 |
Стандарты ISO/IEC 17799:2002 (BS 7799:2000) – ГОСТ Р ИСО/МЭК 17799
|
|
|
|
Сетевые механизмы безопасности
Для реализации сервисов (функций) безопасности могут использоваться следующие механизмы и их комбинации:
- шифрование;
- электронная цифровая подпись;
- механизмы управления доступом. Могут располагаться на любой из участвующих в общении сторон или в промежуточной точке;
- механизмы контроля целостности данных. В рекомендациях X.800 различаются два аспекта целостности: целостность отдельного сообщения или поля информации и целостность потока сообщений или полей информации. Для проверки целостности потока сообщений (то есть для защиты от кражи, переупорядочивания, дублирования и вставки сообщений) используются порядковые номера, временные штампы, криптографическое связывание или иные аналогичные приемы;
- механизмы аутентификации. Согласно рекомендациям X.800, аутентификация может достигаться за счет использования паролей, личных карточек или иных устройств аналогичного назначения, криптографических методов, устройств измерения и анализа биометрических характеристик;
- механизмы дополнения трафика;
- механизмы управления маршрутизацией. Маршруты могут выбираться статически или динамически. Оконечная система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка безопасности, ассоциированная с передаваемыми данными;
- механизмы нотаризации. Служат для заверения таких коммуникационных характеристик, как целостность, время, личности отправителя и получателей. Заверение обеспечивается надежной третьей стороной, обладающей достаточной информацией. Обычно нотаризация опирается на механизм электронной подписи.
67. Администрирование средств безопасности включает в себя распространение информации, необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.
|
|
|
Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконечных систем должна располагать информацией, необходимой для реализации избранной политики безопасности.
Согласно рекомендациям X.800, усилия администратора средств безопасности должны распределяться по трем направлениям:
- администрирование информационной системы в целом;
- администрирование сервисов безопасности;
- администрирование механизмов безопасности.
Среди действий, относящихся к ИС в целом, отметим обеспечение актуальности политики безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.
Администрирование сервисов безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации сервисов, взаимодействие с другими администраторами для обеспечения согласованной работы.
68. Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов. Типичный список таков:
- управление ключами (генерация и распределение);
- управление шифрованием (установка и синхронизация криптографических параметров). К управлению шифрованием можно отнести и администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографическими средствами, также тяготеет к данному направлению;
- администрирование управления доступом (распределение информации, необходимой для управления – паролей, списков доступа и т.п.);
- управление аутентификацией (распределение информации, необходимой для аутентификации – паролей, ключей и т.п.);
- управление дополнением трафика (выработка и поддержание правил, задающих характеристики дополняющих сообщений – частоту отправки, размер и т.п.);
- управление маршрутизацией (выделение доверенных путей);
- управление нотаризацией (распространение информации о нотариальных службах, администрирование этих служб).
Мы видим, что администрирование средств безопасности в распределенной ИС имеет много особенностей по сравнению с централизованными системами.
|
|
|
Стандарты ISO/IEC 17799:2002 (BS 7799:2000) – ГОСТ Р ИСО/МЭК 17799
Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью — Информационные технологии» (Information technology — Information security management») является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» (Information security management — Part 1: Code of practice for information security management») и относится к новому поколению стандартов информационной безопасности компьютерных ИС.
Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
· необходимость обеспечения информационной безопасности;
· основные понятия и определения информационной безопасности;
· политика информационной безопасности компании;
· организация информационной безопасности на предприятии;
· классификация и управление корпоративными информационными ресурсами;
· кадровый менеджмент и информационная безопасность;
· физическая безопасность;
· администрирование безопасности КИС;
· управление доступом;
· требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;
· управление бизнес-процессами компании с точки зрения информационной безопасности;
|
|
|
· внутренний аудит информационной безопасности компании.
Вторая часть стандарта BS 7799—2:2000 «Спецификации систем управления информационной безопасностью» («Information security management — Part 2: Specification for information security management systems»), определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита ИС.
Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:
· «Введение в проблему управления информационной безопасностью» (Information security managment: an introduction»);
· «Возможности сертификации на требования стандарта BS 7799» («Preparing for BS 7799 sertification»);
· «Руководство BS 7799 по оценке и управлению рисками» («Guide to BS 7799 risk assessment and risk management);
· «Руководство для проведения аудита на требования стандарта» («BS 7799 Guide to BS 7799 auditing»);
· «Практические рекомендации по управлению безопасностью информационных технологий» («Code of practice for IT management).
В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях.
Германский стандарт BSI
В отличие от ISO 17799 германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.
В германском стандарте BSI представлены:
· общая методика управления информационной безопасностью (организация менеджмента в области информационной безопасности, методология использования руководства);
· описания компонентов современных ИТ;
· описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);
|
|
|
· характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);
· характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение);
· характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).
· характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;
· подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
· Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании — возможные угрозы и уязвимости безопасности — возможные меры и средства контроля и защиты.
|
|
|
