- •Брянск Издательство бгту
- •Темплан 2007 г., п. 7
- •Оглавление
- •Предисловие
- •Введение
- •Глава 1 история развития систем защиты информации в зарубежных странах
- •Развитие средств и методов защиты информации
- •3 Период (с 60-х г. XX века до наших дней)
- •1.2. Этапы развития системы защиты информации в настоящее время
- •1.3. Структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности
- •Контрольные вопросы:
- •Глава 2 Информационное противоборство в системе международных отношений современного общества
- •2.1. Современная картина политических отношений в мире
- •2.2. Основы информационно-психологического воздействия
- •2.3. Типы современного информационного оружия
- •Контрольные вопросы:
- •Глава 3 системы защиты информации в сша
- •3.1. Современная концепция информационной войны в сша
- •3.2. Правовое регулирование информационной безопасности в сша
- •3.3. Государственные органы обеспечения национальной безопасности сша
- •3.4. Особенности подготовки кадров в области информационной безопасности в сша
- •Контрольные вопросы:
- •Глава 4 Системы защиты информации в странах евросоюза
- •4.1. Состояние проблемы информационной безопасности в странах Евросоюза
- •4.1.1. Системы защиты информации в Соединённом Королевстве Великобритании и Северной Ирландии
- •Парламентский Комитет по разведке и безопасности Великобритании (Intelligence and Security Committee /isc/)
- •4.1.2. Системы защиты информации в Федеративной Республике Германия
- •4.1.3. Системы защиты информации во Французской Республике
- •4.1.4. Системы защиты информации в Швеции
- •Контрольные вопросы:
- •Глава 5 СистемЫ защиты информации в китайской народной республике
- •5.1. Представление об информационном противоборстве в Китае
- •5.2. Законодательство в сфере информационной безопасности в Китае
- •Планирование и разработка компьютерных и информационных систем.
- •Управление компьютерными и информационными системами.
- •Обеспечение безопасности компьютерных и информационных систем.
- •Уголовная и иная ответственность за правонарушения в данной области.
- •5.3. Организационная структура спецслужб Китая
- •«Великая стена» информационной безопасности Китая
- •Контрольные вопросы:
- •Глава 6 Международное сотрудничество в области обеспечения информационной безопасности
- •6.1. Развитие международного сотрудничества в области обеспечения информационной безопасности
- •6.2. Международные организации в области информационной безопасности
- •6.3. Правовое регулирование сети Интернет
- •Контрольные вопросы:
- •Глава 7 Стандарты информационной безопасности
- •7.1. Предпосылки создания международных стандартов иб
- •7.2. Стандарт «Критерии оценки надежности компьютерных систем» («Оранжевая книга»)
- •7.3. Гармонизированные критерии европейских стран
- •7.4. Германский стандарт bsi
- •7.5. Британский стандарт bs 7799
- •7.6. Международный стандарт iso 17799
- •7.7. Международный стандарт iso 15408 – «Общие критерии»
- •7.8. Стандарт cobit
- •Контрольные вопросы:
- •Глава 8 системЫ защиты информации в ведущих мировых компаниях
- •8.1. Практика компании ibm в области защиты информации
- •8.2. Практика компании Cisco Systems в разработке сетевой политики безопасности
- •8.3. Практика компании Microsoft в области информационной безопасности
- •Контрольные вопросы:
- •Заключение
- •Список использованной и рекомендуемой литературы
- •Приложение 1
- •Практическое занятие №1 Изучение зарубежных технических средств защиты информации
- •1. Порядок выполнения работы
- •2. Форма и содержание отчета
- •Практическое занятие № 2 Изучение зарубежной практики применения алгоритмов криптографической защиты данных
- •1. Порядок выполнения работы
- •2. Форма и содержание отчета
- •Контрразведывательные службы:
- •Разведывательные службы:
- •Практическое занятие № 4 Изучение информационно-психологической войны и типов информационного оружия
- •1. Порядок выполнения работы
- •2. Форма и содержание отчета
- •Практическое занятие №5 Изучение системы международных стандартов информационной безопасности
- •1. Порядок выполнения работы
- •2. Форма и содержание отчета
- •Приложение 2 Окинавская Хартия глобального информационного общества
- •Использование возможностей цифровых технологий
- •Преодоление электронно-цифрового разрыва
- •Содействие всеобщему участию
- •Дальнейшее развитие
- •Формирование политического, нормативного и сетевого обеспечения:
- •Приложение 3 Кодекс этики isc
- •Приложение 4
- •Глава I. Возможности
- •Глава II. Авторское право
- •Глава III. Своеобразные правовые вопросы
- •Глава IV. Общие условия
7.6. Международный стандарт iso 17799
Одним из наиболее развитых и широко используемых во всех странах мира стал международный стандарт ISO 17799.
Code of Practice for Information Security Management (Практические рекомендации по управлению безопасностью информации). ISO 17799 был разработан на основе британского стандарта BS 7799 и принят в 2000 году.
ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.
Практические правила разбиты на следующие 10 разделов:
Политика безопасности.
Организация защиты.
Классификация ресурсов и их контроль.
Безопасность персонала.
Физическая безопасность объекта.
Администрирование компьютерных систем и вычислительных сетей.
Управление доступом.
Разработка и сопровождение информационных систем.
Планирование бесперебойной работы организации.
Контроль выполнения требований политики безопасности.
Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.
При использовании некоторых из средств контроля, например шифрования данных, могут потребоваться советы специалистов по безопасности и оценка рисков, чтобы определить, нужны ли они и каким образом их следует реализовывать. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799.
Десять ключевых средств контроля, перечисленные далее, представляют собой либо обязательные требования, например требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности, например обучение правилам безопасности. Эти средства контроля актуальны для всех организаций и сред функционирования АС и составляют основу системы управления информационной безопасностью.
Ключевыми являются следующие средства контроля:
документ о политике информационной безопасности;
распределение обязанностей по обеспечению информационной безопасности;
обучение и подготовка персонала к поддержанию режима информационной безопасности;
уведомление о случаях нарушения защиты;
средства защиты от вирусов;
планирование бесперебойной работы организации;
контроль над копированием программного обеспечения, защищенного законом об авторском праве;
защита документации организации;
защита данных;
контроль соответствия политике безопасности.
Процедура аудита безопасности ИС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности ИС также является анализ и управление рисками.