Информационное письмо
жүктеу/скачать 5,22 Mb.
|
| Германский стандарт BSI. В отличие от ISO 17799 германское руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.
В германском стандарте BSI представлены: общая методика управления информационной безопасностью; описания компонентов современных информационных технологий; описания основных компонентов организации режима формационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях); характеристики объектов информатизации; характеристики основных информационных активов компании, в том числе аппаратное и программное обеспечение; характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows; характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems; подробные каталоги угроз безопасности и мер контроля. Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание формационного актива компании - возможные угрозы и уязвимости безопасности - возможные меры и средства контроля и защиты. Международный стандарт ISO 15408 «Общие критерии безопасности информационных технологий». Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. Важное место в этой системе стандартов занимает стандарт ISO 15408, известный как «Common Criteria». В 1990 г. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки IT безопасности для общего использования. В разработке участвовали лучшие специалисты из США, Канады, Германии, Голландии, Англии, Франции. Первые две версии документа были опубликованы соответственно в январе и мае 1998 г. Версия 2.1 этого стандарта утверждена 8 июня 1999 г. международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий», или «Common Criteria». «Общие критерии» (ОК) обобщили содержание и опыт использования Оранжевой книги, развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. В ОК проведена классификация широкого набора требований IT безопасности, определены структуры их группирования и принципы использования. Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития. Ведущие мировые производители IT оборудования сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК. ОК разрабатывались для удовлетворения запросов трех групп специалистов, в равной степени являющихся пользователями этого документа: производителей и потребителей IT продуктов, а также экспертов по оценке уровня их безопасности. ОК обеспечивают нормативную поддержку процесса выбора IT продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности. Требования ОК являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по IT безопасности. Стандарт ISO 15408 поднял IT стандартизацию на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных ИС, что в свою очередь откроет новые сферы применения информационных технологий. Стандарты в структуре информационной безопасности выступают как связующее звено между технической и концептуальной стороной вопроса. Введение в 1999 г. Международного стандарта ISO 15408 в области обеспечения информационной безопасности имело большое значение как для разработчиков компьютерных систем, так и для их пользователей. Стандарт ISO 15408-2002 стал своего рода гарантией качества и надежности сертифицированных по нему программных продуктов. Этот стандарт позволил потребителям лучше ориентироваться при выборе ПО и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT компаний, сертифицирующих свою продукцию в соответствии с ISO 15408. Отечественные стандарты безопасности информационных технологий Среди различных стандартов по IT безопасности, существующих в настоящее время в Казахстане, следует выделить нормативные документы по критериям оценки защищенности средств вычислительной техники и АС и документы, регулирующие информационную безопасность. К ним можно добавить нормативные документы по криптографической защите систем отработки информации и информационных технологий. В таблице 1 приведен список указанных стандартов. Таблица 1 - Казахстанские стандарты, регулирующие информационную безопасность
жүктеу/скачать 5,22 Mb. Достарыңызбен бөлісу:
|