Вы находитесь на странице: 1из 17

Предпосылки создания международных

стандартов ИБ и их сравнительный
анализ
Выполнили: Железнов А. В. и Шеянова Е. Ю.
За рубежом разработка стандартов проводится непрерывно, последовательно
публикуются проекты и версии стандартов на разных стадиях согласования и утверждения.
Некоторые стандарты поэтапно углубляются и детализируются в виде совокупности
взаимосвязанных по концепциям и структуре групп стандартов.
Принято считать, что неотъемлемой частью общего процесса стандартизации
информационных технологий (ИТ) является разработка стандартов, связанных с проблемой
безопасности ИТ, которая приобрела большую актуальность в связи с тенденциями все
большей взаимной интеграции прикладных задач, построения их на базе распределенной
обработки данных, систем телекоммуникаций, технологий обмена электронными данными.
Разработка стандартов для открытых систем, в том числе и стандартов в области
безопасности ИТ, осуществляется рядом специализированных международных организаций и
консорциумов (ISO, IЕС, ITU-T, IEEE, IАВ, WOS, ЕСМА, X/Open, OSF, OMG).
Значительная работа по стандартизации вопросов безопасности ИТ проводится
специализированными организациями и на национальном уровне. Все это позволило к
настоящему времени сформировать достаточно обширную методическую базу, в виде
международных, национальных и отраслевых стандартов, а также нормативных и
руководящих материалов, регламентирующих деятельность в области безопасности ИТ.
С целью систематизации анализа текущего состояния международной нормативно-
методической базы в области безопасности ИТ необходимо использовать некоторую
классификацию направлений стандартизации.
В общем случае, можно выделить следующие направления:
• Общие принципы управления информационной безопасностью.
• Модели безопасности ИТ.
• Методы и механизмы безопасности ИТ (методы аутентификации, управления ключами и
т.п.).
• Криптографические алгоритмы.
• Методы оценки безопасности информационных систем.
• Безопасность EDI-технологий.
• Безопасность межсетевых взаимодействий (межсетевые экраны).
• Сертификация и аттестация объектов стандартизации.
Стандартом называется документ, в котором устанавливаются характеристики продукции,
эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или
оказания услуг. Стандарт также может содержать требования к терминологии, символике,
упаковке, маркировке или этикеткам и правилам их нанесения.
Международный стандарт - стандарт, принятый международной организацией. На
практике под международными стандартами часто подразумевают также региональные
стандарты и стандарты, разработанные научно-техническими обществами и принятые в
качестве норм различными странами мира.
Международная стандартизация - стандартизация, участие в которой открыто для
соответствующих органов всех стран.
Основное назначение международных стандартов - это создание на международном
уровне единой методической основы для разработки новых и совершенствование
действующих систем качества и их сертификации.
Научно-техническое сотрудничество в области стандартизации направлено на
гармонизацию национальной системы стандартизации с международной, региональными и
прогрессивными национальными системами стандартизации.
В развитии международной стандартизации заинтересованы как индустриально развитые
страны, так и страны развивающиеся, создающие собственную национальную экономику.
Международные стандарты не имеют статуса обязательных для всех стран-участниц.
Любая страна мира вправе применять или не применять их. Решение вопроса о применении
международного стандарта ИСО связано в основном со степенью участия страны в
международном разделении труда и состоянием ее внешней торговли. ИСО является
головной международной организацией в области стандартизации.
Международная организация по стандартизации, ISО (International Оrganization for
Standartization, ISO) - международная организация, занимающаяся выпуском стандартов.
Международная организация ISО начала функционировать 23 февраля 1947 г. как
добровольная, неправительственная организация. Она была учреждена на основе
достигнутого на совещании в Лондоне в 1946 г. соглашения между представителями 25-ти
индустриально развитых стран о создании организации, обладающей полномочиями
координировать на международном уровне разработку различных промышленных
стандартов и осуществлять процедуру принятия их в качестве международных стандартов.
При создании организации и выборе ее названия учитывалась необходимость того, чтобы
аббревиатура наименования звучала одинаково на всех языках. Для этого было решено
использовать греческое слово isos - равный, вот почему на всех языках мира Международная
организация по стандартизации имеет краткое название ISО (ИСО).
Сфера деятельности ISO касается стандартизации во всех областях, кроме электротехники
и электроники, относящихся к компетенции Международной электротехнической комиссии
(МЭК). Некоторые виды работ выполняются совместными усилиями этих организаций. Кроме
стандартизации ISO занимается и проблемами сертификации.
Цель ISO — содействие развитию стандартизации в мировом масштабе для облегчения
международного товарообмена и взаимопомощи, а также для расширения сотрудничества в
области интеллектуальной, научной, технической и экономической деятельности.
Обеспечить безопасность информационных систем в настоящее время невозможно без
грамотного и качественного создания систем защиты информации. Это определило работы
мирового сообщества по систематизации и упорядочиванию основных требований и
характеристик таких систем в части безопасности информации.
Одним из главных результатов подобной деятельности стала система международных и
национальных стандартов безопасности информации, которая насчитывает более сотни
различных документов.
Это особенно актуально для так называемых открытых систем коммерческого
применения, обрабатывающих информацию ограниченного доступа, не содержащую
государственную тайну, и стремительно развивающихся в нашей стране.
Под открытыми системами понимают совокупности всевозможного вычислительного и
телекоммуникационного оборудования разного производства, совместное
функционирование которого, обеспечивается соответствием требованиям стандартов,
прежде всего международных.
Термин "открытые" подразумевает также, что если вычислительная система соответствует
стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая
соответствует тем же стандартам. Это, в частности, относится и к механизмам
криптографической защиты информации или к защите от несанкционированного доступа
(НСД) к информации.
Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно
обойтись без знаний соответствующих стандартов.
– Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о
процедурном и программно-техническом уровнях ИБ. В них зафиксированы
апробированные, высококачественные решения и методологии, разработанные наиболее
квалифицированными специалистами.
– Во-вторых, и те, и другие являются основным средством обеспечения взаимной
совместимости аппаратно-программных систем и их компонентов, причем в internet-
сообществе это средство действительно работает, и весьма эффективно.
В последнее время в разных странах появилось новое поколение стандартов в области
защиты информации, посвященных практическим вопросам управления информационной
безопасности компании. Это, прежде всего, международные и национальные стандарты
управления информационной безопасностью ISO 15408, ISО 17799 (ВS 7799), ВSI; стандарты
аудита информационных систем и информационной безопасности СОВIТ, SАC, СОSО и
некоторые другие, аналогичные им.
Особое значение имеют международные стандарты ISO 15408, ISO 17799 служат основой
для проведения любых работ в области информационной безопасности, в том числе и аудита.
ISO 15408 - определяет детальные требования, предъявляемые к программно-
техническим средствам защиты информации.
ISO 17799 - сосредоточен на вопросах организации и управления безопасностью.
Использование международных и национальных стандартов обеспечения
информационной безопасности способствует решению следующих пяти задач:
– во-первых, определение целей обеспечения информационной безопасности компьютерных
систем;
– во-вторых, создание эффективной системы управления информационной безопасностью;
– в-третьих, расчет совокупности детализированных не только качественных, но и
количественных показателей для оценки соответствия информационной безопасности
заявленным целям;
– в-четвертых, применение инструментария обеспечения информационной безопасности и
оценки ее текущего состояния;
– в-пятых, использование методик управления безопасностью с обоснованной системой
метрик и мер обеспечения разработчиков информационных систем, позволяющих
объективно оценить защищенность информационных активов и управлять
информационной безопасностью компании.
Основное внимание уделяется международному стандарту ISO/ 15408 и его российскому
аналогу ГОСТ Р ИСО/МЭК15408 -2002 «Критерии оценки безопасности информационных
технологий» а также спецификациям «Internet-сообществ».
Проведение аудита информационной безопасности основывается на использовании
многочисленных рекомендаций, которые изложены преимущественно в международных
стандартах ИБ.
Начиная с начала 80-х годов, были созданы десятки международных и национальных
стандартов в области информационной безопасности, которые в определенной мере
дополняют друг друга.
Можно выделить наиболее важные стандарты, знание которых необходимо
разработчикам и оценщикам защитных средств, системным администраторам,
руководителям служб защиты информации, пользователям по хронологии их создания, в том
числе:
– Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);
– Гармонизированные критерии европейских стран;
– Рекомендации Х.800;
– Германский стандарт BSI;
– Британский стандарт BS 7799;
– Стандарт «Общие критерии» ISO 15408;
– Стандарт ISO 17799;
– Стандарт COBIT.
Эти стандарты можно разделить на два разных вида:
– Оценочные стандарты, направленные на классификацию информационных систем и
средств защиты по требованиям безопасности;
– Технические спецификации, регламентирующие различные аспекты реализации средств
защиты.
Важно отметить, что между этими видами нормативных документов нет глухой стены,
напротив, существует логическая взаимосвязь.
Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль
архитектурных спецификаций.
Технические спецификации определяют, как строить ИС предписанной архитектуры.
Спасибо за внимание!