- •Брянск Издательство бгту
- •Темплан 2007 г., п. 7
- •Оглавление
- •Предисловие
- •Введение
- •Глава 1 история развития систем защиты информации в зарубежных странах
- •Развитие средств и методов защиты информации
- •3 Период (с 60-х г. XX века до наших дней)
- •1.2. Этапы развития системы защиты информации в настоящее время
- •1.3. Структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности
- •Контрольные вопросы:
- •Глава 2 Информационное противоборство в системе международных отношений современного общества
- •2.1. Современная картина политических отношений в мире
- •2.2. Основы информационно-психологического воздействия
- •2.3. Типы современного информационного оружия
- •Контрольные вопросы:
- •Глава 3 системы защиты информации в сша
- •3.1. Современная концепция информационной войны в сша
- •3.2. Правовое регулирование информационной безопасности в сша
- •3.3. Государственные органы обеспечения национальной безопасности сша
- •3.4. Особенности подготовки кадров в области информационной безопасности в сша
- •Контрольные вопросы:
- •Глава 4 Системы защиты информации в странах евросоюза
- •4.1. Состояние проблемы информационной безопасности в странах Евросоюза
- •4.1.1. Системы защиты информации в Соединённом Королевстве Великобритании и Северной Ирландии
- •Парламентский Комитет по разведке и безопасности Великобритании (Intelligence and Security Committee /isc/)
- •4.1.2. Системы защиты информации в Федеративной Республике Германия
- •4.1.3. Системы защиты информации во Французской Республике
- •4.1.4. Системы защиты информации в Швеции
- •Контрольные вопросы:
- •Глава 5 СистемЫ защиты информации в китайской народной республике
- •5.1. Представление об информационном противоборстве в Китае
- •5.2. Законодательство в сфере информационной безопасности в Китае
- •Планирование и разработка компьютерных и информационных систем.
- •Управление компьютерными и информационными системами.
- •Обеспечение безопасности компьютерных и информационных систем.
- •Уголовная и иная ответственность за правонарушения в данной области.
- •5.3. Организационная структура спецслужб Китая
- •«Великая стена» информационной безопасности Китая
- •Контрольные вопросы:
- •Глава 6 Международное сотрудничество в области обеспечения информационной безопасности
- •6.1. Развитие международного сотрудничества в области обеспечения информационной безопасности
- •6.2. Международные организации в области информационной безопасности
- •6.3. Правовое регулирование сети Интернет
- •Контрольные вопросы:
- •Глава 7 Стандарты информационной безопасности
- •7.1. Предпосылки создания международных стандартов иб
- •7.2. Стандарт «Критерии оценки надежности компьютерных систем» («Оранжевая книга»)
- •7.3. Гармонизированные критерии европейских стран
- •7.4. Германский стандарт bsi
- •7.5. Британский стандарт bs 7799
- •7.6. Международный стандарт iso 17799
- •7.7. Международный стандарт iso 15408 – «Общие критерии»
- •7.8. Стандарт cobit
- •Контрольные вопросы:
- •Глава 8 системЫ защиты информации в ведущих мировых компаниях
- •8.1. Практика компании ibm в области защиты информации
- •8.2. Практика компании Cisco Systems в разработке сетевой политики безопасности
- •8.3. Практика компании Microsoft в области информационной безопасности
- •Контрольные вопросы:
- •Заключение
- •Список использованной и рекомендуемой литературы
- •Приложение 1
- •Практическое занятие №1 Изучение зарубежных технических средств защиты информации
- •1. Порядок выполнения работы
- •2. Форма и содержание отчета
- •Практическое занятие № 2 Изучение зарубежной практики применения алгоритмов криптографической защиты данных
- •1. Порядок выполнения работы
- •2. Форма и содержание отчета
- •Контрразведывательные службы:
- •Разведывательные службы:
- •Практическое занятие № 4 Изучение информационно-психологической войны и типов информационного оружия
- •1. Порядок выполнения работы
- •2. Форма и содержание отчета
- •Практическое занятие №5 Изучение системы международных стандартов информационной безопасности
- •1. Порядок выполнения работы
- •2. Форма и содержание отчета
- •Приложение 2 Окинавская Хартия глобального информационного общества
- •Использование возможностей цифровых технологий
- •Преодоление электронно-цифрового разрыва
- •Содействие всеобщему участию
- •Дальнейшее развитие
- •Формирование политического, нормативного и сетевого обеспечения:
- •Приложение 3 Кодекс этики isc
- •Приложение 4
- •Глава I. Возможности
- •Глава II. Авторское право
- •Глава III. Своеобразные правовые вопросы
- •Глава IV. Общие условия
Контрольные вопросы:
С какой целью разрабатывались международные стандарты ИБ?
Назовите основные международные стандарты ИБ.
Какие критерии определяют степень доверия в стандарте «Оранжевая книга»?
Определите назначения и виды классов безопасности в «Оранжевой книге».
Как определяются составляющие ИБ в гармозированных критериях Европейских стран.
Назовите составляющие германского стандарта BSI.
Почему Британский стандарт BS 7799 используется наиболее часто?
В чем отличие применения международных стандартов ISO 15408 и ISO 17799?
Назовите основные этапы проведения аудита ИБ при использовании стандарта CoBiT.
Глава 8 системЫ защиты информации в ведущих мировых компаниях
8.1. Практика компании IBM в области защиты информации
8.2. Практика компании Cisco Systems в разработке сетевой политики безопасности
8.3. Практика компании Microsoft в области информационной безопасности
8.1. Практика компании ibm в области защиты информации
В компании IBM считается что, разработка корпоративных руководящих документов в области безопасности должна начинаться с создания политики информационной безопасности компании. При этом рекомендуется использовать международный стандарт ISO 17799:2005 и рассматривать политику безопасности компании как составную часть процесса управления информационными рисками (рис. 8.1). Считается, что разработка политики безопасности относится к стратегическим задачам ТОР-менеджмента компании, который способен адекватно оценить стоимость информационных активов компании и принять обоснованные решения по защите информации с учетом целей и задач бизнеса [12].
Рис. 8.1. Процесс разработки политики безопасности компании
Компания IBM выделяет следующие основные этапы разработки политики безопасности:
Определение информационных рисков компании, способных нанести максимальный ущерб для разработки в дальнейшем процедур и мер по предупреждению их возникновения,
Разработка политики безопасности, которая описывает меры защиты информационных актинов, адекватных целям и задачам бизнеса.
Выработка планов действий в чрезвычайных ситуациях и в случаях, когда выбранные меры защиты не смогли предотвратить инциденты в области безопасности.
Оценка остаточных информационных рисков и принятие решения о дополнительных инвестициях в средства и меры безопасности. Решение принимает руководство на основе анализа остаточных рисков.
Структура документов безопасности
По мнению специалистов IBM, политика безопасности компании должна содержать явный ответ на вопрос: «Что требуется защитить?». Только после этого можно приступать к созданию эффективной политики информационной безопасности. При этом политика безопасности является первым стратегическим документом, который необходимо создать, и содержит минимум технических деталей, являясь настолько статичным (неизменяемым) актом, насколько это возможно. Предполагается, что политика безопасности компании будет содержать:
определение информационной безопасности с описанием позиции и намерений руководства компании по ее обеспечению;
описание требований по безопасности, которые включают:
соответствие требованиям законодательства и контрактных обязательств;
обучение вопросам информационной безопасности;
предупреждение и обнаружение вирусных атак;
планирование непрерывности бизнеса;
определение ролей и обязанностей по различным аспектам общей программы информационной безопасности;
описание требований и процесса отчетности по инцидентам, связанным с информационной безопасностью;
описание процесса поддержки политики безопасности,
Специалисты по информационной безопасности компании IBM выделяют следующие основные этапы разработки политики безопасности компании:
анализ бизнес-стратегии компании и связанные с этим требования по информационной безопасности;
анализ ИТ-стратегии, текущие проблемы информационной безопасности и требования по информационной безопасности, которые появятся в будущем;
создание политики безопасности, взаимно увязанной с бизнес - и ИТ-стратегиями.
Рекомендуемая структура руководящих документов по обеспечению информационной безопасности компании представлена на рис. 8.2.
Рис. 8.2. Структура руководящих документов безопасности
После корпоративной политики создаётся серия стандартов, под которыми в компании IBM понимают документы, описывающие порядок применения корпоративной политики безопасности в терминах аутентификации, авторизации, идентификации, контроля доступа и т. д. Стандарты могут быть часто изменяющимися документами, так как на них оказывают влияние текущие угрозы и уязвимости информационных технологий.
В представлении IВМ, политики и стандарты безопасности служат для:
создания правил и норм безопасности уровня компании;
анализа информационных рисков и способов их уменьшения;
формализации способов защиты, которые должны быть реализованы;
определения ожиданий со стороны компании и сотрудников;
четкого определения процедур безопасности, которым нужно следовать;
обеспечения юридической поддержки в случае возникновения проблем в области безопасности.
Стандарты реализуются с помощью практик и/или процедур. Первые являются практической реализацией стандартов в операционных системах, приложениях и информационных системах. В них детализируются сервисы, устанавливаемые на операционных системах, порядок создания учетных записей и т. д. Вторые документируют процессы запроса и подтверждения доступа к определенным сервисам, например VPN.
Рассмотрим особенности предлагаемого подхода к построению системы безопасности в компании IВМ на конкретном примере.
Проблемная ситуация: сотрудники загружают программное обеспечение из Интернета, что приводит к заражению вирусами, а в конечном счете к уменьшению производительности их работы.
В политику безопасности добавляется строка «информационные ресурсы компании могут быть использованы только для выполнения служебных обязанностей». Политика безопасности доступна для ознакомления всем сотрудникам компании.
Создается стандарт безопасности, в котором описывается, какие сервисы и программное обеспечение разрешены для использования сотрудниками.
Практика безопасности описывает способы настройки операционной системы в соответствии с требованиями стандарта безопасности.
Процедура безопасности описывает процесс запроса и получения разрешения на использование дополнительных сервисов или установку дополнительного программного обеспечения сотрудниками.
Устанавливаются дополнительные сервисы для контроля выполнения требований политики безопасности.