Информационное письмо



бет17/78
Дата10.10.2022
өлшемі5,22 Mb.
#42177
түріПротокол
1   ...   13   14   15   16   17   18   19   20   ...   78
Байланысты:
ИБ и МЗИ УМКД 2022 (1)

Германский стандарт BSI. В отличие от ISO 17799 германское руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.
В германском стандарте BSI представлены:

  • общая методика управления информационной безопасностью;

  • описания компонентов современных информационных технологий;

  • описания основных компонентов организации режима формационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях);

  • характеристики объектов информатизации;

  • характеристики основных информационных активов компании, в том числе аппаратное и программное обеспечение;

  • характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows;

  • характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;

  • подробные каталоги угроз безопасности и мер контроля.

Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание формационного актива компании - возможные угрозы и уязвимости безопасности - возможные меры и средства контроля и защиты.
Международный стандарт ISO 15408 «Общие критерии безопасности информационных технологий». Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. Важное место в этой системе стандартов занимает стандарт ISO 15408, известный как «Common Criteria».
В 1990 г. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки IT безопасности для общего использования. В разработке участвовали лучшие специалисты из США, Канады, Германии, Голландии, Англии, Франции.
Первые две версии документа были опубликованы соответственно в январе и мае 1998 г. Версия 2.1 этого стандарта утверждена 8 июня 1999 г. международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий», или «Common Criteria».
«Общие критерии» (ОК) обобщили содержание и опыт использования Оранжевой книги, развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США.
В ОК проведена классификация широкого набора требований IT безопасности, определены структуры их группирования и принципы использования. Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.
Ведущие мировые производители IT оборудования сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.
ОК разрабатывались для удовлетворения запросов трех групп специалистов, в равной степени являющихся пользователями этого документа: производителей и потребителей IT продуктов, а также экспертов по оценке уровня их безопасности. ОК обеспечивают нормативную поддержку процесса выбора IT продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.
Требования ОК являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по IT безопасности.
Стандарт ISO 15408 поднял IT стандартизацию на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных ИС, что в свою очередь откроет новые сферы применения информационных технологий.
Стандарты в структуре информационной безопасности выступают как связующее звено между технической и концептуальной стороной вопроса.
Введение в 1999 г. Международного стандарта ISO 15408 в области обеспечения информационной безопасности имело большое значение как для разработчиков компьютерных систем, так и для их пользователей. Стандарт ISO 15408-2002 стал своего рода гарантией качества и надежности сертифицированных по нему программных продуктов. Этот стандарт позволил потребителям лучше ориентироваться при выборе ПО и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT компаний, сертифицирующих свою продукцию в соответствии с ISO 15408.

Отечественные стандарты безопасности информационных технологий


Среди различных стандартов по IT безопасности, существующих в настоящее время в Казахстане, следует выделить нормативные документы по критериям оценки защищенности средств вычислительной техники и АС и документы, регулирующие информационную безопасность. К ним можно добавить нормативные документы по криптографической защите систем отработки информации и информационных технологий. В таблице 1 приведен список указанных стандартов.

Таблица 1 - Казахстанские стандарты, регулирующие информационную безопасность




п/п

Стандарт

Наименование

1

СТ РК 34.026-2006

Защита информации. Термины и определения

2

СТ РК 34.022-2006

Защита информации. Требования к проектированию, установке, наладке, эксплуатации и обеспечению безопасности информационных систем

3

CT PK 34.023-2006

Информационная технология. Методика оценки соответствия информационных систем требованиям безопасности

4

CT PK 34.024-2006

Защита информации. Автоматизированные системы в защищенном исполнении. Общие технические требования

5

CT PK 34.025-2006

Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

6

СТ РК ГОСТ Р 51275-2006

Защита информации. Объект информатизации. Факторы, воздействующие
на информацию. Общие положения

7

CT PK ГОСТ Р 50739-2006

Средства вычислительной техники. Защита от
несанкционированного доступа к информации. Общие технические требования

8

CT PK 1073-2007

Средства криптографической защиты информации. Общие технические
требования

9

CT PK ИСО/МЭК 14888-1-
2006

Информационная технология. Методы защиты информации. Цифровые
подписи с приложением. Часть 1. Общие положения

10

CT PK ИСО/МЭК 14888-2-
2006

Информационная технология. Методы защиты информации. Цифровые
подписи с приложением. Часть 2. Механизмы, основанные на идентичности

11

CT PK ИСО/МЭК 14888-3-
2006

Информационная технология. Методы защиты информации. Цифровые
подписи с приложением. Часть 3. Механизмы, основанные на сертификате

12

СТРК ИСО/МЭК 10118-1-
2006

Информационная технология. Методы защиты информации. Хэш- функции. Часть 1. Общие положения

13

СТРК ИСО/МЭК 10118-2-
2006

Информационная технология. Методы защиты информации. Хэш-
функции. Часть 2. Хэш-функции, использующие битовый блок шифрования

14

СТРК ИСО/МЭК 10118-3-
2006

Информационная технология. Методы защиты информации. Хэш-
функции. Часть 3. Специализированные хэш-функции

15

СТРК ИСО/МЭК 10118-4-
2006

Информационная технология. Методы защиты информации. Хэш-
функции. Часть 4. Хэш-функции

16

СТ РК ИСО/МЭК ТО
14516-2007

Информационная технология. Методы обеспечения защиты.
Использование и управление услугами доверенной третьей стороны. Общие требования

17

СТ РК ГОСТ Р ИСО/МЭК 15408-1-2006.

Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

18

СТ РК ГОСТ Р ИСО/МЭК
15408-2-2006

Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

19

СТ РК ГОСТ Р ИСО/МЭК 15408-3-2006

Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности

20

СТРК 1697-2007

Защита информации. Средства защиты технических средств от утечки
информации по цепям электропитания. Общие технические требования

21

СТРК 1698-2007

Защита информации. Защита информации от технических разведок и от ее
утечки по техническим каналам на объекте средств вычислительной техники. Методы защиты

22

СТРК 1699-2007

Системы контроля и управления доступом. Общие технические
требования

23

СТРК 1700-2007

Техническая защита информации в служебных помещениях. Общие технические требования

24

СТРК 1701-2007

Техническая защита информации в средствах вычислительной техники,
автоматизированных информационных системах и сетях от утечки по средствам побочных электромагнитных излучений и наводок. Общие технические требования

25

СТ РК ГОСТ Р 51188-2007

Защита информации. Испытания программных средств на наличие компьютерных вирусов. Общие требования





Достарыңызбен бөлісу:
1   ...   13   14   15   16   17   18   19   20   ...   78




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет