На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 4 июль – август 2005 г.
Тема номера: РАЗВИТИЕ НОРМАТИВНОЙ БАЗЫ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


ФОРМИРОВАНИЕ ТРЕБОВАНИЙ БЕЗОПАСНОСТИ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ

А. П. Трубачев, к. т. н., с. н. с., заместитель председателя Центра безопасности информации по НИР


Предыдущая статьяСледующая статья

Проект стандарта ISO/IEC 19791 «Информационная технология – Методы и средства обеспечения безопасности – Оценка безопасности автоматизированных систем» является продолжением методологии, предложенной в стандарте ISO/IEC 15408 «Критерии оценки безопасности информационных технологий».
Возможно ли его применение для оценки защищенности автоматизированных систем в России? Как гармонизировать требования к средствам защиты информации и автоматизированным системам?
Эти вопросы рассматриваются в данной статье.

В век бурного развития вычислительной техники, средств связи и телекоммуникаций безбумажные технологии обработки информации (информационные технологии) прочно вошли во все сферы деятельности человека. Человек получил возможность быстрее, качественнее и эффективнее обрабатывать, передавать, хранить и использовать информацию. Но при этом человек все больше утрачивает физический контроль над информацией (ее уже нельзя взять в руки и положить в сейф, строго контролировать количество копий документа, ставить и проверять наличие подписи и печати на бумаге и т. п.). Информация в электронном виде, созданная в одной точке земного шара, через доли секунды может переместиться в место прямо ей противоположное.

Учитывая эти факты, человек, организация, государство должны взвешивать все «за» и «против» использования информационных технологий для хранения, обработки и передачи информации и, исходя из ее ценности, принимать решение о целесообразности применения таковых в каждом конкретном случае (при положительном ответе, какие меры предосторожности следует предпринять).

При этом ценность информации в общем случае можно определить потенциальным ущербом (в какой-либо метрике), который может быть нанесен человеку, организации или государству в случае ее разглашения, искажения, подмены, недоступности для использования и т. п., то есть нарушения ее безопасности.

Основными характеристиками безопасности информации, определяющими (в свою очередь) основные цели ее защиты, являются конфиденциальность, целостность и доступность.

Чтобы обеспечить неизменность характеристик безопасности информации, к ее обработке в автоматизированных системах нужно предъявлять и реализовывать соответствующие требования по ее защите. Эти требования необходимо задавать как для изделий (программных, программно-аппаратных или аппаратных средств), применяемых в автоматизированной системе (АС), так и для АС в целом, реализующей конкретную информационную технологию.

Что касается изделий информационных технологий (ИТ), то нормативная база формирования требований безопасности и оценки их выполнения претерпела существенные изменения и в настоящее время соответствует международному уровню. Прежде всего, это связано с внедрением в России Общих критериев (Common Criteria).

 

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100