Стандарты в области информационной безопасности

К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС. В таблице 2 приведены классы защищенности АС и требования для их обеспечения.

Подсистема управления доступом 1. Идентификация, проверка подлинности и контроль доступа субъектов: Подсистема регистрации и учета 2. Очистка обнуление, обезличивание освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Сигнализация попыток нарушения защиты. Шифрование информации, принадлежащей различным субъектам доступа группам субъектов на разных ключах. Использование аттестованных сертифицированных криптографических средств.

Подсистема обеспечения целостности 4. Обеспечение целостности программных средств и обрабатываемой информации. Физическая охрана средств вычислительной техники и носителей информации. Наличие администратора службы защиты информации в АС. Использование сертифицированных средств защиты. Требования по обеспечению целостность представлены отдельной подсистемой номер 4. Данный документ определяет показатели защищенности межсетевых экранов МЭ. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ.

Всего выделяется пять показателей защищенности: На основании показателей защищенности определяются следующие пять классов защищенности МЭ: В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности конфиденциальности информации и, следовательно, иерархия классов защищенности АС. Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности.

Группа содержит два класса — 3Б и 3А. Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа полномочия ко всей информации АС, обрабатываемой и или хранящейся на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А. Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и или хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС.

Выводы по теме В Российской Федерации информационная безопасность обеспечивается соблюдением Указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов.

Классы подразделяются на четыре группы, отличающиеся уровнем защиты. Требования к средствам высоконадежной биометрической аутентификации. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации.

Требования к формированию синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации. Тестирование стойкости средств высоконадежной биометрической защиты к атакам подбора. Интерфейсы взаимодействия с нейросетевыми преобразователями биометрия - код доступа.

Автоматическое обучение нейросетевых преобразователей биометрия-код доступа. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности. Комплексы для измерений параметров побочных электромагнитных излучений и наводок.

Технические требования и методы испытаний. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Обеспечение информационной безопасности в организации. Основные термины и определения.

Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий.

Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Основы доверия к безопасности информационных технологий. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Организация и содержание работ по защите от преднамеренных силовых электромагнитных воздействий.

Средства защиты от преднамеренных силовых электромагнитных воздействий.

· Гост Р -алгоритм цифровой подписи. Существует много защит информационной безопасности. Европейские стандарты безопасности. ISO Common Criteria for Information Technology Security Evaluation. Наиболее полно критерии для оценки механизмов безопасности. Государственные стандарты Российской Федерации. ГОСТ Р «Защита информации.  Практические правила управления информационной безопасностью». ГОСТ Р ИСО/МЭК «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». ГОСТ Р ИСО/МЭК «Информационная технология. Методы и средства обеспечения безопасности. Стандарты информационной безопасности — Содержание 1 Международные стандарты 2 Государственные (национальные) стандарты РФ 3 Руководящие документы 4 См. также 5 Внешние ссылки Международные стандарты BS

ISO/IEC — Википедия

Таким образом может получиться, что состояние системы ИБ в организации на момент проведения аудита не соответствует оценке, сделанной через полгода. К тому же при анализе возможных рисков нельзя исключать человеческий фактор, который может означать ошибку самих аудиторов в определении области проверки, состава проверяемых компонентов и общих выводах. В заключение хотелось бы отметить, что соответствие стандартам не отменяет постоянный процесс обеспечения безопасности критичной информации. Идеальной безопасности не бывает, но использование разных инструментов позволяет добиться максимального уровня ИБ.

Стандарты ИБ являются как раз таким инструментом. Макроэкономика Регулирование Стратегии Управление. Банкоматы, терминалы Переводы, pp платежи Пластиковые карты Платежные системы. Банки России Рейтинг банков Отозванные лицензии. Вклады Кредиты Дебетовые карты Кредитные карты. Что нового в мобильном банкинге? Еженедельные обзоры Истории о легендарных банкирах и финансистах Тесты Bankir.

Инфографика Карта финтеха Сочи Школы и больницы вместо танков и ракет. Как богатые россияне зарабатывают на санкциях. Сергей Корешков, руководитель учебного центра UCS: Требуется реализовать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей.

Рекомендуется провести разделение сред разработки, тестирования и промышленной эксплуатации программного обеспечения ПО. Правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены. Дополнительные риски возникают при привлечении сторонних подрядчиков для управления средствами обработки информации.

Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт. Для обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих. Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие и перспективные планы развития информационных технологий в организации.

Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы. Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые "черви", "троянские кони" и логические бомбы. Отмечается, что защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащем управлении изменениями.

Должен быть определен порядок проведения вспомогательных операций, к которым относится резервное копирование программного обеспечения и данных 1 , регистрация событий и ошибок и, где необходимо, мониторинг состояния аппаратных средств. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям планов по обеспечению непрерывности бизнеса.

Для обеспечения безопасности информации в сетях и защиты поддерживающей инфраструктуры, требуется внедрение средств контроля безопасности и защита подключенных сервисов от неавторизованного доступа. Особое внимание уделяется вопросам безопасности носителей информации различного типа: Рекомендуется установить порядок использования сменных носителей компьютерной информации порядок контроля содержимого, хранения, уничтожения и т.

Как уже отмечалось выше, носители информации по окончании использования следует надежно и безопасно утилизировать.

С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации.

Эти процедуры должны быть разработаны с учетом категорирования информации, и действовать в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов.

Системная документация может содержать определенную важную информацию, поэтому тоже должна защищаться. Процесс обмена информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству.

В частности, должна обеспечиваться безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем.

Следует уделять внимание защите целостности информации, опубликованной электронным способом, например информации на Web-сайте. Также необходим соответствующий формализованный процесс авторизации прежде, чем такая информация будет сделана общедоступной. Следующий раздел стандарта посвящен вопросам контроля доступа.

Требуется, чтобы правила контроля доступа и права каждого пользователя или группы пользователей однозначно определялись политикой безопасности.

Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения данных требований. При использовании парольной аутентификации, необходимо осуществлять контроль в отношении паролей пользователей. В частности, пользователи должны подписывать документ о необходимости соблюдения полной конфиденциальности паролей. Требуется обеспечить безопасность процесса получения пароля пользователем и, если это используется, управления пользователями своими паролями принудительная смена пароля после первого входа в систему и т.

Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Особое внимание должно уделяться проверке подлинности удаленных пользователей. Исходя из оценки риска, важно определить требуемый уровень защиты для выбора соответствующего метода аутентификации. Также должна контролироваться безопасность использования сетевых служб. Многие сетевые и вычислительные устройства имеют встроенные средства удаленной диагностики и управления.

Меры обеспечения безопасности должны распространяться и на эти средства. В случае, когда сети используются совместно несколькими организациями, должны быть определены требования политики контроля доступа, учитывающие это обстоятельство.

Также может потребоваться внедрение дополнительных мероприятий по управлению информационной безопасностью, чтобы ограничивать возможности пользователей по подсоединению.

На уровне операционной системы следует использовать средства информационной безопасности для ограничения доступа к компьютерным ресурсам 2.

Это относится к идентификации и аутентификации терминалов и пользователей. Рекомендуется, чтобы все пользователи имели уникальные идентификаторы, которые не должны содержать признаков уровня привилегии пользователя. В системах управления паролем должны быть предусмотрены эффективные интерактивные возможности поддержки необходимого их качества 3. Использование системных утилит должно быть ограничено и тщательным образом контролироваться. Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия 4 если такое событие оценивается как вероятное.

При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги. Терминалы, обслуживающие системы высокого риска, при размещении их в легкодоступных местах, должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц. Также может вводиться ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам.

На уровне приложений также необходимо применять меры обеспечения информационной безопасности. В частности, это может быть ограничение доступа для определенных категорий пользователей. Системы, обрабатывающие важную информацию, должны быть обеспечены выделенной изолированной вычислительной средой. Для обнаружения отклонения от требований политики контроля доступа и обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности необходимо проводить мониторинг системы.

Результаты мониторинга следует регулярно анализировать. Журнал аудита может использоваться для расследования инцидентов, поэтому достаточно важной является правильная установка синхронизация компьютерных часов. При использовании переносных устройств, например, ноутбуков, необходимо принимать специальные меры противодействия компрометации служебной информации.

Необходимо принять формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде. Мы считали, чтобы получить действительно приемлемый международный стандарт, все они должны быть приняты к рассмотрению, вместо того чтобы взять один из документов и ускоренно его согласовать, — говорит Жене Трой. Представители BSI возражали, что работы, о которых идет речь, касаются в основном технических аспектов, а BS никогда не рассматривался как технический стандарт.

Несмотря на все возражения, авторитет BSI являющегося основателем ISO, основным разработчиком международных стандартов и главным органом по сертификации в мире перевесил. Была запущена процедура ускоренного согласования, и стандарт вскоре был принят.

Основным достоинством ISO и родственных ему стандартов является их гибкость и универсальность. Описанный в нем набор лучших практик применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий.

В стандартах серии ISO нашло отражение все, что требуется для управления информационными рисками. Эти стандарты во многих вещах взаимно перекликаются, а в некоторых вопросах дополняют друг друга. Они служат фундаментом для излагаемой в настоящей книге методологии управления рисками и широко цитируются при последующем изложении материала. Основные положения этого стандарта были учтены при разработке ISO Это свидетельствует о позитивном процессе замещения уже слегка устаревшей серии стандартов ИТ безопасности ISO относительно новой серией стандартов в области управления информационной безопасностью — ISO

Прародитель международных стандартов управления информационной безопасностью – британский стандарт BS Его первая часть – BS 14 сент. г. - Появление новых информационных технологий провоцирует мошенников и киберпреступников на все большую активность и поиск. ГОСТ Р ИСО/МЭК «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности.

Найдено :

Случайные запросы