За дефиниция на понятието "стандарт", се възприема предложената от международната организация по стандартизация ISO17:
"Стандартите са документирани договорености, съдържащи технически спецификации или други прецизни критерии, които трябва да бъдат използвани последователно, като правила, ръководства или дефиниции на характеристики, с цел да осигуряват необходимата реализация на предназначението на материали, продукти, процеси и услуги".
Стандартите се изготвят и утвърждават на три нива:
-
Международни организации, влизащи в структурата на ООН (ISO, IEC)
-
Промишлени професионални или административни организации (IEEE, IAB)
-
Промишлени консорциуми (X/Open, OSF)
Историческият преглед на стандартите за информационната сигурност ги подрежда в следния ред:
-
Оранжева книга – стандарт на министерството на отбраната на САЩ, който се явява първия стандарт за оценка и оказва огромно влияние на развитие стандартизацията на сигурността на информацията в много страни. За пръв път е публикуван през август 1983г.
-
Препоръки Х 800 – появил се малко по-късно от "Оранжевата книга", този документ много пълно разисква въпросите по информационна сигурност на разпределени системи. Той разглежда мрежовите услуги за сигурност и необходимите за реализацията им механизми за сигурност.
-
Стандарт ISO/IEC 15408 – най-пълният съвременен оценъчен стандарт издаден на 1 декмври 1999 г. Явява се метастандарт, определящ инструментите за оценка на сигурността на информационните системи и порядъка на тяхното използване.
-
BS 7799 – английски стандарт за управление на информационната сигурност, на който са базирани съвременните международни стандарти в тази област. В годините претърпява актуализация и развитие до три части. Първата му част е издадена през февруари 1995г.
-
ISO/IEC 17799 – първият международен стандарт, определящ общ модел за създаване на система за информационна сигурност. Базиран е на стандарта BS 7799 част 1 и 2. За пръв път е публикуван през 2000г.
-
ISO/IEC 2700х – серия международни стандарти, която днес се използва за оценяване и създаване на системи за информационна сигурност. Първият стандарт от серията ISO/IEC 27001 е публикуван през 2005 г.
5.3Политика на информационна сигурност
Това е съвкупност от документирани решения, приети от ръководството на организацията и насочени към защита на информацията и асоциираните с нея ресурси.
Политиката на сигурност се изгражда на база анализ на рисковете, които са реални за информационната система. След анализ на риска се разработва стратегия на защита и съответна програма за осигуряване на информационната сигурност. За тази програма се заделят ресурси, определят се отговорници, реда за контрол, времето за изпълнение и т.н.
Адекватната политика на сигурност следва да осигури достатъчно ниво на защита на системата, като минимизира загубите до допустими. Политиката на сигурност зависи от:
-
Конкретната технология за обработка на информация;
-
Използваните технически и програмни средства;
-
Организационната култура на организацията;
-
Структурата на организацията.
Основните характеристики на политиката за сигурност се изразяват в следните области:
-
Дефинира мястото на политиката за сигурност по отношение на мисията и целите на организацията;
-
Установява общи правила за поведение в организацията, съобразени с необходимото ниво на сигурност;
-
Предоставя рамка за разработка и внедряване на процедури;
-
Определя общи правила за действие при нарушаване на сигурността.
Критични фактори за успеха на политиката за сигурност са:
-
съобразяване с ръководещите за организацията принципи;
-
отчитане на съотношението на поставените цели;
-
наличните ресурси.
Ефективността на политиката зависи от това доколко разработчиците на политиката са разбрали смисъла на компромисите, които трябва да направят и тя не противоречи на другите ръководни документи.
5.4Организационни и нормативно-технически документи
При разработката и изпълнението на политиката за сигурност е целесъобразно да се спазват следните основни принципи:
-
Невъзможност да се заобикалят средствата за защита (да не се допускат "тайни" модемни входове, тестови линии или други портове, заобикалящи защитата);
-
Усилване на най-слабото звено (често най слабото звено се явява човекът);
-
Невъзможност за преход в небезопасно състояние (при всички обстоятелства, включително и извънредни защитното средство следва или изцяло да изпълнява функциите си или напълно да блокира достъпа до системата);
-
Минимизация на привилегиите (потребителите и администраторите трябва да получават толкова права на достъп, колкото са им необходими за изпълнение на конкретните им задължения);
-
Разделяне на задълженията (не следва само един потребител или администратор да може да наруши критично важен за организацията процес);
-
Ешелониране на защитата (поне три нива на защита – физическа защита; програмно технически средства; протоколиране и одит);
-
Прилагане на разнообразие от защитни средства;
-
Простота и управляемост на архитектурата на информационната система (само в проста и управляема система може да се следи правилното взаимодействие на различните и компоненти);
-
Осигуряване всеобща подкрепа на мерките за защита (комплексни мерки за осигуряване лоялността на персонала, както и сериозно обучение).
5.5Съдържание на политиката за сигурност
Британският стандарт BS 7799:1995 препоръчва включването на следните раздели за съдържанието на политиката за сигурност:
-
Въведение – потвърждаващо намеренията на висшето ръководство за реализиране политика на информационна сигурност.
-
Организационен – съдържа описание на подразделенията, комисиите, групите и т.н., отговарящи за информационната сигурност на организацията.
-
Класификационен – описва съществуващите в организацията материални и информационни ресурси и необходимото нива на сигурност.
-
Щатен – характеризира мерките за сигурност, прилагани към персонала: Описание на длъжностите от гледна точка на информационната сигурност; Организация на обучение; Порядък за реагиране на нарушенията на сигурността на информацията и т.н.
-
Физическа защита – раздел, описващ подходите и средствата за физическа защита.
-
Управление на компютри и мрежи – раздел, описващ използваните подходи за управление.
-
Правила за разграничаване на достъпа – до фирмената информация.
-
Разработка и съпровождане на системите – раздел, характеризиращ порядъка и процесите за разработка и съпровождане.
-
Непрекъсната работа – раздел, описващ мерките насочени към осигуряване на непрекъсната работа на организацията.
-
Юридически раздел – потвърждаващ съответствието на политиката за сигурност с действащото законодателство.
Регламентира правилата за употреба на компютърните системи с политики за:
-
Паролите;
-
Ползване на софтуера ;
-
Достъп до корпоративната мрежа;
-
Достъп до Интернет;
-
Ползване на електронна поща;
-
Ползване на преносими компютри;
Включва политики за:
-
Достъп до ресурси на корпоративната мрежа отвън;
-
Достъп до външни ресурси и мрежи;
-
Интернет защитна стена;
-
Маршрутизатори;
-
Системи за откриване на проникване;
-
Ползване на телефонни мрежи;
-
Използван антивирусен софтуер;
-
Информиране при наличие на вируси;
-
Честота на обновяване на сигнатурите;
Политика за разработване на софтуера; -
Непрекъснатост на бизнес процесите:
-
Действия при бедствия;
-
Действия при извънредни обстоятелства
Сподели с приятели: |