Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

В области информационной безопасности

⇐ ПредыдущаяСтр 9 из 21Следующая ⇒

Принимая во внимание важность вопросов создания и развития нормативной базы в области информационной безопасности, необходимо проведение комплекса работ, направленных на развитие стандартизации и сертификации в области информационной безопасности.

Стандарты, определяющие требования по информационной безопасности и являющиеся основой нормативно-правовой базы, важны для всех субъектов отношений в этой области, в первую очередь для тех организаций и предприятий, которые заинтересованы в защите своих информационных ресурсов. Руководству и службам безопасности предприятий следует четко представлять себе, каким требованиям, в зависимости от условий функционирования, должны соответствовать их информационные системы. Разработчики информационных технологий и информационных систем должны руководствоваться стандартами для обеспечения безопасности своих разработок.

Иными словами, задача стандартов в области информационной безопасности - это создание основы для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из перечисленных групп имеет свои интересы и свои взгляды на проблему информационной безопасности.

Учитывая процессы глобализации телекоммуникаций и интеграции Республики Узбекистан в международное информационное сообщество, можно отметить, что назрела необходимость ускорения работ в области гармонизации отечественной нормативной базы в области информационной безопасности с международными стандартами.

Одним из способов гармонизации нормативной базы в области информационной безопасности является разработка механизмов, позволяющих прямое применение международных стандартов ИСО/МЭК (так называемых "базовых стандартов") и внедрение методов функциональной стандартизации (разработка стандартизованных профилей защиты).

На международном уровне разработкой стандартов в области защиты информации занимается Совместный технический комитет СТК 1 ИСО/МЭК "Информационные технологии". На региональном уровне - Европейский институт стандартов телекоммуникаций (ETSI), европейские организации по стандартизации - Европейский комитет по стандартизации в области электротехники (СЕНЕЛЕК), Европейский комитет по стандартизации (СЕН) и другие, на национальном уровне - институт инженеров электротехники и радиоэлектроники (IEEE), Американский национальный институт по стандартизации и технологиям (НИСТ), Британский институт стандартов (BSI) и другие.

Проблема обеспечения безопасности информационных технологий занимает все более значительное место в реализации компьютерных систем и сетей по мере того, как возрастает их роль в информатизации общества. Обеспечение безопасности информационных технологий представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения информационных технологий, совершенствования методов и средств их разработки, развития системы сертификации, обеспечения соответствующих организационно-технических условий эксплуатации.

Наиболее значимыми стандартами информационной безопасности являются (в хронологическом порядке):

- «Критерии безопасности компьютерных систем министерства обороны США»;

- руководящие документы Гостехкомиссии России;

- «Европейские критерии безопасности информационных технологий»;

- «Федеральные критерии безопасности информационных технологий США»;

- «Канадские критерии безопасности компьютерных систем»;

«Общие критерии оценки безопасности информационных технологий»;

«Общая методология оценки безопасности информационных технологий»;

Перечисленные нормативные документы, и особенно последние два, вносят существенный вклад в формирование единой международной научно-методологической базы.

Стандарт ИСО/МЭК 15408 «Общие критерии оценки безопасности информационных технологий» прошел достаточно долгий эволюционный путь развития. При его разработке учитывались положения международных стандартов в области защиты информации, например ИСО-7498-2, и ряда других документов. Общие критерии могут и должны применяться на единой методологической основе. Поэтому вполне естественно, что сразу же после появления версии ИСО/МЭК 15408 начались работы по разработке нормативного документа, определяющего общую методологию оценки безопасности информационных технологий ISO/IEC 17799. В нем, наиболее полно представлены критерии для оценки механизмов безопасности организационного уровня.

Данный стандарт, являющийся международной версией британского стандарта BS 7799, содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Область эффективного применения Общих критериев связана в основном с оценкой безопасности продуктов ИТ и не охватывает ряд аспектов (оценка рисков, управление персоналом, физическая защита, эксплуатационные требования и другие организационные аспекты), необходимых при оценке безопасности АС, а том числе АС связи и телекоммуникации. Основываясь на выше изложенном, был разработан новый стандарт ISO/IECISO/IEC 15408 теми аспектами, которые позволяют повысить эффективность оценки автоматизированных систем. 19791, который дополняет стандарт

Существует очень большое количество международных стандартов в области информационной безопасности, но основополагающими, на которые ориентированы все страны мирового сообщества при формировании своей нормативной базы являются Общие критерии.

Для обеспечения доверия к надежности оценок информационных продуктов, технологий и профилей защиты ведущими в области информационных технологий странами мира, было заключено и действует международное "Соглашение о признании сертификатов соответствия «Общим критериям» (в области безопасности ИТ)” (далее - Соглашение). Данное Соглашение устанавливает, что оценка по Общим критериям, проведенная в одной стране, будет официально признана во всех странах, подписавших данное Соглашение.

Учитывая актуальность интеграционных процессов в области международной стандартизации и подтверждения соответствия, представляется важным проведение работ по анализу перспектив участия Узбекистана в данном Соглашении.

Вхождение Узбекистана в мировое информационное пространство предполагает признание выработанных мировым сообществом критериев оценки безопасности информационных технологий.

Присоединение Узбекистана к международному Соглашению о взаимном признании оценок по «Общим критериям», позволит:

- оказывать влияние на развитие методологии «Общих критериев» посредством участия в соответствующих рабочих группах;

- получить доступ на международный рынок сертифицированной продукции продуктам и системам отечественного производства;

- поддержать отечественных специалистов, работающих в области информационной безопасности при проведении ими сертификации продуктов и систем по требованиям «Общих критериев» зарубежных фирм-изготовителей, а также создать новые рабочие места в этой области;

- получить доступ к современным зарубежным ИТ и технологиям разработки программных продуктов, материалам сертификационных испытаний, проведенных зарубежными испытательными центрами;

- при допуске на отечественный рынок зарубежных поставщиков продуктов и систем ИТ гарантировать качество поставляемой продукции с позиции информационной безопасности;

- сэкономить средства на сертификацию продуктов и систем ИТ благодаря признанию в рамках «Общих критериев» зарубежных сертификатов для невысоких классов уверенности в безопасности.

Необходимо рассмотреть вопрос о возможности ввода в действие в Республике Узбекистан Международного стандарта «Общие критерии», как основы для совершенствования нормативно-методической базы оценки безопасности ИТ.

Интеграция национальных информационных инфраструктур в глобальную информационную инфраструктуру, с целью создания единого информационного пространства, невозможна без сертификации безопасности этих систем на глобальном уровне. С этой точки зрения принятие стандарта «Общие критерии» поднимут стандартизацию требований информационной безопасности информационных технологий Республики Узбекистан на международный уровень.

Средства информационно-коммуникационных технологий зарубежного производства, в программном обеспечении и аппаратных средствах могут иметь ряд скрытых, случайных ошибок или преднамеренно внесенных закладных элементов которые способны при эксплуатации привести либо к искажению и потере информации, либо к нарушению нормального функционирования инфокоммуникационных систем и комплексов, вплоть до блокирования их работы.

Поэтому, разработка отечественных уникальных систем оценки безопасности в рамках Общих критериев и методологии позволит не только оценить собственные продукты и системы, но активно участвовать в сертификации изделий, продуктов и систем зарубежного производства, тем самым, создав условия, защиты рынка страны от низкопробной продукции.

Как показывает международный опыт, важнейшими составляющими системы обеспечения информационной безопасности, отсутствие которых сдерживает создание и развитие защищенных инфокоммуникационных сетей и систем, являются:

законодательные акты в области информационной безопасности;

система международных и национальных стандартов, а также руководящих нормативно-технических и методических документов по информационной безопасности, включающих требования, показатели и критерии оценки безопасности ИКТ;

сертификация средств ИКТ по требованиям безопасности информации;

аттестация инфокоммуникационных сетей и систем по требованиям безопасности информации.

Процесс гармонизации отечественных и международных стандартов в области информационной безопасности, это значительный шаг Республики Узбекистан для интеграции в мировое информационное сообщество.

Разработка и внедрение отечественных нормативных документов, гармонизированных с международными стандартами, позволит создать нормативную базу в области информационной безопасности, которая будет направлена на обеспечение:

выхода на современный уровень создания базы критериев оценки безопасности информационных технологий;

ускорения разработки функциональных стандартов для базовых видов информационных технологий на основе гармонизации с разработанными в мире профилями защиты;

аттестационного тестирования (испытания) и сертификации средств информационных технологий по единой методике оценки безопасности информационных технологий.

В заключение необходимо отметить, что результаты работ по гармонизации отечественных нормативных документов в области стандартизации с международными документами в области информационной безопасности призваны обеспечить в нормативном аспекте достижение современного уровня защищенности продукции информационных технологий и сокращения отставания уровня развития отечественной нормативной базы от современного международного уровня.

⇐ Предыдущая 2 3 4 5 6 7 8910 11 12 13 14 15 16 17 Следующая ⇒

Поиск по сайту: