beim Aufbau von Informationssicherheits-Managementsystemen verwendet werden, beispielsweise als Teil der Vorbereitung auf die Zertifizierung zur Einhaltung von ISO 27001.

CobiT

CobiT ist eine Sammlung von rund 40 internationalen Standards und Richtlinien in den Bereichen IT-Governance, Auditing und Sicherheit und enthält Beschreibungen zugehöriger Prozesse und Metriken. Das Hauptziel von CobiT besteht darin, eine gemeinsame Sprache zwischen einem Unternehmen, das spezifische Ziele hat, und der IT, die zu deren Erreichung beiträgt, zu finden und so die Erstellung angemessener Pläne für die Entwicklung der Informationstechnologie der Organisation zu ermöglichen.

CobiT wird zur Prüfung und Kontrolle des IT-Managementsystems einer Organisation verwendet und enthält detaillierte Beschreibungen Ziele, Grundsätze und Gegenstände des Managements, mögliche IT-Prozesse und Sicherheitsmanagementprozesse. Vollständigkeit, klare Beschreibungen spezifischer Aktionen und Tools sowie ein geschäftlicher Fokus machen CobiT zu einer guten Wahl beim Aufbau einer Informationsinfrastruktur und eines Managementsystems.

Im nächsten Teil des Artikels werden wir uns einige interessante nationale und branchenspezifische ausländische Standards ansehen, wie z. B. NIST SP 800, BS, BSI, PCI DSS, ISF, ITU und andere.

Expertenkommentar

Alexey Pleshkov,
Leiter der Abteilung für Informationstechnologiesicherheit, Gazprombank (Offene Aktiengesellschaft)

Zusätzlich zu der oben genannten Übersicht über internationale Standards möchte ich auf ein weiteres Regulierungsdokument zur Informationssicherheit aufmerksam machen, das in der Russischen Föderation nicht weit verbreitet ist. Einer dieser Standards ist ein Dokument aus der EBIOS-Methodenfamilie.

Das EBIOS-Projekt zur Entwicklung von Methoden und Werkzeugen für das Iin Informationssystemen wird von der französischen Regierung unterstützt und von der DCSSI-Kommission unter dem französischen Premierminister auf gesamteuropäischer Ebene gefördert. Der Zweck dieses Projekts besteht darin, zur Verbesserung der Sicherheit von Informationssystemen öffentlicher oder privater Organisationen beizutragen (http://www.securiteinfo.com/conseils/ebios.shtml).

Der Text einer Dokumentationsreihe für das Produkt zur Automatisierung von Bewertungsaufgaben der Informationssicherheitsunterstützung „Methodische Instrumente zur Erreichung der Sicherheit von Informationssystemen EBIOS (Definition von Bedürfnissen und Identifizierung von Sicherheitszielen)“ wurde auf der offiziellen Website der französischen Regierung veröffentlicht widmete sich im Jahr 2004 den Fragen der Gewährleistung der Informationssicherheit automatisierter Systeme.

Die vom Generalsekretariat des französischen Verteidigungsministeriums vorgeschlagene EBIOS-Methode mit dem Namen „Definition von Bedürfnissen und Identifizierung von Sicherheitszielen“ (EBIOS) wurde unter Berücksichtigung internationaler Standards zur Gewährleistung der Informationssicherheit entwickelt. Es formalisiert den Ansatz zur Bewertung und Verarbeitung von Risiken im Bereich der Informationssystemsicherheit und dient zur Beurteilung des Informationssicherheitsniveaus in entwickelten und bestehenden Systemen.
Der Zweck der Methode besteht darin, es jeder staatlich kontrollierten Organisation zu ermöglichen, eine Liste von Sicherheitsmaßnahmen zu erstellen, die zuerst ergriffen werden müssen. Die Methode kann von Administratoren der Sicherheitsabteilung einer Organisation implementiert und auf allen Ebenen der Struktur eines entwickelten oder bestehenden Informationssystems (Subsysteme, Anwendungsprogramme) angewendet werden.

Der EBIOS-Ansatz berücksichtigt drei Haupteigenschaften der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit sowohl von Informationen und Systemen als auch der Umgebung, in der sie sich befinden. In bestimmten Fällen wird empfohlen, darauf zu achten, dass die Nichtabstreitbarkeit, Autorisierung und Authentifizierung gewährleistet sind.

Internationale Standards

  • BS 7799-1:2005 – Britischer Standard BS 7799, erster Teil. BS 7799 Teil 1 – Verhaltenskodex für Ibeschreibt die 127 Kontrollen, die zum Erstellen erforderlich sind Informationssicherheitsmanagementsysteme(ISMS) der Organisation, ermittelt auf Basis der besten Beispiele globaler Erfahrung (Best Practices) in diesem Bereich. Dieses Dokument dient als praktischer Leitfaden zur Erstellung eines ISMS
  • BS 7799-2:2005 – Britischer Standard BS 7799 ist der zweite Teil des Standards. BS 7799 Teil 2 – I– ​​Spezifikation für Informatspezifiziert die ISMS-Spezifikation. Der zweite Teil des Standards wird als Kriterium im Rahmen des offiziellen Zertifizierungsverfahrens für das ISMS der Organisation verwendet.
  • BS 7799-3:2006 – Britischer Standard BS 7799, dritter Teil des Standards. Ein neuer Standard im Informationssicherheits-Risikomanagement
  • ISO/IEC 17799:2005 – „ Informationstechnologie- Sicherheitstechnologien - Praktische Regeln für das Informationssicherheitsmanagement.“ Internationaler Standard basierend auf BS 7799-1:2005.
  • ISO/IEC 27000 – Vokabular und Definitionen.
  • ISO/IEC 27001 – „Informationstechnologie – Sicherheitstechniken – Informationssicherheits-Managementsysteme – Anforderungen.“ Internationaler Standard basierend auf BS 7799-2:2005.
  • ISO/IEC 27002 – Jetzt: ISO/IEC 17799:2005. „Informationstechnologien – Sicherheitstechnologien – Praktische Regeln für das Informationssicherheitsmanagement.“ Erscheinungsdatum: 2007.
  • ISO/IEC 27005 – Jetzt: BS 7799-3:2006 – Leitlinien zum Informationssicherheitsrisikomanagement.
  • Deutsche Agentur für Informationssicherheit. IT-Grundschutzhandbuch - Standard-Sicherheitsmaßnahmen.

Staatliche (nationale) Standards der Russischen Föderation

  • GOST R 50922-2006 – Informationsschutz. Grundlegende Begriffe und Definitionen.
  • R 50.1.053-2005 – Informationstechnologien. Grundlegende Begriffe und Definitionen im Bereich der technischen Informationssicherheit.
  • GOST R 51188-98 – Informationsschutz. Versuch Software für Verfügbarkeit Computer Virus. Modellhandbuch.
  • GOST R 51275-2006 – Informationsschutz. Informationsobjekt. Faktoren, die Informationen beeinflussen. Allgemeine Bestimmungen.
  • GOST R ISO/IEC 15408-1-2012 – Informationstechnologie. Methoden und Mittel zur Gewährleistung der Sicherheit. Kriterien zur Beurteilung der Sicherheit von Informationstechnologien. Teil 1. Einführung und allgemeines Modell.
  • GOST R ISO/IEC 15408-2-2013 – Informationstechnologie. Methoden und Mittel zur Gewährleistung der Sicherheit. Kriterien zur Beurteilung der Sicherheit von Informationstechnologien. Teil 2. Anforderungen an die funktionale Sicherheit.
  • GOST R ISO/IEC 15408-3-2013 – Informationstechnologie. Methoden und Mittel zur Gewährleistung der Sicherheit. Kriterien zur Beurteilung der Sicherheit von Informationstechnologien. Teil 3. Sicherheitsanforderungen.
  • GOST R ISO/IEC 15408 – „Allgemeine Kriterien zur Bewertung der Sicherheit von Informationstechnologien“ – ein Standard, der Werkzeuge und Methoden zur Bewertung der Sicherheit von Informationsprodukten und -systemen definiert; Es enthält eine Liste von Anforderungen, anhand derer die Ergebnisse unabhängiger Sicherheitsbewertungen verglichen werden können, sodass der Verbraucher Entscheidungen über die Sicherheit von Produkten treffen kann. Der Anwendungsbereich der „Allgemeinen Kriterien“ umfasst den Schutz von Informationen vor unbefugtem Zugriff, Änderung oder Verlust sowie andere durch Hardware und Software implementierte Schutzmethoden.
  • GOST R ISO/IEC 17799 – „Informationstechnologien. Praktische Regeln für das Informationssicherheitsmanagement.“ Direkte Anwendung des internationalen Standards mit der Ergänzung ISO/IEC 17799:2005.
  • GOST R ISO/IEC 27001 – „Informationstechnologien. Sicherheitsmethoden. Informationssicherheits-Managementsystem. Anforderungen". Die direkte Anwendung des internationalen Standards ist ISO/IEC 27001:2005.
  • GOST R 51898-2002: Sicherheitsaspekte. Regeln zur Aufnahme in Normen.

Gewährleisten Sie die Sicherheit von Informationssystemen in Derzeit ist dies ohne eine kompetente und qualitativ hochwertige Erstellung von Informationssicherheitssystemen nicht möglich. Dies bestimmte die Arbeit der Weltgemeinschaft zur Systematisierung und Straffung der grundlegenden Anforderungen und Merkmale solcher Systeme im Hinblick auf die Informationssicherheit.

Eines der Hauptergebnisse dieser Aktivitäten war Systeminternationale und nationale StandardsInformationssicherheit, das mehr als hundert verschiedene Dokumente enthält.

Dies gilt insbesondere für die sogenannten Offene Systeme für die kommerzielle Nutzung, die Verarbeitung vertraulicher Informationen, die keine Staatsgeheimnisse enthalten, und die sich in unserem Land rasch entwickeln.

Unter Offene Systeme verstehen eine Sammlung von Computer- und Telekommunikationsgeräten aller Art verschiedener Hersteller, deren gemeinsames Funktionieren durch die Einhaltung der Anforderungen von Standards, vor allem internationaler Standards, sichergestellt wird.

Der Begriff " offen „Impliziert auch, dass ein Computersystem, wenn es den Standards entspricht, für die Verbindung mit jedem anderen System offen ist, das dieselben Standards erfüllt. Dies gilt insbesondere für Mechanismen zum Schutz kryptografischer Informationen oder zum Schutz vor unbefugtem Zugriff ( NSD) zu Informationen.

Spezialisten für Informationssicherheit ( IST) ist es heute nahezu unmöglich, auf die Kenntnis der einschlägigen Normen zu verzichten.

Erstens, Standards und Spezifikationen sind eine der Formen der Wissensanhäufung, vor allem über die Verfahrens- und Software- und Hardwareebene der Informationssicherheit. Sie dokumentieren bewährte, qualitativ hochwertige Lösungen und Methoden, die von den qualifiziertesten Spezialisten entwickelt wurden.

Zweitens Beide sind das wichtigste Mittel zur Gewährleistung der gegenseitigen Kompatibilität von Hardware-Software-Systemen und ihren Komponenten Internet:-Gemeinschaft Dieses Produkt funktioniert wirklich und ist sehr effektiv.

Vor kurzem ist in verschiedenen Ländern eine neue Generation von Standards im Bereich der Informationssicherheit erschienen, die sich praktischen Fragen des Managements der Informationssicherheit eines Unternehmens widmen. Dabei handelt es sich in erster Linie um internationale und nationale Standards für das IISO 15408, ISTO 17799 (BS7799), BS.I.; Prüfungsstandards für Informationssysteme und Informationen

Online-Sicherheit EULEICHT,SAC, COSUM und einige andere, die ihnen ähnlich sind.

Von besonderer Bedeutung sind internationale Standards ISO 15408, ISO 17799 dienen als Grundlage für jede Arbeit vor Ort Informationssicherheit, einschließlich Auditierung.

ISO 15408 - definiert detailliert Anforderungen an Software- und Hardware-Informationssicherheitstools.

ISO 17799 - konzentriert sich auf Themen Organisation und Sicherheitsmanagement.

Verwendung von international und national Standards Die Gewährleistung der Informationssicherheit trägt zur Lösung der folgenden fünf Aufgaben bei:

- Erstens , Festlegung von Zielen zur Gewährleistung der Informationssicherheit von Computersystemen;

- Zweitens , Schaffung eines wirksamen Informationssicherheits-Managementsystems;

- Drittens , Berechnung einer Reihe detaillierter nicht nur qualitativer, sondern auch quantitativer Indikatoren zur Beurteilung der Übereinstimmung der Informationssicherheit mit den genannten Zielen;

- Viertens , Anwendung von Informationssicherheitstools und Bewertung ihres aktuellen Zustands;

- fünftens , der Einsatz von Sicherheitsmanagementtechniken mit einem fundierten System von Metriken und Maßnahmen zur Unterstützung von Informationssystementwicklern, die es ihnen ermöglichen, die Sicherheit von Informationsressourcen objektiv zu bewerten und die Informationssicherheit des Unternehmens zu verwalten.

Konzentrieren Sie sich auf internationalen Standard ISO/ 15408 und sein Russisch Analog zu GOST R ISO/IEC15408 -2002 „Kriterien zur Bewertung der Sicherheit von Informationstechnologien“ und auch Spezifikationen "Internet-Gemeinschaften.“

Durchführung eines Audits Die Informationssicherheit basiert auf der Nutzung zahlreicher Empfehlungen, die überwiegend in internationalen Standards niedergelegt sind IST.

Von vorne beginnen 80er Jahre Es wurden Dutzende internationaler und nationaler Standards im Bereich der Informationssicherheit geschaffen, die sich gewissermaßen ergänzen.

In der Vorlesung werden die wichtigsten Standards besprochen, deren Kenntnis für Entwickler und Bewerter von Sicherheitsprodukten, Systemadministratoren, Leiter von Informationssicherheitsdiensten und Benutzer entsprechend der Chronologie ihrer Entstehung erforderlich ist, darunter:

    Kriterium zur Beurteilung der Zuverlässigkeit von Computersystemen“ Orangefarbenes Buch"(USA);

    Harmonisierte Kriterien europäischer Länder;

    Deutscher Standard BSI;

    Britischer Standard B.S. 7799 ;

    Standard " Allgemeine Kriterien“ISO 15408;

    Standard ISO 17799;

    Standard COBIT

Diese Standards können in zwei verschiedene Typen unterteilt werden:

    Bewertungsstandards , zielt darauf ab, Informationssysteme und Schutzmittel nach Sicherheitsanforderungen zu klassifizieren;

    Technische Spezifikationen Regelung verschiedener Aspekte des Einsatzes von Schutzausrüstung.

Es ist wichtig, das zu beachten zwischen diesen Arten von Regulierungsdokumenten es gibt keine leere Wand, im Gegenteil, Es besteht ein logischer Zusammenhang.

Bewertungsstandards die wichtigsten Aspekte der Informationssicherheit aus Sicht der Informationssicherheit hervorheben, die Rolle architektonischer Vorgaben spielen.

Technische Spezifikationen Bestimmen Sie, wie ein IS mit einer vorgeschriebenen Architektur erstellt werden soll. Im Folgenden werden die Merkmale dieser Standards beschrieben.

2. Kriterien zur Bewertung vertrauenswürdiger Computersysteme

Oranges Buch")

mob_info