Министерство науки и высшего образования РФ

Федеральное государственное бюджетное образовательное

Учреждение высшего образования “Казанский Национальный
Исследовательский Технологический Университет”
Инженерный химико-технологический институт
Кафедра информационной безопасности

Реферат
По дисциплине: «Средства защиты информации в ведущих зарубежных
странах»

На тему: «Предпосылки создания международных стандартов ИБ и их

сравнительный анализ»

Выполнил:
Студент гр. 1271-15
Железнов А.В,
Шеянова Е.Ю.

Принял:
Алехин А.Д.

Казань, 2021 г.
 Содержание
Введение...............................................................................................................3

Состояние международной нормативно-методической базы....................4

Назначение и цели международной стандартизации..................................4

Международная организация по стандартизации, isо................................5

Основные международные стандарты информационной безопасности. 6

Список литературы.........................................................................................11

2
 Введение

За рубежом разработка стандартов проводится непрерывно,

последовательно публикуются проекты и версии стандартов на разных
стадиях согласования и утверждения. Некоторые стандарты поэтапно
углубляются и детализируются в виде совокупности взаимосвязанных по
концепциям и структуре групп стандартов.

Принято считать, что неотъемлемой частью общего процесса стандартизации

информационных технологий (ИТ) является разработка стандартов,
связанных с проблемой безопасности ИТ, которая приобрела большую
актуальность в связи с тенденциями все большей взаимной интеграции
прикладных задач, построения их на базе распределенной обработки данных,
систем телекоммуникаций, технологий обмена электронными данными.

Разработка стандартов для открытых систем, в том числе и стандартов

в области безопасности ИТ, осуществляется рядом специализированных
международных организаций и консорциумов таких, как, например, ISO,
IЕС, ITU-T, IEEE, IАВ, WOS, ЕСМА, X/Open, OSF, OMG.

Значительная работа по стандартизации вопросов безопасности ИТ

проводится специализированными организациями и на национальном
уровне. Все это позволило к настоящему времени сформировать достаточно
обширную методическую базу, в виде международных, национальных и
отраслевых стандартов, а также нормативных и руководящих материалов,
регламентирующих деятельность в области безопасности ИТ.

3
 Состояние международной нормативно-методической базы

С целью систематизации анализа текущего состояния международной

нормативно-методической базы в области безопасности ИТ необходимо
использовать некоторую классификацию направлений стандартизации.

В общем случае, можно выделить следующие направления:

1. Общие принципы управления информационной безопасностью.

2. Модели безопасности ИТ.
3. Методы и механизмы безопасности ИТ (такие, как, например:
методы аутентификации, управления ключами и т.п.).
4. Криптографические алгоритмы.
5. Методы оценки безопасности информационных систем.
6. Безопасность EDI-технологий.
7. Безопасность межсетевых взаимодействий (межсетевые экраны).
8. Сертификация и аттестация объектов стандартизации.

Назначение и цели международной стандартизации

Стандартом называется документ, в котором устанавливаются

характеристики продукции, эксплуатации, хранения, перевозки, реализации и
утилизации, выполнения работ или оказания услуг. Стандарт также может
содержать требования к терминологии, символике, упаковке, маркировке или
этикеткам и правилам их нанесения.

Международный стандарт - стандарт, принятый международной

организацией. На практике под международными стандартами часто
подразумевают также региональные стандарты и стандарты, разработанные
научно-техническими обществами и принятые в качестве норм различными
странами мира.

4
 Международная стандартизация - стандартизация, участие в которой
открыто для соответствующих органов всех стран.

Основное назначение международных стандартов - это создание на

международном уровне единой методической основы для разработки новых
и совершенствование действующих систем качества и их сертификации.

Научно-техническое сотрудничество в области стандартизации

направлено на гармонизацию национальной системы стандартизации с
международной, региональными и прогрессивными национальными
системами стандартизации.

В развитии международной стандартизации заинтересованы как

индустриально развитые страны, так и страны развивающиеся, создающие
собственную национальную экономику.

Международные стандарты не имеют статуса обязательных для всех

стран-участниц. Любая страна мира вправе применять или не применять их.
Решение вопроса о применении международного стандарта ИСО связано в
основном со степенью участия страны в международном разделении труда и
состоянием ее внешней торговли. ИСО является головной международной
организацией в области стандартизации.

Международная организация по стандартизации, isо

Международная организация по стандартизации, ISО (International

Оrganization for Standartization, ISO) - международная организация,
занимающаяся выпуском стандартов.

Международная организация ISО начала функционировать 23 февраля

1947 г. как добровольная, неправительственная организация. Она была
учреждена на основе достигнутого на совещании в Лондоне в 1946 г.
соглашения между представителями 25-ти индустриально развитых стран о
5
создании организации, обладающей полномочиями координировать на
международном уровне разработку различных промышленных стандартов и
осуществлять процедуру принятия их в качестве международных стандартов.

При создании организации и выборе ее названия учитывалась

необходимость того, чтобы аббревиатура наименования звучала одинаково
на всех языках. Для этого было решено использовать греческое слово isos -
равный, вот почему на всех языках мира Международная организация по
стандартизации имеет краткое название ISО (ИСО).

Сфера деятельности ISO касается стандартизации во всех областях,

кроме электротехники и электроники, относящихся к компетенции
Международной электротехнической комиссии (МЭК). Некоторые виды
работ выполняются совместными усилиями этих организаций. Кроме
стандартизации ISO занимается и проблемами сертификации.

Цель ISO — содействие развитию стандартизации в мировом масштабе

для облегчения международного товарообмена и взаимопомощи, а также для
расширения сотрудничества в области интеллектуальной, научной,
технической и экономической деятельности.

Основные международные стандарты информационной

безопасности

Обеспечить безопасность информационных систем в настоящее время

невозможно без грамотного и качественного создания систем защиты
информации. Это определило работы мирового сообщества по
систематизации и упорядочиванию основных требований и характеристик
таких систем в части безопасности информации.

6
 Одним из главных результатов подобной деятельности стала система
международных и национальных стандартов безопасности информации,
которая насчитывает более сотни различных документов.

Это особенно актуально для так называемых открытых систем

коммерческого применения, обрабатывающих информацию ограниченного
доступа, не содержащую государственную тайну, и стремительно
развивающихся в нашей стране.

Под открытыми системами понимают совокупности всевозможного

вычислительного и телекоммуникационного оборудования разного
производства, совместное функционирование которого, обеспечивается
соответствием требованиям стандартов, прежде всего международных.

Термин "открытые" подразумевает также, что если вычислительная

система соответствует стандартам, то она будет открыта для взаимосвязи с
любой другой системой, которая соответствует тем же стандартам. Это, в
частности, относится и к механизмам криптографической защиты
информации или к защите от несанкционированного доступа (НСД) к
информации.

Специалистам в области информационной безопасности (ИБ) сегодня

почти невозможно обойтись без знаний соответствующих стандартов.

Во-первых, стандарты и спецификации – одна из форм накопления

знаний, прежде всего о процедурном и программно-техническом уровнях ИБ.
В них зафиксированы апробированные, высококачественные решения и
методологии, разработанные наиболее квалифицированными специалистами.

Во-вторых, и те, и другие являются основным средством обеспечения

взаимной совместимости аппаратно-программных систем и их компонентов,

7
причем в internet-сообществе это средство действительно работает, и весьма
эффективно.

В последнее время в разных странах появилось новое поколение

стандартов в области защиты информации, посвященных практическим
вопросам управления информационной безопасности компании. Это, прежде
всего, международные и национальные стандарты управления
информационной безопасностью ISO 15408, ISО 17799 (ВS 7799), ВSI;
стандарты аудита информационных систем и информационной безопасности
СОВIТ, SАC, СОSО и некоторые другие, аналогичные им.

Особое значение имеют международные стандарты ISO 15408, ISO

17799 служат основой для проведения любых работ в области
информационной безопасности, в том числе и аудита.

ISO 15408 - определяет детальные требования, предъявляемые к

программно-техническим средствам защиты информации.

ISO 17799 - сосредоточен на вопросах организации и управления

безопасностью.

Использование международных и национальных стандартов

обеспечения информационной безопасности способствует решению
следующих пяти задач:

 во-первых, определение целей обеспечения информационной

безопасности компьютерных систем;
 во-вторых, создание эффективной системы управления
информационной безопасностью;
 в-третьих, расчет совокупности детализированных не только
качественных, но и количественных показателей для оценки
соответствия информационной безопасности заявленным целям;

8
  в-четвертых, применение инструментария обеспечения
информационной безопасности и оценки ее текущего состояния;
 в-пятых, использование методик управления безопасностью с
обоснованной системой метрик и мер обеспечения разработчиков
информационных систем, позволяющих объективно оценить
защищенность информационных активов и управлять
информационной безопасностью компании.

Основное внимание уделяется международному стандарту ISO/ 15408 и

его российскому аналогу ГОСТ Р ИСО/МЭК15408 -2002 «Критерии оценки
безопасности информационных технологий» а также спецификациям
«Internet-сообществ».

Проведение аудита информационной безопасности основывается на

использовании многочисленных рекомендаций, которые изложены
преимущественно в международных стандартах ИБ.

Начиная с начала 80-х годов, были созданы десятки международных и

национальных стандартов в области информационной безопасности, которые
в определенной мере дополняют друг друга.

Можно выделить наиболее важные стандарты, знание которых

необходимо разработчикам и оценщикам защитных средств, системным
администраторам, руководителям служб защиты информации, пользователям
по хронологии их создания, в том числе:

1. Критерий оценки надежности компьютерных систем «Оранжевая

книга» (США);
2. Гармонизированные критерии европейских стран;
3. Рекомендации Х.800;
4. Германский стандарт BSI;
5. Британский стандарт BS 7799;
9
 6. Стандарт «Общие критерии» ISO 15408;
7. Стандарт ISO 17799;
8. Стандарт COBIT

Эти стандарты можно разделить на два разных вида:

 Оценочные стандарты, направленные на классификацию

информационных систем и средств защиты по требованиям
безопасности;
 Технические спецификации, регламентирующие различные
аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов

нет глухой стены, напротив, существует логическая взаимосвязь.

Оценочные стандарты выделяют важнейшие, с точки зрения ИБ,

аспекты ИС, играя роль архитектурных спецификаций.

Технические спецификации определяют, как строить ИС предписанной

архитектуры.

10
 Список литературы

1. Астахов А. BS 7799 - прародитель международных стандартов.- Портал

Сnews-аналитика.- [Электронный ресурс].- Режим доступа:
http://www.cnews.ru/reviews/free/security2006/articles/bs
2. Искусство управления информационной безопасностью [Электронный
ресурс]. - Режим доступа: http://www.iso27000.ru/chitalnyi- zai/standarty-
informacionnoi-bezopasnosti/istoriya-standarta-bs-7799
3. Портал Информационная безопасность. Практика информационной
безопасности. Сертификация по ISO 27001 \\ Глава 1. Введение в
стандарты безопасности ISO.- [Электронный ресурс ].- Режим доступа:
http://dorlov.blogspot.com/2011/06/iso-27001-1-iso.html
4. Иванов О. Информационная безопасность в цифрах.- Anti- Malware.-:
https://www.anti-malware.ru/analytics/Threats_Analysis/2018-
cybersecurity-statistics
5. Интернет-портал об информационной безопасности [Электронный
ресурс]. - Режим доступа: http://infobezlikbez.ru/terminy/standarty/268-
sto-br-ibbs-standarty-banka-rossii- v-oblasti-informatsionnoj-bezopasnosti

11