 |
Инфраструктура управления открытыми ключами PKI
|
|
|
|
Инфраструктура управления открытыми ключами PKI (Public Key Infrastructure) предназначена для защищенного управления криптографическими ключами электронного документооборота, основанного на применении криптографии с открытыми ключами. Эта инфраструктура подразумевает использование цифровых сертификатов, удовлетворяющих рекомендациям международного стандарта Х.509, и развернутой сети центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами.
1.3.8 Отечественные стандарты безопасности информационных технологий
Исторически сложилось, что в России проблемы безопасности ИТ изучались и своевременно решались в основном в сфере охраны государственной тайны. Аналогичные задачи коммерческого сектора экономики долгое время не находили соответствующих решений.
Информация, содержащаяся в системах или продуктах ИТ, является критическим ресурсом, позволяющим организациям успешно решать свои задачи. Кроме того, частные лица вправе ожидать, что их персональная информация, будучи размещенной в продуктах или системах ИТ, останется приватной, доступной им по мере необходимости и не сможет быть подвергнута несанкционированной модификации.
При выполнении продуктами или системами ИТ их функций следует осуществлять надлежащий контроль информации, что обеспечило бы ее защиту от опасностей нежелательного или неоправданного распространения, изменения или потерн. Понятие «безопасность ИТ» охватывает предотвращение и уменьшение этих и аналогичных опасностей.
Проблема защиты информации в коммерческой автоматизированной системе имеет свои особенности, которые необходимо учитывать, поскольку они оказывают серьезное влияние на информационную безопасность. Перечислим основные особенности:
|
|
|
1. Приоритет экономических факторов. Для коммерческой автоматизированной системы важно снизить либо исключить финансовые потери и обеспечить получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Важным условием при этом, в частности, является минимизация типично банковских рисков (например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т. п.).
2. Открытость проектирования, предусматривающая создание подсистемы защиты информации из средств, широко доступных на рынке и работающих в открытых системах.
3. Юридическая значимость коммерческой информации, которую можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с законодательством Российской Федерации. В табл. 3.1 указаны нормативные документы по критериям оценки защищенности средств вычислительной техники и автоматизированных систем и документы, регулирующие информационную безопасность (строки 1-10). Здесь же указаны нормативные документы по криптографической защите систем обработки информации и информационных технологий (строки 11-13).
Таблица 3.1. Российские стандарты, регулирующие ИБ
| Стандарт | Наименование | |
| ГОСТ Р ИСО/МЭК 15408-1-2012 | Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель | |
| ГОСТ Р ИСО/МЭК 15408-2-2013 | Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности | |
| ГОСТ Р ИСО/МЭК 15408-3-2013 | Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности | |
| ГОСТ Р 50739-95 | Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования | |
| ГОСТ Р 50922-2006 | Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения | |
| ГОСТ Р 51188-98 | Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство» | |
| ГОСТ Р 51275-2006 | Национальный стандарт Российской Федерации. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения | |
| ГОСТ Р ИСО/МЭК 7498-1-99 | Государственный стандарт Российской Федерации. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель | |
| ГОСТ Р ИСО 7498-2-99 | Государственный стандарт Российской Федерации. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации | |
| ГОСТ Р 50739-95 | Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования | |
| ГОСТ 28147-89 | Государственный стандарт Союза ССР. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования | |
| ГОСТ Р 34.10-2012. | Национальный стандарт Российской Федерации. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи | |
| ГОСТ Р 34.11-94 | Национальный стандарт Российской Федерации. Информационная технология. Криптографическая защита информации. Функция хэширования |
|
|
|
Стандарты в структуре информационной безопасности выступают как связующее звено между технической и концептуальной сторонами вопроса.
Введение в 1999 году международного стандарта ISO 15408 в области обеспечения информационной безопасности имело большое значение как для разработчиков компьютерных информационных систем, так и для их пользователей. Стандарт ISO 15408 стал своего рода гарантией качества и надежности сертифицированных по нему программных продуктов. Этот стандарт позволил потребителям лучше ориентироваться при выборе программного обеспечения и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT-компаний, сертифицирующих свою продукцию в соответствии с ISO 15408.
|
|
|
|
|
|
