49143 (666170), страница 2
Текст из файла (страница 2)
D — Минимальная защита
Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов.
C — Дискреционная защита
-
C1 — Дискреционное обеспечение секретности.
-
Разделение пользователей и данных
-
Дискреционное управление доступом, допускающее принудительное ограничение доступа на индивидуальной основе.
-
-
C2 — Управление доступом
-
Более чётко оформленное дискреционное управление доступом.
-
Индивидуальные учётные записи, вход под которыми возможен через процедуру авторизации.
-
Журнал контроля доступа к системе.
-
Изоляция ресурсов.
-
B — Мандатная защита
-
B1
-
Мандатное управление доступом к выбранными субъектам и объектам.
-
Все обнаруженные недостатки должны быть устранены или убраны каким-либо другим способом.
-
-
B2 — Структурная защита
-
Чётко определённая и документированная модель правил безопасности.
-
Применение расширенного дискреционного и мандатного управления доступом ко всем объектам и субъектам.
-
Скрытые каналы хранения.
-
-
B3 — Защищённые области
-
Соответствие требованиям монитора обращений.
-
Структурирование для исключения кода не отвечающего требованиям обязательной политики безопасности.
-
Поддержка администратора системы безопасности.
-
Примером подобной системы является XTS-300, предшественница XTS-400.
-
A — Проверенная защита
-
A1 — Проверенный дизайн.
-
По функциям идентично B3.
-
Формализованный дизайн и проверенные техники, включающие высокоуровневую спецификацию.
-
Формализованные процедуры управления и распространения.
-
Примером подобной системы является SCOMP, предшественница XTS-400.
-
-
Выше A1
-
Системная архитектура демонстрирующая, что требования самозащиты и полноценности для мониторов обращений были выполнены в соответствии с «Базой безопасных вычислений» (коллекцией программного и аппаратного обеспечения необходимых для обязательной политики безопасности в операционных системах ориентированных на безопасность).
-
4. Международный стандарт управления информационной безопасностью ISO 17799
4.1 Критерии оценки защищенности информационных систем
Какой вопрос наиболее часто задают руководители высшего звена компании ИТ менеджерам и специалистам по информационной безопасности? Думаю, что это очевидно: "Насколько защищена наша информационная система?". Этот вопрос действительно является краеугольным камнем информационной безопасности и тем самым "тонким" местом, которое обычно стараются избегать секьюрити специалисты. И действительно оценить защищенность информационной системы достаточно сложно: но, как известно, можно. Для этого существуют, в основном, качественные методы оценки уровня защищенности, которые на выходе позволяют получить не количественную оценку ("система защищена на 4.2 балла или на 58%"), а качественную - система соответствует определенному классу или уровню защищенности; тому или иному стандарту безопасности. Количественные методы оценки на практике не нашли своего применения. Применение качественных методов оценки является на сегодняшний день единственным способом получить представление о реальном уровне защищенности информационных ресурсов компании.
4.2 Критерии проведения аудита безопасности информационных систем
Перейдем к следующей части и вспомним, какой вопрос обычно является ключевым при проведении аудита безопасности. Обычно, это вопрос о стандарте безопасности, проверку на соответствие которому будет выполнять аудитор. В России обычной практикой при проведении аудита является выполнение данных работ без привязки к какому либо критерию или стандарту - аудитор ограничивается оценкой текущего уровня защищенности и выработке рекомендаций по его повышению в соответствии со своей экспертной оценкой и своим пониманием об уровнях и критериях защиты. И, в общем, это нормальная практика, когда компания доверяет выбранному эксперту или группе экспертов, но проводить аудит, основываясь только на собственной экспертной оценке, не учитывая мировой опыт и существующие стандарты безопасности, на сегодняшний день практически недопустимо.
4.3 Международный стандарт безопасности информационных систем ISO 17799
Несколько лет назад Британский институт стандартов ( BSI ) при участии коммерческих организаций, таких как Shell , National Westminster Bank , Midland Bank , Unilever , British Telecommunications , Marks & Spencer , Logica и др., занялся разработкой стандарта информационной безопасности. И в 1995 г. был принят национальный стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. Служба безопасности, IT -отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Поэтому сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO.
Ниже приведены основные разделы стандарта ISO 17799:
-
Политика безопасности
-
Организационные меры по обеспечению безопасности
-
Управление форумами по информационной безопасности
-
Координация вопросов, связанных с информационной безопасностью
-
Распределение ответственности за обеспечение безопасности
-
-
Организационные меры по обеспечению безопасности
-
Инвентаризация ресурсов
-
Классификация ресурсов
-
-
Безопасность персонала
-
Безопасность при выборе и работе с персоналом
-
Тренинги персонала по вопросам безопасности
-
Реагирование на секьюрити инциденты и неисправности
-
-
Физическая безопасность
-
Управление коммуникациями и процессами
-
Рабочие процедуры и ответственность
-
Системное планирование
-
Защита от злонамеренного программного обеспечения (вирусов, троянских коней)
-
Управление внутренними ресурсами
-
Управление сетями
-
Безопасность носителей данных
-
Передача информации и программного обеспечения
-
-
Контроль доступа
-
Бизнес требования для контроля доступа
-
Управление доступом пользователя
-
Ответственность пользователей
-
Контроль и управление удаленного (сетевого) доступа
-
Контроль доступа в операционную систему
-
Контроль и управление доступом к приложениям
-
Мониторинг доступа и использования систем
-
Мобильные пользователи
-
-
Разработка и техническая поддержка вычислительных систем
-
Требования по безопасности систем
-
Безопасность приложений
-
Криптография
-
Безопасность системных файлов
-
Безопасность процессов разработки и поддержки
-
-
Управление непрерывностью бизнеса
-
Процесс управления непрерывного ведения бизнеса
-
Непрерывность бизнеса и анализ воздействий
-
Создание и внедрение плана непрерывного ведения бизнеса
-
Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса
-
-
Соответствие системы основным требованиям
-
Соответствие требованиям законодательства
-
Анализ соответствия политики безопасности
-
Анализ соответствия техническим требованиям
-
Анализ соответствия требованиям системного аудита
-
4.4 ISO 17799 в странах СНГ
В последние несколько лет ISO 17799 начал уверенно продвигаться по странам СНГ. В Молдове благодаря позиции Национального Банка все банки уже более года проходят регулярную проверку на соответствие ISO 17799. В ближайшее время в Молдове ISO 17799 получит статус государственного стандарта. В Украине также существуют планы принятия данного стандарта в качестве государственного - эту позицию озвучил выступавший в 2002 году в Киеве на одном из семинаров Digital Security представитель Службы Безопасности Украины. В России стандарт ISO 17799 пока не имеет статус государственного стандарта. Однако в последнее время ситуация меняется: Государственная Техническая Комиссия при Президенте РФ уже отказалась от использования собственных стандартов защищенности автоматизированных систем и принимает ГОСТ 15408 ( ISO 15408). Ожидается, что подобная ситуация в ближайшие годы в России произойдет и с ISO 17799 и нам следует ожидать появления ГОСТ 17799.
4.5 Преимущества, получаемые компанией после прохождения сертификации по ISO 17799
Какие преимущества получает компания, которая провела аудит безопасности своих информационных ресурсов и получила сертификат соответствия системы управления информационной безопасности по стандарту ISO 17799? Прежде всего, это "неформальные" преимущества: после проведения аудита информационная система компании становится "прозрачнее" для менеджмента, выявляются основные угрозы безопасности для бизнес - процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью, как для повышения реального уровня защищенности, так и для непосредственного соответствия стандарту. Сертификация на соответствие стандарту ISO 17799 ( BS 7799) позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками. Кроме того, говоря о сертификации по ISO 17799, стоит принять во внимание согласованную с ВТО процедуру принятия России в данную организацию. Эта процедура потребует адекватной реакции от наиболее значимых в экономике России структур и адаптации стратегии развития в области информационных технологий с учетом международных стандартов безопасности, таких как ISO 17799.
4.6 Практика прохождения аудита и получения сертификата ISO 17799
Для получения сертификата соответствия ISO 17799 компания должна пройти аудит информационной безопасности, провести подготовку информационной системы на соответствие стандарту, внедрить изменения и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов. Предварительный этап заключается в проведении аудита и, на его основании, подготовки необходимых изменений системы управления информационной безопасностью. Его может выполнить специализированная секьюрити компания, имеющая опыт в проведение подобных работ. Затем, после подготовки комплекта необходимых документов и внесения изменений в систему, необходимо провести итоговую проверку соответствия ISO 17799, для чего требуется участие специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при UKAS (United Kingdom Accreditation Service, http://www.ukas.com) - уполномоченном государственном органе Великобритании. Также, отметим, что в настоящее время официальная сертификация возможно только по BS 7799 (до выхода 2-ой части ISO 17799 - требования к аудиторам, которая намечена на 2004 год). Однако между ISO и UKAS существует соглашение, согласно которому после принятия второй часто ISO 17799 все сертификаты BS 7799 автоматически получают статус ISO 17799.
4.7 Программные средства создания и проверки политики безопасности на соответствие требованиям ISO 17799
Для решения задачи создания и проверки политики информационной безопасности компании применяются следующие программные комплексы: британская Cobra http://www.riskworld.net (компания C & A Systems Security Ltd) и российский КОНДОР http://www.dsec.ru/soft/kondor.php (компания Digital Security, http://www.dsec.ru )
5. Стандарты безопасности в Интернете
В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.
SSL (TLS)
Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
