Лекции.Орг


Поиск:




Не правовые методы регулирования информационной безопасности.




Стандарт ISO

Разработчики международных стандартов ISO (Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, которые являются членами ISO или IEC, принимают участие в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности.

Технические комитеты ISO и IEC сотрудничают в областях взаимных интересов. Другие международные организации, правительственные и не правительственные, совместно из ISO и IEC также принимают участие в этой работе.

В области информационных технологий, ISO и IEC организован общий технический комитет, ISO/IEC JTC1. Основным заданием общего технического комитета является подготовка Международных Стандартов.

Технический комитет ISO/IEC JTC1/SC27 разрабатывает семейство международных стандартов систем управления информационной безопасностью серии 27000. Это семейство включает в себя международные стандарты, которые определяют требования к системам управления информационной безопасностью, управления рисками, метрики и измерения, а также помогают в их внедрении.

Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее. Стандарты защиты информации разрабатываются из таких направлений, как:

- системы управление информационной безопасностью;

- руководство по внедрению систем управления информационной безопасностью;

- измерение эффективности системы управления информационной безопасностью;

- управление рисками информационной безопасности;

- требования к органам аудита и сертификации систем управления информационной безопасностью;

- руководство по управлению информационной безопасностью для телекоммуникаций;

- основные концепции управления сетевой безопасностью.

Проекты Международных Стандартов принятые общим техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. Международные Стандарты проектируются в соответствии с правилами, установленными Директивами ISO/IEC, Часть 2.

 

«Оранжевая книга»

Оранжевая книга – это критерии определения безопасности компьютерных систем стандарта Министерства обороны США, которые определяют основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе. Критерии используются для определения, классификации и выбора компьютерных систем, предназначенных для обработки, хранения и поиска важной или секретной информации.

Критерии оценки доверительных компьютерных систем - стандарт Министерства обороны США (1985), более известный под названием «Оранжевая книга» из-за цвета обложки.

Данный стандарт, получил международное признание и оказал исключительно сильное влияние на последующие разработки в отрасли информационной безопасности (ИБ). Данный стандарт относится к оценочным стандартам (классификация информационных систем и средств защиты) и речь в нем идет не о безопасных, а о доверительных системах.

Каких-либо абсолютных систем (в том числе и безопасных) в нашей жизни не существует. Поэтому и было предложено оценивать лишь степень доверия, которую можно предоставить той или другой системе.

В стандарте заложен понятийный базис информационной безопасности (безопасная система, доверительная система, политика безопасности, уровень гарантированности, подотчетность, доверительная вычислительная база, монитор обращений, ядро безопасности, периметр безопасности).

Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности.

Следом за «Оранжевой книгой» появилась целая «Радужная серия». Наиболее значимой в ней появилась интерпретация «Оранжевой книги» для сетевых конфигураций (1987), где в первой части интерпретируется «Оранжевая книга», а во второй части описываются сервисы безопасности, специфические для сетевых конфигураций.






Поделиться с друзьями:


Дата добавления: 2017-03-12; Мы поможем в написании ваших работ!; просмотров: 381 | Нарушение авторских прав


Поиск на сайте:

Лучшие изречения:

Не будет большим злом, если студент впадет в заблуждение; если же ошибаются великие умы, мир дорого оплачивает их ошибки. © Никола Тесла
==> читать все изречения...

1023 - | 839 -


© 2015-2024 lektsii.org - Контакты - Последнее добавление

Ген: 0.008 с.