Файл: Классификация стандартов в информационной безопасности в общем случае стандартом.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.02.2024
Просмотров: 4
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
-
Классификация стандартов в информационной безопасности
В общем случае стандартом принято называть документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт может задавать и другие требования – например, к символике или терминологии.
Формальной причиной необходимости использования стандартов является тот факт, что необходимость следования некоторым из них закреплена законодательно.
Реальные причины гораздо глубже – обычно стандарт является результатом формализации опыта лучших специалистов в той или иной области, и потому представляет собой надёжный источник оптимальных и проверенных решений.
Стандарты являются также одним из основных механизмов обеспечения совместимости продуктов и систем – в частности, АС, использующих решения от различных производителей.
Перечислим основные стандарты в области информационной безопасности, имеющие в настоящее время официальный статус в Российской Федерации:
- Руководящие документы (РД) Гостехкомиссии России действуют и активно используются при проведении сертификации средств защиты информации в системах сертификации ФСТЭК России, Минобороны России, а также в ряде добровольных систем сертификации.
- Стандарт ГОСТ Р ИСО/МЭК 15408-2002, более известный как «Общие критерии», действует и применяется при проведении сертификации средств защиты, не предназначенных для работы с информацией, составляющей государственную тайну. В перспективе предполагается отказ от РД Гостехкомиссии России и полноценный переход к «Общим критериям» как единому оценочному стандарту.
- Криптографические стандарты
(ГОСТ 28147-89, ГОСТ 3410-2001, ГОСТ 3411-94) являются обязательными для применения в системах защиты информации, позиционируемых как средства криптографической защиты.
- Управленческие стандарты ISO 17799-2005 и ISO 27001-2005 в настоящее время не имеют в РФ официального статуса, однако планируются к принятию в качестве ГОСТ в ближайшее время
Все остальные спецификации носят сугубо добровольный характер, однако активно используются при построении реальных систем, в первую очередь в целях обеспечения их взаимной совместимости.
Стандарт «Критерии оценки доверенных компьютерных систем» /Trusted Computer System Evaluation Criteria/, более известный как «Оранжевая книга», был разработан Министерством Обороны США в 1983 г. и стал первым в истории общедоступным оценочным стандартом в области информационной безопасности.
Стандарты информационной безопасности имеют несколько классификаций:
Различные классификации стандартов информационной безопасности
Существуют российские стандарты информационной безопасности (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р 51275 и др.), причем Федеральный закон №184-ФЗ «О техническом регулировании» декларирует принцип «применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения».
Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения.
