Стандарт, термины и определения по защите информации

Московский государственный университет леса

Кафедра стандартизации и сертификации

 

 

 

РЕФЕРАТ

по дисциплине: «Метрология, стандартизация и сертификация»

 

Стандарт, термины и определения по защите информации.

 

 

 

 

Студент  Павленок А.И.

Группа  ПММ – 11

 

Преподаватель Лиханова Л. М.

 

 

 

 

Москва 2015

 

 

СОДЕРЖАНИЕ

1. Введение.........................................................................................................3
2. Существенные признаки понятия безопасности………………………….....3
3. Объём (реализация) понятия «информационная безопасность»……………3
4. Нормативные документы в области информационной безопасности………4
5. Органы (подразделения), обеспечивающие информационную безопасность…………………………………………………………………….5
6. Организационно-технические и режимные меры и методы………………..5
7. Программно – технические способы и средства обеспечения информационной безопасности……………………………………………….7
8. Организационная защита объектов информатизации………………………8
9. Стандартизованные термины и их определения…………………………….9
10. Стандарты информационной безопасности………………………………12
11. Вывод………………………………………………………………………...14
12. Библиографический список……………………………………………..….15

 

 

 

 

 

 

 

 

 

 

 

ВВЕДЕНИЕ

Информационная безопасность государства - состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере.

В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий  
и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

 

СУЩЕСТВЕННЫЕ ПРИЗНАКИ ПОНЯТИЯ БЕЗОПАСНОСТИ

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

• Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;
• целостность — избежание несанкционированной модификации информации;
• доступность  — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

• неотказуемость или апеллируемость — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;
• подотчётность  — свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.;
• достоверность — свойство соответствия предусмотренному поведению или результату;
• аутентичность или подлинность  — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

 

ОБЪЁМ (РЕАЛИЗАЦИЯ) ПОНЯТИЯ «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

1. Законодательная, нормативно-правовая и научная база.
2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
4. Программно-технические способы и средства обеспечения информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

• выявить требования защиты информации, специфические для данного объекта защиты;
• учесть требования национального и международного Законодательства;
• использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
• определить подразделения, ответственные за реализацию и поддержку СОИБ;
• распределить между подразделениями области ответственности в осуществлении требований СОИБ;
• на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
• реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
• реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
• используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

 

НОРМАТИВНЫЕ ДОКУМЕНТЫ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

• Международные договоры РФ;
• Конституция РФ;
• Законы федерального уровня (включая федеральные конституционные законы, кодексы);
• Указы Президента РФ;
• Постановления Правительства РФ;
• Нормативные правовые акты федеральных министерств и ведомств;
• Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

• Методические документы государственных органов России:
• Доктрина информационной безопасности РФ;
• Руководящие документы ФСТЭК (Гостехкомиссии России);
• Приказы ФСБ;
• Стандарты информационной безопасности, из которых выделяют:
• Международные стандарты;
• Государственные (национальные) стандарты РФ;
• Рекомендации по стандартизации;
• Методические указания.

 

ОРГАНЫ (ПОДРАЗДЕЛЕНИЯ), ОБЕСПЕЧИВАЮЩИЕ ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

• Комитет Государственной думы по безопасности;
• Совет безопасности России;
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
• Федеральная служба безопасности Российской Федерации (ФСБ России);
• Федеральная служба охраны Российской Федерации (ФСО России);
• Служба внешней разведки Российской Федерации (СВР России);
• Министерство обороны Российской Федерации (Минобороны России);
• Министерство внутренних дел Российской Федерации (МВД России);
• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

• Служба экономической безопасности;
• Служба безопасности персонала (Режимный отдел);
• Кадровая служба;
• Служба информационной безопасности.

 

ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИЕ И РЕЖИМНЫЕ МЕРЫ И МЕТОДЫ

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий  — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

• Защита объектов информационной системы;
• Защита процессов, процедур и программ обработки информации;
• Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);
• Подавление побочных электромагнитных излучений;
• Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

1. Определение информационных и технических ресурсов, подлежащих защите;
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
4. Определение требований к системе защиты;
5. Осуществление выбора средств защиты информации и их характеристик;
6. Внедрение и организация использования выбранных мер, способов и средств защиты;
7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего  
и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

 

ПРОГРАММНО – ТЕХНИЧЕСКИЕ СПОСОБЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В литературе предлагается следующая классификация средств защиты информации.

• Средства защиты от несанкционированного доступа (НСД):
• Средства авторизации;
• Мандатное управление доступом;
• Избирательное управление доступом;
• Управление доступом на основе ролей;
• Журналирование (так же называется Аудит).
• Системы анализа и моделирования информационных потоков (CASE-системы).
• Системы мониторинга сетей:
• Системы обнаружения и предотвращения вторжений (IDS/IPS).
• Системы предотвращения утечек конфиденциальной информации (DLP-системы).
• Анализаторы протоколов.
• Антивирусные средства.
• Межсетевые экраны.
• Криптографические средства:
• Шифрование;
• Цифровая подпись.
• Системы резервного копирования.
• Системы бесперебойного питания:
• Источники бесперебойного питания;
• Резервирование нагрузки;
• Генераторы напряжения.
• Системы аутентификации:
• Пароль;
• Ключ доступа (физический или электронный);
• Сертификат;
• Биометрия.
• Средства предотвращения взлома корпусов и краж оборудования.
• Средства контроля доступа в помещения.
• Инструментальные средства анализа систем защиты:
• Антивирус.