Файл: Международные стандарты в сфере безопасности сетей (Международная электротехническая комиссия).pdf

4.6 Практика прохождения аудита и получения сертификата ISO 17799

Для получения сертификата соответствия ISO 17799 компания должна пройти аудит информационной безопасности, провести подготовку информационной системы на соответствие стандарту, внедрить изменения и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов. Предварительный этап заключается в проведении аудита и, на его основании, подготовки необходимых изменений системы управления информационной безопасностью. Его может выполнить специализированная секьюрити компания, имеющая опыт в проведение подобных работ. Затем, после подготовки комплекта необходимых документов и внесения изменений в систему, необходимо провести итоговую проверку соответствия ISO 17799, для чего требуется участие специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при UKAS (United Kingdom Accreditation Service, http://www.ukas.com) - уполномоченном государственном органе Великобритании. Также, отметим, что в настоящее время официальная сертификация возможно только по BS 7799 (до выхода 2-ой части ISO 17799 - требования к аудиторам, которая намечена на 2004 год). Однако между ISO и UKAS существует соглашение, согласно которому после принятия второй часто ISO 17799 все сертификаты BS 7799 автоматически получают статус ISO 17799.

5. Стандарты безопасности в Интернете

В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.

SSL (TLS)

Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.

SET

SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту Х.509 и предназначен для организации электронной торговли через сеть.

Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет.

IPSec

Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.

Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других криптографических алгоритмов.

Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:

· поддержку немодифицированных конечных систем;

· поддержку транспортных протоколов, отличных от ТСР;

· поддержку виртуальных сетей в незащищенных сетях;

· защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного анализа трафика);

· защиту от атак типа "отказ в обслуживании".

Кроме того, IPSec имеет два важных преимущества:

1. его применение не требует изменений в промежуточных устройствах сети;

2. рабочие места и серверы не обязательно должны поддерживать IPSec.

Заключение

Сетевая безопасность охватывает множество мер и должна рассматриваться как часть общей политики, проводимой организацией (предприятием, компанией, фирмой) по информационной безопасности. В обеспечении безопасности сети занято много служб и используются различные средства. По сетевой безопасности написано огромное количество книг и статей, затрагивающих широкий диапазон ИБ.