В. Андрианов - Обеспечение информационной безопасности бизнеса
- Название:Обеспечение информационной безопасности бизнеса
- Автор:
- Жанр:
- Издательство:ООО «Центр исследований платежных систем и расчетов», «Альпина»
- Год:2011
- Город:Москва
- ISBN:978-5-9614-1364-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
В. Андрианов - Обеспечение информационной безопасности бизнеса краткое содержание
Данную книгу можно назвать практической энциклопедией. В ней дан максимальный охват проблематики обеспечения информационной безопасности, начиная с современных подходов, обзора нормативного обеспечения в мире и в России и заканчивая рассмотрением конкретных направлений обеспечения информационной безопасности (обеспечение ИБ периметра, противодействие атакам, мониторинг ИБ, виртуальные частные сети и многие другие), конкретных аппаратно-программных решений в данной области. Книга будет полезна бизнес-руководителям компаний и тем, в чью компетенцию входит решение технических вопросов обеспечения информационной безопасности.
Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного использования, без письменного разрешения владельца авторских прав. По вопросу организации доступа к электронной библиотеке издательства обращайтесь по адресу lib@alpinabook.ru.
Обеспечение информационной безопасности бизнеса - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Неудовлетворенность в ожиданиях по результатам исследований и анализ практики использования подхода «Общих критериев», а также все возрастающие потребности в поиске платформы конструктивного взаимодействия безопасности и бизнеса, сместили акценты в срез управленческих задач обеспечения безопасности.
Со временем данные задачи получили свое воплощение в семействе стандартов менеджмента информационной безопасности, требования которых предназначены для охвата всего множество задач обеспечения ИБ организаций. Основные положения и цели стандартов данного семейства были рассмотрены в соответствующих главах настоящего издания. На данной платформе стала возможна выработка качественно новых востребованных решений по унификации и стандартизации аспектов информационной безопасности в прикладных сферах как в стандартизированных процессах информатизации деятельности компаний, так и в специфичных областях бизнеса.
Как итог понимания в принципах организации работ, сбалансированности структуры объектов и аспектов стандартизации сформировалась сбалансированная архитектура системы международных стандартов обеспечения информационной безопасности бизнеса, технологий, целей деятельности. Она дает инструменты разрешения задач обеспечения информационной безопасности организации как на уровне корпоративного управления, так и технического взаимодействия внутри организации и вовне ее, с ее клиентами и партнерами, органами регулирования и надзора.
В Российской Федерации национальные (до 2003 г. — государственные) стандарты по защите информации (информационной безопасности) издавались преимущественно под эгидой Технического комитета № 362 «Защита информации» и Технического комитета № 22 «Информационные технологии» национального органа по стандартизации, где с конца 1990-х гг. активизировались работы по гармонизации международных стандартов. Ряд стандартов прошел совместно. Например, гармонизированный ГОСТ Р ИСО/МЭК 15408 внесен на утверждение Гостехкомиссией России, Техническими комитетами по стандартизации ТК 362Р «Защита информации» и ТК 22 «Информационные технологии». В числе других гармонизированных в России международных стандартов можно отметить ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 17999, ГОСТ Р ИСО/МЭК ТО 18044 и др.
Что касается гармонизации в Российской Федерации международных стандартов по обеспечению информационной безопасности, то их количество пока невелико. Если по линии 27-го подкомитета СТК 1 ИСО/МЭК разработано и развивается свыше 100 международных стандартов (технических отчетов — «предстандартов»), то в Российской системе документов по стандартизации на начало 2010 г. их было не более двух десятков (защита информации и информационная безопасность), включая как исключительно российские, так и гармонизированные международные.
В то же время следует отметить, что наряду с пониманием необходимости изучения зарубежного опыта, а также исходя из потребности решения практических задач процесс гармонизации в России западных стандартов будет неуклонно расширяться.
Рис. 2 иллюстрирует сформировавшуюся на международном уровне обобщенную архитектуру стандартов обеспечения информационной безопасности организации.
К категории I («Менеджмент ИБ» на рис. 2) можно отнести как стандарты семейства менеджмента ИБ ISO/IEC 270ХХ (семейство стандартов СМИБ организации), так и комплекс новых стандартов направления Identity management and privacy technologies (менеджмент идентификационными атрибутами и безопасность личности в электронном мире).
Среди российских национальных стандартов к данной категории можно отнести только гармонизированные международные.
К категории II («Процедуры и процессы (меры и средства контроля и управления) ИБ» на рис. 1.2) можно отнести стандарты для следующих объектов и аспектов стандартизации:
— менеджмент инцидентов информационной безопасности;
— безопасность сетей информационных технологий;
— обнаружение вторжений, выбор и поставка систем обнаружения вторжений;
— управление и пользование услугами третьей доверенной стороны;
— восстановление информационных технологий после бедствий и аварий и т. п.
Среди российских национальных стандартов к данной категории можно отнести ГОСТ Р 50922, ГОСТ Р 51275 и др.
К категории III («Технические средства и инструменты защиты информации и информационной безопасности» на рис. 1.2) можно отнести стандарты на алгоритмы криптографических преобразований, критерии оценки безопасности информационных технологий и т. п. Среди российских национальных стандартов к данной категории можно отнести стандарты требований по защите от несанкционированного доступа к средствам вычислительной техники и автоматизированным системам, гармонизированные международные стандарты критериев оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 15408), ГОСТ Р ИСО/МЭК 18045), защиты от вредоносного программного обеспечения и т. п. Далее будут приведены сведения по ряду документов национальной и международной системам стандартизации в области защиты информации и обеспечения информационной безопасности. Эти сведения могут быть использованы в справочных целях для решения тех или иных практических задач.
Стандарты по защите информации и обеспечению информационной безопасности организации в системе национальных документов по стандартизации регистрируются в основном по следующим кодам международной классификации стандартов:
— 01.040.01 «Общие положения. Терминология. Стандартизация. Документация (Словари)»;
— 35.020 «Информационные технологии (ИТ) в целом»;
— 35.040 «Наборы знаков и кодирование информации».
В число наиболее известных действующих стандартов входят:
— ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
— ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»;
— ГОСТ Р 34.11–94 «Информационная технология. Криптографическая защита информации. Функция хэширования»;
— ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
— ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство»;
— ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;
— ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения»;
Читать дальшеИнтервал:
Закладка:
