Раздел4_11

Отсюда соответствующие ТРЕБОВАНИЯ ГАРАНТИРОВАННОСТИ

оценки содержатся в следующих четырех семействах требований:

а) анализе каналов утечки информации (Covert Channel Analysis);

б) ошибке в конфигурации, либо неправильном использовании системы, приводящем к переходу системы в небезопасное состояние (Misuse);

в) стойкость функций безопасности, обеспечиваемая их реализацией

(Strength of TOE Security Functions);

д) анализ уязвимостей (Vulnerability Analysis).

При проведении работ по аудиту безопасности, перечисленные семейства требований могут использоваться в качестве руководства и критериев для анализа уязвимостей.

4.6.2 Практические правила управления информационной без-

опасностью (ISO 17799)

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в еще одном международном стандарте ISO 17799, принятом в 2000 году.

Стандарт, являющийся международной версией британского стан-

дарта BS 7799,

содержит практические правила по управлению информационной безопасностью,

и может использоваться в качестве критериев оценки механиз-

мов безопасности организационного уровня, включая административные,

процедурные и физические меры защиты.

Практические правила разбиты на десять разделов.

1 Политика безопасности.

2 Организация защиты.

3 Классификация ресурсов и их контроль.

4Безопасность персонала.

5Физическая безопасность.

6Администрирование компьютерных систем и сетей.

7Управление доступом.

8Разработка и сопровождение информационных систем.

9Планирование бесперебойной работы организации.

10Контроль выполнения требований политики безопасности.

Десять КЛЮЧЕВЫХ СРЕДСТВ КОНТРОЛЯ (механизмов управления информационной безопасностью), предлагаемых в ISO 17799, считаются особен-

но важными. При использовании некоторых из средств контроля, например, шифрования, могут потребоваться советы специалистов по безопасности и оценка рисков. Для обеспечения защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799.

КЛЮЧЕВЫЕ СРЕДСТВА КОНТРОЛЯ представляют собой либо

обязательные требования (например, требования действующего законода-

тельства),

либо считаются основными структурными элементами информа-

ционной безопасности (например, обучение правилам безопасности). Эти сред-

ства актуальны для всех организаций и составляют основу системы управления информационной безопасностью. Они служат в качестве основы для организаций, приступающих к реализации средств управления информационной безопасностью.

К КЛЮЧЕВЫМ отнесеныследующие средства контроля:

– документ о политикеинформационной безопасности;

– распределение обязанностей по обеспечению информационной без-

опасности;

– обучение и подготовка персонала к поддержанию режима информаци-

онной безопасности;

–уведомление о случаях нарушения защиты;

–средства защиты от вирусов;

–планирование бесперебойной работы организации;

–контроль над копированием программного обеспечения, защищен-

ного законом об авторском праве;

–защита документации организации;

–защита данных;

–контроль соответствия политике безопасности.

ПРОЦЕДУРА АУДИТА БЕЗОПАСНОСТИ автоматизированных си-

стем по стандарту ISO17799 включает в себя:

–проверку наличия перечисленных ключевых средствконтроля;

–оценку полноты и правильности их реализации;

–анализ их адекватности рискам, существующим в данной среде

функционирования.

Составной частью работ по аудиту также является анализ и управление рисками.

Таким образом, для обеспечения безопасности информационной безопасности современных продуктов информационных технологий необходимо соответствие современным международным стандартам безопасности.

Список использованных источников

1 Романец Ю.В. и др. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин; Под ред. В.Ф. Шаньгина. – 2-е изд. – М.: Радио и связь, 2001. – 376 с.

2.Малюк А.А. и др. Введение в защиту информации в автоматизированных системах / А.А. Малюк, С.В. Пазизин, Н.С. Погожин. – М.: Горячая Линия – Телеком, 2001. – 148 с.

3.Чмора А.Л. Современная прикладная криптография. – М.: Гелиос АРВ, 2001.

–256 с.

4.Бабенко Л.К. и др. Защита информации с использованием смарт–карт и электронных брелоков / Л.К. Бабенко, С.С. Ищуков, О.Б. Макаревич. – М.: Гелиос АРВ, 2003.–352с.

5Теоретические основы компьютерной безопасности: Учеб. пособие / П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков. – М.: Радио и связь, 2000. – 192 с.

6Брагг Р. Система безопасности Windows 2000. – М.: Издательский дом «Виль-

ямс»,2001.–592с.

7Гостехкомиссия России. Руководящий документ. СВТ. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. – М.: Военное издательство, 1992.

8Гостехкомиссия России. РД. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. – М.: Военное издательство, 1992.