- •Кафедра судовой автоматики и измерений
- •Часть 2
- •Санкт-Петербург
- •Введение
- •1 Роль стандартов информационной безопасности
- •1.2 Международные стандарты информационной безопасности
- •1.2.1 Стандарты iso/iec 17799:2002 (bs 7799:2000)
- •1.2.2 Германский стандарт bsi
- •1.2.3 Международный стандарт iso 15408 «Общие критерии безопасности информационных технологий»
- •1.2.4 Стандарты для беспроводных сетей
- •1.2.5 Стандарты информационной безопасности в Интернете
- •1.3 Отечественные стандарты безопасности информационных технологий
- •2 Криптографическая защита информации
- •2.1 Симметричные криптосистемы шифрования
- •2.1.1 Стандарт шифрования гост 28147-89
- •2.1.2 Особенности применения алгоритмов симметричного шифрования
- •2.2 Асимметричные криптосистемы шифрования
- •2.3 Криптозащита информации в беспроводных сетях
- •3 Технология аутентификации
- •3.1 Методы аутентификации, использующие пароли и pin-коды
- •3.1.1 Аутентификация на основе многоразовых паролей
- •3.1.2 Аутентификация на основе одноразовых паролей
- •3.1.3 Аутентификация на основе pin–кода
- •3.2 Биометрическая аутентификация пользователя
1.2 Международные стандарты информационной безопасности
В соответствии с международными и национальными стандартами обеспечение информационной безопасности в любой компании предполагает следующее:
-
определение целей обеспечения информационной безопасности компьютерных систем;
-
создание эффективной системы управления информационной безопасностью;
-
расчет совокупности детализированных качественных и количественных показателей для оценки соответствия информационной безопасности поставленным целям;
-
применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
-
использование методик управления безопасностью, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
Рассмотрим наиболее известные международные стандарты в области защиты информации, которые могут быть использованы в отечественных условиях [50].
1.2.1 Стандарты iso/iec 17799:2002 (bs 7799:2000)
В настоящее время международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Информационные технологии - Управление информационной безопасностью» (Information technology - Information security management) является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» (Information security management - Part 1: Code of practice for information security management) и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем.
Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
-
необходимость обеспечения информационной безопасности;
-
основные понятия и определения информационной безопасности;
-
политика информационной безопасности компании;
-
организация информационной безопасности на предприятии;
-
классификация и управление корпоративными информационными ресурсами;
-
кадровый менеджмент и информационная безопасность;
-
физическая безопасность;
-
администрирование безопасности корпоративных информационных систем;
-
управление доступом;
-
требования по безопасности к корпоративным информационным системам
-
в ходе их разработки, эксплуатации и сопровождения;
-
управление бизнес-процессами компании с точки зрения информационной безопасности;
-
внутренний аудит информационной безопасности компании.
Вторая часть стандарта BS 7799-2:2000 «Спецификации систем управления информационной безопасностью» (Information security management - Part 2: Specification for information security management systems) определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.
Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов (British Standards Institution - BSI), изданные в период 1995-2003 годов в виде следующей серии:
-
«Введение в проблему управления информационной безопасности» (Information security managment: an introduction);
-
«Возможности сертификации на требования стандарта BS 7799» (Preparing for BS 7799 sertification);
-
«Руководство BS 7799 по оценке и управлению рисками» (Guide to BS 7799 risk assessment and risk management);
-
«Руководство BS 7799 для проведения аудита на требования стандарта» (Guide to BS 7799 auditing);
-
«Практические рекомендации по управлению безопасностью информационных технологий» (Code of practice for IT management).
В 2002 году международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях, в том числе вопросам обучения и изначальной интеграции процедур и механизмов оценки и управления информационной безопасности в информационные технологии корпоративных систем. По мнению специалистов, обновление международного стандарта ISO 17799 (BS 7799) позволит не только повысить культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.