Головна

Загальні відомості

  1.  I. Загальні рекомендації
  2.  I. Загальні вимоги охорони праці
  3.  II. Загальні вимоги ДО ВИКОНАННЯ РОЗРАХУНКОВО-ГРАФІЧНОЇ РОБОТИ
  4.  III. ЗАГАЛЬНІ НАПРЯМКИ ПОПЕРЕДЖЕННЯ
  5.  IV. Загальні засади землекористування і землеустрою СРСР 1928 р
  6.  V. Загальні міркування про історію цих країн
  7.  VI. Загальні роздуми про долю Рима і його історії

Частина 3. Стандарти в інформаційній безпеці

Загальні відомості

У загальному випадку стандартом прийнято називати документ, в якому з метою добровільного багаторазового використання встановлюються характеристики продукції, правила здійснення і характеристики процесів виробництва, експлуатації, зберігання, перевезення, реалізації та утилізації, виконання робіт або надання послуг. Стандарт може ставити й інші вимоги - наприклад, до символіки або термінології.

формальною причиною необхідності використаннястандартів є той факт, що необхідність проходження деяким з них закріплена законодавчо. Реальні причини набагато глибше - зазвичай стандарт є результатом формалізації досвіду кращих фахівців в тій чи іншій області, і тому являє собою надійне джерело оптимальних і перевірених рішень. Стандарти є також одним з основних механізмів забезпечення сумісності продуктів і систем - зокрема, АС, що використовують рішення від різних виробників.

Зупинимося на стандартах в області інформаційної безпеки. Їх загальноприйнята класифікація з прикладами приведена на рис. 3.1.

Перелічимо основні стандарти в області інформаційної безпеки, що мають в даний час офіційний статус в Російській Федерації:

§ Керівні документи (РД) Гостехкомиссии Росії діють і активно використовуються при проведенні сертифікації засобів захисту інформації в системах сертифікації ФСТЕК Росії, Міноборони Росії, а також в ряді добровільних систем сертифікації.

§ Стандарт ДСТУ ISO / IEC 15408-2002, Більш відомий як «Общіекрітеріі», Діє і застосовується при проведенні сертифікації засобів захисту, не призначених для роботи з інформацією, що становить державну таємницю. У перспективі передбачається відмова від РД Держтехкомісії Росії і повноцінний перехід до «Загальним критеріям» як єдиного оціночним стандарту.

§ криптографічні стандарти (ГОСТ 28147-89, ГОСТ 3410-2001, ГОСТ 3411-94) є обов'язковими для застосування в системах захисту інформації, які позиціонують як засоби криптографічного захисту.

§ Керуючі стандарти ISO 17799-2005 і ISO 27001-2005 в даний час не мають в РФ офіційного статусу, проте плануються до прийняття в якості ГОСТ найближчим часом.

Всі інші специфікації носять суто добровільний характер, проте активно використовуються при побудові реальних систем, в першу чергу - з метою забезпечення їх взаємосумісності.

3.2. «Помаранчева книга»

стандарт «Критерії оцінки довірених комп'ютерних систем» /Trusted Computer System Evaluation Criteria/, Більш відомий як «Помаранчева книга», Билразработан Міністерством Оборони США в 1983 р і став першим в історііобщедоступним оцінним стандартом в області інформаційної безпеки.

Вимоги «Помаранчевої книги» мають наступну структуру:



 КОМПЛЕКС ВПРАВ |  Політика безпеки

 гарантії |  II. Група C - дискреционная захист. |  Керівні документи Держтехкомісії Росії |  Основні положення концепції захисту ЗОТ і АС від несанкціонованого доступу до інформації |  Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. |  Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація АС і вимоги щодо захисту інформації |  Підсистема управління доступом |  Засоби обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу. |  Частина 1. Програмне забезпечення засобів захисту інформації. Класифікація за рівнем контролю відсутності декларованих можливостей |  Вступ |

© um.co.ua - учбові матеріали та реферати