Основні міжнародні стандарти іб у різних країнах. Захист інформації та інформаційна безпека міжнародні та російські стандарти

Однією з найважливіших проблем та потреб сучасного суспільстває захист правами людини за умов залучення їх у процеси інформаційного взаємодії зокрема, декларація про захист особистої (персональної) інформації у процесах автоматизованої обробки інформації.

І. Н. Маланич, студент 6 курсу ВДУ

Інститут захисту персональних даних сьогодні вже не є тією категорією, яку можна регулювати лише національним правом. Найважливішою особливістю сучасних автоматизованих інформаційних систем є «наднаціональність» багатьох із них, «вихід» їх за межі держав, розвиток загальнодоступних світових. інформаційних мереж, такі як Інтернет, формування єдиного інформаційного простору в рамках таких міжнародних структур.

Сьогодні в Російській Федерації існує проблема не лише запровадження у правове поле інституту захисту персональних даних у рамках автоматизованих інформаційних процесів, а й співвідношення її з існуючими міжнародно-правовими стандартами у цій галузі.

Можна виділити три основні тенденції міжнародно-правового регулювання інституту захисту персональних даних, що належать до процесів автоматизованої обробки інформації.

1) Декларування права на захист персональних даних як невід'ємної частини фундаментальних прав людини в актах загальногуманітарного характеру, що приймаються в рамках міжнародних організацій.

2) Закріплення та регулювання права за захист персональної інформації в актах регулятивного характеру Європейського Союзу, Ради Європи, частково Співдружності Незалежних Держав та деяких регіональних міжнародних організацій. Цей клас норм – найбільш універсальний і безпосередньо стосується прав захисту персональних даних у процесах автоматизованої обробки інформації.

3) Включення норм про охорону конфіденційної інформації (у тому числі й персональної) до міжнародних договорів.

Перший спосіб - історично з'явився раніше за інших. У світі інформаційні правничий та свободи є невід'ємною частиною фундаментальних правами людини.

Загальна декларація прав людини 1948 р. проголошує: «Ніхто не може піддаватися довільному втручанню в особисте та сімейне життя, довільним посяганням на … таємницю його кореспонденції» і далі: «Кожна людина має право на захист закону від такого втручання або таких посягань». Міжнародний пакт про громадянські та політичні права 1966 р. у цій частині повторює декларацію. Європейська Конвенція 1950 р. деталізує це право: «Кожна людина має право на свободу вираження поглядів. Це право включає свободу дотримуватися своєї думки, отримувати та поширювати інформацію та ідеї без втручання з боку державних органів та незалежно від державних кордонів».

Зазначені міжнародні документи закріплюють інформаційні права.

Нині міжнародному рівні сформувалася стійка система поглядів на інформаційні права людини. У узагальненому плані це - декларація про отримання інформації, декларація про приватне життя з погляду охорони інформації про неї, декларація про захист інформації як із погляду безпеки держави, і з погляду безпеки бізнесу, включаючи фінансову діяльність.

Другий спосіб - більш детального регулювання права на захист персональної інформації пов'язаний з дедалі більшою в останні роки інтенсивністю обробки персональної інформації за допомогою автоматизованих комп'ютерних інформаційних систем. В останні десятиліття в рамках низки міжнародних організацій було прийнято низку міжнародних документів, що розвивають основні інформаційні права у зв'язку з інтенсифікацією транскордонного обміну інформацією та використанням сучасних інформаційних технологій. Серед таких документів можна назвати такі:

Рада Європи у 1980 р. розробила Європейську конвенцію про захист фізичних осібу питаннях, що стосуються автоматичної обробки особистих даних, що набула чинності 1985 р. У Конвенції визначається порядок збору та обробки даних про особу, принципи зберігання та доступу до цих даних, способи фізичного захисту даних. Конвенція гарантує дотримання прав людини при зборі та обробці персональних даних, принципи зберігання та доступу до цих даних, способи фізичного захисту даних, а також забороняє обробку даних про расу, політичні погляди, здоров'я, релігію без відповідних юридичних підстав. Росія приєдналася до Європейської Конвенції у листопаді 2001 року.

У Європейському Союзі питання захисту персональних даних регулюються комплексом документів. У 1979 р. було прийнято Резолюцію Європарламенту «Про захист прав особи у зв'язку з прогресом інформатизації». Резолюція запропонувала Раді та Комісії Європейських Співтовариств розробити та прийняти правові акти щодо захисту даних про особу у зв'язку з технічним прогресом у галузі інформатики. У 1980 році прийнято Рекомендації Організації щодо співробітництва країн-членів Європейського Союзу «Про керівні напрямки захисту приватного життяза міждержавного обміну даними персонального характеру». Наразі питання захисту персональних даних детально регламентуються директивами Європарламенту та Ради Європейського Союзу. Це Директиви № 95/46/EC та № 2002/58/EC Європейського парламенту та Ради Європейського Союзу від 24 жовтня 1995 року «Про захист прав приватних осіб стосовно обробки персональних даних та про вільний рух таких даних», Директива № 97/66 /EC Європейського Парламенту та Ради Європейського Союзу від 15 грудня 1997 року щодо використання персональних даних та захисту недоторканності приватного життя у сфері телекомунікацій та інші документи.

Акти Європейського Союзу характеризуються детальним опрацюванням принципів та критеріїв автоматизованої обробки даних, прав та обов'язків суб'єктів та власників персональних даних, питань їх транскордонної передачі, а також відповідальності та санкцій за завдання шкоди. Відповідно до Директиви № 95/46/EC у Європейському Союзі створено Робочу групу із захисту індивідуумів щодо обробки їх персональних даних. Вона має статус консультативного органу та діє як незалежна структура. Робоча група складається з представника органу, створеного кожною державою-учасницею з метою нагляду за дотриманням на своїй території положень Директиви, представника органу або органів, заснованих для інститутів та структур Співтовариства, та представника Єврокомісії.

В рамках Організації з економічного співробітництва та розвитку (ОЕСР) діють «Основні положення щодо захисту недоторканності приватного життя та міжнародних обмінів персональними даними», яка була прийнята 23 вересня 1980 року. У преамбулі цієї Директиви йдеться: «…Країни - члени ОЕСР вважали за необхідне розробити Основні положення, які могли б допомогти уніфікувати національні закони про недоторканність приватного життя та, забезпечуючи дотримання відповідних прав людини, натомість не допустили б блокування міжнародних обмінів даними…». Ці положення застосовуються як у державному, так і в приватному секторі до персональних даних, які або у зв'язку з процедурою їх обробки, або у зв'язку з їх характером або контекстом їх використання несуть загрозу порушення недоторканності приватного життя та індивідуальних свобод. У ній визначено необхідність забезпечення персональних даних належними механізмами захисту від ризиків, пов'язаних з їхньою втратою, знищенням, зміною чи розголошенням, несанкціонованим доступом. Росія, на жаль, у цій організації не бере участі.

Міжпарламентською асамблеєю країн – учасниць СНД 16 жовтня 1999р. прийнято Модельний Закон «Про персональні дані».

За законом «Персональні дані» - інформація (зафіксована на матеріальному носії) про конкретну людину, яка ототожнена або може бути ототожнена з нею. До персональних даних відносяться біографічні та розпізнавальні дані, особисті характеристики, відомості про сімейний, соціальний стан, освіту, професію, службове та фінансове становище, стан здоров'я та інші. У законі також перераховані принципи правового регулювання персональних даних, форми державного регулювання операцій із персональними даними, правничий та обов'язки суб'єктів і власників персональних даних.

Звісно ж, що розглянутий другий спосіб нормативного регулювання захисту персональних даних міжнародних правових актів є найцікавішим для аналізу. Норми цього класу не тільки безпосередньо регулюють суспільні відносини в цій галузі, але й сприяють приведенню законодавства країн-членів до міжнародних стандартів, забезпечуючи тим самим дієвість цих норм на їх території. Таким чином, забезпечується і гарантованість закріплених у Загальній декларації прав людини інформаційних прав у сенсі декларованого у статті 12 останньої «права на захист закону від втручання або посягань».

Третій спосіб закріплення норм захисту персональних даних - закріплення їх правової охорони у міжнародних договорах.

Статті про обмін інформацією включаються до міжнародних договорів про правову допомогу, про уникнення подвійного оподаткування, про співробітництво у певній громадській, культурній сфері.

За ст. 25 Договору між Російською Федерацією та США про уникнення подвійного оподаткування та запобігання ухилення від оподаткування щодо податків на доходи та капітал, держави зобов'язані надавати інформацію, що становить професійну таємницю. Договір між Російською Федерацією та Республікою Індією про взаємну правову допомогу у кримінальних справах містить статтю 15 «Конфіденційність»: запитувана сторона може вимагати збереження конфіденційності переданої інформації. Практика укладання міжнародних договорів показує прагнення Договірних Держав дотримуватись міжнародних стандартів захисту персональних даних.

Звісно ж, найефективнішим механізмом регулювання цього інституту на міжнародно-правовому рівні є видання спеціальних регулятивних документів у межах міжнародних організацій. Цей механізм не тільки сприяє відповідному внутрішньому регулюванню порушених на початку статті актуальних проблем захисту персональної інформації всередині цих організацій, а й благотворно впливає на національне законодавство країн-учасниць.

План лекції

1. Передумови створення міжнародних стандартів інформаційної безпеки(ІБ)

1.1. Призначення та цілі міжнародної стандартизації

1.2. Міжнародна організація зі стандартизації, ISO

1.3. Основні міжнародні стандарти інформаційної безпеки

2. Критерії оцінки довірених комп'ютерних систем (« Помаранчева книга»)

2.1.Основні відомості

2.2 Основні вимоги та засоби

3. Основні поняття

4. Механізми реалізації безпеки

5. Розділи та класи безпеки.

5.1. Розділи безпеки

5.2. Класи безпеки

6. Коротка класифікація

Міжнародні критерії оцінки безпеки інформаційних технологій зарубіжних країн

План лекції

1. Гармонізовані критерії європейських країн

2. Німецький стандарт BSI

3. Британський стандарт BS 7799

4. Міжнародний стандарт IS Про/I ЄС 15408"Критерії оцінки безпеки інформаційних технологій". «Загальні критерії»

Передумови створення міжнародних стандартів ІБ

1.1. Загальні питання

За кордоном розробка стандартів проводиться безперервно, послідовно публікуються проекти та версії стандартів на різних стадіях узгодження та затвердження. Деякі стандарти поетапно поглиблюються і деталізуються у вигляді сукупності взаємопов'язаних за концепціями та структурою груп стандартів.

Прийнято вважати, що невід'ємною частиною загального процесу стандартизації інформаційних технологій (ІТ) є розробка стандартів, пов'язаних із проблемою безпеки ІТ, яка набула більшої актуальності у зв'язку з тенденціями все більшої взаємної інтеграції прикладних завдань, побудови їх на базі розподіленої обробки даних, систем телекомунікацій, технологій обміну електронними даними

Розробка стандартів для відкритих систем , у тому числі й стандартів у галузі безпеки ІТ, здійснюється рядом спеціалізованих міжнародних організацій та консорціумів таких, як, наприклад, ISO, IЕС, ITU-T, IEEE, IАВ, WOS, ЕСМА, X/Open, OSF, OMG.

Значна робота зі стандартизації питань безпеки ІТ проводиться спеціалізованими організаціями та на національному рівні. Все це дозволило до теперішнього часу сформувати досить велику методичну базу, у вигляді міжнародних, національних та галузевих стандартів, а також нормативних та керівних матеріалів, що регламентують діяльність у сфері безпеки ІТ.

1.2. Стан міжнародної нормативно-методичної бази

З метою систематизації аналізу поточного стану міжнародної нормативно-методичної бази у сфері безпеки ІТ необхідно використати деяку класифікацію напрямків стандартизації .

Загалом, можна виділити такі напрямки :

1. Загальні принципиуправління інформаційною безпекою.

2. Моделі безпеки ІТ.

3. Методи та механізми безпеки ІТ (такі, як, наприклад: методи аутентифікації, управління ключами тощо).

4. Криптографічні алгоритми.

5. Методи оцінки безпеки інформаційних систем.

6. Безпека EDI-технологій.

7. Безпека міжмережевих взаємодій (міжмережевих екранів).

8. Сертифікація та атестація об'єктів стандартизації.

Призначення та цілі міжнародної стандартизації

Стандартом називається документ, у якому встановлюються характеристики продукції, експлуатації, зберігання, перевезення, реалізації та утилізації, виконання робіт чи надання послуг. Стандарттакож може містити вимоги до термінології, символіки, упаковки, маркування або етикеток та правил їх нанесення.

Міжнародний стандарт - Стандарт, прийнятий міжнародною організацією. На практиці під міжнародними стандартами часто мають на увазі також регіональні стандарти та стандарти, розроблені науково-технічними товариствами та прийняті як норми різними країнами світу.

Міжнародна стандартизація - стандартизація, участь у якій відкрито для відповідних органів усіх країн.

Основне призначення міжнародних стандартів - це створення міжнародному рівні єдиної методичної основи розробки нових і вдосконалення діючих систем якості та його сертифікації.

Науково-технічна співпраця в галузі стандартизації спрямована на гармонізацію національної системи стандартизації з міжнародною, регіональними та прогресивними національними системами стандартизації.

У розвитку міжнародної стандартизації зацікавлені як індустріально розвинені країни, і країни, що розвиваються, створюють власну національну економіку.

Міжнародні стандарти не мають обов'язкових статусу для всіх країн-учасниць. Будь-яка країна світу має право застосовувати або не застосовувати їх. Вирішення питання щодо застосування міжнародного стандарту ІСОпов'язано переважно зі ступенем участі країни у міжнародному поділі праці та станом її зовнішньої торгівлі. ІСОє головною міжнародною організацією у галузі стандартизації.

1.4. Міжнародна організація зі стандартизації, ISО

Міжнародна організація зі стандартизації , IS Про (International Про rganization for Standartization , ISO) - міжнародна організація, що займається випуском стандартів

Міжнародна організація IS Пропочала функціонувати 23 лютого 1947 р. як добровільна, неурядова організація. Вона була заснована на основі досягнутого на нараді в Лондоні 1946 р.угоди між представниками 25-тиіндустріально розвинених країн про створення організації, що має повноваження координувати на міжнародному рівні розробку різних промислових стандартів та здійснювати процедуру прийняття їх як міжнародні стандарти.

При створенні організації та виборі її назви враховувалася необхідність того, щоб абревіатура найменування звучала однаково всіма мовами. Для цього було вирішено використати грецьке слово isos- рівний, ось чому всіма мовами світу Міжнародна організація зі стандартизації має коротку назву IS Про (ІСО).

Сфера діяльності ISOстосується стандартизації у всіх галузях, крім електротехніки та електроніки, що належать до компетенції Міжнародної електротехнічної комісії ( ПЕК). Деякі види робіт виконуються спільними зусиллями цих організацій. Крім стандартизації ISOопікується і проблемами сертифікації.

Ціль ISO - сприяння розвитку стандартизації у світовому масштабі для полегшення міжнародного товарообміну та взаємодопомоги, а також для розширення співробітництва у галузі інтелектуальної, наукової, технічної та економічної діяльності.

Георгій Гарбузов,
CISSP, MCSE:Security, дирекція інформаційної безпеки Страхової Групи "УРАЛСИБ"

ІСТОРІЯ стандартизації як процесу встановлення єдиних вимог, придатних для багаторазового застосування, налічує кілька тисячоліть - ще при будівництві пірамід у Давньому Єгипті використовувалися блоки стандартного розміру, а спеціальні люди контролювали ступінь відповідності цьому давньому стандарту. Сьогодні стандартизація займає міцне місце у всіх галузях людської діяльності.

Стандартизація в галузі інформаційної безпеки

Стандартизація в галузі інформаційної безпеки (ІБ) вигідна і професіоналам, і споживачам продуктів та послуг ІБ, оскільки дозволяє встановити оптимальний рівень упорядкування та уніфікації, забезпечити взаємозамінність продуктів ІБ, а також вимірюваність та повторюваність результатів, отриманих у різних країнах та організаціях. Для професіоналів - це економія часу на пошук ефективних рішень, що зарекомендували себе, а для споживача - гарантія отримання результату очікуваної якості.

Об'єктом стандартизації може бути будь-який продукт або послуга ІБ: метод оцінки, функціональні можливостізасобів захисту та параметри налаштування, властивості сумісності, процес розробки та виробництва, системи менеджменту тощо.

Стандартизація, залежно від складу учасників, буває міжнародною, регіональною або національною, при цьому міжнародна стандартизація (нарівні з офіційними органами стандартизації, такими як ISO) включає стандартизацію консорціумів (наприклад, IEEE або SAE), а національна стандартизація буває державної або галузевої .

Зупинимося докладніше на деяких затребуваних сьогодні зарубіжних стандартах, які так чи інакше порушують питання інформаційної безпеки.

Міжнародні стандарти в галузі ІБ – закордонний досвід

Стандартизація в області ІБ за кордоном розвивається вже не один десяток років, і деякі країни, наприклад Великобританія, мають величезний досвід у розробці стандартів - багато британських національних стандартів, таких як BS7799-1/2, набули згодом статусу міжнародних. З них і почнемо.

Міжнародні стандарти ISO 27002 та ISO 27001

Мабуть, на сьогодні це найзатребуваніші стандарти в галузі ІБ.

ISO 27002 (передусім ISO 17799) містить зведення рекомендацій щодо ефективної організації систем управління ІБ на підприємстві, торкаючись всіх ключових областей, зокрема:

  • формування політики ІБ;
  • безпека, пов'язана з персоналом;
  • безпека комунікацій;
  • фізична безпека;
  • керування доступом;
  • обробка інцидентів;
  • забезпечення відповідності вимогам законодавства.

Стандарт ISO 27001 є збіркою критеріїв під час проведення сертифікації системи менеджменту, за результатами якої акредитованим органом із сертифікації видається міжнародний сертифікат відповідності, що включається до Реєстру.

Згідно з реєстром, у Росії в даний час зареєстровано близько півтора десятка компаній, які мають такий сертифікат, при загальній кількості сертифікацій у світі більше 5000. Підготовка до сертифікації може здійснюватися або силами самої організації, або консалтинговими компаніями, причому практика показує, що набагато простіше отримати сертифікат ISO 27001 компаніям, які вже мають сертифіковану систему управління (наприклад, якістю).

Стандарти ISO 27001/27002 є представниками нової серії стандартів, остаточне формування якої ще не закінчено: у розробці знаходяться стандарти 27000 (основні принципи та термінологія), 27003 (посібник із впровадження системи управління ІБ), 27004 (вимірювання ефективності) - Загалом у серії 27000 передбачається понад 30 стандартів. Докладніше про склад серії та поточний стан її розробки можна дізнатися на офіційному сайті ISO (www.iso.org).

Міжнародні стандарти ISO13335 та ISO15408

Стандарт ISO 13335 є сімейством стандартів безпеки інформаційних технологій, що охоплюють питання управління ІТ-безпекою, пропонуючи конкретні захисні заходи та способи. В даний час відбувається поступове заміщення серії 13335 новішою серією 27000. Стандарт ISO 15408 містить єдині критерії оцінки безпеки ІТ-систем на програмно-апаратному рівні (подібно до знаменитої Помаранчевої книги, яка також відома як критерії оцінки TCSEC, або європейські критерії ITSEC), які дозволяють порівнювати результати, отримані різних країнах.

У цілому нині дані стандарти, хоча містять лише технологічну частину, можуть використовуватися як незалежно, і при побудові систем управління ІБ у межах, наприклад, підготовки до сертифікації на відповідність ISO 27001.

CobiT

CobiT являє собою набір з близько 40 міжнародних стандартів та посібників у галузі управління ІТ, аудиту та безпеки та містить описи відповідних процесів та метрик. Основна мета CobiT полягає у знаходженні спільної мови між бізнесом, що має конкретні цілі, та ІТ, що сприяють їх досягненню, дозволяючи створювати адекватні плани розвитку інформаційних технологій організації.

CobiT застосовується для аудиту та контролю системи управління ІТ організації та містить докладні описицілей, принципів та об'єктів управління, можливих ІТ-процесів та процесів управління безпекою. Повнота, зрозумілі описи конкретних дій та інструментів, а також націленість на бізнес роблять CobiT гарним вибором під час створення інформаційної інфраструктури та системи управління нею.

У наступній частині статті ми розглянемо деякі цікаві національні та галузеві стандарти, такі як NIST SP 800, BS, BSI, PCI DSS, ISF, ITU та інші.

Коментар експерта

Олексій Плєшков,
начальник відділу захисту інформаційних технологій, Газпромбанк (Відкрите акціонерне товариство)

Додатково до наведеного вище огляду міжнародних стандартів хотілося б звернути увагу на ще один документ з інформаційної безпеки, що регламентує, не поширений на території РФ. Одним із таких стандартів є документ із лінійки методів EBIOS.

Проект EBIOS з розробки методів та інструментальних засобів управління ІБ в інформаційних системах підтримується урядом Франції та просувається комісією DCSSI за прем'єр-міністра Франції на рівень загальноєвропейського. Призначення цього проекту – сприяти підвищенню безпеки інформаційних систем державних чи приватних організацій (http://www.securiteinfo.com/conseils/ebios.shtml).

Текст комплекту документації на продукт автоматизації оціночних завдань забезпечення ІБ "Методологічні інструментальні засоби досягнення безпеки інформаційних систем EBIOS (визначення потреб та ідентифікація цілей безпеки)" було опубліковано на офіційному сайті уряду Франції, присвяченому питанням забезпечення інформаційної безпеки автоматизованих систем у 2004 році.

Метод EBIOS, запропонований Генеральним секретаріатом міністерства національної оборони Франції та названий "Визначення потреб та ідентифікація цілей безпеки" (EBIOS), був розроблений з урахуванням міжнародних стандартів, спрямованих на забезпечення ІБ. Він формалізує підхід до здійснення оцінки та обробки ризиків у сфері безпеки інформаційних систем і застосовується для оцінки рівня ІБ у системах, що розробляються та існують.
Мета методу - дозволити будь-якій організації, яка перебуває під управлінням держави, визначити перелік дій із забезпечення безпеки, які необхідно в першу чергу. Метод може бути реалізований адміністраторами підрозділу безпеки організації та може застосовуватись на всіх рівнях структури розроблюваної або існуючої інформаційної системи (підсистеми, прикладні програми).

Підхід EBIOS враховує три основні властивості ІБ: конфіденційність, цілісність та доступність як інформації, так і систем, а також середовища, в якому вони знаходяться. У певних випадках пропонується подбати про забезпечення потреб невідмовності, авторизації та автентифікації.

Міжнародні стандарти

  • BS 7799-1:2005 Британський стандарт BS 7799 перша частина. BS 7799 Part 1 - Code of Practice for Information Security Management (Практичні правила управління інформаційною безпекою) описує 127 механізмів контролю, необхідні побудови системи управління інформаційною безпекою(СУІБ) організації, визначених на основі кращих прикладів світового досвіду (best practices) у цій галузі. Цей документ є практичним посібником зі створення СУІБ
  • BS 7799-2:2005 Британський стандарт BS 7799 друга частина стандарту. BS 7799 Part 2 - Information Security management - specification for information security management systems (Специфікація системи управління інформаційною безпекою) визначає специфікацію СУІБ. Друга частина стандарту використовується як критерії при проведенні офіційної процедури сертифікації СУІБ організації.
  • BS 7799-3:2006 - Британський стандарт BS 7799 третина стандарту. Новий стандарт у галузі управління ризиками інформаційної безпеки
  • ISO/IEC 17799:2005 - « Інформаційні технології– Технології безпеки – Практичні правила менеджменту інформаційної безпеки». Міжнародний стандарт, який базується на BS 7799-1:2005.
  • ISO/IEC 27000 - Словник та визначення.
  • ISO/IEC 27001 – «Інформаційні технології – Методи забезпечення безпеки – Системи управління інформаційною безпекою – Вимоги». Міжнародний стандарт, що базується на BS 7799-2:2005.
  • ISO/IEC 27002 - Зараз: ISO/IEC 17799:2005. «Інформаційні технології – Технології безпеки – Практичні правила менеджменту інформаційної безпеки». Дата виходу – 2007 рік.
  • ISO/IEC 27005 - Зараз: BS 7799-3:2006 - Посібник з менеджменту ризиків ІБ.
  • German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Посібник з базового рівня захисту інформаційних технологій).

Державні (національні) стандарти РФ

  • ГОСТ Р 50922-2006 Захист інформації. Основні терміни та визначення.
  • Р 50.1.053-2005 – Інформаційні технології. Основні терміни та визначення в галузі технічного захисту інформації.
  • ГОСТ Р 51188-98 Захист інформації. Випробування програмних засобівна наявність комп'ютерних вірусів. Типове керівництво.
  • ГОСТ Р 51275-2006 Захист інформації. Об'єкт інформатизації. Чинники, що впливають на інформацію. Загальні положення.
  • ГОСТ Р ИСО/МЭК 15408-1-2012 - Інформаційна технологія. Методи та засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 1. Введення та загальна модель.
  • ГОСТ Р ИСО/МЭК 15408-2-2013 - Інформаційна технологія. Методи та засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 2. Функціональні вимоги до безпеки.
  • ГОСТ Р ИСО/МЭК 15408-3-2013 - Інформаційна технологія. Методи та засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 3. Вимоги довіри до безпеки.
  • ГОСТ Р ІСО/МЕК 15408 - «Загальні критерії оцінки безпеки інформаційних технологій» - стандарт, що визначає інструменти та методику оцінки безпеки інформаційних продуктів та систем; він містить перелік вимог, за якими можна порівнювати результати незалежних оцінок безпеки – завдяки чому споживач приймає рішення щодо безпеки продуктів. Сфера програми «Загальних критеріїв» - захист інформації від несанкціонованого доступу, модифікації чи витоку та інші способи захисту, що реалізуються апаратними та програмними засобами.
  • ГОСТ Р ИСО/МЭК 17799 - «Інформаційні технології. Практичні правила управління інформаційною безпекою». Пряме застосування міжнародного стандарту з доповненням ISO/IEC 17799:2005.
  • ГОСТ Р ИСО/МЭК 27001 - «Інформаційні технології. Методи безпеки. Система керування безпекою інформації. Вимоги». Пряме застосування міжнародного стандарту – ISO/IEC 27001:2005.
  • ДЕРЖСТАНДАРТ Р 51898-2002 - Аспекти безпеки. Правила включення до стандартів.

Забезпечити безпеку інформаційних систем у Нині неможливо без грамотного та якісного створення систем захисту інформації. Це визначило роботи світової спільноти щодо систематизації та впорядкування основних вимог та характеристик таких систем у частині безпеки інформації.

Одним із головних результатів такої діяльності стала системаміжнародних та національних стандартівбезпеки інформації,яка налічує понад сотню різних документів.

Це особливо актуально для так званих відкритих систем комерційного застосування, що обробляють інформацію обмеженого доступу, що не містить державної таємниці, і стрімко розвиваються в нашій країні.

Під відкритими системами розуміють сукупності різноманітного обчислювального та телекомунікаційного обладнання різного виробництва, спільне функціонування якого забезпечується відповідністю вимогам стандартів, насамперед міжнародних.

Термін " відкриті передбачає також, що якщо обчислювальна система відповідає стандартам, то вона буде відкрита для взаємозв'язку з будь-якою іншою системою, яка відповідає тим же стандартам. Це, зокрема, відноситься і до механізмів криптографічного захисту інформації або до захисту від несанкціонованого доступу ( НСД)до інформації.

Фахівцям у галузі інформаційної безпеки ( ІБ) сьогодні майже неможливо обійтися без знань відповідних стандартів.

По перше, стандарти та специфікації – одна з форм накопичення знань, насамперед про процедурний та програмно-технічний рівні ІБ. У них зафіксовано апробовані, високоякісні рішення та методології, розроблені найбільш кваліфікованими фахівцями.

По-друге , і ті, й інші є основним засобом забезпечення взаємної сумісності апаратно-програмних систем та їх компонентів, причому internet:-спільнотіцей засіб дійсно працює, і дуже ефективно.

Останнім часом у різних країнах з'явилося нове покоління стандартів у галузі захисту інформації, присвячених практичним питанням управління інформаційної безпеки компанії. Це насамперед міжнародні та національні стандарти управління інформаційною безпекою ISO 15408, ISПро 17799 (ВS7799), ВSI; стандарти аудиту інформаційних систем та інформацій-

ної безпеки СОВIТ,SАC, СОSПрота деякі інші, аналогічні їм.

Особливого значення мають міжнародні стандарти ISO 15408, ISO 17799 є основою для проведення будь-яких робіт в області інформаційної безпеки, у тому числі й аудиту.

ISO 15408 - Визначає детальні вимоги до програмно-технічних засобів захисту інформації.

ISO 17799 - зосереджений на питаннях організації та управління безпекою.

Використання міжнародних та національних стандартів забезпечення інформаційної безпеки сприяє вирішенню наступних п'яти завдань:

- по перше визначення цілей забезпечення інформаційної безпеки комп'ютерних систем;

- по-друге створення ефективної системи управління інформаційною безпекою;

- по-третє , розрахунок сукупності деталізованих як якісних, а й кількісних показників з метою оцінки відповідності інформаційної безпеки заявленим цілям;

- по-четверте , застосування інструментарію забезпечення інформаційної безпеки та оцінки її поточного стану;

- у п'ятих , використання методик управління безпекою з обґрунтованою системою метрик та заходів забезпечення розробників інформаційних систем, що дозволяють об'єктивно оцінити захищеність інформаційних активів та керувати інформаційною безпекою компанії.

Основна увага приділяється міжнародному стандарту ISO/ 15408 та його російському аналогу ГОСТ Р ИСО/МЭК15408 -2002 «Критерії оцінки безпеки інформаційних технологій»а також специфікаціям «Internet-спільнот».

Проведення аудитуінформаційної безпеки ґрунтується на використанні численних рекомендацій, які викладені переважно у міжнародних стандартах ІБ.

Починаючи з початку 80-х років, були створені десятки міжнародних та національних стандартів у галузі інформаційної безпеки, які певною мірою доповнюють один одного.

У лекції розглядаються найважливіші стандарти, знання яких необхідне розробникам та оцінювачам захисних засобів, системним адміністраторам, керівникам служб захисту інформації, користувачам із хронології їх створення, у тому числі:

    Критерій оцінки надійності комп'ютерних систем Помаранчева книга»(США);

    Гармонізовані критерії європейських країн;

    Німецький стандарт BSI;

    Британський стандарт BS 7799 ;

    Стандарт « Загальні критерії»ISO 15408;

    Стандарт ISO 17799;

    Стандарт COBIT

Ці стандарти можна розділити на два різні види:

    Оціночні стандарти , спрямовані на класифікацію інформаційних систем та засобів захисту за вимогами безпеки;

    Технічні специфікації , Що регламентують різні аспекти реалізації засобів захисту

Важливо, що між цими видами нормативних документівнемає глухої стіни, навпаки, існує логічний взаємозв'язок.

Оціночні стандарти виділяють найважливіші, з погляду ІБ, аспекти ІВ, граючи роль архітектурних специфікацій.

Технічні специфікації визначають, як будувати ІВ запропонованої архітектури. Далі розглянуто особливості цих стандартів.

2. Критерії оцінки довірених комп'ютерних систем

Помаранчева книга»)

mob_info