11. Международные и национальные стандарты деятельности по защите информации

Проблемой информационной компьютерной безопасности начали заниматься

с того момента, когда компьютер стал обрабатывать данные, ценность которых вы-

сока для пользователя. В последние годы в связи с развитием компьютерных сетей и

ростом спроса на электронные услуги ситуация в сфере информационной безопас-

ности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал

особенно актуальным как для разработчиков, так и для пользователей средств ИТ.

Главная задача стандартов информационной безопасности – создать основу

для взаимодействия между производителями, потребителями и экспертами по ква-

лификации продуктов информационных технологий. Каждая из этих групп имеет

свои интересы и свои взгляды на проблему информационной безопасности.

Потребители заинтересованы в методике, позволяющей обоснованно выби-

рать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необ-

ходима шкала оценки безопасности.

Потребители так же нуждаются в инструменте, с помощью которого они могли бы формулировать свои требования производителям. При этом потребителей интересует исключительно характеристики и свойства конечного продукта, а не методы и средства их достижения. К сожалению, многие потребители не понимают, что требования безопасности обязательно противоречат функциональным требованиям (удобству работы, быстродействию и т.д.), накладывая ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных и поэтому незащищенных прикладных программных средств.

Производители нуждаются в стандартах как средстве сравнения возможностей

своих продуктов и в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора. С точки зрения производителя, требования должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т.д. Кроме того, требования не должны противоречить существующим парадигмам обработки информации, архитектуре вычислительных систем и технологиям создания информационных продуктов. Этот подход также нельзя признать в качестве доминирующего, так как он не учитывает нужд пользователей и пытается подогнать требования защиты под существующие системы и технологии.

Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор. Эксперты по квалификации находятся в двойственном положении: с одной стороны они, как и производители, заинтересованы в четких и простых критериях, над которыми не надо ломать голову, как их применить к конкретному продукту, а с другой стороны, они должны дать обоснованный ответ пользователям – удовлетворяет продукт их нужды или нет. Таким

образом, перед стандартами информационной безопасности стоит непростая задача

– примирить три разные точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем ущемление потребностей хотя бы одной из них приведет к невозможности взаимопонимания и взаимодействия и, следовательно, не позволит решить общую задачу - создание защищенной системы обработки информации.

В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасностью компании. Это, прежде всего, международные стандарты управления информационной безопасностью ISO 15408, ISO 17799 и некоторые другие. Представляется целесообразным проанализировать наиболее важные из этих документов, сопоставить содержащиеся в них требования и критерии, а также оценить эффективность их практического применения.

В соответствии с международными и национальными стандартами обеспечение информационной безопасности в любой компании предполагает следующее:

- определение целей обеспечения информационной безопасности компьютерных систем;

- создание эффективной системы управления информационной безопасностью;

- расчет совокупности детализированных качественных и количественных показателей для оценки соответствия информационной безопасности поставленным целям;

- применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;

- использование методик управления безопасностью, позволяющих объектив но оценить защищенность информационных активов и управлять информационной безопасностью компании.

Список использованных источников:

1. Конституция Республики Беларусь 1994 года (с изменениями и дополнениями, принятыми на республиканских референдумах 24 ноября 1996 г. и 17 октября 2004 г.).– Минск: Амалфея, 2006.

2. Об информации, информатизации и о защите информации: Закон Респуб.Беларусь от 10.11.2008 г. № 455-З.

3. О некоторых вопросах защиты информации: постановление Совета Министров Респ. Беларусь от 26.05.2009 № 675.

4. Акопов, Г.Л. Правовая информатика: учеб. пособие / Г.Л. Акопов, С.В. Гуде, П.С. Шевчук [и др.], Ростов-н-Д, 2006.

5. Галатенко, В.А. Основы информационной безопасности: курс лекций / Интернет-университет информационных технологий 2008. [Электронный ресурс]. 2008 г.– Режим доступа : http://www.intuit.ru.

6. Герасименко В.А. Основы защиты информации / В.А.Герасименко, А.А. Малюк – М.:Инкобук, 2003 – С. 404.

7. Казанцев, С.Я. Правовое обеспечение информационной безопасности: учеб. пособие / С.Я. Казанцев, О.Э. Згадзай [и др.]; под ред. С.Я. Казанцева. – 2-е изд. – М.: Издательский центр «Академия», 2007.

8. Климов, В.А. Методологические основы обеспечения информационной безопасности объекта / В.А. Климов // Защита информации. Конфидент. –2000. – № 1. – С. 85.

9. Учебный курс «Основы информационной безопасности» [Электронный ресурс]. – Режим доступа: http://www.intuit.ru/department/office.

10. Ярочкин, В.И. Информационная безопасность: учебник для студентов вузов / В.И. Ярочкин, 3-е изд. – М.: Академический проект: Трикста, 2005.