 |
 |
№ 4 июль – август 2005 г.
Тема номера: РАЗВИТИЕ НОРМАТИВНОЙ БАЗЫ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
|
|
ФОРМИРОВАНИЕ ТРЕБОВАНИЙ БЕЗОПАСНОСТИ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ
А. П. Трубачев,
к. т. н., с. н. с., заместитель председателя Центра безопасности информации по НИР |
|
  |
Проект стандарта ISO/IEC 19791 «Информационная технология – Методы и средства обеспечения безопасности – Оценка безопасности автоматизированных систем» является продолжением методологии, предложенной в стандарте ISO/IEC 15408 «Критерии оценки безопасности информационных технологий».
Возможно ли его применение для оценки защищенности автоматизированных систем в России? Как гармонизировать требования к средствам защиты информации и автоматизированным системам?
Эти вопросы рассматриваются в данной статье.
В век бурного развития вычислительной техники, средств связи и телекоммуникаций безбумажные технологии обработки информации (информационные технологии) прочно вошли во все сферы деятельности человека. Человек получил возможность быстрее, качественнее и эффективнее обрабатывать, передавать, хранить и использовать информацию. Но при этом человек все больше утрачивает физический контроль над информацией (ее уже нельзя взять в руки и положить в сейф, строго контролировать количество копий документа, ставить и проверять наличие подписи и печати на бумаге и т. п.). Информация в электронном виде, созданная в одной точке земного шара, через доли секунды может переместиться в место прямо ей противоположное.
Учитывая эти факты, человек, организация, государство должны взвешивать все «за» и «против» использования информационных технологий для хранения, обработки и передачи информации и, исходя из ее ценности, принимать решение о целесообразности применения таковых в каждом конкретном случае (при положительном ответе, какие меры предосторожности следует предпринять).
При этом ценность информации в общем случае можно определить потенциальным ущербом (в какой-либо метрике), который может быть нанесен человеку, организации или государству в случае ее разглашения, искажения, подмены, недоступности для использования и т. п., то есть нарушения ее безопасности.
Основными характеристиками безопасности информации, определяющими (в свою очередь) основные цели ее защиты, являются конфиденциальность, целостность и доступность.
Чтобы обеспечить неизменность характеристик безопасности информации, к ее обработке в автоматизированных системах нужно предъявлять и реализовывать соответствующие требования по ее защите. Эти требования необходимо задавать как для изделий (программных, программно-аппаратных или аппаратных средств), применяемых в автоматизированной системе (АС), так и для АС в целом, реализующей конкретную информационную технологию.
Что касается изделий информационных технологий (ИТ), то нормативная база формирования требований безопасности и оценки их выполнения претерпела существенные изменения и в настоящее время соответствует международному уровню. Прежде всего, это связано с внедрением в России Общих критериев (Common Criteria).
< ... >
| |
 |
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|
