Читайте также:
|
У 1990 році Міжнародною Організацією зі Стандартизації (ISO) і Міжнародною електротехнічною комісіею (ТЕС) була розпочата робота по створенню міжнародних критеріїв оцінки безпеки комп’ютерних систем. Результатом з’явився стандарт «Загальні критерії безпеки інформаційних технологій», який на даний момент визнається одним з найбільш функціональних стандартів, що стали основою для розвитку стандартизації у сфері інформаційної безпеки.
Common Criteria for Information Technology Security Evaluation або просто Common Criteria.
Надалі "Загальні критерії " неодноразово редагувалися. В результаті 8 червня 1999 був затверджений Міжнародний стандарт ISO / IEC 15408 під назвою "Загальні критерії оцінки безпеки інформаційних технологій" (ОК).
Загальні критерії узагальнили зміст і досвід використання Помаранчевої книги, розвинули європейські та канадські критерії, і втілили в реальні структури концепцію типових профілів захисту федеральних критеріїв США. У ОК проведена класифікація широкого набору вимог безпеки ІТ, визначені структури їх групування і принципи використання. Головні переваги ОК - повнота вимог безпеки та їх систематизація, гнучкість в застосуванні і відкритість для подальшого розвитку.
Разом з тим в ОК головну увагу приділено захисту від несанкціонованого доступу (НСД). Модифікації або втрати доступу до інформації в результаті випадкових або навмисних дій і ряд інших аспектів інформаційної безпеки залишився не розглянутим. Наприклад, оцінка адміністративних заходів безпеки, оцінка безпеки від побічних електромагнітних випромінювань, методики оцінки різних засобів і заходів безпеки, критерії для оцінки криптографічних методів захисту інформації.
ISO 15408 розроблений таким чином, щоб задовольнити потреби трьох груп фахівців: розробників, експертів з сертифікації та користувачів продуктів інформаційних технологій[1]. Цей стандарт корисний в якості керівництва при розробці функцій безпеки, а також в придбанні комерційних продуктів з подібними властивостями. Основний напрямок оцінки – це загрози, що з’являються при злочинних діях користувача інформаційних технологій, але стандарт також можуть використовувати і при оцінці загроз, викликаних іншими факторами.
Стандарт ISO 15408 складається з трьох частин: частина 1 – «Введення і загальна модель», частина 2 –«Функціональні вимоги безпеки», частина 3 – «Гарантійні вимоги безпеки». Стандарт передбачає наявність двох типів вимог безпеки – функціональних і гарантованості. Функціональні вимоги ставляться до сервісів безпеки, таким як ідентифікація, аутентифікація, управління доступом, аудит і т.д. Вимоги гарантованості відносяться до технології розробки, тестування, аналізу вразливостей, постачання, супроводу, експлуатаційної документації.
Основні структури безпеки згідно до стандарту – це «Профіль захисту» та «Проект захисту». За визначенням стандарту ISO 15408 «Профіль Захисту» – незалежні від реалізації, вимоги безпеки для деякої категорії об’єктів оцінки, які відповідають певним потребам споживачів. Профіль складається з компонентів або пакетів функціональних вимог і одного з рівнів гарантованості.
«Профіль захисту» служить основою для створення «Проекту захисту», який є технічним проектом для розробки об’єкта оцінки. На відміну від «Профілю», «Проект» захисту описує рівень функціональних можливостей засобів і механізмів захисту, реалізованих в об’єкті оцінки, і призводить обґрунтування ступеня їх адекватності. У процесі дослідження будуються моделі загроз [1].
У стандарті визначаються поняття «потенціал нападу» та його склад. Також стандарт визначає функцію безпеки інформації, його критерії із детальною структурою, схему обчислення «потенціалу нападу».
Впровадження стандарту за кордоном відбувалося розробкою нової архітектури, яка має забезпечити інформаційну безпеку обчислювальних систем. Іншими словами, створювались технічні і програмні засоби, що відповідалистандарту. Наприклад, міжнародна організація «Open Group», випустила нову архітектуру безпеки інформації для комерційних автоматизованих систем з урахуванням зазначених критеріїв.
5. Стандарти ISO / IEC 17799:2002 (BS 7799:2000)
В даний час Міжнародний стандарт ISO / IEC 17799:2000 (BS 7799-1:2000) "Управління інформаційною безпекою - Інформаційні технології. - Information technology - Information security management" є найбільш відомим стандартом у галузі захисту інформації.
Даний стандарт був розроблений на основі першої частини Британського стандарту BS 7799-1:1995 "Практичні рекомендації з управління інформаційною безпекою - Information security management - Part 1: Code of practice for information security management" і відноситься до нового покоління стандартів інформаційної безпеки комп'ютерних інформаційних систем.
Поточна версія стандарту ISO / IEC 17799:2000 (BS 7799-1:2000) розглядає наступні актуальні питання забезпечення інформаційної безпеки організацій та підприємств:
· Необхідність забезпечення інформаційної безпеки
· Основні поняття та визначення інформаційної безпеки
· Політика інформаційної безпеки компанії
· Організація інформаційної безпеки на підприємстві
· Класифікація і керування корпоративними Інформаційні ресурсами
· Кадровий менеджмент та інформаційна безпека
· Фізична безпека
· Адміністрування безпеки корпоративних інформаційних систем управління доступом
· Вимоги з безпеки до корпоративних інформаційних систем в ході їх розробки, експлуатації та супроводу
· Управління бізнес-процесами компанії з точки зору інформаційної безпеки
· Внутрішній аудит інформаційної безпеки компанії
Стандарт регламентує загальні принципи, які пропонується конкретизувати стосовно досліджуваних інформаційних технологій. Також увагу приділено сертифікації інформаційної системи на відповідність.
Стандарт містить систематичний, універсальний перелік регуляторів безпеки, корисний для організації практично будь – якого розміру, структури і сфери діяльності. Призначений для використання в якості довідкового документа керівниками і рядовими співробітниками, відповідальними за планування, реалізацію та підтримку внутрішньої системи інформаційної безпеки.
Згідно стандарту, мета інформаційної безпеки – забезпечити безперебійну роботу організації, по можливості запобігти і мінімізувати збиток від порушень безпеки [2,3].
Пропоновані в першій частині стандарту регулятори безпеки розбиті на десять груп:
· політика безпеки;
· загально-організаційні аспекти захисту;
· класифікація активів і управління ними;
· безпеку персоналу;
· фізичної безпеки і безпеку навколишнього середовища;
· адміністрування систем і мереж;
· управління доступом до систем і мереж;
· розробка та супроводження інформаційних систем;
· управління безперебійною роботою організації;
· контроль відповідності вимогам.
Наступні фактори виділені в якості визначальних для успішної реалізації системи інформаційної безпеки в організації:
· цілі безпеки та її забезпечення повинні ґрунтуватися на виробничих завданнях і вимогах. Функції управління безпекою повинна взяти на себе керівництво організації;
· необхідна явна підтримка і прихильність до дотримання режиму безпеки з боку вищого керівництва;
· потрібно гарне розуміння ризиків (як загроз, так і вразливостей), яким піддаються активи організації, і адекватне уявлення про цінність цих активів;
· необхідно ознайомлення з системою безпеки всіх керівників і рядових співробітників організації [2,3].
Друга частина стандарту BS 7799-2:2000 "Специфікації систем управління інформаційною безпекою - Information security management - Part 2: Specification for information security management systems", визначає можливі функціональні специфікації корпоративних систем управління інформаційною безпекою з точки зору їх перевірки на відповідність вимогам першої частини даного стандарту. відповідно до положень цього стандарту також регламентується процедура аудиту інформаційних корпоративних систем.
В основу процесу управління покладена чотирьохфазна модель, та що використовується у сучасному ISO 27001, що включає: планування, реалізацію, оцінку, коригування.
Дата добавления: 2015-01-12; просмотров: 169 | Поможем написать вашу работу | Нарушение авторских прав |