Стандарт ISO
Разработчики международных стандартов ISO (Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, которые являются членами ISO или IEC, принимают участие в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности.
Технические комитеты ISO и IEC сотрудничают в областях взаимных интересов. Другие международные организации, правительственные и не правительственные, совместно из ISO и IEC также принимают участие в этой работе.
В области информационных технологий, ISO и IEC организован общий технический комитет, ISO/IEC JTC1. Основным заданием общего технического комитета является подготовка Международных Стандартов.
Технический комитет ISO/IEC JTC1/SC27 разрабатывает семейство международных стандартов систем управления информационной безопасностью серии 27000. Это семейство включает в себя международные стандарты, которые определяют требования к системам управления информационной безопасностью, управления рисками, метрики и измерения, а также помогают в их внедрении.
Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее. Стандарты защиты информации разрабатываются из таких направлений, как:
- системы управление информационной безопасностью;
- руководство по внедрению систем управления информационной безопасностью;
- измерение эффективности системы управления информационной безопасностью;
- управление рисками информационной безопасности;
- требования к органам аудита и сертификации систем управления информационной безопасностью;
- руководство по управлению информационной безопасностью для телекоммуникаций;
- основные концепции управления сетевой безопасностью.
Проекты Международных Стандартов принятые общим техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. Международные Стандарты проектируются в соответствии с правилами, установленными Директивами ISO/IEC, Часть 2.
«Оранжевая книга»
Оранжевая книга – это критерии определения безопасности компьютерных систем стандарта Министерства обороны США, которые определяют основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе. Критерии используются для определения, классификации и выбора компьютерных систем, предназначенных для обработки, хранения и поиска важной или секретной информации.
Критерии оценки доверительных компьютерных систем - стандарт Министерства обороны США (1985), более известный под названием «Оранжевая книга» из-за цвета обложки.
Данный стандарт, получил международное признание и оказал исключительно сильное влияние на последующие разработки в отрасли информационной безопасности (ИБ). Данный стандарт относится к оценочным стандартам (классификация информационных систем и средств защиты) и речь в нем идет не о безопасных, а о доверительных системах.
Каких-либо абсолютных систем (в том числе и безопасных) в нашей жизни не существует. Поэтому и было предложено оценивать лишь степень доверия, которую можно предоставить той или другой системе.
В стандарте заложен понятийный базис информационной безопасности (безопасная система, доверительная система, политика безопасности, уровень гарантированности, подотчетность, доверительная вычислительная база, монитор обращений, ядро безопасности, периметр безопасности).
Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности.
Следом за «Оранжевой книгой» появилась целая «Радужная серия». Наиболее значимой в ней появилась интерпретация «Оранжевой книги» для сетевых конфигураций (1987), где в первой части интерпретируется «Оранжевая книга», а во второй части описываются сервисы безопасности, специфические для сетевых конфигураций.
