2 Программирование на языке высокого уровня


Обзор международных стандартов в области информационной безопасности



страница26/29
Дата29.11.2016
Размер3.73 Mb.
Просмотров7152
Скачиваний0
1   ...   21   22   23   24   25   26   27   28   29

Обзор международных стандартов в области информационной безопасности


Международные стандарты позволяют дополнить отечественное законодательство в тех областях, которые не затрагиваются российскими нормативно-правовыми документами. Примерами таких областей является аудит информационной безопасности, интеграция различных средств обеспечения безопасности, управление системами защиты и др. В отличие от положений российского законодательства, требования международных стандартов носят рекомендательный характер.

В настоящее время на территории России наибольшее распространение получили следующие международные стандарты:



  • стандарт ISO / IEC 17799 "Информационная технология. Система менеджмента информационной безопасности. Требования";

  • стандарт ISO / IEC 27001 "Информационная технология. Методы обеспечения безопасности. Руководство по управлению информационной безопасностью".

  • стандарт CobiT ( ControlObjectivesforInformationandrelatedTechnology, "Контрольные Объекты для Информационной и смежных Технологий");

  • стандарт ITIL ( InformationTechnologiesInfrastructureLibrary, "Библиотека инфраструктуры информационных технологий");

  • методика проведения аудита информационной безопасности OCTAVE (OperationallyCriticalThreat, Asset, andVulnerabilityEvaluation, "Методика оценки критических угроз, информационных активов и уязвимостей").

Международный стандарт ISO / IEC 17799 представляет собой набор рекомендаций по применению организационно-технических мер безопасности для эффективной защиты автоматизированных систем. В 2007 г. планируется принятие ISO / IEC 17799 в качестве ГОСТа.

Стандарт CobiT разработан международной ассоциацией ISACA и предназначен для обеспечения эффективного управления информационными технологиями (ИТ) с точки зрения целей и задач бизнес-процессов компании. Согласно CobiT повышение эффективности управления ИТ позволяет увеличить отдачу от инвестиций в инфокоммуникационные системы, а также повысить конкурентоспособность предприятия. В соответствии с этим стандартом все ИТ-ресурсы компании должны эффективно управляться определенными ИТ-процессами, что позволит обеспечить своевременное предоставление информации, необходимой организации для достижения ее бизнес-целей. В стандарте CobiTопределено тридцать четыре ИТ-процесса, сгруппированных в четыре домена: "планирование и организация", "проектирование и внедрение", "эксплуатация и сопровождение", и "мониторинг". Каждый из этих процессов описывается совокупностью показателей, на основе которых осуществляется оценка эффективности существующих механизмов управления ИТ-ресурсами.

Стандарт ITIL представляет собой набор рекомендаций по управлению ИТ, разработанных Отделом Правительственной Торговли Великобритании ( UnitedKingdom'sOfficeOfGovernmentCommerce, OGC ). Стандарт рассматривает информационные технологии в виде сервисов, которые предоставляются внутри организации. Стандарт состоит из следующих семи основных частей, каждая из которых описывает один из аспектов управления ИТ-сервисами: "Предоставление и поддержка ИТ-сервисов" ( Servicesupportanddelivery ), "Планирование внедрения процесса управления ИТ-услугами" ( Planningtoimplementservicemanagement ), "Управление приложениями" ( Applicationmanagement ), "Управление инфраструктурой" ( Infrastructuremanagement ), "Управление безопасностью" ( Securitymanagement ) и "Бизнес-перспектива" ( Thebusinessperspective ).

Методика проведения аудита информационной безопасности OCTAVE разработана координационным центром немедленного реагирования CERT (ComputerEmergencyResponseTeam ) и предназначена для анализа уровня защищенности автоматизированных систем посредством оценки рисков.



Разработка политики информационной безопасности

Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:



1. Невозможность миновать защитные средства. Все информационные потоки в защищаемую сеть и из нее должны проходить через средства защиты. Не должно быть тайных модемных входов или тестовых линий, идущих в обход защиты.

2. Усиление самого слабого звена. Надежность любой защиты определяется самым слабым звеном, так как злоумышленники взламывать именно его. Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер.

3. Невозможность перехода в небезопасное состояние. Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ.

4. Минимизация привилегий. Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.

5. Разделение обязанностей. Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс.

6. Эшелонированность обороны. Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж. Эшелонированная оборона способна по крайней мере задержать злоумышленника и существенно затруднить незаметное выполнение вредоносных действий.

7. Разнообразие защитных средств. Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными, по возможности, несовместимыми между собой навыками.

8. Простота и управляемость информационной системы. Принцип простоты и управляемости гласит, что только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование.

9. Обеспечение всеобщей поддержки мер безопасности. Принцип всеобщей поддержки мер безопасности носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или враждебным, то режим безопасности сформировать заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное теоретическое и практическое обучение.

    1. Основы работы антивирусных программ, существующие методы обнаружения вирусов, дополнительные средства обеспечения антивирусной безопасности, основные элементы антивирусной защиты.



Поделитесь с Вашими друзьями:
1   ...   21   22   23   24   25   26   27   28   29


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал