- •Лекція 4 стандарти інформаційної безпеки
- •4.1. Роль стандартів інформаційної безпеки
- •4.2. Міжнародні стандарти інформаційної безпеки
- •4.2.1. Стандарти iso/iec 17799:2002(bs 7799:2000)
- •4.2.2. Германський стандарт bsi
- •4.2.3. Міжнародний стандарт iso 15408 «Загальних критеріїв безпеки інформаційних технологій»
- •4.2.4. Стандарти для безпровідних мереж
- •4.2.5. Стандарти інформаційної безпеки в Інтернеті
- •4.3. Вітчизняні стандарти безпеки інформаційних технологій
4.3. Вітчизняні стандарти безпеки інформаційних технологій
Історично склалося так, що проблеми безпеки ІТ вивчалися і своєчасно вирішувалися в основному у сфері охорони державної таємниці. Аналогічні завдання комерційного сектора економіки довгий час не знаходили відповідних рішень.
Інформація, що міститься в системах або продуктах ІТ, є критичним ресурсом, що дозволяє організаціям успішно вирішувати свої завдання. Крім того, приватні особи мають право чекати, що їх персональна інформація, будучи розміщеною в продуктах або системах ІТ, залишиться приватною, доступною їм в міру необхідності і не зможе бути піддана несанкціонованій модифікації.
Проблема захисту інформації в комерційній АС має свої особливості, які необхідно враховувати, оскільки вони роблять серйозний вплив на інформаційну безпеку(ІБ). Перерахуємо основні з них.
Пріоритет економічних чинників. Для комерційної АС важливо понизити або виключити фінансові втрати і забезпечити отримання прибутку власником і користувачами цього інструментарію в умовах реальних ризиків. Важливою умовою при цьому, зокрема, являється мінімізація типово банківських ризиків(наприклад втрат за рахунок помилкових напрямів платежів, фальсифікації платіжних документів і т. п.).
Відкритість проектування, що передбачає створення підсистеми захисту інформації із засобів, широко доступних на ринку і працюючих у відкритих системах.
Юридична значущість комерційної інформації, яку можна визначити як властивість безпечної інформації, що дозволяє забезпечити юридичну силу електронним документам або інформаційним процесам відповідно до законодавства.
Серед різних стандартів по безпеці ІТ, існуючих нині, слід виділити нормативні документи за критеріями оцінки захищеності засобів обчислювальної техніки і АС і документи, що регулюють інформаційну безпеку(таблиця. 4.1, рядки 1 — 10). До них можна додати нормативні документи по криптографічному захисту систем обробки інформації і інформаційних технологій(таблиця. 4.1, рядки 11 -13).
Таблиця 4.1. Стандарти, що регулюють інформаційну безпеку
№з/п Стандарт Найменування
1 ГОСТ Р ИСО/МЭК 154081-2002 Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 1. Введення і загальна модель
2 ГОСТ Р ИСО/МЭК 1540822002 Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 2. Функціональні вимоги безпеки
3 ГОСТ Р ИСО/МЭК 1540832002 Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 3. Вимоги довіри до безпеки
4 ГОСТ Р 5073995 Засобів обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Загальні технічні вимоги
5 ГОСТ Р 5092296 Захист інформації. Основні терміни і визначення
6 ГОСТ Р 5118898 Захист інформації. Випробування програмних засобів на наявність комп'ютерних вірусів. Типове керівництво
7 ГОСТ Р 5127599 Захист інформації. Об'єкт інформатизації. Чинники, що впливають на інформацію. Загальні стани
8 ГОСТ Р ИСО 7498199 Інформаційна технологія. Взаємозв'язок відкритих систем. Базова еталонна модель. Частина 1. Базова модель
9 ГОСТ Р ИСО 7498299 Інформаційна технологія. Взаємозв'язок відкритих систем. Базова еталонна модель. Частина 2. Архітектура захисту інформації
10 ГОСТ Р 5073995 Засобів обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Загальні технічні вимоги
11 ГОСТ 2814789 Систем обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення
12 ГОСТ Р 34.102001 Інформаційна технологія. Криптографічний захист інформації. Процеси формування і перевірки електронного цифрового підпису
13 ГОСТ Р 34.1194 Інформаційна технологія. Криптографічний захист інформації. Функція хешування
Стандарти в структурі І б виступають як сполучну ланку між технічною і концептуальною стороною питання.
Введення в 1999 р. Міжнародного стандарту ISO 15408 в області забезпечення ІБ мало велике значення як для розробників комп'ютерних ІС, так і для їх користувачів. Стандарт ISO 15408-2002 став свого роду гарантією якості і надійності сертифікованих по ньому програмних продуктів. Цей стандарт дозволив споживачам краще орієнтуватися при виборі ПО і придбавати продукти, що відповідають їх вимогам безпеки, і, як наслідок цього, підвищив конкурентоспроможність IT компаній, що сертифікують свою продукцію відповідно до ISO 15408.
Головні достоїнства 15408:
• повнота вимог до ІБ;
• гнучкість в застосуванні;
• відкритість для подальшого розвитку з урахуванням новітніх досягнень науки і техніки.
Востаннє редаговано: П’ятниця, 9 грудня 2011, 15:05. Версія: 1. Опубліковано: Четвер, 8 грудня 2011, 13:00.