Раздел4_11
.pdfОтсюда соответствующие ТРЕБОВАНИЯ ГАРАНТИРОВАННОСТИ
оценки содержатся в следующих четырех семействах требований:
а) анализе каналов утечки информации (Covert Channel Analysis);
б) ошибке в конфигурации, либо неправильном использовании системы, приводящем к переходу системы в небезопасное состояние (Misuse);
в) стойкость функций безопасности, обеспечиваемая их реализацией
(Strength of TOE Security Functions);
д) анализ уязвимостей (Vulnerability Analysis).
При проведении работ по аудиту безопасности, перечисленные семейства требований могут использоваться в качестве руководства и критериев для анализа уязвимостей.
4.6.2 Практические правила управления информационной без-
опасностью (ISO 17799)
Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в еще одном международном стандарте ISO 17799, принятом в 2000 году.
Стандарт, являющийся международной версией британского стан-
дарта BS 7799,
содержит практические правила по управлению информационной безопасностью,
и может использоваться в качестве критериев оценки механиз-
мов безопасности организационного уровня, включая административные,
процедурные и физические меры защиты.
Практические правила разбиты на десять разделов.
1 Политика безопасности.
2 Организация защиты.
3 Классификация ресурсов и их контроль.
4Безопасность персонала.
5Физическая безопасность.
6Администрирование компьютерных систем и сетей.
7Управление доступом.
8Разработка и сопровождение информационных систем.
9Планирование бесперебойной работы организации.
10Контроль выполнения требований политики безопасности.
Десять КЛЮЧЕВЫХ СРЕДСТВ КОНТРОЛЯ (механизмов управления информационной безопасностью), предлагаемых в ISO 17799, считаются особен-
но важными. При использовании некоторых из средств контроля, например, шифрования, могут потребоваться советы специалистов по безопасности и оценка рисков. Для обеспечения защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799.
КЛЮЧЕВЫЕ СРЕДСТВА КОНТРОЛЯ представляют собой либо
обязательные требования (например, требования действующего законода-
тельства),
либо считаются основными структурными элементами информа-
ционной безопасности (например, обучение правилам безопасности). Эти сред-
ства актуальны для всех организаций и составляют основу системы управления информационной безопасностью. Они служат в качестве основы для организаций, приступающих к реализации средств управления информационной безопасностью.
К КЛЮЧЕВЫМ отнесеныследующие средства контроля:
– документ о политикеинформационной безопасности;
– распределение обязанностей по обеспечению информационной без-
опасности;
– обучение и подготовка персонала к поддержанию режима информаци-
онной безопасности;
–уведомление о случаях нарушения защиты;
–средства защиты от вирусов;
–планирование бесперебойной работы организации;
–контроль над копированием программного обеспечения, защищен-
ного законом об авторском праве;
–защита документации организации;
–защита данных;
–контроль соответствия политике безопасности.
ПРОЦЕДУРА АУДИТА БЕЗОПАСНОСТИ автоматизированных си-
стем по стандарту ISO17799 включает в себя:
–проверку наличия перечисленных ключевых средствконтроля;
–оценку полноты и правильности их реализации;
–анализ их адекватности рискам, существующим в данной среде
функционирования.
Составной частью работ по аудиту также является анализ и управление рисками.
Таким образом, для обеспечения безопасности информационной безопасности современных продуктов информационных технологий необходимо соответствие современным международным стандартам безопасности.
Список использованных источников
1 Романец Ю.В. и др. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин; Под ред. В.Ф. Шаньгина. – 2-е изд. – М.: Радио и связь, 2001. – 376 с.
2.Малюк А.А. и др. Введение в защиту информации в автоматизированных системах / А.А. Малюк, С.В. Пазизин, Н.С. Погожин. – М.: Горячая Линия – Телеком, 2001. – 148 с.
3.Чмора А.Л. Современная прикладная криптография. – М.: Гелиос АРВ, 2001.
–256 с.
4.Бабенко Л.К. и др. Защита информации с использованием смарт–карт и электронных брелоков / Л.К. Бабенко, С.С. Ищуков, О.Б. Макаревич. – М.: Гелиос АРВ, 2003.–352с.
5Теоретические основы компьютерной безопасности: Учеб. пособие / П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков. – М.: Радио и связь, 2000. – 192 с.
6Брагг Р. Система безопасности Windows 2000. – М.: Издательский дом «Виль-
ямс»,2001.–592с.
7Гостехкомиссия России. Руководящий документ. СВТ. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. – М.: Военное издательство, 1992.
8Гостехкомиссия России. РД. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. – М.: Военное издательство, 1992.