- •Международные критерии оценки безопасности информационных технологий зарубежных стран План лекции
- •1. Гармонизированные критерии европейских стран
- •2. Германский стандарт bsi
- •2.1. Структура германского стандарта bsi.
- •3. Британский стандарт bs 7799
- •Критерии оценки доверенных компьютерных систем (тсsес)
- •Европейские критерии (iтsес)
- •Канадские критерии безопасности компьютерных систем (стсрес)
- •4. Международный стандарт isо/iес 15408 "Критерии оценки безопасности информационных технологий" «Общие критерии»
- •Стандарты безопасности в Интернете
2. Германский стандарт bsi
В 1998 году в Германии вышло "Руководство по защите информационных технологий для базового уровня защищённости".
Руководство представляет собой гипертекстовую электронную книгу объемом около 4 МБ (в формате HTML). Оно посвящено рассмотрению частных вопросов управления информационной безопасностью компании.
В дальнейшем оно было оформлено в виде германского стандарта BSI.
2.1. Структура германского стандарта bsi.
В основе Германского стандарта лежит общая методология и компоненты управления информационной безопасностью.
В Германском стандарте представлены:
Общий метод управления информационной безопасностью (организация менеджмента в области ИБ, методология использования руководства).
Описания компонентов современных информационных технологий.
Основные компоненты, в том числе:
- организационный уровень ИБ;
- процедурный уровень;
- организация защиты данных;
- планирование действий в чрезвычайных ситуациях.
Инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа).
Клиентские компоненты различных типов:
- DOS, Windows, UNIX;
- мобильные компоненты;
- прочие типы.
Сети различных типов:
- соединения «точка-точка»;
- сети Novell NetWare;
- сети с OC ONIX и Windows;
- разнородные сети).
Элементы систем передачи данных:
- электронная почта;
- модемы;
- межсетевые экраны и т.д.
Телекоммуникации:
- факсы, автоответчики;
- интегрированные системы на базе ISDN;
- прочие телекоммуникационные системы.
Стандартное программное обеспечение.
Базы данных.
Описания основных компонентов организации режима информационной безопасности:
- организационный и технический уровни защиты данных;
- планирование действий в чрезвычайных ситуациях;
- поддержка непрерывности бизнеса.
Характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны).
Характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и сервера под управлением операционных систем семейства DOS, Windows и UNIX).
Характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).
Характеристика активного и пассивного телекоммуникационного оборудования ведущих компаний, например Cisco Systems.
Подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
Все виды угроз в стандарте BSI разделены на следующие классы:
Форс-мажорные обстоятельства.
Недостатки организационных мер.
Ошибки человека.
Технические неисправности.
Преднамеренные действия.
Аналогично классифицированы контрмеры:
Улучшение инфраструктуры;
Административные контрмеры;
Процедурные контрмеры;
Программно-технические контрмеры;
Уменьшение уязвимости коммуникаций; планирование действий в чрезвычайных ситуациях.
Все компоненты рассматриваются и описываются по следующему плану:
общее описание;
возможные сценарии угроз безопасности (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);
возможные контрмеры (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);