- •Кафедра судовой автоматики и измерений
- •Часть 1
- •Санкт-Петербург
- •Введение
- •1 Угрозы, атаки и уязвимости
- •1.1 Угрозы и атаки
- •1.2 Уязвимости
- •2 Каналы утечки информации
- •3 Политика безопасности
- •3.1 Основные понятия политики безопасности
- •3.2 Структура политики безопасности организации
- •3.2.1 Базовая политика безопасности
- •3.2.2 Специализированные политики безопасности
- •3.2.3 Процедуры безопасности
- •3.3 Разработка политики безопасности организации
- •3.3.1 Основные этапы обеспечения безопасности
- •3.3.2 Компоненты архитектуры безопасности
- •3.3.3 Роли и ответственности в безопасности сети
- •3.3.4 Аудит и оповещение
- •4. Компьютерные сети
- •4.1 Модели osi
- •4.2 Сетевые протоколы
- •4.2.1 Протокольный стек tcp/ip
- •4.2.2 Адресация в ip
- •4.3 Проводные сети
- •4.3.1 Базовые топологии
- •4.3.1.1 Топология «шина»
- •4.3.1.2 Топология «звезда»
- •4.3.1.3 Топология «кольцо»
- •4.3.1.4 Комбинированные топологии
- •4.4 Кабельная подсистема
- •4.4.1 Коаксиальный кабель
- •4.4.2 Витая пара
- •4.4.3 Оптоволоконный кабель
- •4.4.4 Защита информации в кабельных сетях
- •4.4.4.1 Механическая защита кабельной сети
- •4.4.4.2 Экранирование кабельных каналов
- •4.5 Беспроводные сети
- •4.5.1 Стандарты беспроводных сетей
- •4.5.2 Сравнение стандартов беспроводной передачи данных
- •4.5.3 Архитектура беспроводных сетей
- •4.5.4 Технологии беспроводных сетей
- •4.5.5 Защита информации в беспроводных сетях
- •5 Отказоустойчивые системы хранения данных: raid - массивы
- •6 Антивирусная защита информации
- •6.1 Классификация компьютерных вирусов
- •6.2 Жизненный цикл вирусов
- •6.3 Основные каналы распространения вирусов и других вредоносных программ
- •6.4 Методы построения антивирусной защиты
- •7 Роль стандартов информационной безопасности
- •7.1 Международные стандарты информационной безопасности
- •7.1.1 Стандарты iso/iec 17799:2002 (bs 7799:2000)
- •7.1.2 Германский стандарт bsi
- •7.1.3 Международный стандарт iso 15408 «Общие критерии безопасности информационных технологий»
- •7.1.4 Стандарты информационной безопасности в Интернете
- •7.2 Отечественные стандарты безопасности информационных технологий
- •Список использованных источников
7.1 Международные стандарты информационной безопасности
В соответствии с международными и национальными стандартами обеспечение информационной безопасности в любой компании предполагает следующее:
определение целей обеспечения информационной безопасности компьютерных систем;
создание эффективной системы управления информационной безопасностью;
расчет совокупности детализированных качественных и количественных показателей для оценки соответствия информационной безопасности поставленным целям;
применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
использование методик управления безопасностью, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
Рассмотрим наиболее известные международные стандарты в области защиты информации, которые могут быть использованы в отечественных условиях [36].
7.1.1 Стандарты iso/iec 17799:2002 (bs 7799:2000)
В настоящее время международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Информационные технологии - Управление информационной безопасностью» (Information technology - Information security management) является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» (Information security management - Part 1: Code of practice for information security management) и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем.
Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
необходимость обеспечения информационной безопасности;
основные понятия и определения информационной безопасности;
политика информационной безопасности компании;
организация информационной безопасности на предприятии;
классификация и управление корпоративными информационными ресурсами;
кадровый менеджмент и информационная безопасность;
физическая безопасность;
администрирование безопасности корпоративных информационных систем;
управление доступом;
требования по безопасности к корпоративным информационным системам
в ходе их разработки, эксплуатации и сопровождения;
управление бизнес-процессами компании с точки зрения информационной безопасности;
внутренний аудит информационной безопасности компании.
Вторая часть стандарта BS 7799-2:2000 «Спецификации систем управления информационной безопасностью» (Information security management - Part 2: Specification for information security management systems) определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.
Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов (British Standards Institution - BSI), изданные в период 1995-2003 годов в виде следующей серии:
«Введение в проблему управления информационной безопасности» (Information security managment: an introduction);
«Возможности сертификации на требования стандарта BS 7799» (Preparing for BS 7799 sertification);
«Руководство BS 7799 по оценке и управлению рисками» (Guide to BS 7799 risk assessment and risk management);
«Руководство BS 7799 для проведения аудита на требования стандарта» (Guide to BS 7799 auditing);
«Практические рекомендации по управлению безопасностью информационных технологий» (Code of practice for IT management).
В 2002 году международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях, в том числе вопросам обучения и изначальной интеграции процедур и механизмов оценки и управления информационной безопасности в информационные технологии корпоративных систем. По мнению специалистов, обновление международного стандарта ISO 17799 (BS 7799) позволит не только повысить культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.