Стандарты информационной безопасности
Стандарты в области информационной безопасности
| Государственные стандарты Российской Федерации | |
| ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» | |
| ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» | |
| Р 50.1.056-2005 «Техническая защита информации. Основные термины и определения» | |
| ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» | |
| ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности» | |
| ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности» | |
| ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» | |
| ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» | |
| ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» | |
| ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» | |
| ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер» | |
| ГОСТ Р ИСО/МЭК ТО 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети» | |
| ГОСТ Р ИСО/ТО 13569-2007 «Финансовые услуги. Рекомендации по информационной безопасности» | |
| ГОСТ Р ИСО/МЭК 15026-2002 «Информационная технология. Уровни целостности систем и программных средств» | |
| ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» | |
| ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» | |
| ГОСТ Р ИСО/МЭК 19794-2-2005 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца - контрольные точки» | |
| ГОСТ Р ИСО/МЭК 19794-4-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца» | |
| ГОСТ Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица» | |
| ГОСТ Р ИСО/МЭК 19794-6-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза» | |
| ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» | |
| ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство» | |
| ГОСТ Р 51725.6-2002 «Каталогизация продукции для федеральных государственных нужд. Сети телекоммуникационные и базы данных. Требования информационной безопасности» | |
| ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» | |
| ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения» | |
| ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества» | |
| ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» | |
| ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» | |
| ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования» |
| Стандарты в области информационной безопасности организаций банковской системы Российской Федерации | |
| Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2008) | |
| Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» (СТО БР ИББС-1.1-2007) | |
| Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0-2008» (СТО БР ИББС-1.2-2009) | |
| Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» (РС БР ИББС-2.0-2007) | |
| Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0» (РС БР ИББС-2.1-2007) | |
| Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» (РC БР ИББС-2.2-2009) | |
| Описание формы предоставления результатов оценки уровня информационной безопасности организаций банковской системы Российской Федерации |
Стандарты информационной безопасности
Важность обеспечения информационной безопасности сложно переоценить, так как необходимость хранить и передавать данные является неотъемлемой частью ведения любого бизнеса.
Различные способы информационной защиты зависят от того, в какой форме осуществляется ее хранение, однако для того, чтобы систематизировать и упорядочить данную область, необходимо установление стандартов обеспечения информационной безопасности, поскольку стандартизация является важным определителем качества в оценке предоставляемых услуг.
Необходимость стандартизации обеспечения безопасности данных
Любое обеспечение информационной безопасности нуждается в контроле и проверке, которая не может быть произведена только лишь методом индивидуальной оценки, без учета международных и государственных стандартов.
Формирование стандартов информационной безопасности происходит после четкого определения ее функций и границ. Информационная безопасность – это обеспечение конфиденциальности, целостности и доступности данных.
Для определения состояния информационной безопасности наиболее применима качественная оценка, так как выразить степень защищенности или уязвимости в процентном соотношении возможно, но это не дает полной и объективной картины.
Для оценки и аудита безопасности информационных систем можно применить ряд инструкции и рекомендаций, которые и подразумевают под собой нормативное обеспечение.
Государственные и международные стандарты информационной безопасности
Контроль и оценка состояния безопасности осуществляется путем проверки их соответствия стандартам государственным (ГОСТ, ИСО) и международным (Iso, Common criteris for IT security).
Международный комплекс стандартов, разработанных Международной Организацией по Стандартизации (ISO), представляет собой совокупность практик и рекомендаций по внедрению систем и оборудования информационной защиты.
Читайте также: Защита информации
ISO 27000 – один из самых применимых и распространенных стандартов оценки, включающий в себя более 15 положений, и имеющих последовательную нумерацию.
Согласно критериям оценки стандартизации ISO 27000, безопасность информации – это не только ее целостность, конфиденциальность и доступность, а также аутентичность, надежность, отказоустойчивость и идентифицируемость. Условно эту серию стандартов можно разделить на 4 раздела:
- обзор и введение в терминологию, описание терминов, применяемых в сфере обеспечения безопасности;
- обязательные требования к системе управления информационной безопасностью, подробное описание методов и средств управления системой. Является основным стандартом этой группы;
- рекомендации для аудита, руководство по мерам обеспечения безопасности;
- стандарты, рекомендующие практики внедрения, развития и усовершенствования системы управления информационной безопасностью.
К государственным стандартам обеспечения информационной безопасности относится ряд нормативных актов и документов, состоящих из более чем 30 положений (ГОСТ).
Различные стандарты направлены не только на установление общих критериев оценки, как например ГОСТ Р ИСО/МЭК 15408, содержащий методологические указания по оценке безопасности, перечень требований к системе управления. Они могут быть и специфическими, а также содержать в себе практическое руководство.
Правильная организация склада и его регулярный контроль работы поможет исключить хищение товарных и материальных ценностей, что негативно сказывается на финансовом благополучии любого предприятия, независимо от формы его собственности.
К моменту запуска система автоматизации склада проходит ещё два этапа: внутреннее тестирование и наполнение данными. После такой подготовки система запускается в полном объёме. Более подробно об автоматизации читайте тут.
Взаимосвязь и совокупность методик приводят к разработке общих положений и к слиянию международной и государственной стандартизаций. Так, ГОСТы РФ содержат дополнения и ссылки на международные стандарты ISO.
Такое взаимодействие помогает выработать единую систему контроля и оценки, что, в свою очередь, значительно повышает эффективность применения данных положений на практике, объективно оценивать результаты работы и в целом улучшать систему защиты.
Читайте также: Система информационной безопасности
Сравнение и анализ национальных и международных систем стандартизации
Количество европейских норм стандартизации по обеспечению и контролю информационной безопасности значительно превышает те правовые нормы, которые устанавливает РФ.
В национальных государственных стандартах преобладающими являются положения о защите информации от возможного взлома, утечки и угроз ее потери. Иностранные системы защиты специализируются на разработке стандартов доступа к данным и осуществления аутентификации.
Различия имеются так же и в положениях, относящихся к осуществлению контроля и аудита систем безопасности предприятий. Кроме того, практика применения и внедрения системы управления информационной безопасностью европейской стандартизации проявляется практически во всех сферах жизни, а стандарты РФ в основном направлены на сохранение материального благосостояния.
Тем не менее, постоянно обновляющиеся государственные стандарты содержат необходимый минимальный набор требований, позволяющий создать грамотную систему управления информационной безопасностью.
Стандарты информационной безопасности передачи данных
Ведение бизнеса предполагает как хранение, так и обмен, и передачу данных посредством сети Интернет. В современном мире совершение валютных операций, осуществление коммерческой деятельности и перевод средств зачастую происходит в сети, и обеспечить информационную безопасность данной деятельности возможно, только лишь применяя, грамотный и профессиональный подход.
В сети интернет существует множество стандартов, обеспечивающих безопасное хранение и передачу данных, широко известные антивирусные программы защиты, специальные протоколы финансовых операций и множество других.
Скорость развития информационных технологий и систем настолько велика, что значительно опережает создание протоколов и единых стандартов для их использования.
Одним из популярных протоколов безопасной передачи данных является SSL (Secure Socket Layer), разработанный американскими специалистами. Он позволяет обеспечивать защиту данных с помощью криптографии.
Преимуществом данного протокола является возможность проверки и аутентификации, например ЭЦП, непосредственно перед обменом данными. Однако использование подобных систем при передаче данных является скорее рекомендательным, так как применение этих стандартов не являются обязательными для предпринимателей.
Для открытия ООО необходим устав предприятия. Процедура, которая разрабатывается в соответствии с законодательством РФ. Написать его можно самому, в качестве пособия взять типовой образец, а можно обратиться к специалистам, которые его напишут.
Начинающему бизнесмену, планирующему развивать собственный бизнес в статусе индивидуального предпринимателя, необходимо при заполнении заявления указать код экономической деятельности в соответствии с ОКВЭД. Подробности тут.
Для осуществления безопасных трансакций и банковских операций был разработан протокол передачи SET (Security Electronic Transaction), позволяющий минимизировать риски при проведении коммерческих и торговых операций. Данный протокол является стандартом для платежных систем Visa и Master Card, позволяя использовать защитный механизм платежной системы.
Читайте также: Коммерческая тайна
Комитеты, проводящие стандартизацию интернет ресурсов, являются добровольными, поэтому осуществляемая ими деятельность не является правовой и обязательной к применению.
Однако мошенничество в сети интернет в современном мире признано одной из глобальных проблем, следовательно, обеспечить информационную безопасность без применения специальных технологий и их стандартизации просто невозможно.
Согласно законодательству, применение и соответствие стандартам обеспечения информационной безопасности не всегда обязательно, однако их практическое использование поможет предоставлять наиболее качественно разработанные системы и практически испытанные методы.
Стандартизация обеспечивает повышение качества предоставляемых услуг, единую систему оценки, соблюдение технических требований, повышение уровня квалификации сотрудников и рациональное использование ресурсов.
Действующие стандарты безопасности позволяют объективно оценивать услуги, предоставляемые компаниями по обеспечению информационной безопасности, осуществлять контроль и планирование данного вида деятельности.
Отечественные и зарубежные стандарты в области информационной безопасности
В Российской Федерации сейчас насчитывается более 22 тысяч действующих стандартов. Стандартизация начинается с основополагающего стандарта, устанавливающего общие положения. На сегодняшний день такого стандарта в области информационной безопасности нет. Девять ГОСТов: ГОСТ 28147—89, ГОСТ Р 34.10—94, ГОСТ Р 34.11-94, ГОСТ 29. 339-92, ГОСТ Р 50752-95, ГОСТ РВ 50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922-96 относятся к различным группам по классификатору стандартов и, к сожалению, не являются функционально полными ни по одному из направлений защиты информации. Кроме того, есть семейства родственных стандартов, имеющих отношение к области защиты информации:
• системы тревожной сигнализации, комплектуемые извещателями различного принципа действия, — 12 ГОСТов;
• информационные технологии (сертификация систем телекоммуникации, программных и аппаратных средств, аттестационное тестирование взаимосвязи открытых систем, аттестация баз данных и т. д.) — около 200 ГОСТов;
• системы качества (в том числе стандарты серии 9000, введенные в действие на территории РФ) — больше 100 ГОСТов.
Значительная часть стандартов на методы контроля и испытаний (около 60 %) может быть признана не соответствующей требованию Закона РФ «Об обеспечении единства измерений», как правило, в части погрешностей измерений. Отсутствуют стандарты в сфере информационно-психологической безопасности.
Комплексность защиты информации достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:
• ГОСТ 28147—89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
• ГОСТ Р 34. 10—94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;
• ГОСТ Р 34. 11—94 «Информационная технология. Криптографическая защита информации. Функция хэширования»;
• ГОСТ Р 50739—95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
В 1983 году Агентство компьютерной безопасности Министерства обороны США опубликовало отчет, названный TSEC (Критерии Оценки Защищенности Надежных Систем) или Оранжевая книга (по цвету переплета), где были определены 7 уровней безопасности (Al —гарантированная защита, Bl, B2, В3 — полное управление доступом, Cl, C2 — избирательное управление доступом, D — минимальная безопасность) для оценки защиты конфиденциальных данных в многопользовательских компьютерных системах.
Для оценки компьютерных систем Министерства обороны США Национальный Центр компьютерной безопасности МО США выпустил инструкции NCSC-TG-005 и NCSC-TG-011, известные как Красная книга (по цвету переплета).
В качестве ответа Агентство информационной безопасности ФРГ подготовило Green Book (Зеленая книга), где рассмотрены в комплексе требования к доступности, целостности и конфиденциальности информации как в государственном, так и в частном секторе.
В 1990 году Зеленая книга была одобрена ФРГ, Великобританией, Францией и Голландией и направлена в ЕС, где на ее основе была подготовлена ITSEC (Критерии Оценки Защищенности Информационных Технологий) или Белая книга как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем, имеющий две схемы оценки: по эффективности (от Е1 до Е6) и по функциональности (доступность, целостность системы, целостность данных, конфиденциальность информации и передача данных).
Рассмотрим подробнее положения европейского стандарта. В Белой книге названы основные компоненты критериев безопасности ITSEC:
1. Информационная безопасность.
2. Безопасность системы.
3. Безопасность продукта.
4. Угроза безопасности.
5. Набор функций безопасности.
6. Гарантированность безопасности.
7. Общая оценка безопасности.
8. Классы безопасности.
Согласно европейским критериям ITSEC, информационная безопасность включает в себя шесть основных элементов ее детализации:
1. Конфиденциальность информации (защита от несанкционированного получения информации).
2. Целостность информации (зашита от несанкционированного изменения информации).
3. Доступность информации (защита от несанкционированного или случайного удержания информации и ресурсов системы).
4. Цели безопасности (зачем нужны функции информационной безопасности).
5. Спецификация функций безопасности:
• идентификация и аутентификация (понимается не только традиционная проверка подлинности пользователя, но и функции для регистрации новых пользователей и удаления старых, а также функции для изменения и проверки аутентификационной информации, в т. ч. средств контроля целостности и функции для ограничения количества повторных попыток аутентификации);
• управление доступом (в том числе функции безопасности, которые обеспечивают: временное ограничение доступа к совместно используемым объектам, с целью поддержания целостности этих объектов; управление распространением прав доступа; контроль за получением информации путем логического вывода и агрегирования данных);
• подотчетность (протоколирование);
• аудит (независимый контроль);
• повторное использование объектов;
• точность информации (поддержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации));
• надежность обслуживания (функции обеспечения, когда действия, критичные по времени, будут выполнены именно тогда, когда нужно; некритичные действия нельзя перенести в разряд критичных; авторизованные пользователи за разумное время получат запрашиваемые ресурсы; функции обнаружения и нейтрализации ошибок; функции планирования для обеспечения коммуникационной безопасности, т, е. безопасности данных, передаваемых по каналам связи);
• обмен данными.
6. Описание механизмов безопасности.
В Белой книге декларируется разница между «системой» и «продуктом». Под «системой» понимается конкретная аппаратно-программная конфигурация, созданная с вполне определенными целями и работающая в известном окружении, а под «продуктом» — аппаратно-программный пакет, Который можно купить и по своему усмотрению вставить в ту или иную «систему».
Каждая «система» и/ или «продукт» предъявляют свои требования к обеспечению конфиденциальности, целостности и доступности информации. Для их реализации необходим и соответствующий набор функций безопасности таких, как идентификация и аутентификация, управление доступом, восстановление после сбоев, подотчетность, аудит, правила повторного использования объектов доступа, точность информации, надежность обслуживания, обмен данными.
Общая оценка безопасности системы по ITSEC состоит из двух компонент — оценки уровня гарантированной эффективности механизмов (средств) безопасности и оценки уровня их гарантированной корректности. Безопасность системы в целом оценивается отдельно для «систем» и «продуктов». Защищенность их не может быть выше мощности самого слабого из критически важных механизмов безопасности (средств защиты).
Одним из отечественных аналогов перечисленных стандартов является Руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации».
AR Стандарты информационной безопасности
Москва +7 (495) 221 21-41 Санкт-Петербург +7 (812) 407 34 71Екатеринбург +7 (343) 247 83 68
- Москва
- Санкт-Петербург
- Екатеринбург
- +7 (495) 221 21 41
- +7 (812) 407 34 71
- +7 (343) 247 83 68
Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
Стандарты в области информационной безопасности выполняют следующие важнейшие функции:
- выработка понятийного аппарата и терминологии в области информационной безопасности
- формирование шкалы измерений уровня информационной безопасности
- согласованная оценка продуктов, обеспечивающих информационную безопасность
- повышение технической и информационной совместимости продуктов, обеспечивающих ИБ
- накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем
- функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.
Благодаря стандартам информационной безопасности:
Преимущества использования стандартов ИБ разными группами ИТ-сообщества
Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:
- повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;
- обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);
- содействие соблюдению требований технических регламентов;
- создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.
Основными областями стандартизации информационной безопасности являются:
- аудит информационной безопасности
- модели информационной безопасности
- методы и механизмы обеспечения информационной безопасности
- криптография
- безопасность межсетевых взаимодействий
- управление информационной безопасностью.
Стандарты информационной безопасности имеют несколько классификаций:
Различные классификации стандартов информационной безопасности
Существуют российские стандарты информационной безопасности (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р 51275 и др.), причем Федеральный закон №184-ФЗ «О техническом регулировании» декларирует принцип «применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения».
Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения.
