ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Стандартизація в області ІБ: зарубіжний досвід
         

     

    Інформатика, програмування

    Стандартизація в області ІБ: зарубіжний досвід

    Георгій Гарбузов

    Як оцінити якість якого-небудь продукту або забезпечити його швидку заміну, якщо він створювався за власним, ні з ким не узгодженим правилами?

    Стандартизація встановлює єдині "правила гри", і в цьому її головна мета. Ті, хто приймає ці правила, називаються учасниками стандартизації, а те, до чого пред'являються ці правила, - об'єктом стандартизації

    ІСТОРІЯ стандартизації, як процесу встановлення єдиних вимог, придатних для багаторазового застосування, налічує кілька тисячоліть - ще при будівництві пірамід у Стародавньому Єгипті використовувалися блоки стандартного розміру, а спеціальні люди контролювали ступінь відповідності цьому древньому стандарту. Сьогодні стандартизація займає міцне місце практично у всіх галузях людської діяльності.

    Стандартизація в галузі інформаційної безпеки Стандартизація в галузі інформаційної безпеки (ІБ) вигідна і професіоналам, і споживачам продуктів і послуг ІБ, тому що дозволяє встановити оптимальний рівень упорядкування й уніфікації, забезпечити взаємозамінність продуктів ІБ, а також вимірюваність і повторюваність результатів, отриманих в різних країнах і організаціях. Для професіоналів -- це економія часу на пошук ефективних і зарекомендували себе рішень, а для споживача - гарантія отримання результату очікуваного якості.

    Об'єктом стандартизації може бути будь-який продукт або послуга ІБ: метод оцінки, функціональні можливості засобів захисту і параметри налаштування, властивості сумісності, процес розробки і виробництва, системи менеджменту і т.д.

    Стандартизація, залежно від складу учасників, буває міжнародної, регіональної або національної, при цьому міжнародна стандартизація (нарівні з офіційними органами стандартизації, такими як ISO) включає в себе стандартизацію консорціумів (наприклад, IEEE або SAE), а національна стандартизація буває державної або галузевої. Зупинимося докладніше на деяких популярних сьогодні зарубіжних стандартах, так чи інакше торкаються питання інформаційної безпеки.

    Міжнародні стандарти в галузі ІБ -- зарубіжний досвід Стандартизація в галузі ІБ за кордоном розвивається вже не один десяток років, і деякі країни, наприклад Великобританія, мають величезний досвід в розробці стандартів - багато британських національні стандарти, такі як BS7799-1/2, з часом набули статусу міжнародних. З них і почнемо.

    Міжнародні стандарти ISO 27002 та ISO 27001 Мабуть, на сьогодні це найбільш популярні стандарти в області ІБ.

    ISO 27002 (перш за ISO 17799) містить звід рекомендацій щодо ефективної організації систем управління ІБ на підприємстві, зачіпаючи всі ключові області, зокрема:

    - формування політики ІБ;

    - безпека, пов'язана з персоналом;

    - безпека комунікацій;

    - фізична безпека;

    - управління доступом;

    - обробка інцидентів;

    - забезпечення відповідності вимогам законодавства. Стандарт ISO 27001 є збіркою критеріїв при проведення сертифікації системи менеджменту, за результатами якої акредитованим органом з сертифікації видається міжнародний сертифікат відповідності, що включається до реєстру.

    Відповідно до реєстру, у Росії в даний час зареєстровано близько півтора десятка компаній, що мають такий сертифікат, при загальному числі сертифікацій у світі понад 5000. Підготовка до сертифікації може здійснюватися силами самої організації, або консалтинговими компаніями, причому практика показує, що набагато простіше отримати сертифікат ISO 27001 компаніям, вже має сертифіковану систему управління (наприклад, якістю). Стандарти ISO 27001/27002 є представниками нової серії стандартів, остаточне формування якої ще не закінчено: в розробці знаходяться стандарти 27000 (основні принципи і термінологія), 27003 (керівництво з впровадження системи управління ІБ), 27004 (вимір ефективності системи управління ІБ) та інші - всього в серії 27000 передбачається понад 30 стандартів. Детальніше про склад серії і поточному стані її розробки можна дізнатися на офіційному сайті ISO (www.iso.org).

    Міжнародні стандарти ISO13335 та ISO 15408 Стандарт ISO 13335 є сімейством стандартів безпеки інформаційних технологій, що охоплюють питання управління ІТ-безпекою, пропонуючи конкретні захисні заходи і способи. В даний час відбувається поступове заміщення серії 13335 більш новою серією 27000. Стандарт ISO 15408 містить єдині критерії оцінки безпеки ІТ-систем на програмно-апаратному рівні (подібно до знаменитої Помаранчевої книзі, яка також відома як критерії оцінки TCSEC, або європейські критерії ITSEC), які дозволяють порівнювати результати, отримані в різних країнах.

    У цілому дані стандарти, хоча і містять лише технологічну частину, можуть використовуватися як незалежно, так і при побудові систем управління ІБ в рамках, наприклад, підготовки до сертифікації на відповідність ISO 27001.

    CobiT CobiT являє собою набір з близько 40 міжнародних стандартів та настанов в області управління ІТ, аудиту та безпеки і містить опису відповідних процесів та метрик. Основна мета CobiT полягає у знаходженні спільної мови між бізнесом, що має конкретні цілі, і ІТ, що сприяють їх досягненню, дозволяючи створювати адекватні плани розвитку інформаційних технологій організації. CobiT застосовується для аудиту та контролю системи управління ІТ організації і містить докладні описи цілей, принципів і об'єктів управління, можливих ІТ-процесів і процесів управління безпекою. Повнота, зрозумілі описи конкретних дій та інструментів, а також націленість на бізнес роблять CobiT гарним вибором при створенні інформаційної інфраструктури та системи управління нею.

    У наступній частині статті ми розглянемо деякі цікаві національні та галузеві закордонні стандарти, такі як NIST SP 800, BS, BSI, PCI DSS, ISF, ITU та інші.

    ***

    Міжнародний стандарт ISO 20000 Стандарт ISO 20000 замінив собою британський стандарт BS 15000. Він описує сервісну модель ІТ, реалізуючи положення спеціалізованої бібліотеки ITIL (IT Infrastructure Library - бібліотека інфраструктури ІТ) і концепцію ITSM (IT Service Management - управління ІТ-послугами). Стандарт висуває вимоги до процесів управління ІТ-сервісами і встановлює критерії оцінки, придатні для проведення сертифікацій відповідності. Так само, як і у випадку сертифікації по ISO 27001, наявність у організації сертифікату на будь-яку систему менеджменту спрощує процедуру підготовки до сертифікації на відповідність ISO 20000. На сьогоднішній день в Україні всього 6 організацій мають сертифікат ISO 20000.

    ***

    Міжнародний стандарт ISO 18044 Стандарт ISO 18044 розроблений відповідно до стандартів ISO 13335-1 та ISO 17799 (ISO 27002) і описує процес управління інцидентами ІБ, а також зусилля, які повинні бути зроблені на всіх етапах життєвого циклу процесу управління інцидентами - від планування та формування команди реагування до витягання уроків і вдосконалення. Він може застосовуватися як при створенні системи управління ІБ по ISO 27000, так і самостійно в рамках розробки єдиного ізольованого процесу.

    ***

    Коментар експерта

    Олексій Плешков, начальник відділу захисту інформаційних технологій, Газпромбанк (Відкрите акціонерне товариство)

    Додатково до наведеного вище огляду міжнародних стандартів хотілося б звернути увагу на ще один регламентує документ з інформаційної безпеки, не поширений на території РФ. Одним з таких стандартів є документ з лінійки методів EBIOS.

    Проект EBIOS з розробки методів і інструментальних засобів управління ІБ в інформаційних системах підтримується урядом Франції і просувається комісією DCSSI при прем'єрміністр Франції на рівень загальноєвропейського. Призначення цього проекту - сприяти підвищення безпеки інформаційних систем державних або приватних організацій (http://www.securiteinfo. com/conseils/ebios.shtml).

    Текст комплекту документації на продукт автоматизації оціночних завдань забезпечення ІБ "Методологічні інструментальні засоби досягнення безпеки інформаційних систем EBIOS (визначення потреб та ідентифікація цілей безпеки) "був опублікований на офіційному сайті уряду Франції, присвяченому питанням забезпечення інформаційної безпеки автоматизованих систем в 2004 р. Метод EBIOS, запропонований Генеральним секретаріатом міністерства національної оборони Франції і названий "Визначення потреб та ідентифікація цілей безпеки "(EBIOS), був розроблений з урахуванням міжнародних стандартів, спрямованих на забезпечення ІБ. Він формалізує підхід до здійснення оцінки та обробки ризиків в галузі безпеки інформаційних систем і застосовується для оцінки рівня ІБ в розроблюваних та існуючих системах.

    Мета методу - дозволити будь-який організації, що знаходиться під управлінням держави, визначити перелік дій щодо забезпечення безпеки, які необхідно зробити в першу чергу. Метод може бути реалізований адміністраторами підрозділи безпеки організації і може застосовуватися на всіх рівнях структури розробляється або існуючої інформаційної системи (підсистеми, прикладні програми). Підхід EBIOS враховує три основні властивості ІБ: конфіденційність, цілісність та доступність як інформації, так і систем, а також середовища, в якому вони знаходяться. У певних випадках пропонується подбати про забезпечення потреб неспростовності, авторизації та аутентифікації. Методологія EBIOS безпосередньо пов'язана з оцінкою і обробкою ризиків. Ці ризики кваліфікуються як операційні, оскільки вони надають безпосередній вплив на бізнес-діяльність організації та управління організацією. Даний метод не так невідомий, як подані раніше міжнародні стандарти, але все ж його можна з упевненістю назвати міжнародним стандартом. На території Європейського союзу застосування методології EBIOS досить затребуваний. Ряд компаній спеціалізуються на проведення консалтингових робіт в частині приведення системи ІБ організації в відповідність вимогам підходу EBIOS.

    В якості довідкового матеріалу для знайомства з практикою міжнародних стандартів у галузі захисту інформації рекомендую використовувати Інтернет-ресурс http://www.iso27000.ru

    Георгій Гарбузов, CISSP, MCSE: Security, дирекція інформаційної безпеки Страхової Групи "УРАЛСИБ"

    Список літератури

    Information Security № 1, лютий-березень 2009

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати !