Отечественные стандарты безопасности информационных технологий
Исторически сложилось так, что в России проблемы безопасности ИТ изучались и своевременно решались в основном в сфере охраны государственной тайны. Аналогичные задачи коммерческого сектора экономики долгое время не находили соответствующих решений.
Информация, содержащаяся в системах или продуктах ИТ, является критическим ресурсом, позволяющим организациям успешно решать свои задачи. Кроме того, частные лица вправе ожидать, что их персональная информация, будучи размещенной в продуктах или системах ИТ, останется приватной, доступной им по мере необходимости и не сможет быть подвергнута несанкционированной модификации.
Проблема защиты информации в коммерческой АС имеет свои особенности, которые необходимо учитывать, поскольку они оказывают серьезное влияние на информационную безопасность (ИБ). Перечислим основные из них.
Приоритет экономических факторов. Для коммерческой АС важно снизить либо исключить финансовые потери и обеспечить получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Важным условием при этом, в частности, является минимизация типично банковских рисков (например потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т. п.).
Открытость проектирования, предусматривающая создание подсистемы защиты информации из средств, широко доступных на рынке и работающих в открытых системах.
Юридическая значимость коммерческой информации, которую можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с законодательством Российской Федерации.
Среди различных стандартов по безопасности ИТ, существующих в настоящее время в России, следует выделить нормативные документы по критериям оценки защищенности средств вычислительной техники и АС и документы, регулирующие информационную безопасность (табл. 4.1, строки 1 — 10). К ним можно добавить нормативные документы по криптографической защите систем обработки информации и информационных технологий (табл. 4.1, строки 11 —13).
Таблица 4.1. Российские стандарты, регулирующие информационную безопасность
№ п/п | Стандарт | Наименование |
1 | ГОСТ Р ИСО/МЭК 15408-1—2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель |
2 | ГОСТ Р ИСО/МЭК 15408-2-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности |
3 | ГОСТ Р ИСО/МЭК 15408-3-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности |
4 | ГОСТ Р 50739-95 | Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования |
5 | ГОСТ Р 50922-96 | Защита информации. Основные термины и определения |
6 | ГОСТ Р 51188-98 | Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство |
7 | ГОСТ Р 51275-99 | Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения |
8 | ГОСТ Р ИСО 7498-1-99 | Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель |
9 | ГОСТ Р ИСО 7498-2-99 | Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации |
10 | ГОСТ Р 50739-95 | Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования |
11 | ГОСТ 28147-89 | Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования |
12 | ГОСТ Р 34.10-2001 | Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи |
13 | ГОСТ Р 34.11-94 | Информационная технология. Криптографическая защита информации. Функция хэширования |
Эта статья была опубликована Воскресенье, 9 августа, 2009 at 17:02 в рубрике Стандарты информационной безопасности. Вы можете следить за ответами через RSS 2.0 feed.