Архитектура электронного правительства: Единая архитектура – это методологический подход при создании системы управления государства, который строится...
Историки об Елизавете Петровне: Елизавета попала между двумя встречными культурными течениями, воспитывалась среди новых европейских веяний и преданий...
Топ:
Когда производится ограждение поезда, остановившегося на перегоне: Во всех случаях немедленно должно быть ограждено место препятствия для движения поездов на смежном пути двухпутного...
Техника безопасности при работе на пароконвектомате: К обслуживанию пароконвектомата допускаются лица, прошедшие технический минимум по эксплуатации оборудования...
Особенности труда и отдыха в условиях низких температур: К работам при низких температурах на открытом воздухе и в не отапливаемых помещениях допускаются лица не моложе 18 лет, прошедшие...
Интересное:
Наиболее распространенные виды рака: Раковая опухоль — это самостоятельное новообразование, которое может возникнуть и от повышенного давления...
Искусственное повышение поверхности территории: Варианты искусственного повышения поверхности территории необходимо выбирать на основе анализа следующих характеристик защищаемой территории...
Подходы к решению темы фильма: Существует три основных типа исторического фильма, имеющих между собой много общего...
Дисциплины:
2017-07-01 | 291 |
5.00
из
|
Заказать работу |
|
|
РАЗДЕЛ 3
СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В последние годы в связи с ростом спроса на электронные услуги и развитием компьютерных систем и сетей ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей ИТ-средств.
Роль стандартов информационной безопасности
Главная задача стандартов информационной безопасности – создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Стандарты предоставляют:
¨ потребителям:
· методику, которая позволяет обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы (шкала оценок);
· инструмент, с помощью которого потребитель формулирует свои требования производителям (характеристики и свойства конечного продукта);
¨ производителям:
· средство сравнения возможностей своих продуктов
· применение процедуры сертификации как механизма объективной оценки их свойств
· стандартизацию определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора (требования должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т.д.);
¨Экспертам по квалификации и специалистам по сертификации:
· инструмент, который позволяет обоснованно оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор.
|
Таким образом, перед стандартами информационной безопасности стоит задача – примирить три разных точки зрения и создать эффективный механизм взаимодействия всех сторон.
Первым и наиболее известным документом (стандартом) была Оранжевая книга «Критерии безопасности компьютерных систем» Министерства обороны США. Она появилась в 90-х годах прошлого века. В этом документе определено четыре уровня безопасности – D, С, В и А. По мере перехода от уровня D до А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (Cl, C2, Bl, B2, ВЗ). Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее защита должна удовлетворять оговоренным требованиям.
К другим важным стандартам информационной безопасности этого поколения относятся руководящие документы Гостехкомиссии России, Европейские критерии безопасности информационных технологий, Федеральные критерии безопасности информационных технологий США, Канадские критерии безопасности компьютерных систем.
В последнее время появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасностью компании – международные стандарты управления информационной безопасностью ISO 15408, ISO 17799 и некоторые другие.
Международные стандарты информационной безопасности
В соответствии с международными и национальными стандартами обеспечение информационной безопасности предполагает следующее:
¨ определение целей обеспечения информационной безопасности компьютерных систем;
¨ создание эффективной системы управления информационной безопасностью;
¨ расчет совокупности детализированных качественных и количественных показателей для оценки соответствия информационной безопасности поставленным целям;
¨ применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
|
¨ использование методик управления безопасностью, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
Германский стандарт BSI
В отличие от ISO 17799, германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасности компании. В стандарте BSI представлены:
¨ общая методика управления информационной безопасностью (организация менеджмента в области ИБ, методология использования руководства);
¨ описания компонентов современных информационных технологий;
¨ описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);
¨ характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);
¨ характеристики основных информационных активов компании (в том числе аппаратного и программного обеспечения, например рабочих станций и серверов под управлением операционных систем семейства DOS, Windows и UNIX);
¨ характеристики компьютерных сетей на основе различных сетевых технологий (сетей Novell NetWare, UNIX и Windows);
¨ характеристики активного и пассивного телекоммуникационного оборудования ведущих поставщиков (Cisco Systems);
¨ подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании – возможные угрозы и уязвимости безопасности – возможные меры и средства контроля и защиты.
РАЗДЕЛ 3
СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В последние годы в связи с ростом спроса на электронные услуги и развитием компьютерных систем и сетей ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей ИТ-средств.
|
|
Индивидуальные и групповые автопоилки: для животных. Схемы и конструкции...
Наброски и зарисовки растений, плодов, цветов: Освоить конструктивное построение структуры дерева через зарисовки отдельных деревьев, группы деревьев...
Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ - конструкции, предназначенные для поддерживания проводов на необходимой высоте над землей, водой...
Индивидуальные очистные сооружения: К классу индивидуальных очистных сооружений относят сооружения, пропускная способность которых...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!