Стандарты информационной безопасности — это обязательный или рекомендуемый к исполнению набор документов, в которых определяются методики оценки уровня информационной безопасности и устанавливаются требования к безопасным информационным системам.
Введение
Нормы защищённости прописаны в обязательных для исполнения документах, в которых определены подходы к выполнению оценки уровня имеющейся безопасности. Помимо этого, в этой документации определен некоторый определённый набор правил, установленных для обеспечения целостности систем, в общем и целом.
Стандарты информационной безопасности служат для выполнения заданных функций, а именно:
- Выработки определённой терминологии и набора понятий, используемых в сфере защиты информационных данных.
- Формирования шкалы, требуемой для измерений уровней защищённости.
- Выполнение единообразной оценки продуктов.
- Существенного увеличения совместимости продуктов, используемых для обеспечения защищённости.
- Накопления информации о наиболее успешном практическом достижении устойчивого состояния.
- Предоставления информации о наиболее успешных практических реализациях заинтересованным лицам, например, производителям защищённости, аналитикам данной области, руководящим работникам, административным работникам и разным другим пользователям информационной системы.
- Установления требований, которые направлены на безусловное исполнение заданных стандартов, с обеспечением их юридического обоснования.
Стандарты информационной безопасности
Международные стандарты информационной безопасности (устойчивости) являются набором практик и рекомендательных посланий, которые направлены на формирование систем, гарантирующих защиту информационных данных.
Одним из международных стандартов является BS 7799, который служит для определения цели информационной защиты данных. По положениям данного сертификата, целью безопасности является обеспечение бесперебойного функционирования организации, а также способность предотвратить или сделать минимально возможным ущерб, возникший при нарушениях заданных требований к устойчивости. Ещё одним международным стандартом является ISO 27002, содержащий в себе полный список необходимых советов по информационной устойчивости.Эти советы должны подойти тем сотрудникам, которые в процессе выполнения своих служебных обязанностей должны отвечать за проектирование, осуществление и дальнейшее обслуживание систем устойчивости данных технологий.
Но раньше появился стандарт информационной безопасности ISO 27001. Комплекс, представленный международными сертификатами, является набором конкретных практик и рекомендаций, направленных на осуществление внедрения систем и аппаратуры средств технологической защиты.Если учитывать некоторые правила, которые установлены международным сертификатомISO 27001 2013, то уровень защищённости рассматриваемых технологий должен соответствовать определённым признакам.
Этот стандарт даёт возможность деления единой системы на отдельные разделы, количество которых может быть равно четырём. Стандарт ISO 27001 основан на стандартеISO 9001, определяющем главные требования, которые предъявляются к менеджменту качества.
Если опираться на нормы стандартизации Российской Федерации, то эти требования следует соблюдать всем организациям, которые хотят показать свою способность проектировать продукцию, соответствующую потребительским запросам.
В 2000-ом году появился международный стандарт безопасности ISO 17799. Согласно его требованиям, при формировании структуры устойчивости, которая будет считаться эффективной, отдельное внимание следует уделить комплексному подходу, нацеленному на управление безопасностью. Как раз эта причина объясняет тот факт, что в качестве компонента управления следует рассматривать меры, нацеленные на обеспечение некоторых требований, заданных для информации, а именно:
- Конфиденциальность информации.
- Информационная достоверность.
- Информационная доступность.
- Гарантия целостности предоставленной информации.
Система стандартов информационной безопасности Российской Федерации содержит набор национальных сертификатов и общегосударственных классификаторов. В эту структуру включены помимо самих сертификатов ещё и правила их создания и дальнейшего использования.
В России национальные сертификаты могут использоваться на добровольных началах, независимо от государства или места разработки.Но вместе с тем есть правило, согласно которому подобные национальные системы используются лишь при присутствии знака соответствия. ГОСТ Р ИСО 17799 Российской Федерации должен определять все образцы, которые направлены на обеспечение информационной защиты, а также является стандартом, направленным на обеспечение конфиденциальности. То есть, к работе с данными технологиями могут быть допущены лишь отдельные сотрудники, которые способны гарантировать целостность, доступность и защиту информации.
ГОСТ Р ИСО 27001 является основным стандартом, содержащим в своём составе полный список признаков, которые обязаны иметь все методы по обеспечению защищённости любой конкретной информационной технологии. Российские образцы ГОСТ ИСО МЭК 15408, сформированные на базе международных стандартов в сфере информационных технологий, служат для обеспечения сопоставимости итоговых результатов, выработанных после осуществления независимой оценки.
Выполнение, отображённых в этом стандарте Российской Федерации требований, может быть достигнуто за счёт установления общего списка требований, которые предъявляются к информационным технологиям в выбранной области, а также к уровню доверия, применяемым при оценке этих технологий в процессе обеспечения их безопасности. Итоговые результаты, выработанные при проведении оценки, дают возможность определить, соответствуют ли данные информационные технологии заданным для них государственным требованиям защищённости.
