Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
21
Тема 3 . Стандарты безопасности предприятия .
3.1. Стандартизация: объекты, субъекты, цели и задачи стандартизации .
3.2. Международные стандарты обеспечения безопасности предприятия в Украине .
3.3. Международная организация по стандартизации, официальная стандартизация согласно ISO.
3.4. Структура разделов стандарта ISO / IEC .
3.4. Стандарты безопасности труда .
3.1. Стандартизация: объекты, субъекты, цели и задачи стандартизации
Ни одно общество не может существовать без законодательства и нормативных документов, которые регламентируют правила, процессы, методы изготовления и контроля качества товаров, работ и услуг, а также гарантируют безопасность жизни, здоровья и имущества людей и окружающей среды. Стандартизация как раз и является той деятельностью, которой присущи эти функции.
Стандартизация - деятельность, заключающаяся в установлении положений для общего и многоразового применения относительно имеющихся или возможных заданий с целью достижения оптимальной степени упорядочения в определенной сфере , результатом которой является повышение степени соответствия продукции , процессов и услуг их функциональному назначению , устранению бар ' интерьеров в торговле и содействию международному сотрудничеству .
Отношения связанные с деятельностью в сфере стандартизации и применения ее результатов регулируются Законом Украины « стандартизации от 17.05.2001 Настоящий Закон устанавливает правовые и организационные основы стандартизации в Украине и направлен на обеспечение единой политики в этой сфере.
Объектом стандартизации являются продукция, процессы и услуги, в том числе материалы помещения, оборудование системы, их совместимость, правила, процедуры, формы методы вообще деятельность .
Целью стандартизации в Украине является обеспечение безопасности жизни и здоровья человека, животных, растений, а также имущества и охраны окружающей среды, создание условий для рационального использования всех видов национальных ресурсов и соответствия объектов стандартизации своему назначению , содействие устранению технических барьеров в торговли [см. . 3 ] .
Государственная политика в сфере стандартизации базируется на таких принципах :
- Обеспечение участия физических и юридических лиц в разработке стандартов и в свободном выборе ими видов стандартов при производстве или поставке продукции ;
- Открытость и прозрачность процедур разработки и принятия стандартов с учетом интересов всех заинтересованных сторон , повышение конкурентоспособности продукции отечественных производителей ;
- Доступность стандартов и информации о них для пользователей;
- Соответствие стандартам законодательству ;
- Адаптация к современным достижениям науки и техники с учетом состояния национальной экономики ;
- Приоритетность прямого внедрения в Украине международных и региональных стандартов ;
- Соблюдение международных и европейских правил и процедур стандартизации ;
- Участие в Международной ( региональной ) стандартизации .
Субъектами стандартизации являются:
- Центральный орган исполнительной власти в сфере стандартизации ;
- Совет стандартизации ;
- Другие субъекты, которые занимаются стандартизацией .
В зависимости от уровня субъекта стандартизации, который принимает или одобряет стандарты, различают:
- Национальные стандарты, кодексы установившейся практики и классификаторы, принятые или одобренные центральным органом исполнительной власти в сфере стандартизации, изданные им каталоги и реестры общегосударственного применения;
- Стандарты , кодексы установившейся практики и технические условия, принятые или одобренные другими субъектами, занимающимися стандартизацией
Использование стандартов или их отдельных положений является обязательным обязательно для:
- Всех субъектовы хозяйствования, если это предусмотрено в технических регламентах или других нормативно - правовых актах ;
- Участников соглашения ( контракта) относительно разработки , изготовления или поставки продукции , если в ней ( нем ) есть ссылка на определенные стандарты ;
- Производителя или поставщика продукции , если он составил декларацию о соответствии продукции определенным стандартам или применил обозначение этих стандартов в ее маркировке ;
- Производителя или поставщика , если его продукция сертифицирована по соблюдению требований стандартов .
Международные стандарты и стандарты других стран , если их требования не противоречат законодательству Украины , могут быть применены в Украине в установленном порядке путем ссылки на них в национальных и других стандартах .
3.2. Международные стандарты безопасности информационно - вычислительных систем
Анализируя ситуацию в мире в сфере стандартизации в информационной безопасности за годы развития индустрии, можно выделить следующие временные периоды, название которых наиболее четко характеризует естественное развитие этого процесса: появление стандартов (1988 - 1995 pp.), Испытания практикой (1996- 2000) и выживание сильных ( от 2001 г. и до сих пор).
Характерным для первого этапа является естественное развитие информационных технологий, по которым едва успевала наука и практика в сфере ИБ. На этом этапе формировались понятийный аппарат и основные подходы в сфере ИБ, до лучших. Период конца 80-х и особенно начала 90-х годов характеризовался появлением огромного количества различных стандартов в сфере ИБ. Они появлялись как в отдельных компаниях , или в консорциумах (Х-Ореn, Good Practice др.), так и в таких авторитетных институтах, как NIST (National Institute of Standards and Technologies) и комплекс BSI (British Standards Institute) с ISO (International Standards Organisation). Отметим, что NIST и BSI сейчас являются основными мировыми конкурентами в сфере стандартизации .
Естественными недостатками стандартов на этом этапе были :
- Слабое практическое проработки ;
- Отсутствие единых подходов ;
- Отсутствие единого понимания информационной безопасности .
Лишь время мог преодолеть эти недостатки , что и произошло на втором и третьем этапах - практическое применение стандартов стимулировало их естественный отбор .
Этап испытания практикой в середине 90 - х годов плавно перешел в этап естественного отбора и выживания сильных стандартов . Очевидно , сфера ИБ достаточно замкнутой и ограниченной, из-за чего является лишней огромное количество стандартов , которые пересекаются друг с другом и пытаются разными способами описать одну и ту же предметную сферу.
На практике хватает нескольких основополагающих стандартов , которые признаются специалистами и используются бизнесом на практике. Таким образом, в этой битве стандартов выживали и выжили сильные , в частности стандарт ISO 15408, регламентирующий требования к защищенности ПО или стандарт управления ISO 27001/17799. Эти стандарты сейчас получили статус международных . Правда, есть одно "но". Мир разделился на две географически независимые учитывая стандартизации зоны: Европа и Азия признают стандарты ISO, а США предпочитают использовать стандарты N1ST. Отметим малоизвестный факт: многие наиболее известные стандарты ISO основаны на BSI : ISO 17799 , ISO 9001, ISO 14001.
В 1985 p. Национальный центр компьютерной безопасности Министерства обороны США опубликовал "Оранжевую книгу" ("Критерии оценки достоверности вычислительных систем Министерства обороны"). В ней приведены основные положения, по которым американское ведомство обороны определяло степень защищенности информационно - вычислительных систем; систематизированы основные понятия, рекомендации и классификацию по видам угроз безопасности информационных систем, методы защиты от них, которые далее превратились в сведения научно обоснованных норм и правил, описывают системный подход к безопасности информационных систем и их элементов .
Предложенная в " Оранжевой книге " методология стала общепринятой и вошла в национальные стандарты ( рис. 6.19) .
Рис . 6.19 . Системный подход к обеспечению безопасности информационных систем
Понятие " политика безопасности " было также введено " Оранжевой книгой " .
Политика безопасности - это совокупность норм , правил и методик , на основе которых в дальнейшем строится деятельность информационной системы в области обработки , хранения и распределения критической информации.
Информационная система - это не только аппаратно - программный комплекс , но и обслуживающий персонал.
Политика безопасности формируется на основе анализа текущего состояния и перспективы развития информационной системы , возможных угроз и определяет :
- Цели, задачи и приоритеты системы безопасности ;
- Сфера действия отдельных подсистем ;
- Гарантированный минимальный уровень защиты ;
- Обязанности персонала по обеспечению защиты ;
- Санкции за нарушение защиты .
Если политика безопасности проводится не в полной мере или непоследовательно , то вероятность нарушения защиты информации резко возрастает.
Определение политики безопасности невозможно без анализа риска , который повышает уровень осведомленности о слабых и сильных сторонах защиты , создает базу для подготовки и принятия решений , оптимизирует размер расходов на защиту, поскольку большинство ресурсов направляется на блокирование угроз , которые могут нанести наибольший вред . Анализ риска состоит из следующих основных этапов (рис. 6.20 ) .
Анализ риска завершают принятием политики безопасности и составлением плана защиты, имеет следующие разделы :
1 . Текущее состояние . Описание статуса системы безопасности в момент подготовки плана .
2 . Рекомендации . Выбор основных средств защиты , реализующих политику безопасности .
3 . Ответственность . Список ответственных работников и зон ответственности .
4 . Расписание . Определение порядка работы механизмов защиты , в том числе и средств контроля .
5 . Пересмотр положений плана , которые необходимо периодически пересматривать .
Рис . 6.20 . Основные этапы анализа риска
В общей системе обеспечения безопасности защита информации играет значительную роль. Выделяют следующие подходы к организации защиты информации:
- Физические ;
- Законодательные ;
- Управление доступом;
- Криптографическое закрытие .
Физические способы предусматривают применение физических препятствий для злоумышленника , которые закрывают путь к защищенной информации (надежная система допуска на территорию или в помещение с аппаратурой или носителями информации). Эти способы защищают только от внешних злоумышленников и не защищают информацию от лиц , обладающих правом входа в помещение. Практика показывает , что 75 % нарушений осуществляют работники организации .
К законодательным способов защиты относятся законодательные акты , регламентирующие правила использования и обработки информации с ограниченным доступом и устанавливают степень ответственности за нарушение этих правил . Сюда относятся также внутренне организационные методы работы и правила поведения.
Управление доступом - защита информации с регулировкой доступа к ресурсам системы :
- Технических ;
- Программных ;
- Элементов баз данных. Регламентируется порядок работы пользователей и персонала , право доступа к отдельным файлам в базах данных и т.д.
Согласно установленной классификации данных , пользователей , аппаратуры , помещений ответственные за безопасность разрабатывают многоуровневую подсистему управления доступом ( рис. 6.21 ) .
Для защиты от несанкционированного подключения к системе в основном используют проверку паролей , средства антивирусной защиты и контроля целостности , контроля и управления защитными механизмами , программы восстановления и резервного хранения информации.
Комплексное рассмотрение вопросов обеспечения безопасности отражен в структуре безопасности , где указано угрозы безопасности , услуги и механизмы ее обеспечения.
Рис . 6.21 . Задача подсистемы управления доступом
На концептуальном уровне службы безопасности специфицируют направления нейтрализации угроз . Все направления организации защиты информации ( физические , законодательные , управления доступом , криптографическое закрытие ) реализуются механизмами безопасности . В рамках идеологии " открытых систем " службы и механизмы безопасности нужно использовать на любом уровне эталонной модели : физическом ; канальном ; сетевом ; транспортном ; сеансного ; представительном ; прикладном .
Протоколы информационного обмена разделяют на две группы:
- Виртуального соединения ;
- Дейтаграммного .
Согласно указанных протоколов сети разделяют на виртуальные и дейтаграммного . В виртуальных сетях информация между абонентами передается виртуальным каналом и проходит три этапа (фазы ) :
- Создание (установление ) виртуального канала ;
- Передача виртуального канала ;
- Уничтожение виртуального канала (разъединение). При этом сообщение разбивается на блоки (пакеты), которые передаются в порядке их расположения в сообщении.
В дейтаграммного сетях блоки сообщений передаются от отправителя к адресату независимо друг от друга и разными маршрутами , поэтому порядок доставки блоков может не соответствовать порядку их размещения в сообщении.
Итак, виртуальная сеть в концептуальном плане соответствует принципу организации телефонной связи, а дейтаграммного-почтовом. Эти два подхода определяют различия в составе и особенностях служб безопасности.
Криптографическое закрытие информации в компьютерных системах является самым эффективным способом защиты информации с присущим ему высоким уровнем защиты . В основе этого способа лежат программы криптографического преобразования ( шифрования ) и программы защиты юридической значимости документов ( цифровая подпись) . Шифрование обеспечивает засекречивание информации и используется рядом других сервисных служб ( рис. 6.22 ) .
При этом наличие или знания общедоступного ключа не позволяет определить секретный ключ .
Рис . 6.22 . Классификация шифрования
Для использования механизмов криптографического закрытия информации в локальной вычислительной сети требуется отлаженная организация специальной службы генерации ключей и их распределение между ее абонентами . На рис. 6.23 дан краткий перечень некоторых известных алгоритмов шифрования.
Метод DEC ( Data Encryption Standard ) разработан фирмой IBM и рекомендован для использования Агентством национальной безопасности США , где он является федеральным стандартом. Алгоритм криптографической защиты известен и опубликован. Считается , что в настоящее время аппаратуры , способной выполнять вычисления , предусмотренные этим алгоритмом , нет.
Рис . 6.23 . Алгоритмы шифрования
Российский стандарт шифрования данных ГОСТ 28147-89 - единый алгоритм криптографического преобразования данных для крупных информационных систем . Не налагает ограничений на степень секретности. Имеет преимущества алгоритма DEC и одновременно лишен его недостатков.
Метод с открытым ключом ( RSA )
Шифрование производится первым открытым ключом , расшифровка - другим секретным ключом. Специалисты по криптографии считают , что системы с открытым ключом удобнее применять для шифрования передаваемых данных , чем при сохранении информации. Существует еще одна область применения этого алгоритма - цифровые подписи , подтверждающие подлинность документов и сообщений , передаваемых . Однако и он не является совершенным. Его недостатком является не до конца изучен алгоритм .
Защита информации осуществляют :
- Комплексным применением различных средств и методов;
- Созданием структуры защиты и охраны с несколькими уровнями ;
- Постоянным их совершенствованием .
Успех дела зависит от сбалансированной и налаженного взаимодействия защиты операционных систем и обеспечения безопасности баз данных.
В рамках этой программы различают следующие пассивные объекты защиты .
- Файлы;
- Приложения ;
- Терминалы ;
- Участки оперативной памяти;
Активными являются субъекты (процессы ) защиты , которые могут выполнять над объектами определены операции . Защита объектов осуществляется операционной системой средств контроля за выполнением субъектами защиты совокупности правил, регламентирующих эти операции . Статус защиты - это совокупность правил, регламентирующих защиту объектов.
Во время своего функционирования субъекты генерируют запросы на выполнение операций над защищенными объектами . Права ( атрибуты ) доступа - это операции , которые выполняются над защищенными объектами , а права доступа субъекта относительно конкретного объекта является возможностями. Например , правом доступа может быть " запись в файл" , а возможности - " запись в файл ЛГ " ( JV - имя конкретного файла , то есть объекта , в нашем случае файла " Наука" ) .
Для формальной модели статуса защиты в операционной системе используют преимущественно матрицу доступа. Она содержит m строк ( по количеству субъектов) и п столбцов ( по количеству объектов ) . При этом элемент, содержащийся на пересечении 1 - й строки и у - го столбца , есть множество возможностей i-го субъекта относительно j - го объекта. Следует помнить , что числа т и п на практике в основном крупные , а число множества возможностей элементов матрицы доступа мало.
Достаточно простым в реализации средством разграничения доступа к защищаемым объектам является механизм круга безопасности . Круг безопасности характеризуется своим уникальным номером . Нумерация осуществляется " изнутри - наружу " , и внутренние кольца являются привилегийованимы по внешним . Субъекту ( домена ) , оперирующая в пределах круга с номером , доступны все объекты с номерами от / до N включительно.
Доступ к ресурсам операционной системы может ограничиваться средствами защиты по паролями , который может быть использован также в качестве ключа для шифрования - дешифрования информации в пользовательских файлах. Сами пароли также хранятся в зашифрованном виде , что затрудняет их выявление и использование злоумышленниками. Пароль может быть изменен пользователем , администратором системы или самой системой после установленного интервала времени.
3.3. ( ст. ) ISO International Organization for Standardization - это международная организация по стандартизации, которая была создана в 1947 г., штаб -квартира в Женеве. Первоочередной ее целью было создание только системы стандартов, которая способствовала международной торговли. Большинство стран мира имеют национальные представительства и национальные комитеты в ISO. ISO не работает один. В своей деятельности она взаимодействует с другими международными организациями по стандартизации. В области информационной безопасности такой организацией является для нее МЭК - Международная электротехническая комиссия , которая была создана еще в 1906 г. , целью ее является установление международных стандартов во всех областях , связанных с электричеством , электроникой и радиотехникой .
Сфера деятельности ИСО касается стандартизации во всех областях, кроме электротехники и электроники, относящихся к компетенции Международной электротехнической комиссии (МЭК, IEC). Некоторые виды работ выполняются совместными усилиями этих организаций. Кроме стандартизации ИСО занимается проблемами сертификации.
Стандарты ИСО являются добровольными, хотя страны могут принять решение использовать стандарты в качестве правил или ссылаться на них в законодательстве. В ИСО более чем 19 000 стандартов. Программа разработки стандартов затрагивает такие области деятельности как сельское хозяйство и строительство, машиностроение, производство и распределение, транспорт, медицинское оборудование, окружающая среда, безопасность, информационные и коммуникационные технологии и стандарты по лучшей практике и на услуги.
Более сотни членов нашей организации представители из развивающихся стран и каждый полноправный член имеет право принять участие в разработке стандартов, независимо от размера и уровня экономического развития. К концу 2011 года система разработки стандартов ИСО насчитывала 3 335 технических органов, включая 224 технических комитета ИСО.
ИСО определяет свои задачи следующим образом: содействие развитию стандартизации и смежных видов деятельности в мире с целью обеспечения международного обмена товарами и услугами, а также развития сотрудничества в интеллектуальной, научно-технической и экономической областях. На сегодняшний день в состав ИСО входит 164 страны своими национальными организациями по стандартизации.
Международные стандарты разрабатываются техническими комитетами ИСО (ТК) и подкомитетами (ПК) в ходе шестистадийного процесса:
Стадия 1: Стадия предложения
Стадия 2: Подготовительная стадия
Стадия 3: Стадия комитета
Стадия 4: Стадия вопросов
Стадия 5: Стадия одобрения
Стадия 6: Стадия публикации
Именно по этой причине правильной и полной названием нашего стандарта является ISO / IEC 17799 2005 Information Security Management Standard , есть стандарт ИСО и МЭК по управлению информационной безопасностью.
ISO взаимодействует не только с международными специализированными организациями в области стандартизации , но и с крупными национальными . По этой причине наш стандарт возник не на пустом месте: он разработан на основе британского стандарта BS 7799 , который предназначен для управления информационной безопасностью организации независимо от ее сферы деятельности .
Данный стандарт предполагает , что служба безопасности , IT - отдел ( отдел информационных технологий) , руководство компании должны работать в соответствии с общим регламентом , независимо от того , речь идет о защите бумажного документооборота или электронных данных.
В последние несколько лет ISO 17799 начал уверенно продвигаться по странам СНГ. В Республике Беларусь с 01.11.2004 г. стал национальным государственным стандартом; в Молдове, благодаря позиции Национального Банка , все банки с 2003 г. проходят регулярную проверку на соответствие ISO 17799 , у России стандарт ISO 17799 перевоплощенный в гост : принятие Госстандарта 17799 произошло в 2006
Сегодня стандарт ISO 17799 прочно вошел в нашу жизнь , став на практике де- факто стандартом построения систем управления информационной безопасностью ведущих компаний как в Европе и Азии , так и в странах СНГ. До 2005 г. учебный курс , разработанный предприятием Dиgиtal Security , был единственным в СНГ курсу по этому стандарту . Стоимость обучения на этих курсах - от 1000 до 2000 долл. . США . К настоящему времени в странах СНГ прошли обучение несколько тысяч специалистов различных компаний , при этом курс неоднократно проводился в таких городах как Киев, Днепропетровск, Одесса, Кишинев, Рига, Таллинн, Алматы, Ташкент, Москва.
Интересным было бы рассмотреть (хотя бы в общих чертах ) историю стандарта ISO 17799 .
В середине 90 - х годов Британский институт стандартов ( BSI ) при участии коммерческих организаций, таких как Shell , National Westmmster Bank, Mиdland Bank, Urnlever, British Telecommunиcatиons, Marks & Spencer, Logka и др.., Занялся разработкой стандарта управления информационной безопасностью, в 1995 был принят национальный британский стандарт BS 7799 по управлению информационной безопасностью и ее организации независимо от сферы деятельности. Первая часть стандарта носила рекомендательный характер, а вторая была предназначена для сертификации и содержала часть обязательных требований, не входивших в первую часть.
Как и любой национальный стандарт, BS 7799 в период 1995-2000 гг пользовался умеренной популярностью только в рамках стран британского содружества.
В конце 1999 г. эксперты международной организации по стандартизации ISO пришли к выводу, что в рамках существующих стандартов ISO отсутствует специализированный стандарт управления информационной безопасностью. Соответственно, ISO было принято решение не начинать разработку нового стандарта, а по согласованию с британским институтом стандартов, взяв за базу BS 7799:1, принять стандарт ISO 17799 .
Соответственно, 2000 вдохнул новую жизнь в BS 7799:1, став ISO 17799, получил уже статус международного стандарта, кардинально изменило расстановку сил и отношение к стандарту ( между локальным и международным стандартом разница очевидна) .
Что же касается официальной сертификации по ISO 17799, то она изначально не была предусмотрена (полная аналогия с BS 7799). Была предусмотрена только сертификация по BS 7799:2, который представлял собой ряд обязательных требований ( не вошли в первую часть BS 7799/ISO 17799). Процедура сертификации по ISO должна была появиться только после выхода в рамках ISO стандарта аналога BS 7799:2 ( отметим , что это случилось только в конце 2005 г. с выходом сертификационного стандарта ISO 27001) .
При этом в Англии была предусмотрена стандартная процедура сертификации по BS 7799:2 такая же , как и для всех других стандартов ISO . Сертификатом (компания, специализирующаяся на сертификации по различным стандартам от ISO 9001 до ISO 14001, обязательно аккредитована при UKAS ( английский ассоциация по стандартизации), например, BSI , TUV , URS , DNV и др. . ) Не имеют права готовить компании к сертификации : этим занимаются партнеры - независимые консультанты. В свою очередь , консультант не имеет права заниматься сертификацией .
Февраль 2002 можно смело называть отправной точкой развития стандарта ISO 17799 в странах СНГ. В середине 2001 г. в мире началась непростая ситуация в области стандартизации по информационной безопасности существовали разные стандарты , применение которых на практике вызвало вопросы и серьезные сомнения. Кроме того, у большинства специалистов преобладал исключительно технологический подход к защищенности (т.е. признавались только технические методы защиты), а вопросом организационно - правового управления безопасностью уделялось минимальное внимание . Однако у узкого круга специалистов было ощущение, что исключительно технологический подход к защите информации - это путь в никуда , это еще далеко не все. Поэтому появилось, наконец , понимание, что нам всем жизненно необходимо еще выработать некий единый подход к тому , что теперь называется системой управления информационной безопасностью. I здесь в пригодится именно ISO 17799 , который специализируется именно в вопросах управления информационной безопасностью, поэтому и стал той недостающим звеном , которой так не хватало на практике .
К концу 2002 г. компаний в мире, имели сертификат BS 7799 , было около 150.
Отношение бизнеса и большинства специалистов - практиков в нашей стране как и во всех странах СНГ стандарту в то время, впрочем как и сейчас , определялось одной фразой: « Мы к этому еще не доросли » .
Но вскоре ситуация полностью изменится, в частности, в 2003 г. можно назвать годом начала экспоненциального роста интереса специалистов и бизнеса в ISO 17799.
Интересным событием 2003 в СНГ стало то, что именно тогда Национальный Банк Молдовы начал первым в СНГ на практике применять требования стандарта, поставив обязанность всем местным банкам выполнять его требования , создавая систему управления информационной безопасностью на основе ISO 17799 .
Через год число компаний в мире, получивших официальный сертификат - уже около 350.
Общая либерализация рынка информационной безопасности привела к тому, что в Беларуси - первой из стран СНГ - в ноябре 2004 г. был принят Госстандарт 17799 . Анализ и управление информационными рисками - основа стандарта ISO 17799 - прочно вошли в жизнь большинства специалистов и стали применяться на практике .
Число компаний в мире , получивших официальный сертификат - более 1000 ! Такой значительный рост числа сертифицированных компаний в 2004 г. объясняется тем, что именно этот год показал тенденцию общего практического интереса к стандарту в мире и странах СНГ.
Буквально взрывной интерес участников рынка стран СНГ к стандарту . Россия, Казахстан, Молдова, Узбекистан, Украина - стандарт стал повсеместно применяться на практике (или пришло осознание необходимости его применения как лучшей мировой практики).
Вышла новая значительно расширена по сравнению с 2000 г. редакция стандарта ISO 17799:2005 .
Число компаний в мире, получивших официальный сертификат, - более 1800 .
Какой же вывод? Сегодня стало всем очевидно, что было совсем неочевидно еще несколько лет назад: стандарт ISO 17799 , основанный на анализе и управлении рисками , занял лидирующие позиции в Европе и Азии и стал стандартом де - факто в построении систем управления информационной безопасностью.
Наблюдая за последние годы экспоненциальный рост интереса к стандарту , следует ожидать, что в ближайшие годы будет повышение интереса к применению стандарта на практике . Сегодня ISO 17799 - это та объективная реальность , которая уже не имеет альтернативы . Анализ и управление информационными рисками, система управления информационной безопасностью на основе ISO 17799 стали основной темой на всех конференциях по информационной безопасности [см. . 3 ] .
Следует отметить, что это направление получило дальнейшее развитие: впервые в рамках ISO появился сертификационный стандарт ISO 27001. Если ISO 17799 обусловливающий цели и методы внедрения в компаниях стандартов информационной безопасности, то в соответствии с ISO 27001 осуществляется сертификация .
Стандарт ISO/IEC 17799:2007 был разработан подкомиссией по безопасности (SC 27) Объединенного Технического Комитета по иформационно Технологии ( ISO / IEC JTC 1). Новый ISO / IEC 17799:2007 заменял предварительную версию стандарта ISO / IEC 17799:2007, что является теперь устаревшей . Основное содержание стандарта сохранился, но многое было полностью переработано , чтобы лучше соответствовать новым информационным угрозам и вызовам безопасности . Кроме того, добавлен новый раздел, озаглавленный «Управление инцидентами информационной безопасности».
Стандарт ISO / IEC 17799:2007 состоит из 13 разделов:
1 . Общая часть .
2 . Термины и определения .
3 . Политика безопасности .
4. Организационные методы обеспечения инф. безопасности .
5 . Управление ресурсами .
6 . Пользователи информационной системы .
7 . Физическая безопасность .
8 . Управление коммуникациями и процессами .
9 . Контроль доступа .
10 . Приобретение , разработка и сопровождение инф. систем .
11 . Управление инцидентами информационной безопасности .
12 . Управление непрерывностью ведения бизнеса.
13. Соответствие требованиям.
Каждый из разделов имеет следующую структуру :
Цель - указывает, что именно должно быть достигнуто.
Управление - указывает, какими средствами может быть достигнута цель.
Руководство - указывает, как эффективно обеспечить управление процессом .
Примечания - подаются полезные замечания и объяснения .
ISO/IEC 17799:2007 предназначен для использования любой организацией (в том числе и украинский), что предполагает установить систему эффективного информационного защиты или улучшать существующие методы информационной защиты
Вместе с тем, все это означает, что все рекомендации стандарта должны быть безусловно приняты в нашей стране. Все зависит от конкретных местных информационных рисков и требований.
вывод
Таким образом , международный стандарт ISO 17799 включает в себя рекомендации по управлению информационной безопасностью, предназначены для сотрудников , ответственных за создание, внедрение и поддержку мероприятий, обеспечивающих безопасность на государственном предприятии или негосударственной организации. Рекомендации, приведенные в проанализированном стандарте, следует выполнять с учетом действующих украинских законов и нормативных требований. Он должен стать основой для разработки стандартов безопасности и эффективных методов управления безопасностью в конкретной организации. Кроме того, данный стандарт поможет поддержать взаимное доверие при контактах между украинскими организациями .
1 . Что по международной практике безопасности являются объектами защиты
1 ) лицо , 2) информация , 3) материальные ценности .
2 . Что включает в себя понятие «безопасная деятельность » любого предприятия или организации
1 ) физическую безопасность , под которой понимается обеспечение защиты от угрозы жизни людей ;
2 ) экономической безопасности ;
3 ) информационной безопасности (ИБ ) ;
4 ) материальной безопасности , то есть сохранение материальных ценностей от всякого рода угроз - начиная от их краж и заканчивая угрозами пожара и других стихийных бедствий.
3 . Что понимается под термином " безопасность информации "
Безопасность ( information security ) - состояние информации , при котором обеспечивается сохранение определенных политикой безопасности свойств информации.
4 . Какие общие информационные процессы происходят в автоматизированных системах обработки данных
информационно - справочное обеспечение ;
информационное обеспечение задач ;
обслуживание информационных баз.
7 . Перечислите показатели , характеризующие информацию как ресурс .
важность - это обобщенный показатель, характеризующий значимость информации с точки зрения задач, для которых она используется , а также с точки зрения организации ее обработки. Здесь оценка может осуществляться по: значимости самих задач для данной деятельности ; степени важности информации для эффективного выполнения соответствующих задач ; уровнем затрат при нежелательных изменениях информации ; уровнем затрат на восстановление нарушений информации. Следует отметить , что для некоторых видов информации важность можно достаточно точно оценивать по так называемому коэффициенту важности , вычисления которого осуществляется на основе математических , лингвистических или неформально - эвристических моделей;
полнота - это показатель, характеризующий степень достаточности информации для решения соответствующей задачи . Для количественного выражения этого показателя также известны формальные и неформальные модели вычисления коэффициента полноты ;
• адекватность - это степень соответствия информации реальному положению тех объектов , которые она отражает . Адекватность зависит от объективности генерирования информации об объекте , а также от продолжительности времени между моментом генерирования и моментом оценки адекватности. Отметим , что для оценки адекватности также известны формальные и неформальные подходы , которые позволяют получить ее количественные оценки;
• релевантность - это показатель, характеризующий соответствие ее потребностям задачи , которая решается . Известный коэффициент релевантности - это отношение объема релевантной информации к общему ее объема . Существуют модели его исчисления ;
• толерантность - показатель, характеризующий удобство восприятия и использования информации в процессе решения соответствующей задачи . Это понятие очень широким , неопределенным и субъективным , а следовательно , формальных методов его оценки пока нет.
8 . Перечислите показатели , характеризующие информацию как объект.
1 ) способ или система кодирования информации , то есть эффективность кодирования ;
2 ) объем кодов , отражающих данную информацию.
11 . Какие проблемы защиты информации вам известны.
Наивысшая степень автоматизации , к которому стремится современное общество , ставит его в зависимость от степени безопасности используемых им информационных технологий , с которыми связаны благополучие и даже жизнь множества людей . Технический прогресс имеет одну неприятную особенность - в каждом его достижении всегда кроется что-то , что ограничивает его развитие и на каком-то этапе обращает его достижение не на пользу, а во вред человечеству .
12 . Каковы причины роста потребностей в защите информации.
Информация стала настолько важной , что она превратилась в ценный товар , так как связана с возможностью испытывать материальных, финансовых , моральных убытков .
Увеличение объемов информации, накапливаемой , хранимой и обрабатываемой с помощью ЭВМ и других средств вычислительной техники (СВТ ) . При этом речь идет не только и не столько о резком и буквальное увеличение же объемах , но и о расширении арсенала методов , способов и возможностей ее сосредоточения и хранения, например , когда в единых базах данных может сосредоточиваться информация различного назначения и принадлежности . Фактически , проникнув в достаточно мощную базу данных , можно получить информацию буквально обо всем на свете. Особенно расширились возможности подобного рода с возникновением глобальной сети Internet .
13. Что вам известно о государственной политике обеспечения информационной безопасности .
Государственная политика информатизации формируется как составная социально -экономической политики государства в целом и направляется на рациональное использование промышленного и научно - технического потенциала , материально - технических и финансовых ресурсов для создания современной информационной инфраструктуры в интересах решения комплекса текущих и перспективных задач развития Украины как независимого демократического государства с рыночной экономикой .
Интуитивно понятный срок конфиденциальность более строго определяется как свойство информации, заключается в том , что она не может быть доступна для ознакомления пользователям и / или процессам , которые не имеют на это соответствующих полномочий. Целостность информации - это свойство, заключающееся в том , что она не может быть доступной для модификации пользователям и / или процессам , которые не имеют на это соответствующих полномочий. Целостность информации может быть физическим и / или логической . Доступность информации - это свойство, заключающееся в возможности его использования по требованию пользователя, имеющего соответствующие повноваження.Спостереженість - это свойство информации, заключается в том , что процесс ее обработки должен постоянно находиться под контролем определенного управляющего защитой органа.
14 . Какие законодательные акты и нормативные документы по защите информации вам известны.
НД ТЗИ 1.1-003-99 . Терминология в области защиты информации в компьютерных системах от несанкционированного доступа ;
НД ТЗИ 1.1-002-99 . Общие положения по защите информации в компьютерных системах от несанкционированного доступа. - ДСТСЗИ СБ Украины , Киев , 1998;
НД ТЗИ 2.2-004-99 . Критерии оценки защищенности информации в компьютерных системах от несанкционированного доступа ;
НД ТЗИ 3.7. - 001- 99. Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от несанкционированного доступа - ДСТСЗИ СБ Украины , Киев, 1998.
НД ТЗИ 3.7-001-99 . Методические указания по разработке технического задания на создание системы защиты информации автоматизированной системы
3.4.
3.5. Общие требования и нормы безопасности по видам опасных и вредных производственных факторов устанавливают стандарты безопасности труда, которые обеспечивают нормативную базу управления условиями труда .
Система стандартов безопасности труда ( ССБТ) - это комплекс взаимосвязанных стандартов , направленных на обеспечение безопасности труда, сохранение здоровья и работоспособности человека в процессе труда. Разработка стандартов осуществляется на основе глубоких научных исследований, более новых достижений науки и техники учеными, специалистами различных отраслей народного хозяйства, работниками служб охраны труда .
Стандарты безопасности труда делятся на межгосударственные (ГОСТ), государственные (ГОСТ), межотраслевые (ГСТУ), отраслевые (ОСТ), стандарты предприятий (СТПССБП). Гос. стандарты охраны труда - это нормы и правила, которые распространяются на все отрасли хозяйства независимо от формы собственности и вида деятельности: строительные, санитарные нормы и правила, правила размещения электроустановок потребителей, правила дорожного движения, положение «О расследовании и учете несчастных случаев » и др. .
Таблица 5.1
Межотраслевые нормы и правила - это такие нормы и правила, регламентирующие охрану труда в нескольких отраслях или в отдельных видах производств .
Отраслевые нормы и правила разрабатываются на основе общегосударственных , межотраслевых законодательных актов , норм и правил с учетом специфики производства для определенной отрасли хозяйства . Они распространяются только на предприятия и учреждения данной отрасли.
Государственные и отраслевые стандарты Украины , действующие по состоянию на 1 января 2001, приведены в официальном издании Госстандарта Украины «Каталог нормативных документов - 2001» , межгосударственные стандарты, действующие по состоянию на 1 марта 2001 - в нумерационном указателе /«Межгосударственные стандарты -2001г.» ( табл. 5.2) .
Государственные, межотраслевые и отраслевые нормативные акты , стандарты, технические условия охраны труда пересматриваются по мере внедрения достижений науки и техники, но не реже одного раза в 10 лет.
Стандарты предприятий по безопасности труда является составной частью системы стандартов безопасности труда. На предприятиях общее руководство разработкой стандартов осуществляет руководитель (владелец) или главный инженер, организационно - методическое руководство возложено на службы стандартизации с участием служб охраны труда. Создаются такие стандарты предприятий по безопасности труда :
организационно - методические, определяющих организацию работы по охране труда на предприятии, организации обучения и инструктаж работников по безопасности труда, порядок надзора за объектами повышенной опасности, порядок проведения анализа травматизма и т.п.;
требования безопасности к производственному оборудованию ;
требования безопасности к технологическим процессам ;
требования к обеспечению работников средствами индивидуальной защиты (требования к организации обеспечения работников средствами индивидуальной защиты и к эксплуатации этих средств, порядок выдачи индивидуальных средств защиты и т.д. ) .
Для обеспечения безопасности труда стандарты предприятий имеют важное значение. Они выполняют следующие функции:
- Является законом предприятия, повышает ответственность руководителей и соответствующих служб по охране труда;
- Позволяют упорядочить и систематизировать требования безопасности к оборудованию, технологических процессов ;
- Позволяют сосредоточить внимание не только на выявлении причин травматизма и профзаболеваемости, но и на создании условий для снижения травматизма и профзаболеваемости .
Внедрение стандартов на предприятиях, в учреждениях и организациях заключается в конкретной реализации их требований в обеспечении безопасности труда. Стандарты используются в соответствии с комплексными мерами по достижению установленных нормативов безопасности, гигиены труда и производственной санитарии , разработанных на основе обследования оборудования, технологических процессов, фактического санитарно - технического и противопожарного состояния рабочих мест.
Основным направлением работ по стандартизации в области охраны труда является развитие Системы стандартов безопасности труда (ССБТ) на государственном, отраслевом уровнях. Принцип построения этой системы регламентируется Госстандартом "Основные положения". Сейчас ССБТ устанавливает следующие требования: к организации работ и организационно - методическом положению по построению системы; производственному оборудованию и процессам; средствам защиты работающих ; безопасности зданий 1 сооружений, а также нормам по видам опасных и вредных производственных факторов.
Например, БЕЗОПАСНОСТЬ ТРУДА в горнодобывающей промышленности (рус. безопасность труда в горнодобывающей промышленности - условия труда на объектах горной промышленности, исключающих воздействие опасных и вредных факторов на работающих. Безопасность труда поддерживается путем выполнением комплекса мероприятий по предотвращению травматизма, заболеваний и аварий .