Добавлен: 30.04.2023
Просмотров: 115
Скачиваний: 2
СОДЕРЖАНИЕ
1.Теоретические аспекты информационной безопасности
1.1 Объекты информационной безопасности
1.2. Методические основы защиты информации в РФ
2.Стандарты и перспективы защиты информации за рубежом
2.1. Зарубежные стандарты информационной безопасности
2.2. Развитие глобального регулирования в сфере информационной безопасности
Для информационной безопасности государства в целом важным считается обеспечение его защищенности, что предусматривает собой создание и поддержку соответствующих инженерно-технических мощностей и информационной организации, которые способны предотвратить реальные и потенциальные угрозы, а также соответствуют уровню демографического и экономического положения страны.
1.2. Методические основы защиты информации в РФ
Обеспечения информационной безопасности является одним из ключевых факторов стабильного функционирования любого предприятия. На сегодняшний день конфиденциальность, целостность и доступность информации является важным аспектом непрерывности бизнеса, поэтому всё большее число организаций сосредоточены на вопросе информационной безопасности. Таким образом, существует необходимость в эффективной и интегрированной системе информационной безопасности.
Довольно часто, при создании информационной системы, организации стремятся обезопасить свои информационные активы лишь на аппаратном и программном уровнях защиты. Но такой уровень безопасности является неэффективным и должен быть подкреплен нормами и правилами в области информационной безопасности.
Подготовка и реализация системы безопасности в учреждении должна осуществляться на основании существующего законодательства и нормативных требований в сфере информационной безопасности. Основным документом является Конституция РФ, согласно которой «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается».
Другими базовыми документами в области информационной безопасности являются Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации», в соответствии с которым, необходимо обеспечивать защиту информации от несанкционированного доступа, модификации, уничтожения, копирования и распространения данных.[8] Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» регулирует действия, связанные с обработкой персональных данных государственными учреждениями, с использованием автоматизированных систем.[9]
Также следует брать во внимание закон РФ «О государственной тайне» и закон РФ «О коммерческой тайне», который регламентирует порядок отнесения информации к служебной тайне, режим служебной тайны и порядок разглашения служебных данных.[10] Также существует ряд законов, в соответствии с которыми формируются уровни конфиденциальности информации («Об утверждении Перечня сведений конфиденциального характера»; «Об утверждении Перечня сведений, отнесенных к государственной тайне»; «Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну»).
В целом, законодательные РФ не учитывают и регулируют в полной мере хранение и использование конфиденциальных данных.
Основными регламентами обеспечения безопасности со стороны процедурного и аппаратно-программного уровней являются стандарты и спецификации. Это документы, содержащие испытанные, высококачественные методологии и средства обеспечения безопасности.
В соответствии со стандартами, обеспечение безопасности объектов информационной системы должно состоять из следующих этапов:
- выделение целей обеспечения информационной безопасности;
- проектирование действенной системы управления;
- анализ и оценка соответствия поставленным целям;
- анализ исходного состояния защищенности;
Руководящий документ Гостехкомиссии РФ «Критерии оценки безопасности информационных технологий». Это документ разработан в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 и обеспечивает его практическое использование. Основная цель РД – реализация комплексных методов по обеспечению безопасности информационных систем и использование необходимого функционала. Он направлен на проектирование систем безопасности соответствующих возможным угрозам и сохраняющих баланс между эффективностью и стоимостью.[11]
Руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Этот РД определяет классификацию АС и в соответствии с классом определяет требования к возможным подсистемам.[12]
Руководящий документ Гостехкомиссии РФ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Первый РД, который не имеет зарубежных аналогов. Основная идея данного РД – классификация межсетевых экранов в соответствии с сетевой моделью OSI, которая фильтрует потоки данных.
2.Стандарты и перспективы защиты информации за рубежом
2.1. Зарубежные стандарты информационной безопасности
ISO/IEC 27000 — серия международных стандартов, включающая стандарты, по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Серия содержит лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания Системы Менеджмента Информационной Безопасности. Данное семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.
Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее. На данный момент опубликовано 17 стандартов данного семейства. Приступим к описанию.
По стандарту ISO 27001:2005 информационная безопасность – это: обеспечение конфиденциальности, целостности и доступности информации; также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надёжность.
Стоит разделить все стандарты на 4 группы:
- Стандарты для обзора и введения в терминологию;
- Стандарты, определяющие обязательные требования к СУИБ (система управления информационной безопасностью);
- Стандарты, определяющие требования и рекомендации для аудита СУИБ;
- Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.
Давайте рассмотрим каждый стандарт из данного семейства.
Стандарты для обзора и введения в терминологию. К данной группе можно отнести первый стандарт семейства: ISO 27000. ISO 27000 включает в себя: информационные технологии, средства обеспечения безопасности, системы менеджмента информационной безопасности а также обзор и словарь. Другими словами, стандарт описывает основные определения, которые используются в стандартах информационной безопасности.
Стандарты, определяющие обязательные требования к СУИБ. Данная группа включает в себя всего лишь один стандарт: ISO 27001. Суть этого стандарта заключается в описании информационных технологий, методов и средств обеспечения безопасности, менеджмента информационной безопасности и выявлении требований. Стоит сказать, что это основной стандарт группы. ISO 27001 определяет требования к разработке, внедрению и улучшению менеджмента информационной безопасности.
Стандарты, определяющие требования и рекомендации для аудита СУИБ. В отличие от предшествующих групп, в данную - можно включить три стандарта: ISO 27006, ISO 27007, ISO 27008. Не сложно догадаться, что данные стандарты включают в себя указания и требования для аудита информационной безопасности. Однако давайте рассмотрим каждый стандарт отдельно. ISO 27006 включает в себя: описание информационных технологий, средств обеспечения информационной безопасности и требования для организаций, которые выполняют аудит систем менеджмента информационной безопасности. ISO 27007 описывает два первых пункта ISO 27006, а также указания для аудита систем менеджмента информационной безопасности. Данный стандарт очень полезен для аудиторов организаций. ISO 27008 включает в себя руководство для аудитор по мерам обеспечения ИБ. Данный стандарт специализирован на аудите информационной безопасности в организации.
Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ. Эта группа включает в себя оставшиеся стандарты семейства 27000, а именно стандарты:
- ISO 27002;
- ISO 27003;
- ISO 27004
- ISO 27005
- ISO 27011
- ISO 27031
- ISO 27033
- ISO 27034
- ISO 27035
- ISO 27799 (специализированное руководство СУИБ в здравоохранении)
- ISO 24762
Приступим к описанию данных стандартов. ISO 27002 включает в себя описание средств обеспечения информационной безопасности, а так же свод практики менеджмента информационной безопасности. Данный стандарт предоставляет указания для внедрения, разработки, поддержки и совершенства СУИБ. Можно назвать это основным стандартом для консультантов. В отличие от ISO 27002, ISO 27003 предоставляет руководство по осуществлению контроля информационной безопасности. Стандарт дает указания и методику для процессов разработки и внедрения СУИБ. Измерения менеджмента ИБ предоставлено в ISO 27004. Данный стандарт рассчитан для проектирования, выбора, улучшения методов измерения эффективности системы. ISO 27005 помогает рассмотреть различные методы защиты, а также управления рисками при ИБ. Можно назвать данный стандарт самым важным в группе, так как рассмотрение рисков является основой при обеспечении информационной безопасности.ISO 27011 специализируется на телекоммуникациях. Основа стандарта заключается в описании обеспечения информационной безопасности по СУИБ в телекоммуникационных организациях. Любая компания проводит глубокий анализ по обеспечению непрерывности своего бизнеса. Стандарт ISO 27031 поможет в этом. В нем можно найти руководство по менеджменту ИБ для телекоммуникаций.
Информационную безопасность можно разделить на несколько типов. Сетевая безопасность является одним из типов ИБ. Методы защиты информации и обеспечение сетевой безопасности подробно описаны в стандарте ISO 27033. Также здесь можно найти информацию о различных угрозах, методах проектирования сетевой инфраструктуры.
ISO 27034 несет терминологический характер. Здесь можно узнать информацию о безопасности приложений, а также методах обеспечения безопасности данного программного обеспечения. Об управлении инцидентами по ИБ можно узнать из ISO 27035. Данный стандарт является одним из ценных стандартов в группе развития и совершенствования СУИБ.
Последние два стандарта являются специализированными. ISO 27799 специализируется на здравоохранении. Он описывает информатику в здравоохранении. ISO 24762 относится к информационным и коммуникационным технологиям. В нем описаны методы защиты, а также рекомендации по услугам для аварийного восстановления ИКТ. В данной главе были описаны все возможные стандарты данного семейства. Группа стандартов ISO 27000 получила очень серьезное развитие в последние годы.
2.2. Развитие глобального регулирования в сфере информационной безопасности
Новый век начался с проявлений системного кризиса международной безопасности относительно вызовов и угроз, которые были обусловлены развитием мирового информационного общества. Они привели к переосмыслению концептуальных и практических основ сотрудничества в мире в отрасли информационной безопасности, выяснения взаимовлияния глобального развития и информационной безопасности, изменениям приоритетов мировой, региональной и национальной политики в контексте противодействия новым угрозам.
Разработка стратегий международного взаимодействия в плане информационной безопасности свидетельствует о смене политических позиций ведущих акторов международных отношений, трансформацию приоритетов обеспечения информационной безопасности в международных отношениях.
Международное взаимодействие в отрасли информационной безопасности объединяет усилия в рамках региональных и международных организаций по противодействию информационным и киберугрозами, выработки международной стратегии информационной безопасности с целью противодействия кибервойне, информационной преступности и терроризму[13].