 |
8.6. Группа международных стандартов 270000
|
|
|
|
8. 6. Группа международных стандартов 270000
Основное назначение международных стандартов — это соз- дание на межгосударственном уровне единой основы для раз- работки новых и совершенствования действующих систем ка- чества. Сотрудничество в области стандартизации направлено на приведение в соответствие национальной системы стандар- тизации с международной. Международные стандарты не име- ют статуса обязательных для всех стран-участниц. Любая страна мира вправе применять или не применять их. Решение вопроса о применении международного стандарта связано в основном со степенью участия страны в международном разделении труда. Международные стандарты принимаются Международ- ной организацией по стандартизации — ИСО (International
Organization for Standardization, ISO).
ИСО учреждена в 1946 г. представителями двадцати пяти ин- дустриально развитых стран и обладает полномочиями по ко- ординации на международном уровне разработки различных промышленных стандартов и осуществляет процедуру приня- тия их в качестве международных стандартов.
Сфера деятельности ИСО касается стандартизации во всех областях, кроме электротехники и электроники, относящихся к компетенции Международной электротехнической комиссии (МЭК, IEC). Некоторые виды работ выполняются этими орга- низациями совместно. В этом случае в наименовании стандар- та появляется аббревиатура ИСО/МЭК.
В системе международных стандартов в 2008 г. выделена от- дельная группа, связанная с информационной безопасностью, имеющая наименование ISO/IEC 27000. Эти стандарты опу- бликованы совместно Международной организацией по стан- дартизации (ISO) и Международной электротехнической ко- миссией (IEC).
|
|
|
Серия содержит лучшие практики и рекомендации в обла- сти информационной безопасности для создания, развития и поддержания Системы менеджмента информационной без- опасности.
В настоящее время серия содержит более 30 стандартов, большинство из которых действуют на территории Россий- ской Федерации с аналогичным номером ГОСТ. В первую де- сятку группы входят:
ГОСТ Р ИСО/МЭК 27000–2012— «СМИБ. Общий обзор
и терминология».
ГОСТ Р ИСО/МЭК 27001–2006— «СМИБ. Требования» ГОСТ Р ИСО/МЭК 27002–2012— «СМИБ. Свод норм и пра-
вил менеджмента информационной безопасности».
ГОСТ Р ИСО/МЭК 27003–2012—»СМИБ. Руководство
по реализации системы менеджмента информационной без- опасности».
ГОСТ Р ИСО/МЭК 27004–2011— «СМИБ. Измерения».
ГОСТ Р ИСО/МЭК 27005–2010 — «СМИБ. Менеджмент
риска информационной безопасности».
ГОСТ Р ИСО/МЭК 27006–2008— «СМИБ. Требования к ор- ганам, осуществляющим аудит и сертификацию систем менед- жмента информационной безопасности».
ГОСТ Р ИСО/МЭК 27007–2014 — «СМИБ. Руководства
по аудиту систем менеджмента информационной безопасности».
Итак, главная задача стандартов информационной безо- пасности — согласовать позиции и цели производителей, по- требителей и аналитиков-классификаторов в процессе созда-
ния и эксплуатации продуктов информационных технологий. Первые версии стандартов создавались в основном исходя из нужд обороны и были нацелены на обеспечение секретно- сти информации. С развитием средств вычислительной техни- ки и телекоммуникаций возникла потребность создания новых стандартов, отражающих особенности современного уровня информационных технологий. Применяемые международные стандарты не содержат сквозных шкал и перечней требований безопасности, они ориентированы на применение профилей за- щиты, представляющих собой перечень функциональных тре- бований для систем определённого назначения.
|
|
|
Вопросы для самоконтроля
1. Цели применения стандартов информационной безо- пасности.
2. Охарактеризуйте основные положения Оранжевой кни- ги.
3. Почему в современных стандартах отказываются от еди- ных шкал, характеризующих уровень безопасности?
4. Каковы основные положения Европейских критериев безопасности информационных технологий?
5. Чем отличаются «информационная система» и «продукт информационных технологий»?
6. Для чего вводятся критерии адекватности?
7. Что такое Профиль защиты?
8. В чем особенности Канадских критериев безопасности компьютерных систем?
9. Опишите структуру Общих критериев безопасности ин- формационных технологий.
10. Опишите технологию применения Общих критериев без- опасности информационных технологий.
11. Каковы тенденции развития международной норматив- ной базы в области информационной безопасности?
9. информационные войны
и информационное противоборство
v Определение и основные виды информационных войн v Инфор- мационно-техническая война v Информационно-психологическая
| В |
настоящее время промышленно развитые страны пере- живают новый исторический этап развития, связанный с возрастанием роли информации в обществе. Инфор-
мационная зависимость всех сфер жизнедеятельности общества и государства чрезвычайно велика. Так, по оценкам американ- ских экспертов, нарушение работы компьютерных сетей, ис- пользуемых в системах управления государственными и банков- скими структурами США способно нанести экономике страны серьезный ущерб, сравнимый с ущербом от применения про- тив США ядерного оружия [4].
Следовательно, развитие информационных технологий ве- дет к появлению качественно новых форм борьбы, получивших название «информационная война», «информационное проти- воборство», «информационное воздействие».
|
|
|
