Реклама:

• аутентификации (одноуровневых объектов и источника данных);

• обеспечения конфиденциальности трафика;

• обеспечения невозможности отказа от факта отправки сообщения абонентом - передатчиком и приема сообщения абонентом -приемником.

Состояние международной нормативно-методической базы

С целью систематизации анализа текущего состояния международной нормативно-методической базы в области безопасности ИТ необходимо использовать некоторую классификацию направлений стандартизации. В общем случае, можно выделить следующие направления.

1. Общие принципы управления информационной безопасностью.

2. Модели безопасности ИТ.

3. Методы и механизмы безопасности ИТ (такие, как, например: методы аутентификации, управления ключами и т.п.).

4. Криптографические алгоритмы.

5. Методы оценки безопасности информационных систем.

6. Безопасность /^/-технологий.

7. Безопасность межсетевых взаимодействий (межсетевые экраны).

8. Сертификация и аттестация объектов стандартизации.

Стандартизация вопросов управления информационной безопасностью

Анализ проблемы защиты информации в информационных системах требует, как правило, комплексного подхода, использующего общеметодологические концептуальные решения, которые позволяют определить необходимый системообразующей контекст для редуцирования общей задачи управления безопасностью ИТ к решению частных задач. Поэтому в настоящее время возрастает роль стандартов и регламентирующих материалов общеметодологического назначения.

На роль такого документа претендует, находящийся в стадии утверждения проект международного стандарта ISO/IEC DTR 13335-1,2,3 - «Информационная технология. Руководство по управлению безопасностью информационных технологий». Данный документ содержит:

• определения важнейших понятий, непосредственно связанных с проблемой управления безопасностью ИТ;

• определения важных архитектурных решений по созданию систем управления безопасностью ИТ (СУБ ИТ), в том числе, определение состава элементов, задач, механизмов и методов СУБ ИТ;

• описание типового жизненного цикла и принципов функционирования СУБ ИТ;

• описание принципов формирования политики (методики) управления безопасностью ИТ;

• методику анализа исходных данных для построения СУБ ИТ, в частности методику идентификации и анализа состава объектов защиты, уязвимых мест информационной системы, угроз безопасности и рисков и др.;

• методику выбора соответствующих мер защиты и оценки остаточного риска;

• принципы построения организационного обеспечения управления в

СУБ ИТ и пр.

Стандартизация моделей безопасности ИТ

С целью обеспечения большей обоснованности программно-технических решений при построении СУБ ИТ, а также определения ее степени гарантированности, необходимо использование возможно более точных описательных моделей как на общесистемном (архитектурном) уровне, так и на уровне отдельных аспектов и средств СУБ ИТ.

Построение моделей позволяет структурировать и конкретизировать исследуемые объекты, устранить неоднозначности в их понимании, разбить решаемую задачу на подзадачи, и, в конечном итоге, выработать необходимые решения.


⇐ Предыдущая страница| |Следующая страница ⇒