МІЖНАРОДНІ СТАНДАРТИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Опрацюйте поданий матеріал:
Міжнародні стандарти інформаційної безпеки:
ISO/IEC
17799
ISO/IEC 17799 2005 призначений для використання будь-якою організацією,
котра планує встановити систему ефективного інформаційного захисту або
покращувати існуючі методи інформаційного захисту.
Однак, це не свідчить, що всі рекомендації стандарту
повинні бути обов’язково прийняті. Все залежить від конкретних місцевих
інформаційних ризиків та вимог.
Стандарт складається з 13 розділів:
1. Загальна частина
2. Терміни та визначення
3. Політика безпеки
4. Організовані методи забезпечення інформаційної безпеки
5. Управління ресурсами
6. Користувачі інформаційної системи
7. Фізична безпека
8. Управління комунікаціями та процесами
9. Контроль доступу
10. Придбання та розробка інформаційних систем
11. Управління інцидентами інформаційної безпеки
12. Управління безперервністю ведення бізнесу
13. Відповідність вимогам
Кожен із розділів має таку структуру:
Мета – вказує, яка мета повинна бути досягнута
Управління – вказує, як цілі можуть бути досягнуті
Керівництво – вказує, як управління може бути реалізовано та Додатки.
Зокрема в термінах і визначеннях позиціонуються такі
поняття, як:
інформаційна безпека (збереження конфіденційності, цілісності й доступності інформації), конфіденційність (забезпечення доступу до
інформації тільки для авторизованих користувачів, що мають право на доступ до
неї), цілісність (захист точності й повноти інформації й
методів її обробки), доступність (забезпечення
доступності інформації й пов’язаних з нею ресурсів авторизованим користувачам
за необхідності) тощо.
Також визначається політика безпеки.
Опис політики інформаційної безпеки – документ, що містить опис політики
інформаційної безпеки, повинен бути схвалений керівництвом, опублікований й
відповідно до необхідності розповсюджений серед всіх співробітників.
ISO/IES
27001
ISO/IEC 27001 – міжнародний стандарт по інформаційної безпеки розроблений
спільно Міжнародною Організацією по Стандартизації (ISO) і Міжнародної
електротехнічної комісією (IEC). Підготовлено до випуску підкомітетом SC27
Об’єднаного технічного комітету JTC 1.
Стандарт містить вимоги в області інформаційної безпеки
для створення, розвитку і підтримки Системи менеджменту інформаційної безпеки.
Кращі світові практики в галузі управління інформаційною
безпекою описані в міжнародному стандарті на системи менеджменту інформаційної
безпеки ISO / IEC 27001 (ISO 27001). ISO 27001 встановлює вимоги до системи
менеджменту інформаційної безпеки (СМІБ) для демонстрації здатності організації
захищати свої інформаційні ресурси.
Поняття “захисту інформації” трактується міжнародним
стандартом як забезпечення конфіденційності, цілісності та доступності
інформації.
Основа стандарту ІСО 27001 – система управління ризиками,
пов’язаними з інформацією. Система управління ризиками дозволяє отримувати
відповіді на наступні питання: – На якому напрямку інформаційної безпеки
потрібно зосередити увагу? – Скільки часу і коштів можна витратити на дане
технічне рішення для захисту інформації?
ISO/IES
15408
Стандарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних
технологій» (англ. Common Criteria for Information Technology Security
Evaluation) описує інфраструктуру (Framework) в якій користувачі комп’ютерної
системи можуть описати вимоги, розробники можуть заявити про властивості
безпеки продуктів, а експерти з безпеки визначити, чи задовольняє продукт
заявам. Таким чином цей стандарт дозволяє бути впевненим, що
процес опису, розробки та перевірки продукту був проведений в строгому порядку.
Прообразом даного документа послужили «Критерії оцінки безпеки інформаційних
технологій» (англ. Evaluation Criteria for IT Security, ECITS), робота над
якими почалася в 1990 році.
Стандарт містить два основних види вимог безпеки: функціональні,
що висуваються до функцій безпеки і реалізує їх механізмів, і вимоги довіри,
які пред’являються до технології та процесу розробки та експлуатації.
Механізми захисту інформації
Однією з умов безпечної роботи в інформаційній
системі є дотримання користувачем ряду правил, які перевірені на практиці і
показали свою високу ефективність. Їх декілька:
1. Використання програмних продуктів, отриманих
законним офіційним шляхом. Імовірність наявності вірусу в піратської копії у
багато разів вище, ніж в офіційно отриманому програмному забезпеченні.
2. Дублювання інформації. Перш за все, необхідно
зберігати дистрибутивні носії програмного забезпечення. При цьому запис на
носії, що допускають виконання цієї операції, повинна бути, по можливості,
заблокована. Слід особливо подбати про збереження робочої інформації. Переважно
регулярно створювати копії робочих файлів на знімних машинних носіях інформації
із захистом від запису. Копіюється або весь файл, або тільки що вносяться
зміни. Останній варіант застосуємо, наприклад, при роботі з базами даних.
3. Регулярне оновлення системного ПЗ. Операційну
систему необхідно регулярно оновлювати і встановлювати все виправлення безпеки
від Microsoft та інших виробників, щоб усунути існуючі уразливості програмного
забезпечення.
4. Обмеження доступу користувачів до налаштувань
операційної системи і системним даними. Для забезпечення стабільної роботи
системи досить часто потрібно обмежувати можливості користувачів, що можна
зробити або за допомогою вбудованих засобів Windows, або за допомогою
спеціалізованих програм, призначених для управління доступом до комп'ютера.
У корпоративних мережах можливе застосування
групових політик в мережі домену Windows.
5. Для максимально ефективного використання
мережевих ресурсів необхідно вводити обмеження доступу авторизованих
користувачів до внутрішніх і зовнішніх мережевих ресурсів і блокувати доступ
неавторизованих користувачів.
6. Регулярне використання антивірусних засобів.
Перед початком роботи доцільно виконувати програми-сканери та
програми-ревізори. Антивірусні бази повинні регулярно оновлюватися. Крім того,
необхідно проводити антивірусний контроль мережевого трафіку.
7. Захист від мережевих вторгнень забезпечується
застосуванням програмно-апаратних засобів, в тому числі: використанням
міжмережевих екранів, систем виявлення / запобігання вторгнень IDS / IPS
(Intrusion Detection / Prevention System), реалізацією технологій VPN (Virtual
Private Network).
8. Застосування засобів аутентифікації і
криптографії - використання паролів (простих / складних / неповторяющихся) і
методів шифрування. Не рекомендується використовувати один і той же пароль на
різних ресурсах і розголошувати відомості про паролі. При написанні пароля на
сайтах слід бути особливо уважним, щоб не допустити введення свого пароля на
шахрайському сайті-двійника.
9. Особливу обережність слід проявляти при
використанні нових (невідомих) знімних носіїв інформації і нових файлів. Нові
знімні носії обов'язково повинні бути перевірені на відсутність
завантажувальних і файлових вірусів, а отримані файли - на наявність файлових
вірусів. При роботі в розподілених системах або в системах колективного
користування нові змінні носії інформації і вводяться в систему файли доцільно
перевіряти на спеціально виділених для цієї мети комп'ютерах, не підключених до
локальної мережі. Тільки після всебічної антивірусної перевірки дисків і файлів
вони можуть передаватися користувачам системи.
10. При роботі з отриманими (наприклад, за
допомогою електронної пошти) документами і таблицями доцільно заборонити
виконання макрокоманд засобами, вбудованими в текстові і табличні редактори (MS
Word, MS Excel), до завершення повної перевірки цих файлів.
11. Якщо не передбачається здійснювати запис
інформації на зовнішні носії, то необхідно заблокувати виконання цієї операції,
наприклад, програмно відключивши USB-порти.
12. При роботі з загальними ресурсами в відкритих
мережах (наприклад, Інтернет) використовувати тільки перевірені мережеві
ресурси, які не мають шкідливого контенту. Не слід довіряти всієї що надходить
на комп'ютер інформації - електронних листів, посилань на Web-сайти,
повідомленнями на Інтернет-пейджери. Категорично не рекомендується відкривати
файли і посилання, що приходять з невідомого джерела.
Постійне дотримання наведених рекомендацій
дозволяє значно зменшити ймовірність зараження програмними вірусами і захищає
користувача від безповоротних втрат інформації. Однак навіть при скрупульозному
виконанні всіх правил профілактики можливість зараження ПК комп'ютерними
вірусами повністю виключити не можна, тому методи і засоби захисту від
шкідливого ПО необхідно постійно вдосконалювати і підтримувати в працездатному
стані.
Дайте відповіді на запитання:
1. Що таке інформаційна безпека?
2. Які механізми захисту?
3. Які є міжнародні стандарти Інформаційної безпеки?
