Контакты  

Основные международные стандарты иб. Международные стандарты информационной безопасности. Принципы и средства обеспечения безопасности

В данном разделе приводятся общие сведения и тексты национальных стандартов Российской Федерации в области защиты информации ГОСТ Р.

Актуальный перечень современных ГОСТов, разработанных в последние годы и планируемых к разработке. Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (ФСТЭК России). ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ПОРЯДОК СОЗДАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. Общие положения. Москва ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Дата введения 1996-01-01 Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения. Protection of information. Basic terms and definitions. Дата введения 2008-02-01 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ЗАЩИТА ИНФОРМАЦИИ. СИСТЕМА СТАНДАРТОВ. ОСНОВНЫЕ ПОЛОЖЕНИЯ (SAFETY OF INFORMATION. SYSTEM OF STANDARDS. BASIC PRINCIPLES) ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ИСПЫТАНИЯ ПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ. Типовое руководство (Information security. Software testing for the existence of computer viruses. The sample manual). Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model) ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 2. Security functional requirements) ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements) ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности. Information security of the public communications network providing system. Passport of the organization communications of information security. Дата введения в действие 30.09.2009. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. Protection of information. Information security provision in organizations. Basic terms and definitions. Дата введения в действие 30.09.2009. ГОСТ Р 53112-2008 Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний. Information protection. Facilities for measuring side electromagnetic radiation and pickup parameters. Technical requirements and test methods. Дата введения в действие 30.09.2009. ГОСТ Р 53115-2008 Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства. Information protection. Conformance testing of technical information processing facilities to unauthorized access protection requirements. Methods and techniques. Дата введения в действие 30.09.2009. ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Information technology. Protection of information technology and automated systems against security threats posed by use of covert channels. Part 2. Recommendations on protecting information, information technology and automated systems against covert channel attacks. Дата введения в действие 01.12.2009. ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. Information technology. Security techniques. Security assessment of operational systems. Дата введения в действие 30.09.2009. ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения. Information protection. Guidelines for recovery services of information and communications technology security functions and mechanisms. General. Дата введения в действие 30.09.2009. ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы. Information technology. Security techniques. A framework for IT security assurance. Part 1. Overview and framework. Дата введения в действие 01.07.2012. ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции. Information technology. Security techniques. Network security. Part 1. Overview and concepts. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems. Дата введения в действие 30.09.2009. ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. Information technology. Security techniques. Information security management. Measurement. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Information technology. Security techniques. Information security risk management. Дата введения в действие 01.12.2011. ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска (Risk management. Risk assessment methods). Дата введения в действие: 01.12.2012 ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство (Risk management. Principles and guidelines). Дата введения в действие: 31.08.2011 ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. Дата введения в действие: 30.06.1990. ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1» – вступает в силу 1 сентября 2015 г. ГОСТ Р ИСО/МЭК 27033-3-2014 «Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления» – вступает в силу 1 ноября 2015 г ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме» – вступает в силу 1 ноября 2015 г. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. Information technology. Security techniques. Code of practice for information security management. Дата введения в действие 01.01.2014. Код ОКС 35.040. ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования (Information protection. Secure Software Development. General requirements). Дата введения в действие 01.06.2017. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Information protection. Sequence of protected operational system formation. General. 01.09.2014 ГОСТ Р 7.0.97-2016 Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов (System of standards on information, librarianship and publishing. Organizational and administrative documentation. Requirements for presentation of documents). Дата введения в действие 01.07.2017. Код ОКС 01.140.20. ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер - Security of Financial (banking) Operations. Information Protection of Financial Organizations. Basic Set of Organizational and Technical Measures. ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования - Business continuity management systems. Requirements. ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению - Business continuity management systems. Guidance for implementation. ГОСТ Р ИСО/МЭК 27031-2012 Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса - Information technology. Security techniques. Guidelines for information and communication technology readiness for business continuity. ГОСТ Р МЭК 61508-1-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 1. General requirements. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-2-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 2. Requirements for systems. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-3-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ. Требования к программному обеспечению. IEC 61508-3:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 3: Software requirements (IDT). ГОСТ Р МЭК 61508-4-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ Часть 4 Термины и определения. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 4. Terms and definitions. Дата введения 2013-08-01. . ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3. IEC 61508-6:2010. Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (IDT). ГОСТ Р МЭК 61508-7-2012 Функциональная безопасность систем электрических, Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства. Functional safety of electrical electronic programmable electronic safety-related systems. Part 7. Techniques and measures. Дата введения 2013-08-01. ГОСТ Р 53647.6-2012. Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных

Рассмотрим наиболее известные международные стандарты в области информационной безопасности.

Стандарт ISO 17799 «Практические правила управления информационной безопасностью» рассматривает следующие аспекты ИБ:

Основные понятия и определения;

Политика информационной безопасности;

Организационные вопросы безопасности;

Классификация и управление активами;

Вопросы безопасности, связанные с персоналом;

Физическая защита и защита от воздействий окружающей среды;

Управление передачей данных и операционной деятельностью;

Контроль доступа;

Разработка и обслуживание систем;

Управление непрерывностью бизнеса;

Внутренний аудит ИБ компании;

Соответствие требованиям законодательства.

Важное место в системе стандартов занимает стандарт ISO 15408 «Общие критерии безопасности информационных технологий», известный как «Common Criteria». В «Общих критериях» проведена классификация широкого набора требований безопасности информационных технологий, определены структуры их группирования и принципы использования.

Важной составляющей системы стандартов является инфраструктура открытых ключей PKI (Public Key Infrastructure). Эта инфраструктура подразумевает развертывание сети центров сертификации ключей и использование цифровых сертификатов, удовлетворяющих рекомендации X.509

Российские стандарты по информационной безопасности

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России

ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России

ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России

ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России

ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования

ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения

ГОСТ Р 53131-2008 (ИСО/МЭК ТО 24762-2008). Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения

ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России

ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России

ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средста обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий

ГОСТ Р ИСО/МЭК ТО 13335-4-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 4. Выбор защитных мер

ГОСТ Р ИСО/МЭК ТО 13335-5-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети

ГОСТ Р ИСО/МЭК 15408 -1-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий . Часть 1. Введение и общая модель. Госстандарт России

ГОСТ Р ИСО/МЭК 15408-2-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России

ГОСТ Р ИСО/МЭК 15408-3-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России

ГОСТ Р ИСО/МЭК ТО 15443-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы

ГОСТ Р ИСО/МЭК ТО 15443-2-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 2. Методы доверия

ГОСТ Р ИСО/МЭК ТО 15443-3-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 3. Анализ методов доверия

ГОСТ Р ИСО/МЭК17799- 2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью

ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности

ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем

ГОСТ Р ИСО/МЭК27001- 2006. Методы и средства обеспечения безопасности.Системы менеджмента информационной безопасности . Требования

ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения

ГОСТ Р ИСО/МЭК 27005-2009. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции

ГОСТ 28147 -89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования .

ГОСТ Р 34.10 -2001 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи .

ГОСТ Р 34.11 -94 Информационная технология. Криптографическая защита информации. Функции хэширования .

Весьма важным является семейство международных стандартов по управлению информационной безопасностью серии ISO 27000 (которые с некоторой задержкой принимаются и в качестве российских государственных стандартов). Отдельно отметим ГОСТ/ISO 27001 (Системы управления информационной безопасностью), ГОСТ/ISO 27002 (17799) (Практические правила управления информационной безопасностью)

Технологии межсетевых экранов

Межсетевой экран (МЭ) - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. МЭ также называют брандма́уэр (нем. Brandmauer ) или файрво́л (англ. firewall ). МЭ позволяет разделить общую сеть на 2 части и реализовать набор правил, определяющий условия прохождения пакетов с данными через экран из одной части сети в другую. Обычно МЭ устанавливается между корпоративной (локальной) сетью и сетью Интернет, защищая внутреннюю сеть предприятия от атак из глобальной сети, но может защищать и локальную сеть от угроз из корпоративной сети.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Георгий Гарбузов,
CISSP, MCSE:Security, дирекция информационной безопасности Страховой Группы "УРАЛСИБ"

ИСТОРИЯ стандартизации, как процесса установления единых требований, пригодных для многократного применения, насчитывает несколько тысячелетий - еще при строительстве пирамид в Древнем Египте использовались блоки стандартного размера, а специальные люди контролировали степень соответствия этому древнему стандарту. Сегодня стандартизация занимает прочное место практически во всех отраслях человеческой деятельности.

Стандартизация в области информационной безопасности

Стандартизация в области информационной безопасности (ИБ) выгодна и профессионалам, и потребителям продуктов и услуг ИБ, так как позволяет установить оптимальный уровень упорядочения и унификации, обеспечить взаимозаменяемость продуктов ИБ, а также измеряемость и повторяемость результатов, полученных в разных странах и организациях. Для профессионалов - это экономия времени на поиск эффективных и зарекомендовавших себя решений, а для потребителя - гарантия получения результата ожидаемого качества.

Объектом стандартизации может являться любой продукт или услуга ИБ: метод оценки, функциональные возможности средств защиты и параметры настройки, свойства совместимости, процесс разработки и производства, системы менеджмента и т.д.

Стандартизация, в зависимости от состава участников, бывает международной, региональной или национальной, при этом международная стандартизация (наравне с официальными органами стандартизации, такими как ISO) включает в себя стандартизацию консорциумов (например, IEEE или SAE), а национальная стандартизация бывает государственной или отраслевой.

Остановимся подробнее на некоторых востребованных сегодня зарубежных стандартах, так или иначе затрагивающих вопросы информационной безопасности.

Международные стандарты в области ИБ - зарубежный опыт

Стандартизация в области ИБ за рубежом развивается уже не один десяток лет, и некоторые страны, например Великобритания, имеют огромный опыт в разработке стандартов - многие британские национальные стандарты, такие как BS7799-1/2, приобрели со временем статус международных. С них и начнем.

Международные стандарты ISO 27002 и ISO 27001

Пожалуй, на сегодня это самые востребованные стандарты в области ИБ.

ISO 27002 (прежде ISO 17799) содержит свод рекомендаций по эффективной организации систем управления ИБ на предприятии, затрагивая все ключевые области, в частности:

  • формирование политики ИБ;
  • безопасность, связанная с персоналом;
  • безопасность коммуникаций;
  • физическая безопасность;
  • управление доступом;
  • обработка инцидентов;
  • обеспечение соответствия требованиям законодательства.

Стандарт ISO 27001 является сборником критериев при проведении сертификации системы менеджмента, по результатам которой аккредитованным органом по сертификации выдается международный сертификат соответствия, включаемый в реестр.

Согласно реестру, в России в настоящее время зарегистрировано около полутора десятка компаний, имеющих такой сертификат, при общем числе сертификаций в мире более 5000. Подготовка к сертификации может осуществляться либо силами самой организации, либо консалтинговыми компаниями, причем практика показывает, что намного проще получить сертификат ISO 27001 компаниям, уже имеющим сертифицированную систему управления (например, качеством).

Стандарты ISO 27001/27002 являются представителями новой серии стандартов, окончательное формирование которой еще не закончено: в разработке находятся стандарты 27000 (основные принципы и терминология), 27003 (руководство по внедрению системы управления ИБ), 27004 (измерение эффективности системы управления ИБ) и другие - всего в серии 27000 предполагается более 30 стандартов. Подробнее о составе серии и текущем состоянии ее разработки можно узнать на официальном сайте ISO (www.iso.org).

Международные стандарты ISO13335 и ISO15408

Стандарт ISO 13335 является семейством стандартов безопасности информационных технологий, охватывающих вопросы управления ИТ-безопасностью, предлагая конкретные защитные меры и способы. В настоящее время происходит постепенное замещение серии 13335 более новой серией 27000. Стандарт ISO 15408 содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном уровне (подобно знаменитой Оранжевой книге, которая также известна как критерии оценки TCSEC, или европейские критерии ITSEC), которые позволяют сравнивать результаты, полученные в разных странах.

В целом данные стандарты, хотя и содержат лишь технологическую часть, могут использоваться как независимо, так и при построении систем управления ИБ в рамках, например, подготовки к сертификации на соответствие ISO 27001.

CobiT

CobiT представляет собой набор из около 40 международных стандартов и руководств в области управления ИТ, аудита и безопасности и содержит описания соответствующих процессов и метрик. Основная цель CobiT заключается в нахождении общего языка между бизнесом, имеющим конкретные цели, и ИТ, способствующими их достижению, позволяя создавать адекватные планы развития информационных технологий организации.

CobiT применяется для аудита и контроля системы управления ИТ организации и содержит подробные описания целей, принципов и объектов управления, возможных ИТ-процессов и процессов управления безопасностью. Полнота, понятные описания конкретных действий и инструментов, а также нацеленность на бизнес делают CobiT хорошим выбором при создании информационной инфраструктуры и системы управления ею.

В следующей части статьи мы рассмотрим некоторые интересные национальные и отраслевые зарубежные стандарты, такие как NIST SP 800, BS, BSI, PCI DSS, ISF, ITU и другие.

Комментарий эксперта

Алексей Плешков,
начальник отдела защиты информационных технологий, Газпромбанк (Открытое акционерное общество)

Дополнительно к приведенному выше обзору международных стандартов хотелось бы обратить внимание на еще один регламентирующий документ по информационной безопасности, не распространенный на территории РФ. Одним из таких стандартов является документ из линейки методов EBIOS.

Проект EBIOS по разработке методов и инструментальных средств управления ИБ в информационных системах поддерживается правительством Франции и продвигается комиссией DCSSI при премьер-министре Франции на уровень общеевропейского. Назначение этого проекта - способствовать повышению безопасности информационных систем государственных или частных организаций (http://www.securiteinfo.com/conseils/ebios.shtml).

Текст комплекта документации на продукт автоматизации оценочных задач обеспечения ИБ "Методологические инструментальные средства достижения безопасности информационных систем EBIOS (определение потребностей и идентификация целей безопасности)" был опубликован на официальном сайте правительства Франции, посвященном вопросам обеспечения информационной безопасности автоматизированных систем в 2004 г.

Метод EBIOS, предложенный Генеральным секретариатом министерства национальной обороны Франции и названный "Определение потребностей и идентификация целей безопасности" (EBIOS), был разработан с учетом международных стандартов, направленных на обеспечение ИБ. Он формализует подход к осуществлению оценки и обработки рисков в области безопасности информационных систем и применяется для оценки уровня ИБ в разрабатываемых и существующих системах.
Цель метода - позволить любой организации, находящейся под управлением государства, определить перечень действий по обеспечению безопасности, которые необходимо предпринять в первую очередь. Метод может быть реализован администраторами подразделения безопасности организации и может применяться на всех уровнях структуры разрабатываемой или существующей информационной системы (подсистемы, прикладные программы).

Подход EBIOS учитывает три основных свойства ИБ: конфиденциальность, целостность и доступность как информации, так и систем, а также среды, в которой они находятся. В определенных случаях предлагается позаботиться об обеспечении потребностей неотказуемости, авторизации и аутентификации.

Международные стандарты

  • BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
  • BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
  • BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
  • ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
  • ISO/IEC 27000 - Словарь и определения.
  • ISO/IEC 27001 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
  • ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
  • ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
  • German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

  • ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
  • Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
  • ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
  • ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
  • ГОСТ Р ИСО/МЭК 15408-1-2012 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
  • ГОСТ Р ИСО/МЭК 15408-2-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
  • ГОСТ Р ИСО/МЭК 15408-3-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
  • ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
  • ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
  • ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
  • ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.

ISO/IEC 27001 - международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).

Назначение стандарта. В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Основные понятия. Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).

Целостность - обеспечение точности и полноты информации, а также методов её обработки.

Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Стандарт ISO 27001 обеспечивает:

· определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;

· определение подходов к оценке и управлению рисками в организации;

· управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;

· использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;

· определение процессов системы менеджмента информационной безопасности;

· определение статуса мероприятий по обеспечению информационной безопасности;

· использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;



· предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.


Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации по содержанию ФЗ РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6) достоверность информации и своевременность ее предоставления;

7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.


Стратегия национальной безопасности Российской Федерации до 2020г.». Структура, задачи, методы и пути реализации государством своих функций по обеспечению информационной безопасности в «Доктрине информационной безопасности Российской Федерации».



Стратегия национальной безопасности Российской Федерации до 2020 года - официально признанная система стратегических приоритетов, целей и мер в области внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу.

Доктрина информационной безопасности Российской Федерации - совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

Составляющие национальных интересов Российской Федерации в информационной сфере в доктрине:

1) Обязательное соблюдение конституционных прав и свобод человека в области получения информации и пользования ею.

2) Информационное обеспечение государственной политики РФ (доведение до граждан РФ и международной общественности о государственной политике РФ, официальной позиции по значимым событиям в России и в мире) с доступом граждан к открытым государственным ресурсам.

3) Развитие современных ИТ отечественной индустрии (средств информатизации, телекоммуникации и связи). Обеспечение ИТ внутреннего рынка России и выход на мировые рынки.

4) Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Виды угроз информационной безопасности РФ в доктрине:

1. Угрозы, направленные на конституционные права и свободы человека в области информационной деятельности.

2. Угрозы информационному обеспечению государственной политики РФ.

3. Угроза развитию современных ИТ отечественной индустрии, а также выходу на внутренний и мировой рынок.

4. Угрозы безопасности информационных и телекоммуникационных средств и систем.

Методы обеспечения информационной безопасности РФ в доктрине:

Правовые методы

Разработка нормативных правовых актов, регламентирующих отношения в сфере IT

Организационно-технические методы

Создание системы информационной безопасности РФ и её совершенствование

Привлечение лиц к ответственности, совершивших преступления в этой сфере

Создание систем и средств для предотвращения несанкционированного доступа к обрабатываемой информации

Экономические методы

Разработка программ обеспечения информационной безопасности и их финансирование

Финансирование работ, связанных с обеспечением информационной безопасности РФ