Технический Университет Молдовы
Кафедра SOE
РЕФЕРАТ
по предмету информационная безопасность
на тему:
Стандарты в информационной безопасности
Выполнил: студент гр. SOE-093
Лыков Валентин
Кишинев 2010
Содержание
1. Международная электротехническая комиссия
2. Организация ISO
3. Критерии определения безопасности компьютерных систем
3.1 Структура Книги
4. Международный стандарт управления информационной безопасностью ISO 17799
4.1 Критерии оценки защищенности информационных систем
4.2 Критерии проведения аудита безопасности информационных систем
4.3 Международный стандарт безопасности информационных систем ISO 17799
4.4 ISO 17799 в странах СНГ
4.5 Преимущества, получаемые компанией после прохождения сертификации по ISO 17799
4.6 Практика прохождения аудита и получения сертификата ISO 17799
4.7 Программные средства создания и проверки политики безопасности на соответствие требованиям ISO 17799
5. Стандарты безопасности в Интернете
1. Международная электротехническая комиссия
Международная электротехническая комиссия (International Electrotechnical Commission, IEC) — международная некоммерческая организация по стандартизации в области электрических, электронных и смежных технологий. Некоторые из стандартов МЭК разрабатываются совместно с Международной организацией по стандартизации (ISO).
МЭК составлена из представителей национальных служб стандартов. МЭК была основана в 1906 году и в настоящее время в её состав входят более 76 стран. Первоначально комиссия располагалась в Лондоне, с 1948 года по настоящее время штаб-квартира находится в Женеве, Швейцария. В настоящее время имеет региональные центры в Юго-восточной Азии (Сингапур), Латинской Америке (Сан-Пауло, Бразилия) и Северной Америке (Бостон, США).
МЭК способствовала развитию и распространению стандартов для единиц измерения, особенно гаусса, герца, и вебера. Также МЭК предложила систему стандартов, которая в конечном счёте стала единицами СИ. В 1938 году был издан международный словарь с целью объединить электрическую терминологию. Эти усилия продолжаются и Международный электротехнический словарь остаётся важной работой в электрических и электронных отраслях промышленности.
Стандарты МЭК имеют номера в диапазоне 60 000 — 79 999, и их названия имеют вид типа МЭК 60411 Графические символы. Номера старых стандартов МЭК были преобразованы в 1997 году путём добавления числа 60 000, например, стандарт МЭК 27 получил номер МЭК 60027. Стандарты, развитые совместно с Международной организацией по стандартизации, имеют названия вида ISO/IEC 7498-1:1994 Open Systems Interconnection: Basic Reference Model.
2. Организация ISO
Международная организация по стандартизации, ИСО (International Organization for Standardization, ISO) — международная организация, занимающаяся выпуском стандартов.
Международная организация по стандартизации создана в 1946 двадцатью пятью национальными организациями по стандартизации. Фактически её работа началась с 1947. СССР был одним из основателей организации, постоянным членом руководящих органов, дважды представитель Госстандарта избирался председателем организации. Россия стала членом ИСО как правопреемник СССР. 23 сентября 2005 года Россия вошла в Совет ИСО.
При создании организации и выборе её названия учитывалась необходимость того, чтобы аббревиатура наименования звучала одинаково на всех языках. Для этого было решено использовать греческое слово ισος — равный, вот почему на всех языках мира Международная организация по стандартизации имеет краткое название «исо».
Сфера деятельности ИСО касается стандартизации во всех областях, кроме электротехники и электроники, относящихся к компетенции Международной электротехнической комиссии (МЭК, IEC). Некоторые виды работ выполняются совместными усилиями этих организаций. Кроме стандартизации ИСО занимается проблемами сертификации.
ИСО определяет свои задачи следующим образом: содействие развитию стандартизации и смежных видов деятельности в мире с целью обеспечения международного обмена товарами и услугами, а также развития сотрудничества в интеллектуальной, научно-технической и экономической областях.
Организационно в ИСО входят руководящие и рабочие органы. Руководящие органы: Генеральная ассамблея (высший орган), Совет, Техническое руководящее бюро. Рабочие органы — технические Комитеты (ТК), подкомитеты, технические консультативные группы (ТКГ).
Генеральная ассамблея
Генеральная ассамблея — это собрание должностных лиц и делегатов, назначенных комитетами-членами. Каждый комитет-член имеет право представить не более трех делегатов, но их могут сопровождать наблюдатели. Члены-корреспонденты и члены-абоненты участвуют как наблюдатели.
3. Критерии определения безопасности компьютерных систем
3.1 Структура Книги
Сначала вводятся основные понятия, заложившие основу словаря информационной безопасности на десятилетия вперед.
Безопасная система(Securesystem) - это система, которая обеспечивает управление доступом к информации, таким образом, что только авторизованные лица или процессы, действующие от их имени, получают право работы с информацией.
Доверенная система(Trustedsystem) - под доверенной системой в стандарте понимается система, использующая аппаратные и программные средства для обеспечения одновременной обработки информации разной категории секретности группой пользователей без нарушения прав доступа.
Политика безопасности(Securitypolicy) - это набор законов, правил, процедур и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Причем, политика безопасности относится к активным методам защиты, поскольку учитывает анализ возможных угроз и выбор адекватных мер противодействия.
Уровень гарантированности (Assurance)- подразумевает меру доверия, которая может быть оказана архитектуре и реализации информационной системы, и показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности (пассивный аспект защиты).
Подотчетность(Audit) - Доверенная система должна фиксировать все события (вести протокол), связанные с обеспечением безопасности информационной системы.
Доверенная вычислительная база(TrustedComputerBase) - это совокупность защитных механизмов информационной системы (как программные, так и аппаратные), реализующие политику безопасности.
Монитор обращений(ReferenceMonitor) - контроль за выполнением субъектами (пользователями) определенных операций над объектами, путем проверки допустимости обращения (данного пользователя) к программам и данным разрешенному набору действий.
Обязательные качества для монитора обращений:
1. Изолированность (неотслеживаемость работы).
2. Полнота (невозможность обойти).
3. Верифицируемость (возможность анализа и тестирования).
Ядро безопасности(Securitykernel) - конкретная реализация монитора обращений, обладающая гарантированной неизменностью.
Периметр безопасности(SecurityPerimeter) -это граница доверенной вычислительной базы.
Канал утечек/тайный канал - паразитический канал связи, возникающий в любом канале связи, позволяющий обойти контроль доступа к информации. Гл. метод борьбы — уменьшение их пропускной способности(bandwidth).
Иначе — добровольное управление доступом. Добровольное управление доступом — это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Добровольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту. Большинство операционных систем и СУБД реализуют именно добровольное управление доступом. Главное его достоинство — гибкость, главные недостатки — рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы или секретные файлы в незащищенные каталоги.
Безопасность повторного использования объектов — важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т. п.), для дисковых блоков и магнитных носителей в целом. Важно обратить внимание на следующий момент. Поскольку информация о субъектах также представляет собой объект, необходимо позаботиться о безопасности «повторного использования субъектов». Когда пользователь покидает организацию, следует не только лишить его возможности входа в систему, но и запретить доступ ко всем объектам. В противном случае, новый сотрудник может получить ранее использовавшийся идентификатор, а с ним и все права своего предшественника. Современные интеллектуальные периферийные устройства усложняют обеспечение безопасности повторного использования объектов. Действительно, принтер может буферизовать несколько страниц документа, которые останутся в памяти даже после окончания печати. Необходимо предпринять специальные меры, чтобы «вытолкнуть» их оттуда. Впрочем, иногда организации защищаются от повторного использования слишком ревностно — путем уничтожения магнитных носителей. На практике заведомо достаточно троекратной записи случайных последовательностей бит.