- •В.И. Аверченков, м.Ю. Рытов, г.В. Кондрашин, м.В. Рудановский Системы защиты информации в ведущих зарубежных странах
- •Издательство бгту Брянск 2007
- •Оглавление
- •Предисловие
- •Глава 1 Становление проблемы защиты информации
- •История развития проблемы защиты информации
- •1 Период
- •2 Период
- •3 Период с 60-х г. 20 века
- •1.2. Современное состояние проблемы защиты информации
- •1.3. Структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности
- •Глава 2 Информационное противоборство в современной системе международных отношений
- •2.1. Современная картина политических отношений в мире
- •2.2. Основы информационно-психологического воздействия
- •2.3. Типы современного информационного оружия
- •Глава 3 системы защиты информации в сша
- •3.1. Современная концепция информационной войны в сша
- •3.2. Правовое регулирование информационной безопасности в сша
- •3.3. Государственные органы обеспечения национальной безопасности сша
- •3.4. Особенности подготовки кадров в области информационной безопасности в сша
- •Контрольные вопросы:
- •Глава 4 Системы защиты информации в странах евросоюза
- •4.1. Состояние проблемы информационной безопасности в странах Евросоюза
- •4.2. Системы защиты информации в Великобритании
- •Парламентский Комитет по разведке и безопасности Великобритании (Intelligence and Security Committee /isc/)
- •4.3. Системы защиты информации в Германии
- •4.4. Системы защиты информации во Франции
- •4.5. Системы защиты информации в Швеции
- •Контрольные вопросы:
- •Глава 5 СистемЫ защиты информации в кнр
- •5.1. Представление об информационном противоборстве в кнр
- •5.2. Законодательство в сфере информационной безопасности в кнр
- •Планирование и разработка компьютерных и информационных систем.
- •Управление компьютерными и информационными системами.
- •Обеспечение безопасности компьютерных и информационных систем.
- •Уголовная и иная ответственность за правонарушения в данной области.
- •5.3. Организационная структура спецслужб кнр
- •«Великая стена» информационной безопасности кнр
- •Контрольные вопросы:
- •Глава 6 Международное сотрудничество в области обеспечения информационной безопасности
- •6.1. Развитие международного сотрудничества в области информационной безопасности
- •6.2. Международные организации в области информационной безопасности
- •6.3. Правовое регулирование сети Интернет
- •Контрольные вопросы:
- •Глава 7 Стандарты информационной безопасности
- •7.1. Предпосылки создания международных стандартов иб
- •7.2. Стандарт «Критерии оценки надежности компьютерных систем» (Оранжевая книга)
- •7.3. Гармонизированные критерии европейских стран
- •7.4. Германский стандарт bsi
- •7.5. Британский стандарт bs 7799
- •7.6. Международный стандарт iso 17799
- •7.7. Международный стандарт iso 15408 – «Общие критерии»
- •7.8. Стандарт cobit
- •Контрольные вопросы:
- •Глава 8 практика построения систем защиты информации в ведущих мировых компаниях
- •8.1. Практика компании ibm в области защиты информации
- •8.2. Практика компании Cisco Systems в разработке сетевой политики безопасности
- •8.3. Практика компании Microsoft в области информационной безопасности
- •Заключение
- •Список использованной и рекомендуемой литературы
- •Приложение 1
- •Практическое занятие №1 Изучение зарубежных технических средств защиты информации
- •1. Порядок выполнения работы
- •2. Форма и содержание отчета
- •Практическое занятие № 2 Изучение зарубежной практики применения алгоритмов криптографической защиты данных
- •1. Порядок выполнения работы
- •2. Форма и содержание отчета
- •Контрразведывательные службы:
- •Разведывательные службы:
- •Практическое занятие № 4 Изучение информационно-психологической войны и типов информационного оружия
- •1. Порядок выполнения работы
- •2. Форма и содержание отчета
- •Практическое занятие №5 Изучение системы международных стандартов информационной безопасности
- •1. Порядок выполнения работы
- •2. Форма и содержание отчета
- •Приложение 2 Окинавская Хартия глобального информационного общества
- •Использование возможностей цифровых технологий
- •Преодоление электронно-цифрового разрыва
- •Содействие всеобщему участию
- •Дальнейшее развитие
- •Формирование политического, нормативного и сетевого обеспечения:
- •Приложение 3 Кодекс этики isc
- •Приложение 4
- •Глава I. Возможности
- •Глава II. Авторское право
- •Глава III. Своеобразные правовые вопросы
- •Глава IV. Общие условия
6.2. Международные организации в области информационной безопасности
Для координации усилий в области обеспечения информационной безопасности в разных государствах образованы десятки коммерческих и некоммерческих объединений и организаций. Ниже приведены примеры нескольких известных и авторитетных организаций разного рода деятельности, активно развивающих международное сотрудничество в сфере защиты информации.
Ассоциация аудита и контроля информационных систем – ISACA
«Ассоциация аудита и контроля информационных систем» (Information Systems Audit and Control Association, ISACA), к 2006 году объединяющая более 47 000 членов в 110 странах мира, является одним из признанных мировых лидеров в области управления, контроля и аудита информационных технологий. Учрежденная в 1969 году, ISACA выступает организатором международных конференций, присваивает международные квалификации «Сертифицированный аудитор информационных систем» (Certified Information Systems Auditor - CISA) и «Сертифицированный менеджер информационной безопасности» (Certified Information Security Manager - CISM). Обладателями этих квалификаций уже являются более чем 35 000 профессионалов во всем мире. [www.isaca.ru]
Сегодня ISACA объединяет широкую международную сеть филиалов в более чем 60 странах мира. Входящий в состав ISACA фонд (ISACF) проводит фундаментальные исследования в области разработки стандартов аудита и контроля информационных систем. ISACF активно проводит исследования, результаты которых является полезными для профессионалов в области аудита, контроля и безопасности информационных систем. Фонд также популяризирует важность контроля за информационными системами предприятий и организаций среди работников информационных технологий и пользователей информационных систем.
В настоящее время ISACF работает над следующими проектами:
Электронный бизнес: Контроль, аудит, безопасность.
Частные виртуальные сети.
Целостность информации.
Беспроводные сети.
ERP (SAP).
OS/390: безопасность и контроль.
Oracle Database: безопасность и контроль.
Управление взаимоотношениями с клиентами.
Практика контроля ИТ.
Средства Фонда складываются из средств, выделяемых компаниями, правительствами, членами и подразделениями ISACA, так как все они имеют общие интересы в данной области.
Учрежденный ассоциацией и фондом в 1998 году «Институт управления информационных технологий» является «базой знаний» по методикам управления развитием функции информационных технологий в организациях. Институт организует выступления на проводимых ISACA и схожих по тематике конференциях, готовит печатные и электронные публикации для популяризации роли и взаимодействий между информационными технологиями и руководством организаций. Одним из результатов работы Фонда является методика Control objectives for Information and related Technology – CobIT, которая рассмотрена ниже.
Центр интернет-безопасности – CIS
Центр Интернет-безопасности (Center for Internet Security - CIS) - некоммерческое предприятие, задача которого состоит в том, чтобы помочь организациям во всем мире уменьшить риски потерь в электронной коммерции, следующих из неадекватных технических и организационных средств управления безопасностью. CIS предлагает методы эффективного управления организационными рисками, связанными с информационной безопасностью, и предоставляет средства улучшения, измерения и контроля уровня безопасности организации, а также позволяет сравнить его с практикой обеспечения безопасности информационных систем деловых партнеров.
Члены CIS развивают и пропагандируют широкое распространение и использование средств и методик обеспечения безопасности в государственном и частном секторах экономики. Практические рекомендации CIS совместимы с известными стандартами безопасности и детализируют то, как обеспечивать безопасность информационных систем, активно использующих возможности Интернет и включающих большое количество рабочих мест, серверов, сетевых устройств, программных продуктов. Разработанный CIS инструментарий позволяет анализировать степень соответствия информационной системы этим рекомендациям. CIS не привязан ни к какому коммерческому продукту и не оказывает платных услуг. Это способствует ясной формулировке угроз безопасности, непредвзятости рекомендаций и методологий оценки рисков.
Рекомендации и утилиты для работы с ними доступны для бесплатной загрузки на официальном веб-ресурсе организации http: // www.cisecurity.org.
Деятельность CIS может представлять интерес для:
Пользователей сетевых и информационных технологий – частных лиц, компаний, университетов, правительственных служб, некоммерческих организаций, эффективность работы которых зависит от безопасных и надежных информационных систем.
Аудиторов и консультантов по информационной безопасности, которые нуждаются в конкретных технических рекомендациях и инструментах оценки надежности сетей, а также в обмене опытом в этой области.
Администраторов безопасности сетей, администраторов межсетевых экранов, специалистов по безопасности информационных систем, заинтересованных в гарантированной конфиденциальности, доступности и целостности доверенных им информационных активов.
Операторов электронной коммерции, стремящихся к снижению потерь от киберпреступности и отказов в обслуживании.
Страховых компаний, связанных с оценкой рисков и затрат связанных с нарушениями безопасности информационных систем.
Инвесторов и потребителей, нуждающихся в информации о компаниях, организациях и сетях, в которых приняты соответствующие меры по обеспечению их безопасности и надежности.
Интернет-союз информационной безопасности – ISAlliance
Интернет-союз информационной безопасности (Internet security alliance, ISAlliance) - коммерческая ассоциация, предлагающая своим членам набор услуг по защите их информационных активов и корпоративной марки, правовой защите интересов в области информационной безопасности. Эти услуги варьируют от технических рекомендаций по безопасности вычислительных систем и сетей до комплексного управления информационными рисками корпорации. Основная цель ISAlliance – обеспечить максимальную отдачу от инвестиций своих членов в информационную безопасность. Членами ISAlliance являются компании многих стран мира, представляющие такие секторы экономики, как промышленность, финансы, развлечения, телекоммуникации, сфера услуг, образование, и других. [http://www.isalliance.org]
Основной сервис, предоставляемый ISAlliance – консультации по работе с CERT (международный центр обработки компьютерных инцидентов), подразумевающее своевременное реагирование на возникающие угрозы и зарегистрированные CERT новые уязвимости. В результате члены ISAlliance имеют возможность принимать меры безопасности на основе предложенных им рекомендаций, например, в случае вирусных эпидемий в Интернет.