- •Оглавление
- •Введение в дисциплину
- •Стандартизация Основные понятия. Виды стандартов
- •Документы по стандартизации
- •Цели и принципы стандартизации
- •Функции и задачи стандартизации
- •Методы стандартизации
- •Органы и службы стандартизации
- •Международные и региональные организации по стандартизации
- •Техническое регулирование
- •Модели технического регулирования
- •Технические регламенты: понятие, цели, виды
- •Порядок разработки технических регламентов
- •Государственный контроль и надзор за соблюдением требований технических регламентов
- •Стандартизация в области информационных технологий. Нормативное обеспечение информационно – интегрированных систем Роль стандартизации в развитии информационного общества
- •Маркетинговые исследования
- •Проектирование
- •Подготовка производства
- •Производство
- •Эксплуатация, обслуживание, утилизация
- •Cтандарты cals-технологий
- •Нормативная база электронного документооборота
- •Структура и содержание документации на сложные программные средства информационных систем. Стандарты step Содержание step.
- •Структура step.
- •Программная поддержка step.
- •Стандартизация организационных основ информационной безопасности
- •Нормативно-правовое обеспечение информационной безопасности
- •Стандартизация в области управления информационной безопасности
- •Разработчики международных стандартов
- •«Информационная технология. Практические правила управления информационной безопасностью»
- •Термины и определения
- •Алгоритм внедрения системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта iso/iec 27001
- •Сертификация по исо 27001
- •Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий
- •Стандарты серии исо 9000
- •Методология разработки и внедрения системы менеджмента качества по стандартам исо 9000
- •Основы сертификации Основные понятия в области сертификации, цели и объекты сертификации
- •Виды сертификатов и системы сертификации.
- •Основные операции сертификации
- •Схемы сертификации
- •Порядок проведения сертификации продукции и системы качества.
- •Организация работ по сертификации систем качества
- •Предварительная оценка системы качества
- •2. Проверка и оценка системы качества в организации
- •Правила применения сертификата и знака соответствия системы качества
- •Инспекционный контроль за сертифицированной системой качества
- •Правовое обеспечение сертификации.
Сертификация по исо 27001
Сертификация по ISO 27001 — процедура прохождения подтверждения соответствия системы управления информационной безопасностью, существующей в организации, требованиям стандарта ISO 27001.
В результате сертификации выдается сертификат соответствия - официальный документ, подтверждающий функционирование в компании системы менеджмента информационной безопасности, высокий уровень защиты конфиденциальной информации, одного из важнейших активов компании, управление рисками, связанными с утечкой такой информации.
Сертификат ИСО 27001 необходим для следующих целей:
Доступ к государственной тайне;
Работа с государственными организациями;
Работа с серьезными структурами и холдингами, а также вхождение в их состав;
Участие в тендерах и конкурсах;
Предоставление заказчикам и партнерам;
Формирование имиджа компании;
Повышение инвестиционной привлекательности;
Выход на международный рынок.
Сертификат выдается на срок 3 года совместно с лицензией на применения знака соотвествия.
Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий
Наряду с популярным в мире стандартом ИСО 27000 широко применяются и другие нормативные документы в области защиты информации в информационных системах. К ним, например, относятся стандарты серии ИСО/МЭК 15408 «Методы и средства обеспечения безопасности».
На сегодня ГОСТ Р ИСО/МЭК 15408 - самый полный стандарт, определяющий инструменты оценки безопасности информационных систем и порядок их использования.
В настоящее время данный документ представлен в качестве трех частей национального стандарта РФ.
Стандарт |
Наименование |
ГОСТ Р ИСО/МЭК 15408-1-2002 |
Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России |
ГОСТ Р ИСО/МЭК 15408-2-2002 |
Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России |
ГОСТ Р ИСО/МЭК 15408-3-2002 |
Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России |
Заложенные в стандарте наборы требований позволяют сравнивать результаты независимых оценок безопасности. На основании этих результатов потребитель может принимать решение о том, достаточно ли безопасны ИТ-продукты или системы для их применения с заданным уровнем риска.
“Общие критерии”, описанные в стандарте, направлены на защиту информации от несанкционированного раскрытия, модификации, полной или частичной потери и применимы к защитным мерам, реализуемым аппаратными, программно-аппаратными и программными средствами.
В первой части (ГОСТ Р ИСО/МЭК 15408-1-2002. “Введение и общая модель”) устанавливается общий подход к формированию требований оценки безопасности, на их основе разрабатываются профили защиты и задания по безопасности, представленные в классах данного стандарта – APE “Оценка профиля защиты” и ASE “Оценка задания по безопасности”, а также AMA “Поддержка доверия”.
Часть вторая (ГОСТ Р ИСО/МЭК 15408-2-2002. “Функциональные требования безопасности”) представляет собой обширную библиотеку функциональных требований к безопасности, описывающую 11 классов, 66 семейств, 135 компонентов и содержащую сведения о том, какие цели безопасности могут быть достигнуты и каким образом.
Третья часть (ГОСТ Р ИСО/МЭК 15408-3-2002. “Требования доверия к безопасности”) включает в себя оценочные уровни доверия (ОУД), образующие своего рода шкалу для измерения уровня доверия к объекту оценки. Под доверием понимается “…основа для уверенности в том, что продукт или система информационных технологий отвечает целям безопасности”. Способом его достижения считается активное исследование, определяющее свойства безопасности ИТ (причем большее доверие является результатом приложения больших усилий при оценке) и сводящееся к их минимизации для обеспечения необходимого уровня доверия. Одним словом, мы должны свести усилия к минимуму, при этом не переусердствовав в достижении необходимого уровня доверия.
В совокупности три части стандарта последовательно дополняют друг друга:
1. Часть – каркас безопасности,
2. Часть – компоненты безопасности,
3. Часть – оценка безопасности.
Наряду с выше приведенным стандартом, широкое распространение имеет другой стандарт: Информационные технологии. Методы и средства обеспечения безопасности.
ГОСТ Р ИСО / МЭК 13335-1-2006
Информационные технологии. Методы и средства обеспечения безопасности Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
Настоящий стандарт введен в действие 1 июня 2007 года и представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ). Стандарт устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.
Целью стандарта является формирование общих понятий и моделей управления безопасностью ИИТ.
Стандарт описывает
1. основные категории активов:
- материальные активы (вычислительные средства, здания и т.д.);
- информация (данные) (документы, базы данных):
- программное обеспечение;
- люди;
- нематериальные ресурсы (престиж, репутация).
2. Виды угроз.
Угроза – потенциальная причина инцидента, который может нанести ущерб системе или организации.
Пример угроз:
Угрозы, обусловленные человеческим фактором |
Угрозы среды |
|
целенаправленные |
случайные |
|
Подслушивание/ перехват Модификация информации Атака хакера на систему Хищение |
Ошибка Удаление файла Несчастный случай |
Землетрясения Молнии Наводнение Пожар |
3. Характеристики угроз.
Угрозы обладают следующими характеристиками:
- источник (внутренний или внешний);
- мотивация (например: финансовая выгода, конкурентное преимущество);
- частота возникновения;
- правдоподобие;
- вредоносное воздействие.
Слабость актива или нескольких видов активов, которые могут быть использованы одной или более угрозами, трактуется как уязвимость.
Cвязанные с активами уязвимости включают в себя слабости: физического носителя; организации; процедур; персонала; управления; администрирования; программное обеспечения; информации. Уязвимость не причиняет ущерб и может существовать и в отсутствие угрозы.
Способность конкретной угрозы использовать уязвимость одного или нескольких видов активов для нанесения ущерба организации, называется риском.
Риск характеризуется комбинацией двух факторов: вероятностью возникновения инцидента и его разрушительным воздействием.
Любые изменения активов, угроз, уязвимостей, а так же применение защитных мер может оказать значительное влияние на риск, но не может его полностью устранить.
Защитные меры – это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие, обнаружить инциденты и облегчить восстановление активов.
Защитные меры могут выполнять одну или несколько функций: предотвращение; сдерживание; обнаружение; ограничение; исправление; восстановление; мониторинг; осведомление.
При выборе и реализации защитных мер необходимо учитывать ограничения присущие организации.
Ограничения могут быть: организационные; коммерческие; финансовые; по окружающей среде; по персоналу; временные; правовые; технические; культурные и социальные.
Кроме перечисленных понятий стандарт устанавливает иерархию политик, описывает ее элементы, освещает организационные аспекты безопасности и функции управления безопасностью ИТТ. Основные положения и структура стандарта представлена в приложении 2.
ГОСТ Р ИСО/МЭК 13335-3-2007
Информационные технологии. Методы и средства обеспечения безопасности Часть 3. Методы менеджмента безопасности информационных технологий.
Документ введен в действие с 1 сентября 2007 года. Его цель дать необходимые описания и рекомендации по способам эффективного управления безопасностью информационных технологий. Стандарт содержит 12 разделов, в которых приведен общий обзор способов управления безопасностью информационных технологий, описание вариантов стратегии анализа риска, освещены вопросы применения защитных мер и приведены описание работ по последующему наблюдению за системой.
Процесс управления безопасностью информационных технологий начинается с определения целей и стратегии, которые устанавливает для себя организация в целях обеспечения безопасности и разработки информационных технологий.
После определения требований, выбирается стратегия анализа риска. Стандарт подробно рассматривает основные варианты стратегии.
После оценки уровня риска для каждой системы информационных технологий определяют соответствующие меры защиты, направленные до снижения уровня риска до приемлемого уровня. Эти меры реализуются в соответствии с планом безопасности информационных технологий. Реализация плана должна сопровождаться выполнением программ знания и понимания мер безопасности и обучения использованию этих мер, что является важным результатом эффективности принятых защитных мер.
Кроме того, управление безопасностью информационных технологий включает в себя решение текущих задач, связанных с проведением различных последующих действий, которые включают в себя обслуживание и проверку соответствия безопасности, управление изменениями, мониторинг и обработку информации. Все перечисленные действия могут привести к корректировке полученных ранее результатов и принятых решений, поэтому схема содержит обратную связь между результатами процесса и его составными частями.
Основные варианты стратегии анализа риска организации.
Прежде чем приступить к любым действиям, связанным с анализом риска, организация должна иметь стратегию проведения такого анализа, причем составные части этой стратегии (методы, способы и т.д.), которые должны быть отражены в содержании политики обеспечения безопасности информационных технологий.
Стандарт описывает четыре варианта стратегии, которые представляют четыре разных подхода к анализу риска.
1. Базовый подход заключается в применении базового уровня обеспечения безопасности ко всем системам информационных технологий организации путем выбора стандартных защитных мер безопасности.
Преимущества данного варианта:
- возможность обойтись минимальным количеством ресурсов при проведении анализа и, соответственно, потратить меньше времени и усилий;
- возможность принятия экономически эффективного решения.
Недостатки:
- если принять слишком высокий уровень, то для ряда систем уровень безопасности будет завышен;
- если принять низкий уровень, то для ряда систем уровень безопасности будет недостаточный, что может привести к риску их нарушения.
Таким образом, данный подход целесообразно применять в организациях, где системы информационных технологий, характеризуются низким уровнем требований к информационной безопасности. Но если системы организации характеризуются различной степенью чувствительности, разными объемами и сложностью деловой информации, то использование общих стандартов применительно ко всем системам будет логически неверным и экономически неоправданным.
2. Неформальный подход предусматривает проведение неформального анализа риска, основанного на практическом опыте конкретного эксперта.
Достоинства:
- не требует использования значительных средств или времени. Эксперт не должен приобретать дополнительные знания по своей специальности и проводить детальный анализ риска.
Недостатки:
- увеличивается вероятность пропуска ряда важных деталей;
- возникают трудности в обосновании необходимости реализации защитных мер;
- для экспертов, не обладающих значительным опытом работы в области анализа риска, не существует готовых рекомендаций;
- результаты могут зависеть от субъективного подхода, личных предубеждений;
- проблемы в случае увольнения специалиста, который проводил неформальный подход.
С учетом приведенных выше недостатков второй вариант подхода к анализу риска для многих организаций будет неэффективным.
3. Детальный анализ риска предполагает проведение детального анализа риска, который включает в себя подробную идентификацию и оценку активов, оценку возможных угроз, а также оценку уровня уязвимости, с получением результатов для всех систем информационных технологий, действующих в организации
Преимущества подхода:
- определение для каждой из систем соответствующих ей защитных мер обеспечения безопасности.
Недостатки:
- значительные затраты средств, времени и квалифицированного труда;
- вероятность того, что определение защитных мер для какой-либо критической системы произойдет слишком поздно.
Таким образом, использование детального анализа риска применительно ко всем системам информационных технологий не рекомендуется.
4. Комбинированный подход предполагает проведение анализа высокого уровня риска для всех систем информационных технологий, обращая внимание на деловую значимость системы и уровень риска, которому она подвергается. Для более значимых систем применяют детальный анализ, для остальных базовый подход.
Преимущества:
- быстрая оценка состояние систем;
- рациональное распределение ресурсов.
Использование данного подхода обеспечивает большинству организаций наиболее эффективное решение проблем.
ГОСТ Р ИСО/МЭК 13335-4-2007 Информационные технологии. Методы и средства обеспечения безопасности Часть 4. Выбор защитных мер
Цель стандарта - обеспечить руководство по выбору защитных мер, для ситуаций, когда принято решение выбрать защитные меры для системы информационных технологий:
согласно типу и характеристикам системы;
согласно общим оценкам проблем и угроз безопасности;
в соответствии с результатами детального анализа рисков.
Основные разделы стандарта:
1. Базовые оценки:
Процесс выбора защитных мер всегда требует знания типа и характеристики рассматриваемой системы:
- тип системы (автономная; система без ресурса коллективного пользователя подсоединенная к сети; сервер с ресурсами коллективного пользования подсоединенный к сети);
- физические условия и условия окружающей среды (где располагается здание, кто арендаторы, кто имеет доступ в здание, охраняется ли здание и т.д.)
- какие защитные меры уже приняты или планируются.
Все перечисленные вопросы изложены в данном разделе.
2. Защитные меры:
Раздел содержит обзор защитных мер, которые предполагается выбрать. Они разделены на:
- организационные;
- технические;
- специальные защитные меры.
Все защитные меры сгруппированы по категориям. Для каждой категории приведено описание наиболее типичных защитных мер, включая краткое описание уровня безопасности, которую они должны обеспечить.
3. Базовый подход: выбор защитных мер согласно типу системы.
Раздел содержит алгоритм выбора защитных мер для каждой типичной системы.
4. Выбор защитных мер в соответствие с проблемами безопасности – описывает вариант для выбора эффективных и подходящих защитных мер, при более глубокой оценке системы.
Алгоритм выбора включает:
- идентификацию и оценку проблем безопасности (потеря конфиденциальности, целостности, достоверности и т.д.);
- рассмотрение требований по обеспечению конфиденциальности, целостности, доступности и т.д.,
- определение типичных угроз;
- определение защитных мер для каждой угрозы.
Для реализации алгоритма раздел содержит перечень защитных мер, согласно проблеме безопасности, с учетом угроз и выбранного типа системы.
5. Выбор защитных мер согласно детальным оценкам. В разделе рассматривается ситуация, когда организация принимает решение о необходимости проведения детального анализа рисков в связи с высоким уровнем проблем безопасности и потребностями предприятия. Раздел описывает факторы способные влиять на выбор защитных мер.
6. Разработка базовой безопасности организации. Раздел содержит руководство по выбору базового уровня безопасности. Основные положения и структура стандарта представлена в приложении 2.