Світові стандарти забезпечення інформаційної безпеки

Цікавим було б розглянути (хоча б загалом) історію стандарту ІSO 17799.

У середині 90-х років Британський інститут стандартів (BSІ) за участі комерційних організацій, таких як Shell, Natіonal Westmіnster Bank, Mіdland

Bank, Unіlever, Brіtіsh Telecommunіcatіons, Marks & Spencer, Logіca та ін., зайнявся розробкою стандарту управління інформаційною безпекою, в 1995р. був прийнятий національний британський стандарт BS 7799 з управління інформаційною безпекою та її організації незалежно від сфери діяльності.

Перша частина стандарту носила рекомендаційний характер, а друга була призначена для сертифікації та містила частину обов'язкових вимог, що не входили в першу частину.

Як і будь-який національний стандарт, BS 7799 у період 1995-2000 рр. користувався помірною популярністю лише в рамках країн британської співдружності [23].

Наприкінці 1999 р. експерти міжнародної організації зі стандартизації ІSO дійшли висновку, що в рамках існуючих стандартів ІSO відсутній спеціалізований стандарт управління інформаційною безпекою. Відповідно, ІSO було ухвалене рішення не починати розробку нового стандарту, а за узгодженням із британським інститутом стандартів, взявши за базу BS 7799:1, прийняти стандарт ІSO 17799.

Відповідно, 2000 р. вдихнув нове життя в BS 7799:1, ставши ІSO 17799, одержав вже статус міжнародного стандарту, що кардинально змінило розміщення сил і відношення до стандарту (між локальним і міжнародним стандартом різниця очевидна).

Що ж стосується офіційної сертифікації по ІSO 17799, то вона споконвічно не була передбачена (повна аналогія з BS 7799). Була передбачена тільки сертифікація по BS 7799:2, що являв собою низку обов'язкових вимог (не ввійшли в першу частину BS 7799/ІSO 17799). Процедура сертифікації по ІSO повинна була з'явитися тільки після виходу в рамках ІSO стандарту аналога BS 7799:2 (відзначимо, що це трапилося тільки наприкінці 2005 р. з виходом сертифікаційного стандарту ІSO 27001).[21]

При цьому в Англії була передбачена стандартна процедура сертифікації по BS 7799:2 така ж, як і для всіх інших стандартів ІSO. Сертифікатом (компанія, що спеціалізується на сертифікації за різними стандартами від ІSO 9001 до ІSO 14001, обов'язково акредитована при UKAS (англійська асоціація по стандартизації), наприклад, BSІ, TUV, URS, DNV й ін.) не мають права готовити компанії до сертифікації: цим займаються партнери незалежні консультанти. У свою чергу, консультант не має права займатися сертифікацією.

Лютий 2002 р. можна сміливо називати відправною точкою розвитку стандарту ІSO 17799 у країнах СНД. У середині 2001 р. у світі розпочалася непроста ситуація в галузі стандартизації з інформаційної безпеки. Існували різні стандарти, застосування яких на практиці викликало питання та серйозні сумніви. Крім того, у більшості фахівців переважав винятково технологічний підхід до захищеності (тобто визнавалися лише технічні методи захисту), а питанням організаційно-правового управління безпекою приділялася мінімальна увага. Однак у вузького кола фахівців було відчуття, що винятково технологічний підхід до захисту інформації - це шлях у нікуди, це ще далеко не все. Тому з'явилося, нарешті, розуміння, що нам всім життєво необхідно ще виробити якийсь єдиний підхід до того, що тепер називається системою управління інформаційною безпекою. І тут у пригоді стає саме ІSO 17799, який спеціалізується саме в питаннях управління інформаційною безпекою, тому і став тією відсутньою ланкою, якої так не вистачало на практиці [24].

До кінця 2002 р. компаній у світі, що мали сертифікат BS 7799, було близько 150. Ставлення бізнесу й більшості фахівців-практиків у нашій країні як і у всіх країнах СНД до стандарту в той час, втім як і тепер, визначалося однією фразою: «Ми до цього ще не доросли». Але незабаром ситуація повністю зміниться, зокрема, 2003 р. можна назвати роком початку експонентного зростання інтересу фахівців і бізнесу до ІSO 17799.

Найцікавішою подією 2003 р. в СНД стало те, що саме тоді Національний Банк Молдови почав першим у СНД на практиці застосовувати вимоги стандарту, поставивши за обов'язок всім місцевим банкам виконувати його вимоги, створюючи систему управління інформаційною безпекою на основі ІSO 17799.[21]

Через рік число компаній у світі, що одержали офіційний сертифікат - вже близько 350. Загальна лібералізація ринку інформаційної безпеки призвела до того, що в Білорусії - першій із країн СНД - у листопаді 2004 р. був прийнятий Держстандарт 17799. Аналіз і управління інформаційними ризиками - основа стандарту ІSO 17799 - міцно ввійшли в життя більшості фахівців і стали застосовуватися на практиці.

Число компаній у світі, що одержали офіційний сертифікат - більше 1000!

Таке значне зростання числа сертифікованих компаній у 2004 р. пояснюється тим, що саме цей рік показав тенденцію загального практичного інтересу до стандарту у світі й країнах СНД.

Буквально вибуховий інтерес учасників ринку країн СНД до стандарту.

Росія, Казахстан, Молдова, Узбекистан, Україна - стандарт став повсюдно застосовуватися на практиці (або прийшло усвідомлення необхідності його застосування як кращої світової практики).

Вийшла нова значно розширена в порівнянні з 2000 р. редакція стандарту ІSO 17799:2005. Число компаній у світі, що одержали офіційний сертифікат, - більше 1800. Сьогодні стало всім очевидним те, що було зовсім неочевидно ще кілька років тому: стандарт ІSO 17799, заснований на аналізі й управлінні ризиками, зайняв лідируючі позиції в Європі й Азії та став стандартом дефакт в побудові систем управління інформаційною безпекою.

Спостерігаючи за останні роки експонентне зростання інтересу до стандарту, слід чекати, що в найближчі роки буде підвищення інтересу до застосування стандарту на практиці. Сьогодні ІSO 17799 - це та об'єктивна реальність, що уже не має альтернативи. Аналіз і управління інформаційними ризиками, система управління інформаційною безпекою на основі ІSO 17799 стали основною темою на всіх конференціях з інформаційної безпеки [26].

Слід зазначити, що цей напрямок одержав подальший розвиток: вперше в рамках ІSO з'явився сертифікаційний стандарт ІSO 27001. Якщо ІSO 17799 обумовлює цілі та методи впровадження в компаніях стандартів інформаційної безпеки, то відповідно до ІSO 27001 здійснюється сертифікація. Стандарт ІSO/ІEC 17799:2007 був розроблений підкомісією по безпеці (SC 27) Об'єднаного Технічного Комітету з Інформаційної Технології (ІSO/ ІEC JTC 1). Новий ІSO/ІEC 17799:2007 заміняв попередню версію стандарту ІSO/ІEC 17799:2007, що є тепер застарілою. Основний зміст стандарту зберігся, але багато що було повністю перероблене, щоб краще відповідати новим інформаційним загрозам і викликам безпеки. Крім того, додано новий розділ, що має назву «Управління інцидентами інформаційної безпеки».[25]

Стандарт ІSO/ІEC 17799:2007 складається з 13 розділів:

1. Загальна частина.

2. Терміни та визначення.

3. Політика безпеки.

4. Організаційні методи забезпечення інформаційної безпеки.

5. Управління ресурсами.

6. Користувачі інформаційної системи.

7. Фізична безпека.

8. Управління комунікаціями та процесами.

9. Контроль доступу.

10. Придбання, розробка та супровід інформаційних систем.

11. Управління інцидентами інформаційної безпеки.

12. Управління безперервністю ведення бізнесу.

13.Відповідність вимогам.

Кожен з розділів має наступну структуру:

Мета - вказує, що саме повинно бути досягнуто.

Управління - вказує, якими засобами може бути досягнута ціль.

Керівництво - вказує, як ефективно забезпечити управління процесом.

Примітки - подаються корисні зауваження та пояснення.

ІSO/ІEC 17799:2007 призначений для використання будь-якою організацією (в тому числі й українською), що припускає встановити систему ефективного інформаційного захисту або поліпшувати існуючі методи інформаційного захисту.

Разом з тим, все це означає, що всі рекомендації стандарту повинні бути безумовно прийняті в нашій державі. Все залежить від конкретних місцевих інформаційних ризиків та вимог.[21].

3.2 Адаптація міжнародного стандарту управління інформаційною безпекою ISO/IEC 27001:2005 у структурах державного управління України

Кінець ХХ - початок ХХІ століть ознаменувалися широким розвитком і масовим впровадженням інформаційних технологій в роботу органів державної влади. При цьому питання, пов'язані із захистом інформації вирішуються на підставі законів України, постанов кабінету Міністрів та нормативних документів з технічного захисту інформації (далі - НД ТЗІ), більшість який прийнято у 90-х роках ХХ століття. На жаль, ні в одному з нормативно-правових актів України немає згадки про необхідність управління захистом інформації, управління інформаційною безпекою. Робота над розробкою нових та сучасних національних стандартів з управлінню інформаційною безпекою ведеться дуже повільно, на відміну від впровадження в українське законодавство таких стандартів, як “Системи управління якістю”, “Системи управління навколишнім середовищем” і “Системи управління безпекою харчових продуктів”. Між тим область інформаційної безпеки є не менш важливою.

До сімейства міжнародних стандартів з управління інформаційною безпекою належать такі стандарти, як ISO/IEС 27001:2005, ISO/IEC 27002:2007, ISO/IEC 15408 (рис. 2).[27]

Основним стандартом, на підставі якого можна провести роботи з побудови системи управління інформаційною безпекою (далі - СУІБ) є ISO/IEС 27001:2005, причому це не технічний стандарт, а управлінський. Побудова системи управління на підставі стандарту ISO 9001 дозволяє одночасно впроваджувати норми ISO/IEС 27001:2005, які визначають побудову СУІБ.

Рис. 3.1 - Система міжнародних стандартів з управління інформаційною безпекою

Міжнародний стандарт ISO/IEС 27001:2005 може бути використаний в будь-якій організації незалежно від її розмірів та сфери діяльності. Використання цього стандарту може бути особливо доречним там, де критичним є захист інформації. Наприклад, фінансовий сектор, банківська справа, охорона здоров'я, урядові структури, ІТ-сектор.

Крім того, ISO/IEС 27001:2005 має велику ефективність в організаціях, які працюють з інформацією від імені інших організацій (наприклад, в аутсорсингових компаніях).[27]

Підґрунтям стандарту є управління ризиками, основні розділи визначають вимоги до впровадження, відповідальності керівництва, проведення внутрішнього аудиту та вдосконалення СУІБ. Реалізація вимог здійснюється через напрями безпеки, які висвітлені у додатку А стандарту і становлять 134 контролі. У додатку А розглядаються питання, пов'язані не тільки з технічними аспектами, а й з вимогами до персоналу, питання, пов'язані з доступом як до інформаційної системи, так і до ресурсів, обладнання. Висуваються необхідність вирішення питань фізичної безпеки, управління інцидентами, забезпечення безперервності функціонування організації наголошується про необхідність виконання законодавчих актів, а також своїх, внутрішніх локально-правових актів, стандартів, інструкцій.

Аналіз українського законодавства у сфері захисту інформації показує, що у випадку прийняття цього стандарту як національного з'явиться можливість будувати в організаціях, які працюють з інформацією, яка є власністю держави, не тільки комплексні системи захисту інформації, а й системи управління інформаційною безпекою. При цьому норми українських НД ТЗІ не суперечать нормам міжнародного стандарту, а навпаки гармонічно переплітаються. Така інтеграція дозволить в повному обсязі контролювати всі властивості інформації: конфіденційність, цілісність та доступність.

Крім того, ще однією перевагою застосування стандарту є можливість за допомогою управління ризиками визначити, на який напрям інформаційної безпеки необхідно звернути увагу в першу чергу, скільки часу та грошей необхідно затратити на те чи інше рішення щодо безпеки, а розходи на інформаційну безпеку дозолить впорядкувати залежно від існуючих загроз та ступеня важливості інформації, яка підлягає захисту.

Враховуючи устремління України до євроінтеграції, деяке відставання нормотворчості від реалій сьогодення, пропонуємо провести роботу щодо гармонізації міжнародного стандарту ISO/IEС 27001:2005 із залученням до цієї роботи фахівців з Державної служби спеціального зв'язку та захисту інформації України як державного органу, який відповідає за здійснення державного контролю за станом криптографічного та технічного захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Рекомендувати впровадження систем управління інформаційною безпекою в органах державної влади чи органах місцевого самоврядування, підприємствах, установах та організаціях усіх форм власності, які працюють з інформацією, яка є власністю держави, з метою підвищення ефективності роботи системи державного управління

3.3 Проблеми застосування в Україні норм інформаційної безпеки НАТО

Політика НАТО в сфері інформаційної безпеки.

При створенні НАТО в 1949 році системи безпеки країн-учасниць істотно розрізнялися. Загальний підхід до безпеки інформації ґрунтувався на досвіді другої світової війни і методах захисту інформації в умовах воєнного часу. Тому правила безпеки, узгоджені союзниками протягом війни, були прийняті за основу. Перша система засекречування містила вісім рівнів таємності, з них чотири вищих, а також створення в кожній країні двох центральних режимних органів і певна кількість підлеглих. Добір персоналу, що мав доступ до цієї інформації, був дуже суворим, а інформація жорстко контролювалася на всіх стадіях. [29]

Ця система виявилася дуже громіздкою й у 1955 р. основою політики безпеки в НАТО став Меморандум Північноатлантичної Ради “Безпека Організації Північноатлантичного Договору” (C-M(55)15 Final). У цьому документі були зазначені узгоджені та схвалені всіма державами-членами НАТО мінімальні стандарти в області захисту таємної інформації. Основні вимоги стосувались фізичної, процедурної, технічної безпеки і безпеки персоналу як носія інформації. Система засекречування містила чотири рівні таємності: “обмежений доступ”, “конфіденційно”, “таємно”, “абсолютно таємно”. Система обліку була збережена, а система добору персоналу спрощена. Розділ Х додатку "С" цього документа присвячений безпеці таємної інформації, яка зберігається, обробляється та передається в мережах та системах автоматизованої обробки даних (САОД). Обов'язком національного рівня кожної держави Альянсу стала гарантія адекватного захисту таємної (по класифікації НАТО) інформації. [29]

Протягом наступних десятиліть нормативна база Альянсу щодо захисту інформації була розширена укладанням декількох угод: Угоди про взаємне забезпечення гарантій захисту таємниць стосовно винаходів в сфері оборони, на які подані заявки на патентування (Париж, 21 вересня 1960 р.), Угоди НАТО щодо передачі технічної інформації для оборонних цілей (Брюссель, 19 жовтня 1970 р.), а також Угоди про співробітництво стосовно інформації з питань атомної енергії (С-М(64)39 - Основна угода та Адміністративні механізми реалізації угоди (С-М(68)41, 5-а редакція).

На початку 90-х років ХХ ст. НАТО розпочала політичну та військову трансформацію структур безпеки. Первісно система безпеки інформації НАТО була розроблена для документів у виді "твердих копій", але швидкість розвитку інформаційних технологій спонукала до майже повної заміни паперових носіїв на електронні, що спричиняло не тільки позитивні (скорочення часу обміну, збільшення місткості носіїв, швидкість пошуку, класифікацію, створення баз даних та ін.), а й негативні (втрата конфіденційності, цілісності змісту інформації або цілісності системи, втрата доступу та ін.) наслідки інформатизації. Поява цих ризиків в сфері інформаційної безпеки спричинила необхідність впровадження нових заходів та процедур захисту інформації, а також вдосконалення нормативної бази, адже безпека інформації, тісно пов'язана саме із загальним керуванням потоками інформації. У березні 1997 р. була укладена Угода між Сторонами Північноатлантичного Договору щодо захисту інформації. [29]

Політику Альянсу в галузі безпеки та оборони, оперативні концепції, та систему колективної оборони визначає Стратегічна концепція НАТО. Стратегічна концепція чітко окреслює сучасні виклики і зазначає, що нові ризики, які загрожують миру та стабільності, стають дедалі очевиднішими: утиски та конфлікти на етнічному ґрунті; поширення зброї масового ураження; глобальне поширення технологій виготовлення зброї; тероризм; спроби використати зростаючу залежність Альянсу від інформаційних систем шляхом проведення інформаційних операцій, покликаних зруйнувати такі системи, намагатися використати такі стратегії, аби протистояти перевагам НАТО в галузі звичайних озброєнь. [29]

Після вступу в НАТО, кожна держава повинна провести оцінку співвідношення стосовно Угоди між Сторонами Північноатлантичного Договору щодо захисту інформації даного документу, згідно Плану дій заради членства, та запровадити достатньо заходів перестороги та процедур для гарантування захисту таємної інформації відповідно до положень політики НАТО з питань захисту інформації, а також визначити критерії щодо таємності інформації, якою вона буде і повинна обмінюватись в рамках Альянсу. Відмова з боку однієї або декількох держав від зобов'язання щодо дотримання правил безпеки стосовно захисту інформації може привести до скорочення кількості і якості таємної інформації усередині НАТО. Польща, наприклад, після вступу внесла свій вклад в інформаційну безпеку Альянсу. Фахівці служби держбезпеки Польщі розробили нову систему електронної безпеки, що спирається на "спеціальні шифрові ключі”, для застосування в електронній пошті, якою користуються відповідні структури країн НАТО. Показово, що при розподілі видатків між країнами-членами НАТО по Програмі інвестицій у безпеку Польща посідає шосте місце, вважається навіть, що в Польщі краща система захисту інформації, чим в інших державах-членах НАТО

В процесі підготовки до членства в НАТО були проведені певні заходи в країнах Балтії. Були прийняті Угоди по безпеці, законодавство приведено у відповідність з вимогами НАТО, удосконалений захисний режим для таємної інформації в державних установах, які включатимуться в процес інтеграції в НАТО та система інформаційного обміну і зберігання таємної інформації, встановлений список підприємств та компаній, в майбутньому потенційно здібних до поводження з таємними контрактами НАТО. Але іноді певні заходи мали специфічну форму. В Латвії, наприклад, були внесені зміни в Закон про державну таємницю, в якому з'явилося поняття «інформації обмеженого користування». Це нижчий ступінь таємності, прийнятий спеціально для "створеної в зв'язку з міжнародними договорами або отриманою Латвійською Республікою захищеної інформації, що відноситься до військової, політичної, економічної, наукової, технічної, розвідувальної (контррозвідувальної) і оперативної діяльності держави". Відповідальним за обмін класифікованою інформацією з міжнародними організаціями призначене Бюро по захисту Сатверсме (Конституції), у компетенцію якого ввійшла також акредитація комп'ютерних систем держустанов на предмет їхньої надійності від неконтрольованого доступу, контроль криптографічної системи і розробка таємних кодів. Список осіб, що не можуть одержати доступу до класифікованої інформації включає не тільки тих, хто відмовився від громадянства Латвійської Республіки, колишніх радянських співробітників і агентів служб безпеки, але також тих, “чиї персональні або професійні особливості дають підстави сумніватися в їхній можливості дотримуватись вимог режиму таємності”. [29]

Політика НАТО в області безпеки узгоджена всіма країнами-учасниками. В окремих країнах, командуваннях НАТО й агентствах НАТО можуть виникати питання по реалізації політики безпеки. У робочій групі з питань забезпечення безпеки САОД Комітету внутрішньої безпеки НАТО (NSC) за останні п'ять років розроблені і продовжують розроблятися керівні документи по безпеці, які перекривають ряд важливих питань таких як організація і керування безпекою САОД, аналіз ризику і керування ризиком, документація з питань безпеки. Система захисту інформації постійно модернізується.

Основні вимоги НАТО щодо захисту інформації.

Основним принципом безпеки інформації НАТО є те, що правила повинні забезпечити доступ до інформації осіб, яким вона потрібна в силу службової необхідності, і те, що інформація повинна зберігати свій ступінь захисту при всіх її передачах, починаючи з джерела, а контроль за розподілом і поширенням інформації повинний забезпечити відсутність її витоку. Присвоєння інформації НАТО того або іншого грифа таємності виробляється відповідно до правил систем безпеки країн-учасниць. Присвоєння інформації НАТО того чи іншого грифу таємності проводиться у відповідності з правилами систем безпеки країн-членів. Власне НАТО як міжнародна організація таємну інформацію не виробляє. Система безпеки НАТО є просто продовженням систем країн-учасниць. Однак, деяка інформація може певний час залишатися конфіденційною, тому що в Альянсі прийнятий консенсус. Всі переговори і дискусії залишаються конфіденційними, поки рішення не прийняте. Наприклад, з метою збереження конфіденційності, при підготовці комюніке зустрічі міністрів, проекти документів мають бути таємними, поки всі міністри не погодили текст, після чого інформація така перестає бути таємною. [29]

Мінімальні стандарти НАТО по захисту інформації містять вимоги по обробці, збереженню і передачі таємної інформації. Ключовим терміном є "керування ризиком", тобто оцінка загроз і уразливості з однієї сторони і проведення контрзаходів з іншої. При цьому треба чітко уявляти розміри вартості збитку при витоку інформації, відповідність затрат необхідних ресурсів для захисту інформації потребам, та кількість засобів для одержання інформації супротивною стороною. [30]

У зв'язку з діяльністю НАТО і міжнародним військово-політичним співробітництвом, джерелами загроз є служби розвідки інших країн, терористичні організації або окремі терористи, хакери, розроблювачі комп'ютерних вірусів і просто зловмисники. У загальному виді загрозу визначають як можливість випадкового або навмисного порушення безпеки САОД або мережі, джерело цієї загрози, її мотиви та мету. Джерела загроз угруповують таким чином: [30]

а) внутрішні - від персоналу - з метою отримання доступу нелегальним чином до інформації, або пошкодження системи на користь іноземних розвідок, зовнішніх організацій чи терористичних угруповань;

б) зовнішні - нові форми таємної атаки у зв'язку з обробкою інформації електронним способом;

в) фізичні - проти фізичного існування САОД і мереж.

Реалізація загрози відбувається завдяки існуючій уразливості - слабкість або відсутність контролю, що може бути результатом недогляду або недоліку в глибині контролю, у його повноті або сталості, природа якого може бути технічна, функціональна або оперативна. Виходячи з цього, для захисту інформації служба безпеки повинна забезпечити максимальну неможливість:

несанкціонованого розкриття інформації у результаті дій неблагонадійного персоналу (утрата конфіденційності);

порушення змісту інформації, її повноти або сталості в САОД чи мережі в результаті несанкціонованих змін (утрата цілісності інформації);

втрати точності устаткування або зниження його функціональних характеристик сталості і надійності (утрата цілісності системи);

порушення доступу до інформації, ресурсів САОД чи мереж, або збільшення часу виконання критичних операцій (утрата доступності).

В залежності від конкретної ситуації питання конфіденційності, цілісності та доступності можуть мати різні пріоритети. В даний час в НАТО основну увагу приділяється питанню конфіденційності, але в майбутньому більша увага має приділятися розробці політики і керівних документів в області захисту від утрати цілісності і доступності. [29]

Виходячи з загроз й уразливості з однієї сторони, оцінки втрат (конфіденційності, цілісності, приступності) - з іншої, необхідна повна, ефективна і збалансована система мір безпеки. З огляду на це найбільш важливими є контроль доступу до інформації, контроль носіїв інформації та звітність. Доступ до інформації контролюється і надається тільки особам з відповідним допуском і при службовій необхідності. В області САОД і мереж для цього застосовуються механізм ідентифікації й аутентифікації, автономний механізм керування доступом у системі, установлений згідно принципу службової необхідності інформації, механізм керування доступом на основі форми допуску користувача. При цьому система повинна бути здатна розпізнати форму допуску і вирішити, чи достатня вона для доступу до інформації з визначеним рівнем таємності.

Питання забезпечення захисту інформації входять до юрисдикції Комітету внутрішньої безпеки НАТО (NSC), який є дорадчим органом при Північноатлантичній Раді, з питань, що стосуються безпеки НАТО. Головою Комітету є директор Служби безпеки НАТО (NOS), яка надає підтримку Комітету з боку Міжнародного секретаріату НАТО. Комітету внутрішньої безпеки також підпорядкована Робоча група з питань гарантування безпеки автоматичної обробки даних. [30]

Інструкція із таємного діловодства в НАТО вимагає від країни-члена створити національний уповноважений орган, відповідальний за безпеку таємної інформації, через який Служба безпеки НАТО здійснює контакти з країною. Усередині НАТО функції національного уповноваженого органа по безпеці інформації наступні:

забезпечення безпеки таємної інформації НАТО у національних органах, військових і цивільних структурах, як всередині країни, так і за її межами;

керівництво створенням (або ліквідацією) органа управління та режимних відділів;

проведення періодичних інспекцій по перевірці виконання правил захисту таємної інформації НАТО в національних організаціях всіх рівнів, як військових, так і цивільних;

забезпечення лояльності всіх осіб - громадян даної країни, за родом своєї діяльності допущених до таємної інформації, відповідно до стандартів та правил захисту інформації НАТО;

забезпечення розробки планів захисту інформації в надзвичайних обставинах, з метою запобігання втрати конфіденційності таємної інформації НАТО.

Представники національного уповноваженого органа по безпеці інформації беруть участь у нарадах Комітету безпеки НАТО, на яких виробляються політика й інструкції в області безпеки. Обумовлена законом загальна структура системи безпеки країни і розподіл повноважень між органами влади впливають на призначення національного уповноваженого органа по безпеці. Є країни НАТО, в яких уповноважений орган по безпеці інформації знаходиться в міністерстві закордонних справ, оборони і юстиції. В інших країнах керівником уповноваженого органа по безпеці є прем'єр-міністр, міністр оборони або міністр внутрішніх справ. На обсяг функцій відповідального уповноваженого впливають розмір країни і кількість населення, географічне розташування місць обробки таємної інформації і не в останню чергу, розподіл повноважень між органами в області національної безпеки. Часто значна частина функцій відповідального уповноваженого делегується в міністерство оборони.

Пріоритетним є впровадження найсучасніших систем спостереження, засобів обробки інформації і зв'язку, а також високоточної зброї. У звіті корпорації RAND «Майбутнє НАТО: вплив на стан і можливості армії США» підкреслюється, що Альянс зштовхнувся сьогодні з новими загрозами, що змушують зміщати акценти від питань забезпечення територіальної безпеки убік нарощування технічної моці. Аналітики RAND вважають, що країни НАТО повинні фінансувати процес розвитку інформаційної інфраструктури національних збройних сил, для того щоб зробити їх більш легкими й мобільними. [29]

Витрати на утримання інформаційно-комунікаційних систем покриваються коштами Програми інвестицій у безпеку НАТО. В дослідженні Брукса Ліске (Brooks Lieske) з Frost & Sullivan відзначається зміна орієнтації в реалізації загроз з порушення цілісності системи на порушення конфіденційності, в основному читанням пошти і збором службової інформації. В ході дослідження був виявлений стійкий ріст витрат на забезпечення інформаційної безпеки в таких структурах як Агентство по національній безпеці (National Security Agency) і НАТО. Витрати урядів і військово-промислових комплексів країн НАТО на технології шифрування протягом 5 років (до 2007 р.) зростуть з $176 млн. до $457,6 млн. На думку автора дослідження, уряди стурбовані не стільки зламами систем і вірусами, скільки викраденням інформації.

Метою стандартизації в України є забезпечення безпеки життя та здоров'я людини, тварин, рослин, а також майна та охорони довкілля, створення умов для раціонального використання всіх видів національних ресурсів та відповідності об'єктів стандартизації своєму призначенню, сприяння усуненню технічних бар'єрів у торгівлі [ 20]

Державна політика у сфері стандартизації базується на таких принципах:

- забезпечення участі фізичних і юридичних осіб у розробленні стандартів та у вільному виборі ними видів стандартів при виробництві чи постачанні продукції;

- відкритість та прозорість процедур розроблення та прийняття стандартів з урахуванням інтересів усіх зацікавлених сторін, підвищення конкурентоспроможності продукції вітчизняних виробників;

- доступність стандартів та інформації щодо них для користувачів;

- відповідність стандартів законодавству;

- адаптація до сучасних досягнень науки і техніки з урахуванням стану національної економіки;

- пріоритетність прямого впровадження в Україні міжнародних та регіональних стандартів;

- дотримання міжнародних та європейських правил і процедур стандартизації;

- участь у Міжнародній (регіональній) стандартизації.

Міжнародні стандарти та стандарти інших країн, якщо їх вимоги не суперечать законодавству України, можуть бути застосовані в Україні в установленому порядку шляхом посилання на них у національних та інших стандартах.



ВИСНОВКИ

Отже, дослідивши тему моєї бакалаврської роботи, а саме « Світові стандарти забезпечення інформаційної безпеки» ми можемо зробити наступні висновки.

Поняття інформаційної безпеки, залежно від його використання, розглядається у декількох ракурсах.

У найзагальнішому випадку інформаційна безпека - це стан захищеності інформаційного середовища суспільства, який забезпечує його формування, використання і розвиток в інтересах громадян, організацій, держави.

Під інформаційним середовищем розуміють сферу діяльності суб'єктів, пов'язану зі створенням, перетворенням і споживанням інформації

Державна політика забезпечення інформаційної безпеки України визначає головні напрями діяльності органів державної влади України, закріплює права та обов'язки щодо захисту інтересів України і ґрунтуються на дотриманні балансу інтересів особи, суспільства і держави в інформаційній сфері.

Головна задача стандартів інформаційної безпеки - узгодженість позицій та запитів виробників, споживачів і аналітиків класифікаторів продуктів інформаційних технологій. Кожна з категорій фахівців оцінює стандарти та вимоги і критерії, які в них існують, за своїми особистими параметрами. Для споживачів найбільшу роль грає простота критеріїв та однозначність параметрів вибору захищеної системи, а для найбільш кваліфікованої частини споживачів - гнучкість вимог та можливість їх застосування до специфічних ІТ- продуктів та середовища експлуатації. Виробники потребують від стандартів максимальної конкретності та спільних вимог і критеріїв з сучасними архітектурами ВР та з розповсюдженими ОС.

У якості загальних показників, стандарти які характеризують інформаційну безпеку і мають значення для трьох груп, можливо назвати такі як універсальність, гнучкість, гарантованість, реалізація та актуальність

Перший стандарт безпеки - “Оранжева книга” - призначалась для систем воєнного споживання, заснованих у ті роки виключно на мейнфреймах, і його адаптація для розподільних систем та баз даних потребувала розробки додаткових документів.

«Oранжева книга» призначається для наступних цілей:

* Надати виробникам стандарт, який встановлює, якими засобами безпеки слід оснащувати свої нові й плановані продукти, щоб поставляти на ринок доступні системи, що задовольняють вимогам гарантованої захищеності (маючи на увазі, перш за все, захист від розкриття даних) для використання при обробці цінної інформації;

* Надати DOD метрику для військової приймання та оцінки захищеності ЕСОД, призначених для обробки службової та іншої цінної інформації;

* Забезпечити базу для дослідження вимог до вибору захищених систем.

В “Європейських критеріях” з'являється спеціальний розділ вимог - вимоги адекватності, що регламентують технологію і середовище розробки, а також контроль за цим процесом.

Актуальність стандартів інформаційної безпеки підвищувалась з розширенням сфери їх застосування і появою досвіду їх використання. “Оранжева книга”, хоча і містить передумови для протидії всім основним видам погроз, містить вимоги, в основному спрямовані на протидію погрозам конфідеційності, що пояснюється її орієнтованістю на системи військового призначення.

“Європейські критерії” знаходяться приблизно на тому ж рівні, хоча і приділяють погрозам цілісності набагато більше уваги. Документи ГТК із погляду цього показника виглядають найбільше відсталими - вже в самій їхній назві визначена єдина аналізована в них погроза - несанкціонований доступ.

“Федеральні критерії” розглядають усі види погроз достатньо докладно і пропонують механізм профілів захисту для опису погроз безпеки, відповідних середовищу експлуатації конкретного ІТ- продукту, що дозволяє враховувати специфічні види погроз.

“Канадські критерії” обмежуються типовим набором погроз безпеки.

“Єдині критерії” ставлять в основу задоволення потреб користувачів і пропонують для цього відповідні механізми, що дозволяє говорити про якісно новий підхід до проблеми безпеки інформаційних технологій.

У якості основних тенденцій розвитку стандартів інформаційної безпеки можна зазначити:

1. Розвиток стандартів дозволяє простежити прямування від єдиної шкали ранжування вимог і критеріїв до множини незалежних приватних показників і введенню частково упорядкованих шкал.

2. Неухильне зростання ролі вимог адекватності до реалізації засобів захисту і політики безпеки свідчить про переваження “якості” забезпечення захисту над її “кількістю”

3. Визначення ролей виробників, споживачів і експертів по кваліфікації ІТ - продуктів і поділу безпеки інформаційних технологій.

4. Поділ ролей учасників процесу створення й експлуатації захищених систем, застосування відповідних механізмів і технологій призводить до розумного розподілу відповідальності між всіма учасниками цього процесу.

5. Інтернаціоналізація стандартів відбиває сучасні тенденції до об'єднання і прагнення до створення безпечного всесвітнього інформаційного простору.

Ми роздивилися стандарти інформаційної безпеки, починаючи від найперших і закінчуючи самим сучасним, що увібрали в себе весь досвід застосування попередніх йому документів.

По-перше, ми прояснили задачі, що повинні бути вирішені в ході створення захищеної системи (задачі захисту): ефективне протистояння погрозам безпеки, що діють в середовищі її експлуатації, і коректна реалізація політики безпеки.

По-друге, визначається набір функціональних можливостей, що повинні (або можуть) бути реалізовані в захищеній системі, Він поданий у виді таксономії функціональних вимог або критеріїв, приведеної для кожного стандарту.

По-третє, вперше у вітчизняній літературі подані найбільше істотні елементи сучасних технологій створення захищених систем - механізми профілю захисту і проекту захисту.

Все це дозволяє сформулювати задачі кожного з учасників процесу створення захищених систем (споживачі, виробники, експерти по кваліфікації), що повинні бути вирішені для досягнення пребаченої цілі.

Поряд із дослідженням коректної реалізації моделей безпеки, розглянутий матеріал є основою для технології створення захищених систем.

Виконавши поставлені перед нами завдання ми досягли мети дослідження: проаналізували світові стандарти забезпечення інформаційної безпеки та розглянули окремі аспекти їх впровадження в систему захисту інформаційної безпеки в Україні.



СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ

інформація безпека захист стандарт

1. Горбатюк О.М. Сучасний стан та проблеми інформаційної безпеки України на рубежі століть/ О.М. Горбатюк // Вісник Київського університету імені Т.Шевченка. - 1999. - Вип. 14: Міжнародні відносини. - C. 46-48.

2. Литвиненко О. Інформація і безпека / Литвиненко О.// Нова політика. - 1998. - № 1. - C. 47-49.

3. Пилипенко О. Формула безопасности: Информационная безопасность/ Пилипенко О.// CHIP. - 2005. - № 12. - C. 72-73.

4. Катренко А. Особливості інформаційної безпеки за міжнародними стандартами / Катриненко// Альманах економічної безпеки. - 1999. - № 2. - C. 15-17.

5. Система забезпечення інформаційної безпеки України // Національна безпека і оборона. - 2001. - № 1. - C. 16-28.

6. Інформаційна безпека України: проблеми та шляхи їх вирішення // Національна безпека і оборона. - 2001. - № 1. - C. 60-69.

7. Володимир Горобцов, Андрій Колодюк, Борис Кормич: Правове забезпечення інформаційної діяльності в Україні / Володимир Горобцов, Андрій Колодюк, Борис Кормич та ін.; Ред. І. С. Чиж;// Ін-т держави і права ім. В.М.Корецького, Нац. Академія Наук України, Держ. комітет телебачення і радіомовлення України. -К.: Юридична думка, 2006. -384 с.

8. Богуш В. Інформаційна безпека держави/ Володимир Богуш, Олександр Юдін,;// Гол. ред. Ю. О. Шпак. -К.: "МК-Прес", 2005. -432 с.

9. Маракова І. Захист інформації: Підручник для вищих навчальних закладів/ Ірина Маракова, Анатолій Рибак, Юрій Ямпольский;// Мін-во освіти і науки України, Одеський держ. політехнічний ун-т, Ін-т радіоелектроніки і телекомунікацій. - Одеса, 2001. -164 с.

10. Захаров Е. Информационная безопасность или опасность отставания/ Захаров Е. // Права людини. - 2000. - № 1. - C. 3-5.

11. Гуцалюк М. Інформаційна безпека України: нові загрози / Гуцалюк М// Бизнес и безопасность. - 2003. - № 5. - C. 2-3.

12. Борсуковский Ю. Подходы и решения: Информационная безопасность / Борсуковський Ю.// Мир денег. - 2001. - № 5. - C. 41-42.

13. Щербина В. М. Інформаційне забезпечення економічної безпеки підприємств та установ // Актуальні проблеми економіки. - 2006. - № 10. - C. 220 - 225.

14. ISO/IEC 17799 2005 Information Security Management Standard[Електронний ресурс]//Режим доступу - http://www.jetinfo.ru/2004/11/3/article3.11.2004.html

15. Стандарт ISO 15408: 1999-1-3 Методы и средства обеспечения безопасности. [Електронний ресурс] // Режим доступу - http://www.jetinfo.ru/2004/11/3/article3.11.2004.html

16. Артемов Володимир «Міжнародний стандарт ISO 17799 як управлінська складова в галузі менеджменту інформаційної безпеки» / Артемов В.// Юридичний журнал «ЮСТИНІАН» № 11/2007.

17. Колесников Дмитро Геннадійович «Підручник по Сайто-будівництві » / Колесников Д.Г.// [Електронний ресурс]: ? Режим доступу: http://protect.htmlweb.ru/orange1.htm.

18. Федеральный стандарт США FIPS 140-2 [Електронний ресурс] // Режим доступу - http://www.jetinfo.ru/2004/11/3/article3.11.2004.html

19. Описание алгоритма DES [Електронний ресурс] // Режим доступу - http://snoopy.falkor.gen.nz/~rae/des.html

20. Закон України «Про стандартизацію» від 17.05.2001 р. [Електронний ресурс]// Режим доступу- www.rada.gov.ua.

21. В.С. Сідак «Окремі аспекти впровадження міжнародних стандартів забезпечення безпеки підприємств в Україні(на прикладі ІSO/ІEC 17799:2007)»/ Сідак В.С. // Безпека у ХХІ столітті.

22. http://www.domarev.com.ua/obuch/stand_7.htm

23. Василюк В., Климчук С. Інформаційна безпека. - К.: КНТ, 2008. - 190с.

24. Куберт П., Безштанько В., Цукран В. Международный стандарт ISO 17799. Информационные технологии - практические правила управления информационной безопасностью // Бизнес и безопасность.-2006. - № 3(53).

25. Анализ международного стандарта ISO 15408: информационная технология, методы и средства // Бизнес и безопасность. - 2007. - № 5(61).

26. Куберт П. Обеспечение безопасности при эксплуатации по ISO 17799 // Бизнес и безопасность. - 2007. - № 1(57).

27. О.М. Богданов, О.О. Бакалинський «Адаптація міжнародного стандарту управління інформаційною безпекою ISO/IEC 27001:2005 у структурах державного управління України» [Електронний ресурс]// Режим доступу - http://nc.nusta.com.ua/Kyrsi%202009/tezi/images_tezi/S_6_Bogdan v_Bakalynsky_1.htm

28. Проблеми застосування в Україні норм інформаційної безпеки НАТО Аналітична записка // Copyright © 2002 by DB NISS.



СПИСОК УМОВНИХ СКОРОЧЕНЬ

ЄС- Європейський Союз;

США- Сполучені Штати Америки;

СРСР- Союз Радянських Соціалістичних Республік;

ЗМІ- Засоби масової інформації;

Т.ІН. - та інші;

ІТ- інформаційні технології;

ОС- операційні системи;

СУБД- система управління безпекою діяльності

АС- автоматизовані системи

НСД- надійний системний доступ

ЕСОД- оцінка захищеності

Т.П.- тому подібне

НАТО- Північноатлантичний Альянс

МЕК- Міжнародна електротехнічна комісія

СНД- Співдружність Незалежних Держав

НД ТЗІ- нормативний документ технічного захисту інформації;

СУІБ- Система управління інформаційною безпекою

САОД- система автоматизованої охорони даних

ПЗМ- партнерство заради миру

РЄАП- Рада євро-атлантичного партнерства

Размещено на Allbest.ru

...