ГерманскийстандартBSI.В отличие от ISO 17799 германское руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.
В германском стандарте BSI представлены:
общая методика управления информационной безопасностью;
описания компонентов современных информационных технологий;
описания основных компонентов организации режима формационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях);
характеристики объектов информатизации;
характеристики основных информационных активов компании, в том числе аппаратное и программное обеспечение;
характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows;
характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;
подробные каталоги угроз безопасности и мер контроля.
Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание формационного актива компании - возможные угрозы и уязвимости безопасности - возможные меры и средства контроля и защиты.
Международный стандарт ISO 15408 «Общие критерии безопасностиинформационныхтехнологий».Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. Важное место в этой системе стандартов занимает стандарт ISO 15408, известный как «Common Criteria».
В 1990 г. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки IT безопасности для общего использования. В разработке участвовали лучшие специалисты из США, Канады, Германии, Голландии, Англии, Франции.
Первые две версии документа были опубликованы соответственно в январе и мае 1998 г. Версия 2.1 этого стандарта утверждена 8 июня 1999 г. международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий», или «Common Criteria».
«Общие критерии» (ОК) обобщили содержание и опыт использования Оранжевой книги, развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США.
В ОК проведена классификация широкого набора требований IT безопасности, определены структуры их группирования и принципы использования. Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.
Ведущие мировые производители IT оборудования сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.
ОК разрабатывались для удовлетворения запросов трех групп специалистов, в равной степени являющихся пользователями этого документа: производителей и потребителей IT продуктов, а также экспертов по оценке уровня их безопасности. ОК обеспечивают нормативную поддержку процесса выбора IT продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.
Требования ОК являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по IT безопасности.
Стандарт ISO 15408 поднял IT стандартизацию на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных ИС, что в свою очередь откроет новые сферы применения информационных технологий.
Стандарты в структуре информационной безопасности выступают как связующее звено между технической и концептуальной стороной вопроса.
Введение в 1999 г. Международного стандарта ISO 15408 в области обеспечения информационной безопасности имело большое значение как для разработчиков компьютерных систем, так и для их пользователей. Стандарт ISO 15408-2002 стал своего рода гарантией качества и надежности сертифицированных по нему программных продуктов. Этот стандарт позволил потребителям лучше ориентироваться при выборе ПО и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT компаний, сертифицирующих свою продукцию в соответствии с ISO 15408.
Отечественные стандарты безопасности информационных технологий
Среди различных стандартов по IT безопасности, существующих в настоящее время в Казахстане, следует выделить нормативные документы по критериям оценки защищенности средств вычислительной техники и АС и документы, регулирующие информационную безопасность. К ним можно добавить нормативные документы по криптографической защите систем отработки информации и информационных технологий. В таблице 1 приведен список указанных стандартов.
Защита информации. Требования к проектированию, установке, наладке, эксплуатации и обеспечению безопасности информационных систем
3
CT PK 34.023-2006
Информационная технология. Методика оценки соответствия информационных систем требованиям безопасности
4
CT PK 34.024-2006
Защита информации. Автоматизированные системы в защищенном исполнении. Общие технические требования
5
CT PK 34.025-2006
Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
6
СТ РК ГОСТ Р 51275-2006
Защита информации. Объект информатизации. Факторы, воздействующие
на информацию. Общие положения
7
CT PK ГОСТ Р 50739-2006
Средства вычислительной техники. Защита от
несанкционированного доступа к информации. Общие технические требования
8
CT PK 1073-2007
Средства криптографической защиты информации. Общие технические
требования
9
CT PK ИСО/МЭК 14888-1-
2006
Информационная технология. Методы защиты информации. Цифровые
подписи с приложением. Часть 1. Общие положения
10
CT PK ИСО/МЭК 14888-2-
2006
Информационная технология. Методы защиты информации. Цифровые
подписи с приложением. Часть 2. Механизмы, основанные на идентичности
11
CT PK ИСО/МЭК 14888-3-
2006
Информационная технология. Методы защиты информации. Цифровые
подписи с приложением. Часть 3. Механизмы, основанные на сертификате
12
СТРК ИСО/МЭК 10118-1-
2006
Информационная технология. Методы защиты информации. Хэш- функции. Часть 1. Общие положения
13
СТРК ИСО/МЭК 10118-2-
2006
Информационная технология. Методы защиты информации. Хэш-
функции. Часть 2. Хэш-функции, использующие битовый блок шифрования
14
СТРК ИСО/МЭК 10118-3-
2006
Информационная технология. Методы защиты информации. Хэш-
функции. Часть 3. Специализированные хэш-функции
15
СТРК ИСО/МЭК 10118-4-
2006
Информационная технология. Методы защиты информации. Хэш-
функции. Часть 4. Хэш-функции
16
СТ РК ИСО/МЭК ТО
14516-2007
Информационная технология. Методы обеспечения защиты.
Использование и управление услугами доверенной третьей стороны. Общие требования
17
СТ РК ГОСТ Р ИСО/МЭК 15408-1-2006.
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
18
СТ РК ГОСТ Р ИСО/МЭК
15408-2-2006
Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности
19
СТ РК ГОСТ Р ИСО/МЭК 15408-3-2006
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
20
СТРК 1697-2007
Защита информации. Средства защиты технических средств от утечки
информации по цепям электропитания. Общие технические требования
21
СТРК 1698-2007
Защита информации. Защита информации от технических разведок и от ее
утечки по техническим каналам на объекте средств вычислительной техники. Методы защиты
22
СТРК 1699-2007
Системы контроля и управления доступом. Общие технические
требования
23
СТРК 1700-2007
Техническая защита информации в служебных помещениях. Общие технические требования
24
СТРК 1701-2007
Техническая защита информации в средствах вычислительной техники,
автоматизированных информационных системах и сетях от утечки по средствам побочных электромагнитных излучений и наводок. Общие технические требования
25
СТ РК ГОСТ Р 51188-2007
Защита информации. Испытания программных средств на наличие компьютерных вирусов. Общие требования