Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Ответы для экзамена - Информационная безопасность - файл 1.doc


Ответы для экзамена - Информационная безопасность
скачать (974 kb.)

Доступные файлы (1):

1.doc974kb.16.11.2011 00:46скачать

содержание

1.doc

1   2   3   4   5   6   7   8   9   ...   12
^

5. Требования к политике безопасности в рамках ISO


Цель: Обеспечить управление и поддержку в области информационной безопасности со стороны руководства в соответствии с требованиями бизнеса, а также действующей законодательной и нормативной базой. Руководство должно определить четкое стратегическое направление и продемонстрировать поддержку и приверженность информационной безопасности посредством опубликования и сопровождения политики информационной безопасности для всей организации.

Политика информационной безопасности - самый важный документ в системе управления информационной безопасностью (СУИБ) организации, выступающий в качестве одного из ключевых механизмов безопасности.
Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.


Согласно ISO 27001 политика информационной безопасности является подмножеством более общего документа - политики СУИБ, включающей в себя основные положения для определения целей СУИБ и устанавливающей общее направление и принципы деятельности по отношению к информационной безопасности, учитывающей требования бизнеса, законодательной или нормативной базы, контрактные обязательства, устанавливающей критерии для оценивания рисков и т.д.
Политика информационной безопасности и политика СУИБ организации могут быть описаны в одном документе. Разработка такого документа - задача непростая и очень ответственная. С одной стороны политика информационной безопасности должна быть достаточно емкой и понятной для всех сотрудников организации. С другой стороны, на основе этого документа строится вся система мер по обеспечению информационной безопасности, поэтому он должен быть досточно полным и всеохватывающим. Любые упущения и неоднозначности могут серьезным образом отразиться на функционировании СУИБ организации. Политика информационной безопасности должна полностью соответствовать требованиям международных стандартов ISO 27001/17799. Это необходимое условие для успешного прохождения сертификации.

BS ISO/IEC 27001:2005 4.2.1 b) Политика СУИБ:

Определить политику СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий, которая:

  1. включает в себя основу для определения ее целей и устанавливает общее направление и принципы деятельности по отношению к информационной безопасности;

  2. учитывает требования бизнеса и требования законодательной или нормативной базы, а также контрактные обязательства в области безопасности;

  3. объединяется со стратегическим контекстом управления рисками в организации, в котором будет происходить создание и сопровождение СУИБ;

  4. устанавливает критерии для оценивания рисков (см. 4.2.1с)); и

  5. утверждена руководством.

ПРИМЕЧАНИЕ: В этом Международном стандарте политика СУИБ рассматривается в качестве надмножества политики информационной безопасности. Эти политики могут быть описаны в одном документе.

^ BS ISO/IEC 17799:2005 5.1.1 Документированная политика информационной безопасности:

Механизм контроля

Документированная политика информационной безопасности должна быть утверждена руководством, опубликована и доведена до сведения всех сотрудников организации и внешних сторон, к которым она относится.

Руководство по внедрению

Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать  следующие заявления:

  1. определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации (см. Введение);

  2. заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;

  3. основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;

  4. краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:

    1. соответствие требованиям законодательства, нормативной базы и договоров;

    2. требования к повышению осведомленности, обучению и тренингам в области безопасности;

    3. управление непрерывностью бизнеса;

    4. последствия нарушений политики информационной безопасности;

  5. определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;

  6. ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.

Эта политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена.

Другая информация

Политика информационной безопасности должна быть частью более общей документированной политики. Если политика информационной безопасности распространяется за границы организации, должны быть приняты меры для предотвращения раскрытия конфиденциальной информации.  Дополнительная информация  содержится в ISO/IEC 13335-1:2004.
^

6. Общие сведения о стандартах серии ISO 27000


Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.
^

Разработчики международных стандартов


ISO (Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, являющиеся членами ISO или IEC, участвуют в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности. Технические комитеты ISO и IEC сотрудничают в областях взаимных интересов. Другие международные организации, правительственные и не правительственные, совместно с ISO и IEC также принимают участие в этой работе. В области информационных технологий, ISO и IEC организован совместный технический комитет, ISO/IEC JTC 1. Основной задачей совместного технического комитета является подготовка Международных Стандартов. Проекты Международных Стандартов принятые совместным техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. Международные Стандарты проектируются в соответствии с правилами, установленными Директивами ISO/IEC, Часть 2.
^

Русские переводы международных стандартов


Перевод международных стандартов управления информационной безопасностью на русский язык и их распространение на территории РФ и стран СНГ осуществляется компаний GlobalTrust - официальным дистрибутором Британского Института Стандартов (BSI) на основании лицензии BSI.
^

7. ISO 15408 - Общие критерии оценки безопасности информационных технологий


В 1999 г. Международная Организация по Стандартизации (ISO) приняла международный стандарт ISO 15408 под названием Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation или сокращенно - Common Criteria). Внушительных размеров тома Common Criteria содержат обобщенное формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности на протяжении десятилетий.

В Common Criteria наиболее полно представлены критерии для оценки механизмов безопасности программно-технического уровня . Общие критерии определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

При проведении работ по анализу защищенности АС (СВТ) “Общие критерии” используются в качестве основный критериев, позволяющих оценить уровень защищенности АС (СВТ) с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.

Хотя применимость “Общих критериев” ограничивается механизмами безопасности программно-технического уровня, в нем содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Требования к функциональности средств защиты приводятся во второй части “Общих критериев” и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.

В ходе формирования такой области знаний, как компьютерная безопасность, разрабатывались и совершенствовались критерии оценки безопасности. Точность, полнота и понятность этих критериев возрастала по мере того, как уточнялись концепции, формулировались основные принципы компьютерной безопасности, вводились новые понятия и уяснялся смысл старых.

К настоящему времени во многих странах мира разработаны критерии оценки безопасности автоматизированных систем. Еще в начале 80-х в США были разработаны Критерии Оценки Защищенности Компьютерных Систем (TCSEC или Оранжевая книга). В Европе такие критерии (ITSEC) был опубликованы в 1991 году Европейской Комиссией, в состав которой входили представители Франции, Германии, Нидерландов и Великобритании. Затем в Канаде в 1993 году были опубликованы Канадские Критерии Оценки Защищенности Компьютерных Продуктов (CTCPEC), являющиеся дальнейшим развитием и объединением Европейского и Американского подходов. В том же году в США выходит проект Федеральных Критериев Оценки Безопасности ИТ (FC), реализующего второй подход к объединению Северо-Американской и Европейской концепций оценки безопасности. В нашей стране в 1992 году Гостехкомиссией также был разработан РД концептуально схожий с Оранжевой книгой.

Отсутствие международного стандарта в области оценки безопасности не позволяет специалистам по сертификации компьютерных приложений одной страны использовать результаты оценок полученные специалистами другой страны. Поэтому следующим этапом развития этого научно-технического направления, после принятия соответствующих национальных стандартов, должна была закономерно стать разработка международного стандарта для критерия оценки безопасности автоматизированных систем.

ISO начала разработку такого международного стандарта еще в 1990 году. Затем, авторы Канадского (CTCPEC), Европейского (ITSEC) и Американских (FC и TCSEC) критериев в 1993 году объединили свои усилия и начали разработку проекта единых критериев. Целью проекта является устранение концептуальных и технических различий между существующими критериями и предоставление полученных результатов ISO в качестве вклада в разработку международного стандарта.

В результате международного сотрудничества была разработана первая версия Единых критериев оценки безопасности ИТ (а к настоящему времени разработана и передана в ISO их вторая версия). Первая версия этого документа была опубликована в Интернет с целью ее изучения международным сообществом и проведения пробных оценок. Опыт проведения пробных оценок и полученные комментарии предполагается использовать для разработки следующих версий “Единых критериев”. Наряду с “Едиными критериями” был также опубликован ряд других документов, таких как Общая Методика Оценки Безопасности ИТ, Руководство по Проведению Сертификации и Аккредитации Компьютерной безопасности, профили защиты для межсетевых экранов и коммерческих систем. Не имеет особого смысла сравнивать особенности нового и старого подходов к оценке безопасности, т. к. новый подход является дальнейшим развитием предметной области. В настоящее время можно говорить о создании единого языка для формулирования утверждений относительно безопасности автоматизированных систем (требований, угроз и целей защиты) и частичной формализации этой предметной области. Применение содержащихся в этих документах концепций позволит повысить эффективность проводимых оценок и качество получаемых результатов. Это также позволит использовать опыт, накопленный в этой области мировым сообществом.

Единые критерии представляют собой набор из пяти отдельных взаимосвязанных частей. К ним относятся:

  1. Введение и общая модель

  2. Функциональные требования безопасности

  3. Требования к надежности защитных механизмов

  4. Предопределенные профили защиты

  5. Процедуры регистрации профилей защиты

Предопределенные профили защиты содержат примеры профилей защиты, представляющие функциональные требования и требования к надежности, определенные в исходных критериях, включая ITSEC, CTCPEC, FC и TCSEC, а также требования не представленные в этих критериях. Четвертая часть "Единых критериев" является реестром профилей защиты, которые прошли процедуру регистрации. Этот реестр будет со временем пополнять по мере регистрации новых профилей защиты в соответствии с процедурой регистрации, описанной в пятой части "Единых критериев". Новые профили защиты будут разрабатываться группами пользователей и поставщиками компьютерных приложений и оцениваться независимыми экспертами в соответствии с требованиями, выраженными в "Единых критериях". Примерами существующих профилей защиты служат разработанные NIST профиль защиты межсетевых экранов (US Goverment Firewall Protection Profile) и профиль защиты коммерческих систем (Commercial Systems 2), соответствующих уровню защищенности класса С2 Оранжевой книги.

Изучение существующих критериев оценки безопасности АС позволяет сделать следующие выводы:

  1. Для того, чтобы результаты сертификационных испытаний можно было сравнивать между собой, они должны проводиться в рамках надежной схемы, устанавливаемой соответствующими стандартами в этой области и позволяющей контролировать качество оценки безопасности.

  2. В настоящее время в некоторых странах существуют такие схемы, но они базируются на различных критериях оценки. Однако, эти критерии имеют между собой много общего, т. к. используют сходные концепции, что позволяет осуществлять их сравнения. "Единые критерии" поддерживают совместимость с уже существующими. Это позволяет использовать имеющиеся результаты и методики оценок.

  3. Единые критерии определяют общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно безопасности АС. Это позволяет экспертам, проводящим оценку, использовать уже накопленный в этой области опыт.

  4. Требования, содержащиеся в "Единых критериях", могут также использоваться при выборе подходящих средств обеспечения безопасности АС. Потенциальные пользователи АС, опираясь на результаты сертификации, могут определить удовлетворяет ли данный программный продукт или система их требованиям безопасности.

  5. Кроме этого, "Единые критерии" улучшают существующие критерии, вводя новые концепции и уточняя содержание имеющихся.
1   2   3   4   5   6   7   8   9   ...   12



Скачать файл (974 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации