- •Стандарты информационной безопасности
- •Основные международные стандарты в области информационной безопасности
- •Предпосылки создания международных стандартов иб Общие вопросы
- •Состояние международной нормативно-методической базы
- •Назначение и цели международной стандартизации
- •Международная организация по стандартизации isо
- •Международные стандарты информационной безопасности
- •Критерии оценки доверенных компьютерных систем («Оранжевая книга») Основные сведения
- •Основные требования и средства
- •Основные понятия
- •Безопасная система
- •Доверенная система
- •Политика безопасности
- •Уровень гарантированности
- •Операционная гарантированность
- •Подотчетность
- •Идентификация и учёт
- •Предоставление доверенного пути
- •Регистрация и учёт
- •Анализ регистрационной информации (Аудит)
- •Доверенная вычислительная база
- •Монитор обращений
- •Ядро безопасности
- •Периметр безопасности
- •Механизмы реализации безопасности
- •Произвольное управление доступом
- •Безопасность повторного использования объектов
- •Метки безопасности
- •Принудительное управление доступом
- •Разделы безопасности
- •Классы безопасности
- •Краткая классификация
- •Стандарты iso/iec 17799:2000 (bs 7799-1:2000)
- •Германский стандарт bsi
- •Международный стандарт iso/iec 15408 «Общие критерии оценки безопасности информационных технологий»
- •Стандарты 270хх
- •Стандарты беспроводных сетей Стандарт ieee 802.11
- •Стандарты информационной безопасности для Интернета
- •Протокол ssl
- •Протокол ipSec
- •Протокол set
- •Инфраструктура управления открытыми ключами pki
- •Отечественные стандарты безопасности информационных технологий
- •Стандарт «Критерии оценки безопасности информационных технологий» гост р исо/мэк 15408
Международная организация по стандартизации isо
Международная организация по стандартизации, ISО (International Оrganization for Standartization, ISO) - международная организация, занимающаяся выпуском стандартов.
Международная организация ISО начала функционировать 23 февраля 1947 г. как добровольная, неправительственная организация. Она была учреждена на основе достигнутого на совещании в Лондоне в 1946 г. соглашения между представителями 25-ти индустриально развитых стран о создании организации, обладающей полномочиями координировать на международном уровне разработку различных промышленных стандартов и осуществлять процедуру принятия их в качестве международных стандартов.
При создании организации и выборе ее названия учитывалась необходимость того, чтобы аббревиатура наименования звучала одинаково на всех языках. Для этого было решено использовать греческое слово isos - равный, вот почему на всех языках мира Международная организация по стандартизации имеет краткое название ISО (ИСО).
Сфера деятельности ISO касается стандартизации во всех областях, кроме электротехники и электроники, относящихся к компетенции Международной электротехнической комиссии (МЭК). Некоторые виды работ выполняются совместными усилиями этих организаций. Кроме стандартизации ISO занимается и проблемами сертификации.
Цель ISO — содействие развитию стандартизации в мировом масштабе для облегчения международного товарообмена и взаимопомощи, а также для расширения сотрудничества в области интеллектуальной, научной, технической и экономической деятельности.
Международные стандарты информационной безопасности
Обеспечить безопасность информационных систем в настоящее время невозможно без грамотного и качественного создания систем защиты информации. Это определило работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем в части безопасности информации.
Одним из главных результатов подобной деятельности стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов.
Это особенно актуально для так называемых открытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну, и стремительно развивающихся в нашей стране.
Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого, обеспечивается соответствием требованиям стандартов, прежде всего международных.
Термин "открытые" подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа (НСД) к информации.
Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартов.
Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.
Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в internet- сообществе это средство действительно работает, и весьма эффективно.
В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасности компании. Это, прежде всего, международные и национальные стандарты управления информационной безопасностью ISO 15408, ISО 17799 (ВS7799), ВSI; стандарты аудита информационных систем и информационной безопасности СОВIТ, SАC, СОSО и некоторые другие, аналогичные им.
Особое значение имеют международные стандарты ISO 15408, ISO 17799 служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита.
ISO 15408 - определяет детальные требования, предъявляемые к программно-техническим средствам защиты информации.
ISO 17799 - сосредоточен на вопросах организации и управления безопасностью.
Использование международных и национальных стандартов обеспечения информационной безопасности способствует решению следующих пяти задач:
во-первых, определение целей обеспечения информационной безопасности компьютерных систем;
во-вторых, создание эффективной системы управления информационной безопасностью;
в третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;
в четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
в пятых, использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
Основное внимание уделяется международному стандарту ISO 15408 и его российскому аналогу ГОСТ Р ИСО/МЭК15408 -2002 «Критерии оценки безопасности информационных технологий» а также спецификациям «Internet-сообществ».
Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартах ИБ.
Начиная с начала 80-х годов, были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга.
Рассмотрим наиболее важные стандарты, знание которых необходимо разработчикам и оценщикам защитных средств, системным администраторам, руководителям служб защиты информации, пользователям по хронологии их создания, в том числе:
Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);
Гармонизированные критерии европейских стран;
Рекомендации Х.800;
Германский стандарт BSI;
Британский стандарт BS 7799;
Стандарт «Общие критерии» ISO 15408;
Стандарт ISO 17799;
Стандарт COBIT
Эти стандарты можно разделить на два разных вида:
Оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;
Технические спецификации, регламентирующие различные аспекты реализации средств защиты.
Важно отметить, что между этими видами нормативных документов нет глухой стены, напротив, существует логическая взаимосвязь.
Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС,играя роль архитектурных спецификаций.
Технические спецификации определяют, как строить ИС предписанной архитектуры. Далее рассмотрены особенности этих стандартов.