Стандарты информационной безопасности реферат

Обновлено: 02.07.2024

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Содержание

1. Понятие информационной безопасности
2. Информационная безопасность и Интернет
3 Методы обеспечения информационной безопасности
Список использованных источников

1. Понятие информационной безопасности

Информационная безопасность организации – состояние защищенности информационной среды организации, обеспечивающее её формирование, использование и развитие.

В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека).

Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
Целостность – избежание несанкционированной модификации информации;
Доступность – избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

неотказуемость или апеллируемость – невозможность отказа от авторства;
подотчётность – обеспечение идентификации субъекта доступа и регистрации его действий;
достоверность – свойство соответствия предусмотренному поведению или результату;
аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным;

Действия, которые могут нанести ущерб информационной безопасности организации, можно разделить на несколько категорий:

1) Действия, осуществляемые авторизованными пользователями. В эту категорию попадают: целенаправленная кража или уничтожение данных на рабочей станции или сервере; повреждение данных пользователей в результате неосторожных действий.

Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п.

3) Компьютерные вирусы. Отдельная категория электронных методов воздействия − компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств.

Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.

4) Спам

Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий конкурентоспособности и даже жизнеспособности любой компании.

2. Информационная безопасность и Интернет

Однако опыт работы в области компьютерных технологий полон примеров недобросовестного использования ресурсов Интернет.

Нужна помощь в написании реферата?

Мы - биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.

Специалисты говорят, что главная причина проникновения в компьютерные сети – беспечность и неподготовленность пользователей. Это характерно не только для рядовых пользователей, но и для специалистов в области компьютерной безопасности. Вместе с тем, причина не только в халатности, но и в сравнительно небольшом опыте специалистов по безопасности в сфере информационных технологий. Связано это со стремительным развитием рынка сетевых технологий и самой сети Интернет.

По данным лаборатории Касперского, около 90% от общего числа проникновений на компьютер вредоносных программ используется посредством Интернет, через электронную почту и просмотр Web‑страниц.

Особое место среди таких программ занимает целый класс – Интернет-червь. Само распространяющиеся, не зависимо от механизма работы выполняют свои основные задачи по изменению настроек компьютера-жертвы, воруют адресную книгу или ценную информацию, вводят в заблуждение самого пользователя, создают рассылку с компьютера по адресам, взятым из записной книжки, делают компьютер чьим-то ресурсом или забирают часть ресурсов для своих целей или в худшем случае самоликвидируются, уничтожая все файлы на всех дисках.

Все эти и другие с ними связанные проблемы можно решить с помощью наличия в организации проработанного документа, отражающего политику информационной безопасности компании.

В таком документе должны быть четко прописаны следующие положения:

как ведется работа с информацией предприятия;
кто имеет доступ;
система копирования и хранения данных;
режим работы на ПК;
наличие охранных и регистрационных документов на оборудование и программное обеспечение;
выполнение требований к помещению, где располагается ПК и рабочее место пользователя;
наличие инструкций и технической документации;
наличие рабочих журналов и порядок их ведения.

Кроме того, необходимо постоянно отслеживать развитие технических и информационных систем, публикуемых в периодической печати или следить за событиями, обсуждаемыми на подобных семинарах.

При необходимости подключения указанных информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством РФ порядке сертификацию в Федеральной службе безопасности РФ и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю.

3. Методы обеспечения информационной безопасности

На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности:

средства идентификации и аутентификации пользователей (так называемый комплекс 3А);
средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
межсетевые экраны;
виртуальные частные сети;
средства контентной фильтрации;
инструменты проверки целостности содержимого дисков;
средства антивирусной защиты;
системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ.

Нужна помощь в написании реферата?

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам.

Задача данного средства защиты – обеспечение конфиденциальности.

Основные требования, предъявляемые к системам шифрования – высокий уровень криптостойкости и легальность использования на территории России (или других государств).

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.

Основной принцип действия межсетевых экранов − проверка каждого пакета данных на соответствие входящего и исходящего IP‑адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network – VPN).

Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам.

Использование VPN можно свести к решению трех основных задач:

защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);
защищенный доступ удаленных пользователей сети к информационным ресурсам компании, как правило, осуществляемый через интернет;
защита информационных потоков между отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).

Эффективное средство защиты от потери конфиденциальной информации − фильтрация содержимого входящей и исходящей электронной почты.

Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC‑сумм).

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux‑системы, Novell) на процессорах различных типов.

Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. Один из основных методов защиты от потери данных – резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т.д.).

Список использованных источников

Стандарт – подразумевают документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации выполнения работ или оказания услуг.

Важное замечание: стандарты являются одним из основных механизмов обеспечения совместимости продуктов и систем, это их основное предназначение (решение вопросов стандартизации).

Работа содержит 1 файл

Мои лекции по Стандартам.docx

Тема 1. Общие сведения о стандартах в области ИБ.

Основные определения и понятия

Понятие стандарта в области ИБ

Обоснование необходимости использования ИБ, их классификация

Информационная безопасность Пожарная безопасность

Экологическая безопасность Продуктовая безопасность

Военная безопасность Транспортная безопасность

Стандарты ИБ, главная задача: создание основ взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий.

Стандарты являются одним из основных механизмов обеспечения совместимости продуктов и систем.

Главная задача стандартов ИБ заключается в создании основ взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий.

Требования по безопасности должны быть предельно краткими и конкретными.

Общая классификация.

Общепринятая классификация стандартов в области ИБ:

Оранжевая книга (русское название – критерии оценки доверенных компьютерных систем);

РД ФСТЭК России.

Инфраструктура открытых ключей X.509;

Симметричный криптографический алгоритм ГОСТ 28147-89;

Управленческий стандарт ISO 17799;

Управленческий стандарт ISO 27001;

Предназначены для оценки и классификации автоматизированных систем и СЗИ по требованиям безопасности.

В оранжевой книге определены 4 уровня безопасности:

D – минимальная защита:

Класс D – минимальная защита, сюда относятся все ситемы подвергнутые оценке но не отвечающие ни одному из вышеперечисленных классов;

C – индивидуальная защита:

Класс С1 – (средства контроля и управления доступом) защита основанная на индивидуальных мерах, сюда относятся системы обеспечивающие разделение пользователей и данных;

С2 – (управление доступом) защита основанная на управляемом доступе, сюда относятся системы не только разделяющие пользователей и данные, но и разделение по действиям;

B – мандатная защита:

B1 – (защита с применением меток безопасности) защита основанная на присвоении имен отдельным средствам безопасности, все системы которые удовлетворяют классам C, но они также должны быть проименованы;

B2 – структурированная защита, сюда относятся системы построенные на основе определенных моделей и формально задокументированные, с мандатным управлением доступом ко всем субъектам и объектам, располагают усиленными средствами тестирования и защиты и средствами управления со стороны администрации;

B3 – домены безопасности, системы в которых существует монитор контролирующий все запросы, предусматривает средства сигнализации о всех попытках НСД;

A – верифицированная защита:

A1 (верифицированная защита) – верификационный проект, сюда относятся все системы функционально эквивалентные требованиям класса B3, но верификация которых осуществляется по специальным процедурам, обязательно наличие администратора безопасности.

По мере перехода от уровня к уровня ужесточаются требования к безопасности. Разделение на классы сделано, чтобы система при сертификации могла быть отнесена к определенному классу.

Тема 2. Международные стандарты информационной безопасности.

Стандарты ISO/IEС 17799-2005;
Британский стандарт BSI;
Общие критерии безопасности ИТ ISO 15408;
Стандарты для беспроводных сетей;
Стандарты в сети Internet.

Обеспечение ИБ в любой организации достигается:

Определение целей обеспечения ИБ КИС;
Создание эффективной системы управления ИБ;
Расчет совокупности детализированных качественных и количественных показателей для оценки соответствия ИБ поставленным целям;
Применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
Использование методик управления безопасностью, которые позволяют объективно оценить защищенность информационных активов и управлять безопасностью компании.

Наиболее распространенными управленческими стандартами в настоящее время являются документы, разработанные британским институтом стандартов (BSI), к ним относятся:

BS 7799-1 – имеет международный статус;

BS 7799-2 – имеет международный статус;

Последние версии этих стандартов имеют другое обозначение ISO/IEС 17799-2005, ISO/IEС 27001-2005.

Данные документы представляют собой набор практических рекомендаций по формирования и поддержанию системы управления информационной безопасностью (СУИБ). Носят неформальный характер.

Представляет собой набор практических рекомендаций по построению комплексной корпоративной системы управления ИБ.

Представляет собой: процесс защиты активов организации от различных видов угроз, который достигается путем реализации определенных механизмов контроля.

Требования к системе безопасности определяются: по результатам предварительно проведенного анализа рисков. Механизмы контроля выбирают так, чтобы минимизировать информационные риски.

Основное содержание стандарта: каталог рекомендуемых механизмов контроля безопасности.

Механизмы безопасности сгруппированы по тематическим разделам:

Политика безопасности;
Организация ИБ;
Управление активами;
Безопасность людских ресурсов;
Физическая безопасность;
Управление телекоммуникациями;
Управление доступом;
Управление инцидентами ИБ;
Управление непрерывностью бизнеса;
Соответствие;
Приобретение, разработка и внедрение ИС.

Для каждого механизма в стандарте приведены определения.

Устанавливает требования по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию корпоративных СУИБ.

Реализация осуществляется путем внедрения четырехфазной модели:

В качестве исходных данных выступают требования по ИБ и ожидания заинтересованных сторон.

Путем применения специальных мер и механизмов реализуют требуемый уровень безопасности.

Набор руководств и рекомендаций, направленных на удовлетворение требований стандарта ISO/IEC 27001-2005 в части управления рисками.

Данный стандарт не содержит определенной методики, здесь предъявляются лишь требования к методике:

Возможность определения критериев для принятия риска;

Возможность идентификации приемлемых уровней риска;

Возможность проведения идентификации и оценки рисков;

Покрытие всех недостающих аспектов в СУИБ.

Процесс оценки рисков в общем случае включает в себя анализ и вычисление этих рисков. По результатам анализа рисков выбирается одна из 4 возможных стратегий управления рисками:

Осознанное и обоснованное принятие риска;

Деятельность связанная с реализацией результатов управления рисками должна сопровождаться разработкой плана управления рисками. Непрерывный процесс управления рисками должен контролироваться специалистами в организации.

Результаты первоначальной оценки рисков должны накапливаться в базе знаний.

Посвящен детальному рассмотрению частных вопросов управления ИБ компании.

В стандарте представлены:

Общая методика утверждения ИБ;
Описание компонентов современных ИТ;
Описание основных пунктов организации режима ИБ;
Характеристики объектов информатизации;
Характеристика основных информационных компаний;
Характеристики компьютерных сетей на основе сетевых технологий;
Подробные каталоги угроз;
Характеристика активного и пассивного телекоммуникационного оборудования (Cisco Systems).

Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию:

Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе
Информационная безопасность дает гарантию того, что достигаются следующие цели:
конфиденциальность критической информации
целостность информации и связанных с ней процессов( создания, ввода, обработки и вывода)
доступность информации, когда она нужна
учет всех процессов, связанных с информацией.

Содержание

1.Введение.Понятие информационное безопасности;
2. Меры защиты;
3.Стандартизация в области ИБ;
4. Примеры стандартов;
5.Выступление эксперта по ИБ.
6.Вывод;
Список литературы.

Прикрепленные файлы: 1 файл

Реферат.docx

Восточно-Казахстанский государственный технический университет им. Д.Серикбаева

Кафедра: Информационные системы

Реферат по дисциплине Стандарты в области информационных технологий

На тему: Информационная безопасность. Стандартизация в области информационной безопасности.

Выполнил: студент группы 10ВТ-1 Нухаев М.Б.

Проверил: Блинаева Н.С.

1.Введение.Понятие информационное безопасности;

3.Стандартизация в области ИБ;

4. Примеры стандартов;

5.Выступление эксперта по ИБ.

1.Понятие информационное безопасности

Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе

Информационная безопасность дает гарантию того, что достигаются следующие цели:

конфиденциальность критической информации
целостность информации и связанных с ней процессов( создания, ввода, обработки и вывода)
доступность информации, когда она нужна
учет всех процессов, связанных с информацией.

Меры защиты: четыре уровня защиты

Предотвращение - только авторизованный персонал имеет доступ к информации и технологии
Обнаружение - обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены
Ограничение - уменьшается размер потерь, если преступление все-таки произошло несмотря на меры по его предотвращению и обнаружению
Восстановление - обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению

Основные методы, использовавшиеся для совершения компьютерных преступлений:

Надувательство с данными
Сканирование
Троянский конь
Люк
Технология салями
Суперотключение

Надувательство с данными. Наверное, самый распространенный метод при совершении компьютерных преступлений, так как он не требует технических знаний и относительно безопасен. Информация меняется в процессе ее ввода в компьютер или во время вывода. Например, при вводе документы могут быть заменены фальшивыми, вместо рабочих дискет подсунуты чужие, и данные могут быть сфальсифицированы.
Сканирование. Другой распространенный метод получения информации, который может привести к преступлению. Служащие, читающие файлы других, могут обнаружить там персональную информацию о своих коллегах. Информация, позволяющая получить доступ к компьютерным файлам или изменить их, может быть найдена после просмотра мусорных корзин. Дискеты, оставленные на столе, могут быть прочитаны, скопированы, и украдены. Очень хитрый сканирующий может даже просматривать остаточную информацию, оставшуюся на компьютере или на носителе информации после выполнения сотрудником задания и удаления своих файлов.

Троянский конь. Этот метод предполагает, что пользователь не заметил, что компьютерная программа была изменена таким образом, что включает в себя дополнительные функции. Программа, выполняющая полезные функции, пишется таким образом, что содержит дополнительные скрытые функции, которые будут использовать особенности механизмов защиты системы (возможности пользователя, запустившего программу, по доступу к файлам)
Люк. Этот метод основан на использовании скрытого программного или аппаратного механизма, позволяющего обойти методы защиты в системе. Этот механизм активируется некоторым неочевидным образом. Иногда программа пишется таким образом, что специфическое событие, например, число транзакций, обработанных в определенный день, вызовет запуск неавторизованного механизма.
Технология салями. Названа так из-за того, что преступление совершается понемногу, небольшими частями, настолько маленькими, что они незаметны. Обычно эта технология сопровождается изменением компьютерной программы. Например, платежи могут округляться до нескольких центов, и разница между реальной и округленной суммой поступать на специально открытый счет злоумышленника.
Суперотключение. Названа по имени программы, использовавшейся в ряде компьютерных центров, обходившей системные меры защиты и использовавшейся при аварийных ситуациях. Владение этим "мастер-ключом" дает возможность в любое время получить доступ к компьютеру и информации, находящейся в нем.

Меры защиты информационной безопасности

Контроль доступа как к информации в компьютере, так и к прикладным программам

-Другие меры защиты: пароли, магнитная карта, голос

2.Защита системных программ

3.Рассмотреть вопрос о коммуникационной безопасности

Меры физической безопасности

1.Предотвратить злонамеренные разрушения, неавторизованное использование или кражу

2. Стихийные бедствия могут нанести большой ущерб

3. Защищайте все носители информации:

исходные документы, ленты, картриджи, диски, распечатки

3.Стандартизация в области ИБ

Как оценить качество какого-либо продукта или обеспечить его быструю замену, если он создавался по собственным, ни с кем не согласованным правилам?

Стандартизация устанавливает единые "правила игры", и в этом ее главная цель. Те, кто принимает эти правила, называются участниками стандартизации, а то, к чему предъявляются эти правила, – объектом стандартизации

История стандартизации, как процесса установления единых требований, пригодных для многократного применения, насчитывает несколько тысячелетий – еще при строительстве пирамид в Древнем Египте использовались блоки стандартного размера, а специальные люди контролировали степень соответствия этому древнему стандарту. Сегодня стандартизация занимает прочное место практически во всех отраслях человеческой деятельности.

Стандартизация в области информационной безопасности (ИБ) выгодна и профессионалам, и потребителям продуктов и услуг ИБ, так как позволяет установить оптимальный уровень упорядочения и унификации, обеспечить взаимозаменяемость продуктов ИБ, а также измеряемость и повторяемость результатов, полученных в разных странах и организациях. Для профессионалов – это экономия времени на поиск эффективных и зарекомендовавших себя решений, а для потребителя – гарантия получения результата ожидаемого качества.

Объектом стандартизации может являться любой продукт или услуга ИБ: метод оценки, функциональные возможности средств защиты и параметры настройки, свойства совместимости, процесс разработки и производства, системы менеджмента и т.д.

Стандартизация, в зависимости от состава участников, бывает международной, региональной или национальной, при этом международная стандартизация (наравне с официальными органами стандартизации, такими как ISO) включает в себя стандартизацию консорциумов (например, IEEE или SAE), а национальная стандартизация бывает государственной или отраслевой. Остановимся подробнее на некоторых востребованных сегодня зарубежных стандартах, так или иначе затрагивающих вопросы информационной безопасности.

4. Примеры стандартов

Стандартизация в области ИБ за рубежом развивается уже не один десяток лет, и некоторые страны, например Великобритания, имеют огромный опыт в разработке стандартов – многие британские национальные стандарты, такие как BS7799-1/2, приобрели со временем статус международных. С них и начнем.

Международные стандарты ISO 27002 и ISO 27001 Пожалуй, на сегодня это самые востребованные стандарты в области ИБ.

ISO 27002 (прежде ISO 17799) содержит свод рекомендаций по эффективной организации систем управления ИБ на предприятии, затрагивая все ключевые области, в частности:

- формирование политики ИБ;

- безопасность, связанная с персоналом;

- обеспечение соответствия требованиям законодательства. Стандарт ISO 27001 является сборником критериев при проведении сертификации системы менеджмента, по результатам которой аккредитованным органом по сертификации выдается международный сертификат соответствия, включаемый в реестр.

Международные стандарты ISO13335 и ISO 15408 Стандарт ISO 13335 является семейством стандартов безопасности информационных технологий, охватывающих вопросы управления ИТ-безопасностью, предлагая конкретные защитные меры и способы. В настоящее время происходит постепенное замещение серии 13335 более новой серией 27000. Стандарт ISO 15408 содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном уровне (подобно знаменитой Оранжевой книге, которая также известна как критерии оценки TCSEC, или европейские критерии ITSEC), которые позволяют сравнивать результаты, полученные в разных странах.

В целом данные стандарты, хотя и содержат лишь технологическую часть, могут использоваться как независимо, так и при построении систем управления ИБ в рамках, например, подготовки к сертификации на соответствие ISO 27001.

CobiT CobiT представляет собой набор из около 40 международных стандартов и руководств в области управления ИТ, аудита и безопасности и содержит описания соответствующих процессов и метрик. Основная цель CobiT заключается в нахождении общего языка между бизнесом, имеющим конкретные цели, и ИТ, способствующими их достижению, позволяя создавать адекватные планы развития информационных технологий организации. CobiT применяется для аудита и контроля системы управления ИТ организации и содержит подробные описания целей, принципов и объектов управления, возможных ИТ-процессов и процессов управления безопасностью. Полнота, понятные описания конкретных действий и инструментов, а также нацеленность на бизнес делают CobiT хорошим выбором при создании информационной инфраструктуры и системы управления ею.

В следующей части статьи мы рассмотрим некоторые интересные национальные и отраслевые зарубежные стандарты, такие как NIST SP 800, BS, BSI, PCI DSS, ISF, ITU и другие.

Международный стандарт ISO 20000 Стандарт ISO 20000 заменил собой британский стандарт BS 15000. Он описывает сервисную модель ИТ, реализуя положения специализированной библиотеки ITIL (IT Infrastructure Library – библиотека инфраструктуры ИТ) и концепцию ITSM (IT Service Management – управление ИТ-услугами). Стандарт предъявляет требования к процессам управления ИТ-сервисами и устанавливает критерии оценки, пригодные для проведения сертификаций соответствия. Так же, как и в случае сертификации по ISO 27001, наличие у организации сертификата на какую-либо систему менеджмента упрощает процедуру подготовки к сертификации на соответствие ISO 20000. На сегодняшний день в России всего 6 организаций имеют сертификат ISO 20000.

Международный стандарт ISO 18044 Стандарт ISO 18044 разработан в соответствии со стандартами ISO 13335-1 и ISO 17799 (ISO 27002) и описывает процесс управления инцидентами ИБ, а также усилия, которые должны быть предприняты на всех этапах жизненного цикла процесса управления инцидентами – от планирования и формирования команды реагирования до извлечения уроков и совершенствования. Он может применяться как при создании системы управления ИБ по ISO 27000, так и самостоятельно в рамках разработки единственного изолированного процесса.

Дополнительно к приведенному выше обзору международных стандартов хотелось бы обратить внимание на еще один регламентирующий документ по информационной безопасности, не распространенный на территории РФ. Одним из таких стандартов является документ из линейки методов EBIOS.

Состояние ИБ становится в настоящее время одним из рейтинговых показателей надежности и устойчивости предприятия. ИБ предполагает проведение ряда организационных (административных), технических, юридических, учебно-консультационных мероприятий, а также мероприятий социальной инженерии, направленных на предупреждение, обнаружение, отражение, ликвидацию всевозможных видов угроз функционированию информационной инфраструктуры предприятия, минимизацию или поддержание на фиксированном низком уровне рисков, а также минимизацию возможного ущерба, возникшего при реализации этих угроз.

Содержание

Задание №1 3
Введение 3
1. Роль и функции стандартов ИБ 4
2. Виды стандартов ИБ 6
3. Международный стандарт информационной безопасности 7
4. Особенности российского рынка стандартизации ИБ 9
Заключение 12
Задание № 2 13
Задание № 3 14

Работа состоит из 1 файл

Контрольная_ЗСИС.doc

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

Отечественные и зарубежные стандарты в области информационной безопасности

студентка 5 курса ЗФ-526-4-1

заочного отделении ППИ

обучение (информатика, вычислительная

техника и компьютерные технологии)

Залютдинова Ирина Анваровна

преподаватель: Житников М.А.

Задание №1

Введение

Безопасность это - состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений.

Информационную безопасность можно трактовать как отсутствие недопустимого риска, связанного с причинением прямого или косвенного имущественного (финансового) ущерба предприятию (физическому лицу), который вызван нарушением конфиденциальности, целостности и доступности информации.

Роль и функции стандартов ИБ

Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько причин. Формальная состоит в том, что необходимость следования некоторым стандартам закреплена законодательно. Однако наиболее убедительны содержательные причины:

Во-первых, стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.
Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в Internet-сообществе это средство действительно работает, и весьма эффективно.

Стандарты в области информационной безопасности выполняют следующие важнейшие функции:

выработка понятийного аппарата и терминологии в области информационной безопасности
формирование шкалы измерений уровня информационной безопасности
согласованная оценка продуктов, обеспечивающих информационную безопасность
повышение технической и информационной совместимости продуктов, обеспечивающих ИБ
накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем
функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.

Роль стандартов ИБ для производителей, экспертов и потребителей представлена на рисунке 1.

Рисунок 1 – роль стандартов ИБ

С практической точки зрения, количество стандартов и спецификаций (международных, национальных, отраслевых и т.п.) в области информационной безопасности бесконечно.

Виды стандартов ИБ

Существует два разных вида стандартов в области информационной безопасности:

оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;
технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры.

Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем".

Данный труд, называемый чаще всего по цвету обложки "Оранжевой книгой", был впервые опубликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах, то есть системах, которым можно оказать определенную степень доверия.

"Оранжевая книга" поясняет понятие безопасной системы, которая "управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию".

Конечно абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.

В "Оранжевой книге" доверенная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".

Обратим внимание, что в рассматриваемых Критериях, представленных в таблице 1, и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности (статической). Вопросы доступности "Оранжевая книга" не затрагивает.

Таблица 1. Критерии безопасности

Конфиденциальность вне соединения

Целостность с восстановлением

Целостность без восстановления

Целостность вне соединения

"+" данный уровень может предоставить функцию безопасности;
"–" данный уровень не подходит для предоставления функции безопасности.

Международный стандарт информационной безопасности

Общеизвестно, что стандартизация является основой всевозможных методик определения качества продукции и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт ISO 15408, известный как "Common Criteria".

Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен для российских разработчиков. Международная организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

Общие критерии (ОК) созданы для взаимного признания резуль татов оценки безопасности ИТ в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования.

Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Этот стандарт полезен в качестве руководства при разработке функций безопасности ИТ, а также при приобретении коммерческих продуктов с подобными свойствами. Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами.

Выпуск и внедрение этого стандарта за рубежом сопровождается разработкой новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. Иными словами, создаются технические и программные средства ЭВМ, отвечающие Общим критериям. Например, международная организация "Open Group", объединяющая около 200 ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, "Open Group" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации.

Особенности российского рынка стандартизации ИБ

Исторически сложилось, что в России проблемы безопасности ИТ изучались и своевременно решались только в сфере охраны государственной тайны. Аналогичные, но имеющие собственную специфику задачи коммерческого сектора экономики долгое время не находили соответствующих решений. Данный факт до сих пор существенно замедляет появление и развитие безопасных ИТ-средств на отечественном рынке, который интегрируется с мировой системой. Тем более что у защиты информации в коммерческой автоматизированной системе есть свои особенности, которые просто необходимо учитывать, ведь они оказывают серьезное влияние на технологию информационной безопасности. Перечислим основные из них:

Приоритет экономических факторов. Для коммерческой автоматизированной системы очень важно снизить либо исключить финансовые потери и обеспечить получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков.
Открытость проектирования, предусматривающая создание подсистемы защиты информации из средств, широко доступных на рынке и работающих в открытых системах;
Юридическая значимость коммерческой информации, которую можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с правовым режимом информационных ресурсов, установленным законодательством Российской Федерации.

Очевидно, что создание безопасных ИТ, обрабатывающих конфиденциальную информацию, не содержащую государственной тайны, исключительно важно для экономико-финансовой жизни современной России. Применение в России гармонизированного стандарта ISO 15408 ("Common Criteria"), отражающего новейшие мировые достижения оценки информационной безопасности, позволяет:

Читайте также: