Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Стандартизация в мире




Международные стандарты информационного обмена

Назначение и задачи в сфере обеспечения информационный безопасности на уровне государства

Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы

 

 

 

 

Виды стандартов информационной безопасности:

· оценочные стандартов, направлены на классификацию информационных систем и средств защиты по требованиям безопасности;

· технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры.

 

Основная роль в развитии информационного общества принадлежит международным стандартам, создаваемым на основе шести принципов, определенных Всемирной торговой организацией (ВТО): открытость, прозрачность, непредвзятость и соблюдение консенсуса, эффективность и целесообразность, согласованность и нацеленность на развитие. В связи с этим в России приобретают особую важность и актуальность работы по развитию и совершенствованию отечественной нормативной базы в области информационных технологий и информационно-телекоммуникационных систем.

Создание и внедрение информационно-телекоммуникационных систем (ИС) различных уровней и назначений на основе использования современных информационных технологий (ИТ), интеграции информационных, вычислительных, телекоммуникационных ресурсов и применения технологии открытых систем – это сложная, комплексная, межотраслевая, многоплановая и многоаспектная проблема. В ее решении одно из ключевых мест занимает стандартизация в области ИТ и прежде всего внедрение методов функциональной стандартизации. Эти методы позволяют с помощью функциональных стандартов и профилей (включая профили на конкретные проекты ИС) идентифицировать группы базовых стандартов вместе с факультативными возможностями, требованиями и параметрами, необходимыми для выполнения функций, реализуемых конкретными ИС в разных предметных областях деятельности.

В настоящее время подавляющее большинство ИС всех классов и назначений строятся на основе технологии открытых систем. Ее суть состоит в использовании стандартных интерфейсов между разнородными аппаратными и программными компонентами систем. Технология открытых систем лежит в основе создания инфраструктуры всех уровней – от предприятия и отрасли до национальной информационной инфраструктуры. Кроме того, она обеспечивает интеграцию с мировым информационным пространством и, тем самым, с мировой экономикой. Внедрение принципов открытых систем на всех этапах жизненного цикла проектирования ИС базируется на стандартизации информационных технологий, являющейся интеграционным механизмом и мощным средством управления процессами развития информатизации.

 

На международном уровне сформировалась мощная кооперация организаций, разрабатывающих стандарты в области ИТ, среди которых, в первую очередь, следует назвать ИСО (Международную организацию по стандартизации), МЭК (Международную электротехническую комиссию) и МСЭ (Международный союз электросвязи). Сектор МСЭ по телекоммуникациям (МСЭ Т) является с 1993 г. правопреемником МККТТ (Международный консультативный комитет по телеграфии и телефонии). В 1987 г. ИСО и МЭК объединили свою деятельность по стандартизации в области ИТ, создав ИСО/МЭК/СТК 1 "Информационные технологии", основной задачей которого является разработка базовых стандартов ИТ вне зависимости от их конкретных применений. В последние годы ИСО/МЭК/СТК 1 активно взаимодействует с рядом технических комитетов ИСО, включая:
ТК 46 "Информация и документирование";

ТК 68 "Банковское дело, защита и другие финансовые услуги";

ТК 130 "Графическая технология";

ТК 154 "Процессы, элементы данных и документы в торговле";

ТК 171 "Прикладное представление документов";

ТК 176 "Управление качеством и обеспечение качества";

ТК 184 "Системы промышленной автоматизации и их интеграция";

ТК 204 "Транспортные информационные и управляющие системы";

ТК 215 "Информатика в здравоохранении".

 

Кроме ИСО, МЭК и МСЭ разработкой стандартов в области информационных технологий и, в частности, в области открытых систем, занимается ряд авторитетных международных, региональных, национальных и специализированных организаций, консорциумов и групп, например, такие как Общество Интернет (Internet Society), СЕН (Европейский комитет стандартизации) и СЕНЭЛЕК (Европейский комитет стандартизации в области электротехники), ЕКМА (Европейская ассоциация производителей компьютеров), ЕВОС (Европейские рабочие группы по открытым системам), ЕТСИ (Европейский институт по стандартизации в области телекоммуникаций), IEEE (Институт инженеров по электротехнике и электронике), Группа X/Open, организованная поставщиками компьютерной техники, OSF (Фонд открытого программного обеспечения), OMG (Группа объектного управления), NMF (Форум управления сетями) и др.

Наиболее заметный вклад в стандартизацию средств, систем и технологий информатизации на международном уровне вносит ИСО/МЭК/СТК 1, членом которого, наряду с другими государствами (54), является Российская Федерация. В структуре ИСО/МЭК/СТК 1 функционирует свыше 20 подкомитетов (ПК) и рабочих групп (РГ), охватывающих своей деятельностью практически весь спектр стандартизации в области информационных технологий и осуществляющих разработку стандартов по следующим основным направлениям: наборы символов и кодирование информации; телекоммуникация и обмен информацией; программная инженерия; языки программирования; машинная графика и обработка изображений; взаимосвязь оборудования информационных технологий; методы защиты информации; конторское оборудование; кодирование аудио-, видео, мультимедиа и гипермедиа информации; методы автоматической идентификации, кодирования и фиксации данных; управление и обмен данными; языки описания и обработки документов; интерфейсы пользователя; методы обучения.
По тематике ИСО/МЭК/СТК 1 действует (по состоянию на 01.07.2003) свыше 1600 международных стандартов, которые в официально издаваемых каталогах скомпонованы в функциональные группы и направления информационных технологий и конторского оборудования (классы 33, 35): "ИТ в целом"; "Наборы знаков и кодирования информации"; "Языки, используемые в ИТ"; "Документация на разработку программного обеспечения"; "Взаимосвязь открытых систем"; "Частные сети связи с интеграцией служб"; "Машинная графика"; "Микропроцессорные системы"; "Периферийные устройства"; "Интерфейсы и межсоединительные устройства"; "Запоминающие устройства"; "Применение ИТ (автоматизированное проектирование, идентификационные карты, учрежденческая и издательская деятельность, банковское дело, промышленность, транспорт, торговля, наука)"; "Конторское оборудование".

За последнее годы в значительной степени активизировалась деятельность по разработке международных стандартов (разработано свыше 100 международных стандартов) в рамках ИСО/ТК 184 "Системы промышленной автоматизации и их интеграция" в части регламентации положений и требований по непрерывной информационной поддержке жизненного цикла сложных наукоемких изделий (CALS-(ИПИ)-технологии), включая такие этапы, как проектирование и анализ бизнес-процессов, создание и эксплуатация изделий, материально-техническое снабжение.

 

3.2.2 Критерии оценки безопасности компьютерных систем или «Оранжевая книга»

Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США «Trusted Computer System Evaluation Criteria» («Критерии оценки безопасности компьютерных систем», или «Оранжевая книга», названная по цвету обложки), впервые опубликованный в1983 г.

"Оранжевая книга" поясняет понятие безопасной системы, которая "управляет, с помощью соответствующих средств, доступом к информации так, что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию".

Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.

В "Оранжевой книге" доверенная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".

В этом документе предложены три основные категории требований.

1. Политика:

• наличие явной и хорошо определенной политики обеспечения безопасности;

• использование маркировки объектов КС для управления доступом к ним.

2. Подотчетность:

• индивидуальная идентификация субъектов КС;

• сохранение и защита информации аудита.

3. Гарантии:

• включение в состав КС программно-аппаратных средств для получения гарантий выполнения требований категорий 1 и 2;

• постоянная защищенность средств обеспечения безопасности информации в КС от их преодоления и (или) несанкционированного изменения.

«Оранжевая книга» Министерства обороны США открыла путь к ранжированию информационных систем по степени доверия безопасности.

Были введены семь классов защищенности КС — от минимальной защиты (класс D1) до верифицированной (формально доказанной) защиты (класс А1). Требования «Оранжевой книги» явились первой попыткой создать единый стандарт безопасности КС, рассчитанный на проектировщиков, разработчиков (программистов), пользователей подобных систем и специалистов по их сертификации.

Отличительной чертой этого стандарта является ориентация на государственные (в первую очередь военные) организации и операционные системы.

Конечно, в адрес "Критериев..." можно высказать целый ряд серьезных замечаний (таких, например, как полное игнорирование проблем, возникающих в распределенных системах). Тем не менее, следует подчеркнуть, что публикация "Оранжевой книги" без всякого преувеличения стала эпохальным событием в области информационной безопасности. Появился общепризнанный понятийный базис, без которого даже обсуждение проблем ИБ было бы затруднительным.

 

3.2.3 Информационная безопасность распределенных систем. Рекомендации X.800




Поделиться с друзьями:


Дата добавления: 2014-01-07; Просмотров: 1383; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.016 сек.