Normas básicas de seguridad. Estándares internacionales de seguridad de la información Estándares internacionales de seguridad de la información

Normas básicas de seguridad. Estándares internacionales de seguridad de la información Estándares internacionales de seguridad de la información

ISO/CEI 27001- un estándar internacional para la seguridad de la información, desarrollado conjuntamente por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La norma contiene requisitos en el campo de la seguridad de la información para la creación, desarrollo y mantenimiento de un Sistema de Gestión de Seguridad de la Información (SGSI).

Objeto de la norma. El estándar ISO/IEC 27001 (ISO 27001) contiene descripciones de las mejores prácticas mundiales en el campo de la gestión de seguridad de la información. ISO 27001 especifica los requisitos para que un sistema de gestión de seguridad de la información demuestre la capacidad de una organización para proteger sus activos de información. Esta norma ha sido elaborada como modelo para el desarrollo, implementación, operación, seguimiento, análisis, soporte y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI).

Propósito del SGSI— selección de controles de seguridad adecuados diseñados para proteger los activos de información y garantizar la confianza de las partes interesadas.

Conceptos básicos. Seguridad de la información: mantener la confidencialidad, integridad y disponibilidad de la información; además, se pueden incluir otras propiedades, como autenticidad, no repudio y confiabilidad.

Confidencialidad: garantizar que la información sea accesible sólo para quienes tienen la autoridad adecuada (usuarios autorizados).

Integridad: garantizar la exactitud e integridad de la información, así como los métodos para procesarla.

Disponibilidad: garantizar el acceso a la información a los usuarios autorizados cuando sea necesario (bajo demanda).

La norma ISO 27001 proporciona:

· definir objetivos y comprender la dirección y los principios de la actividad en materia de seguridad de la información;

· determinación de enfoques para la evaluación y gestión de riesgos en la organización;

· gestión de la seguridad de la información de acuerdo con las leyes y requisitos reglamentarios aplicables;

· utilizar un enfoque unificado al crear, implementar, operar, monitorear, analizar, respaldar y mejorar el sistema de gestión para que se logren los objetivos de seguridad de la información;

· definir los procesos del sistema de gestión de seguridad de la información;

· determinación del estado de las medidas de seguridad de la información;

· uso de auditorías internas y externas para determinar el grado de cumplimiento del sistema de gestión de seguridad de la información con los requisitos de la norma;



· proporcionar información adecuada a los socios y otras partes interesadas sobre la política de seguridad de la información.


Principios de regulación legal de las relaciones en el campo de la información, las tecnologías de la información y la protección de la información de acuerdo con el contenido de la Ley Federal de la Federación de Rusia del 27 de julio de 2006 No. 149-FZ "Sobre la información, las tecnologías de la información y la protección de la información".

La regulación legal de las relaciones que surgen en el campo de la información, las tecnologías de la información y la protección de la información se basa en los siguientes principios:

1) libertad de buscar, recibir, transmitir, producir y difundir información en cualquier forma legal;

2) establecer restricciones al acceso a la información únicamente por leyes federales;

3) apertura de la información sobre las actividades de los órganos estatales y órganos de gobierno local y libre acceso a dicha información, salvo en los casos establecidos por las leyes federales;

4) igualdad de derechos de las lenguas de los pueblos de la Federación de Rusia en la creación de sistemas de información y su funcionamiento;

5) garantizar la seguridad de la Federación de Rusia durante la creación de sistemas de información, su funcionamiento y protección de la información contenida en ellos;

6) confiabilidad de la información y puntualidad de su provisión;

7) inviolabilidad de la vida privada, inadmisibilidad de recopilar, almacenar, utilizar y difundir información sobre la vida privada de una persona sin su consentimiento;

8) la inadmisibilidad de establecer mediante actos legales reglamentarios cualquier ventaja del uso de unas tecnologías de la información sobre otras, a menos que las leyes federales establezcan el uso obligatorio de determinadas tecnologías de la información para la creación y operación de sistemas de información estatales.


Estrategia de Seguridad Nacional de la Federación Rusa hasta 2020”. Estructura, objetivos, métodos y formas para que el Estado implemente sus funciones para garantizar la seguridad de la información en la "Doctrina de Seguridad de la Información de la Federación de Rusia".



La Estrategia de Seguridad Nacional de la Federación de Rusia hasta 2020 es un sistema oficialmente reconocido de prioridades, objetivos y medidas estratégicas en el campo de la política interior y exterior que determinan el estado de la seguridad nacional y el nivel de desarrollo sostenible del estado a largo plazo. .

La Doctrina de Seguridad de la Información de la Federación de Rusia es un conjunto de puntos de vista oficiales sobre las metas, objetivos, principios y direcciones principales para garantizar la seguridad de la información de la Federación de Rusia.

Componentes de los intereses nacionales de la Federación de Rusia en el ámbito de la información en la doctrina:

1) Observancia obligatoria de los derechos humanos y libertades constitucionales en el ámbito de la obtención de información y su uso.

2) Soporte informativo para la política estatal de la Federación de Rusia (comunicar a los ciudadanos de la Federación de Rusia y a la comunidad internacional sobre la política estatal de la Federación de Rusia, la posición oficial sobre acontecimientos importantes en Rusia y en el mundo) con acceso de los ciudadanos. para abrir los recursos gubernamentales.

3) Desarrollo de tecnologías de la información modernas en la industria nacional (medios de información, telecomunicaciones y comunicaciones). Proporcionar TI para el mercado interno ruso y entrar en los mercados globales.

4) Proteger los recursos de información del acceso no autorizado, garantizando la seguridad de los sistemas de información y telecomunicaciones.

Tipos de amenazas a la seguridad de la información de la Federación de Rusia en la doctrina:

1. Amenazas dirigidas a los derechos humanos y libertades constitucionales en el ámbito de las actividades informativas.

2. Amenazas al apoyo informativo de la política estatal de la Federación de Rusia.

3. Una amenaza para el desarrollo de las TI modernas en la industria nacional, así como para la entrada a los mercados nacionales y globales.

4. Amenazas a la seguridad de las instalaciones y sistemas de información y telecomunicaciones.

Métodos para garantizar la seguridad de la información de la Federación de Rusia en la doctrina:

Métodos legales

Desarrollo de actos jurídicos normativos que regulen las relaciones en el campo de las tecnologías de la información.

Métodos organizativos y técnicos.

Creación del sistema de seguridad de la información de la Federación de Rusia y su mejora.

Llevar ante la justicia a quienes han cometido delitos en esta zona

Creación de sistemas y medios para evitar el acceso no autorizado a la información procesada

Métodos económicos

Desarrollo de programas de seguridad de la información y su financiación.

Financiación de trabajos relacionados con la garantía de la seguridad de la información de la Federación de Rusia.

Uno de los problemas y necesidades más importantes de la sociedad moderna es la protección de los derechos humanos en las condiciones de su participación en los procesos de interacción de la información, incluido el derecho a la protección de la información personal en los procesos de procesamiento automatizado de la información.

I. N. Malanych, estudiante de sexto año de VSU

El Instituto de Protección de Datos Personales ya no es hoy una categoría que pueda ser regulada únicamente por la legislación nacional. La característica más importante de los sistemas de información automatizados modernos es la "supranacionalidad" de muchos de ellos, su "salida" más allá de las fronteras estatales, el desarrollo de redes de información globales de acceso público, como Internet, y la formación de un espacio de información único dentro de el marco de tales estructuras internacionales.

Hoy en día, en la Federación de Rusia existe el problema no sólo de introducir en el ámbito jurídico la institución de la protección de datos personales en el marco de los procesos de información automatizados, sino también de correlacionarlo con las normas jurídicas internacionales existentes en este ámbito.

Es posible identificar tres tendencias principales en la regulación legal internacional de la institución de protección de datos personales, que se relaciona con los procesos de procesamiento automatizado de información.

1) Declaración del derecho a la protección de datos personales, como parte integrante de los derechos humanos fundamentales, en actos de carácter general humanitario adoptados en el seno de organismos internacionales.

2) Consolidación y regulación del derecho a proteger la información personal en actos regulatorios de la Unión Europea, el Consejo de Europa, en parte la Comunidad de Estados Independientes y algunas organizaciones internacionales regionales. Esta clase de normas es la más universal y se refiere directamente a los derechos a la protección de datos personales en los procesos de procesamiento automatizado de información.

3) Inclusión de normas sobre protección de información confidencial (incluida la información personal) en tratados internacionales.

El primer método apareció históricamente antes que los demás. En el mundo moderno, los derechos y libertades de información son una parte integral de los derechos humanos fundamentales.

La Declaración Universal de Derechos Humanos de 1948 declara: “Nadie será sometido a injerencias arbitrarias en su intimidad o en su familia, ni a ataques arbitrarios a... la intimidad de su correspondencia” y además: “Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”. El Pacto Internacional de Derechos Civiles y Políticos de 1966 repite la declaración de esta parte. La Convención Europea de 1950 detalla este derecho: “Toda persona tiene derecho a la libertad de expresión. Este derecho incluye la libertad de tener opiniones y de recibir y difundir información e ideas sin interferencia de las autoridades públicas y sin consideración de fronteras”.

Estos documentos internacionales establecen los derechos humanos a la información.

Actualmente, se ha formado a nivel internacional un sistema estable de opiniones sobre los derechos humanos a la información. En términos generales, este es el derecho a recibir información, el derecho a la privacidad en términos de protección de la información sobre la misma, el derecho a proteger la información tanto desde el punto de vista de la seguridad del Estado como desde el punto de vista de la seguridad empresarial, incluida la financiera. actividades.

El segundo método, una regulación más detallada del derecho a la protección de la información personal, está asociado con la intensidad cada vez mayor del procesamiento de información personal en los últimos años utilizando sistemas de información informáticos automatizados. En las últimas décadas, se han adoptado una serie de documentos internacionales en el marco de varias organizaciones internacionales que desarrollan los derechos básicos de información en relación con la intensificación del intercambio de información transfronterizo y el uso de tecnologías de la información modernas. Entre dichos documentos se encuentran los siguientes:

En 1980, el Consejo de Europa desarrolló el Convenio Europeo para la Protección de las Personas con respecto al Procesamiento Automático de Datos Personales, que entró en vigor en 1985. El Convenio define el procedimiento para la recopilación y el procesamiento de datos personales, los principios de almacenamiento y acceso. a estos datos, y métodos de protección de datos físicos. La Convención garantiza el respeto de los derechos humanos en la recopilación y el procesamiento de datos personales, los principios de almacenamiento y acceso a estos datos, los métodos de protección física de los datos y también prohíbe el procesamiento de datos sobre raza, opiniones políticas, salud, religión sin la debida autorización. motivos legales. Rusia se adhirió a la Convención Europea en noviembre de 2001.

En la Unión Europea, las cuestiones de protección de datos personales están reguladas por una amplia gama de documentos. En 1979, se adoptó la Resolución del Parlamento Europeo "Sobre la protección de los derechos individuales en relación con el progreso de la informatización". La resolución invitó al Consejo y a la Comisión de las Comunidades Europeas a desarrollar y adoptar actos jurídicos sobre la protección de datos personales en relación con el progreso técnico en el campo de la informática. En 1980, se adoptaron las Recomendaciones de la Organización para la Cooperación de los Estados Miembros de la Unión Europea "Sobre directrices para la protección de la privacidad en el intercambio interestatal de datos personales". Actualmente, las cuestiones de protección de datos personales están reguladas en detalle por directivas del Parlamento Europeo y del Consejo de la Unión Europea. Se trata de las Directivas nº 95/46/CE y nº 2002/58/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, sobre la protección de los derechos de las personas físicas en lo que respecta al tratamiento de datos personales y sobre la libre movimiento de dichos datos, Directiva N° 97/66/CE del Parlamento Europeo y del Consejo de la Unión Europea, de 15 de diciembre de 1997, sobre el uso de datos personales y la protección de la privacidad en las telecomunicaciones y otros documentos.

Las leyes de la Unión Europea se caracterizan por una elaboración detallada de los principios y criterios para el procesamiento automatizado de datos, los derechos y obligaciones de los sujetos y titulares de datos personales, las cuestiones de su transferencia transfronteriza, así como la responsabilidad y sanciones por daños. . De conformidad con la Directiva N° 95/46/CE, la Unión Europea ha creado un Grupo de Trabajo sobre la protección de las personas en lo que respecta al procesamiento de sus datos personales. Tiene el estatus de órgano consultivo y actúa como una estructura independiente. El grupo de trabajo está compuesto por un representante del organismo creado por cada Estado miembro con el fin de controlar el cumplimiento en su territorio de las disposiciones de la Directiva, un representante del organismo u organismos creados para las instituciones y estructuras comunitarias, y un representante de La Comisión Europea.

La Organización para la Cooperación y el Desarrollo Económico (OCDE) tiene un Marco para la Protección de la Privacidad y el Intercambio Internacional de Datos Personales, que fue adoptado el 23 de septiembre de 1980. El preámbulo de esta Directiva establece: “...los países miembros de la OCDE han considerado necesario desarrollar marcos que podrían ayudar a armonizar las leyes nacionales de privacidad y, al tiempo que respetan los derechos humanos pertinentes, no permitirían el bloqueo de los intercambios internacionales de datos...”. Estas disposiciones se aplican tanto en el sector público como en el privado a los datos personales que, ya sea por la forma en que se procesan o por su naturaleza o el contexto en el que se utilizan, plantean un riesgo de violación de la privacidad y las libertades individuales. Define la necesidad de dotar a los datos personales de mecanismos de protección adecuados contra riesgos asociados a su pérdida, destrucción, modificación o divulgación, y acceso no autorizado. Rusia, lamentablemente, no participa en esta organización.

Asamblea Interparlamentaria de los Estados miembros de la CEI el 16 de octubre de 1999. Se adoptó la Ley Modelo “Sobre Datos Personales”.

Según la ley, los “datos personales” son información (registrada en un soporte tangible) sobre una persona específica que se identifica o puede identificarse con ella. Los datos personales incluyen datos biográficos y de identificación, características personales, información sobre familia, condición social, educación, profesión, situación profesional y financiera, estado de salud, y otros. La ley también enumera los principios de regulación legal de datos personales, formas de regulación estatal de las operaciones con datos personales, derechos y obligaciones de los sujetos y titulares de datos personales.

Parece que el segundo método considerado de regulación regulatoria de la protección de datos personales en los actos jurídicos internacionales es el más interesante para el análisis. Las normas de esta clase no solo regulan directamente las relaciones públicas en esta área, sino que también ayudan a acercar la legislación de los países miembros a los estándares internacionales, asegurando así la efectividad de estas normas en su territorio. Así, la garantía de los derechos a la información consagrados en la Declaración Universal de Derechos Humanos está asegurada en el sentido del “derecho a la protección de la ley contra... interferencia o... usurpación” declarado en el artículo 12 de esta última.

La tercera forma de consolidar las normas sobre protección de datos personales es consolidar su protección jurídica en tratados internacionales.

En los tratados internacionales sobre asistencia jurídica, prevención de la doble imposición y cooperación en determinados ámbitos públicos y culturales se incluyen artículos sobre el intercambio de información.

Según el art. 25 del Tratado entre la Federación de Rusia y los Estados Unidos para evitar la doble imposición y prevenir la evasión fiscal en materia de impuestos sobre la renta y el capital, los estados están obligados a proporcionar información que constituya un secreto profesional. El Tratado entre la Federación de Rusia y la República de la India sobre asistencia judicial recíproca en materia penal contiene el artículo 15 “Confidencialidad”: la parte requerida podrá exigir que la información transmitida se mantenga confidencial. La práctica de celebrar tratados internacionales muestra el deseo de los Estados contratantes de cumplir con las normas internacionales para la protección de datos personales.

Parece que el mecanismo más eficaz para regular esta institución a nivel jurídico internacional es la publicación de documentos normativos especiales en el marco de organizaciones internacionales. Este mecanismo no sólo promueve una regulación interna adecuada de las cuestiones urgentes de protección de la información personal dentro de estas organizaciones mencionadas al principio del artículo, sino que también tiene un efecto beneficioso en la legislación nacional de los países participantes.

Georgy Garbuzov,
CISSP, MCSE:Seguridad, Dirección de Seguridad de la Información, Grupo de Seguros URALSIB

LA HISTORIA de la estandarización, como proceso de establecimiento de requisitos uniformes adecuados para un uso repetido, se remonta a varios miles de años; incluso durante la construcción de las pirámides en el Antiguo Egipto, se utilizaron bloques de tamaño estándar y personas especiales controlaban el grado de cumplimiento. con este antiguo estándar. Hoy en día, la estandarización ocupa un lugar importante en casi todos los sectores de la actividad humana.

Estandarización en el campo de la seguridad de la información.

La estandarización en el campo de la seguridad de la información (SI) es beneficiosa tanto para los profesionales como para los consumidores de productos y servicios de SI, ya que permite establecer un nivel óptimo de racionalización y unificación, garantizar la intercambiabilidad de los productos de SI, así como la mensurabilidad y repetibilidad de los resultados obtenidos en diferentes países y organizaciones. Para los profesionales, esto significa ahorrar tiempo en la búsqueda de soluciones efectivas y probadas, y para los consumidores, es una garantía de obtener un resultado de la calidad esperada.

El objeto de la estandarización puede ser cualquier producto o servicio de seguridad de la información: método de evaluación, funcionalidad de las herramientas y configuraciones de seguridad, propiedades de compatibilidad, proceso de desarrollo y producción, sistemas de gestión, etc.

La estandarización, dependiendo de la composición de los participantes, puede ser internacional, regional o nacional, mientras que la estandarización internacional (junto con los organismos de estandarización oficiales como ISO) incluye la estandarización de consorcios (por ejemplo, IEEE o SAE), y la estandarización nacional puede ser estatal o industria .

Detengámonos con más detalle en algunos de los estándares extranjeros demandados hoy en día, que de una forma u otra afectan las cuestiones de seguridad de la información.

Estándares internacionales en el campo de la seguridad de la información - experiencia extranjera

La estandarización en el campo de la seguridad de la información en el extranjero se ha estado desarrollando durante décadas, y algunos países, por ejemplo el Reino Unido, tienen una amplia experiencia en el desarrollo de estándares; muchos estándares nacionales británicos, como BS7799-1/2, han adquirido estatus internacional con el tiempo. Empecemos por ellos.

Normas internacionales ISO 27002 e ISO 27001

Quizás estos sean los estándares más populares en el campo de la seguridad de la información en la actualidad.

ISO 27002 (anteriormente ISO 17799) contiene un conjunto de recomendaciones para la organización eficaz de los sistemas de gestión de seguridad de la información en una empresa, abordando todas las áreas clave, en particular:

  • formación de políticas de seguridad de la información;
  • seguridad relacionada con el personal;
  • seguridad de las comunicaciones;
  • seguridad física;
  • control de acceso;
  • procesamiento de incidentes;
  • velando por el cumplimiento de los requisitos legales.

La norma ISO 27001 es un conjunto de criterios para la certificación de sistemas de gestión, según cuyos resultados un organismo de certificación acreditado emite un certificado internacional de conformidad, que se incluye en el registro.

Según el registro, actualmente hay alrededor de una docena de empresas registradas en Rusia que cuentan con dicho certificado, y el número total de certificaciones en el mundo supera las 5.000. La preparación para la certificación puede ser realizada por la propia organización o por empresas consultoras. y la práctica demuestra que es mucho más fácil obtener un certificado ISO 27001 para empresas que ya cuentan con un sistema de gestión certificado (por ejemplo, calidad).

Las normas ISO 27001/27002 son representantes de una nueva serie de normas, cuya formación final aún no se ha completado: normas 27000 (principios básicos y terminología), 27003 (directrices para la implementación de un sistema de gestión de seguridad de la información), 27004 (que mide la eficacia de un sistema de gestión de seguridad de la información) y otros están en desarrollo; en total, se esperan más de 30 estándares en la serie 27000. Puede encontrar más información sobre la composición de la serie y el estado actual de su desarrollo en el sitio web oficial de ISO (www.iso.org).

Normas internacionales ISO13335 e ISO15408

La norma ISO 13335 es una familia de normas de seguridad de tecnologías de la información que cubren cuestiones de gestión de seguridad de TI y ofrecen medidas y técnicas de protección específicas. Actualmente, la serie 13335 está siendo reemplazada gradualmente por la nueva serie 27000. La norma ISO 15408 contiene criterios uniformes para evaluar la seguridad de los sistemas de TI a nivel de software y hardware (similar al famoso Libro Naranja, también conocido como evaluación TCSEC). (criterios europeos ITSEC), que permiten comparar los resultados obtenidos en diferentes países.

En general, estos estándares, aunque contienen solo una parte tecnológica, se pueden utilizar tanto de forma independiente como en la construcción de sistemas de gestión de seguridad de la información como parte, por ejemplo, de la preparación para la certificación de cumplimiento de la norma ISO 27001.

CobiT

CobiT es un conjunto de aproximadamente 40 estándares y directrices internacionales en las áreas de gobierno, auditoría y seguridad de TI y contiene descripciones de procesos y métricas relacionadas. El principal objetivo de CobiT es encontrar un lenguaje común entre un negocio que tiene objetivos específicos y TI que contribuya a su consecución, permitiendo la creación de planes adecuados para el desarrollo de las tecnologías de la información de la organización.

CobiT se utiliza para auditar y controlar el sistema de gestión de TI de una organización y contiene descripciones detalladas de los objetivos, principios y objetos de gestión, posibles procesos de TI y procesos de gestión de seguridad. La integridad, las descripciones claras de acciones y herramientas específicas, así como el enfoque empresarial hacen de CobiT una buena opción a la hora de crear una infraestructura de información y un sistema de gestión.

En la siguiente parte del artículo veremos algunos estándares extranjeros interesantes nacionales y específicos de la industria, como NIST SP 800, BS, BSI, PCI DSS, ISF, ITU y otros.

Comentario de expertos

Alexey Pleshkov,
Jefe del Departamento de Seguridad de Tecnologías de la Información, Gazprombank (Sociedad Anónima Abierta)

Además de la revisión anterior de las normas internacionales, me gustaría llamar la atención sobre otro documento normativo sobre seguridad de la información, que no está muy extendido en la Federación de Rusia. Uno de estos estándares es un documento de la familia de métodos EBIOS.

El proyecto EBIOS para el desarrollo de métodos y herramientas para la gestión de la seguridad de la información en sistemas de información cuenta con el apoyo del gobierno francés y lo promueve la Comisión DCSSI bajo la dirección del Primer Ministro de Francia a nivel paneuropeo. El objetivo de este proyecto es ayudar a mejorar la seguridad de los sistemas de información de organizaciones públicas o privadas (http://www.securiteinfo.com/conseils/ebios.shtml).

En el sitio web oficial del gobierno francés se publicó el texto de un conjunto de documentación del producto para la automatización de tareas de evaluación del soporte de seguridad de la información "Herramientas metodológicas para lograr la seguridad de los sistemas de información EBIOS (definición de necesidades e identificación de objetivos de seguridad)". dedicado a las cuestiones de garantizar la seguridad de la información de los sistemas automatizados en 2004.

El método EBIOS, propuesto por la Secretaría General del Ministerio de Defensa Nacional francés y denominado "Definición de necesidades e identificación de objetivos de seguridad" (EBIOS), fue desarrollado teniendo en cuenta estándares internacionales destinados a garantizar la seguridad de la información. Formaliza el enfoque para evaluar y procesar riesgos en el campo de la seguridad de los sistemas de información y se utiliza para evaluar el nivel de seguridad de la información en sistemas desarrollados y existentes.
El propósito del método es permitir que cualquier organización controlada por el gobierno determine una lista de acciones de seguridad que deben tomarse primero. El método puede ser implementado por los administradores del departamento de seguridad de una organización y puede aplicarse en todos los niveles de la estructura de un sistema de información desarrollado o existente (subsistemas, programas de aplicación).

El enfoque EBIOS tiene en cuenta tres propiedades principales de la seguridad de la información: confidencialidad, integridad y disponibilidad tanto de la información como de los sistemas, así como del entorno en el que se encuentran. En ciertos casos, se sugiere tener cuidado para garantizar las necesidades de no repudio, autorización y autenticación.

Garantizar la seguridad de los sistemas de información en Actualmente, esto es imposible sin la creación competente y de alta calidad de sistemas de seguridad de la información. Esto determinó el trabajo de la comunidad mundial para sistematizar y racionalizar los requisitos y características básicos de dichos sistemas en términos de seguridad de la información.

Uno de los principales resultados de tales actividades fue sistemaestándares internacionales y nacionalesseguridad de información, que contiene más de cien documentos diferentes.

Esto es especialmente cierto para los llamados sistemas abiertos para uso comercial, procesando información restringida que no contiene secretos de estado y desarrollándose rápidamente en nuestro país.

Bajo entender los sistemas abiertos una colección de todo tipo de equipos informáticos y de telecomunicaciones de diferentes fabricantes, cuyo funcionamiento conjunto está garantizado por el cumplimiento de los requisitos de las normas, principalmente internacionales.

El término " abierto " también implica que si un sistema informático cumple con los estándares, entonces estará abierto a la interconexión con cualquier otro sistema que cumpla con los mismos estándares. Esto, en particular, se aplica a los mecanismos para la protección de la información criptográfica o la protección contra el acceso no autorizado ( NSD) a la información.

Especialistas en seguridad de la información ( ES) hoy en día es casi imposible prescindir del conocimiento de las normas pertinentes.

En primer lugar, Los estándares y especificaciones son una de las formas de acumulación de conocimiento, principalmente sobre los niveles de procedimiento y software y hardware de seguridad de la información. Documentan soluciones y metodologías probadas y de alta calidad desarrolladas por los especialistas más calificados.

En segundo lugar , ambos son el principal medio para garantizar la compatibilidad mutua de los sistemas de hardware y software y sus componentes, y en Internet:-comunidad Este producto realmente funciona y es muy efectivo.

Recientemente, ha aparecido en diferentes países una nueva generación de estándares en el campo de la seguridad de la información, dedicados a cuestiones prácticas de gestión de la seguridad de la información de una empresa. Estos son, en primer lugar, estándares internacionales y nacionales de gestión de seguridad de la información. YO ASI 15408, ESO 17799 (BS7799), B.SI.; normas de auditoría para sistemas de información e información

seguridad en línea BÚHOIT,SAC, COSACERCA DE y algunos otros similares a ellos.

Las normas internacionales son de particular importancia. YO ASI 15408, YO ASI 17799 servir como base para cualquier trabajo en el campo seguridad de la información, incluida la auditoría.

YO ASI 15408 - define detalladamente Requisitos para herramientas de seguridad de la información de software y hardware.

YO ASI 17799 - centrado en problemas organización y gestión de la seguridad.

Uso de idiomas internacionales y nacionales. estándares Garantizar la seguridad de la información ayuda a resolver las siguientes cinco tareas:

- En primer lugar , determinación de objetivos para garantizar la seguridad de la información de los sistemas informáticos;

- En segundo lugar , creación de un sistema eficaz de gestión de la seguridad de la información;

- En tercer lugar , cálculo de un conjunto de indicadores detallados no solo cualitativos, sino también cuantitativos para evaluar el cumplimiento de la seguridad de la información con los objetivos establecidos;

- por cuartos , aplicación de herramientas de seguridad de la información y evaluación de su estado actual;

- en quinto lugar , el uso de técnicas de gestión de seguridad con un sistema bien fundamentado de métricas y medidas para apoyar a los desarrolladores de sistemas de información que les permitan evaluar objetivamente la seguridad de los activos de información y gestionar la seguridad de la información de la empresa.

Centrarse en el estándar internacional YO ASI/ 15408 y su ruso análogo a GOST R ISO/IEC15408-2002 “Criterios para evaluar la seguridad de las tecnologías de la información” y especificaciones "Internet-comunidades."

Realización de una auditoría La seguridad de la información se basa en el uso de numerosas recomendaciones, que se establecen principalmente en estándares internacionales. ES.

Empezando desde el principio años 80, se han creado decenas de estándares internacionales y nacionales en el campo de la seguridad de la información, que hasta cierto punto se complementan entre sí.

La conferencia analiza los estándares más importantes, cuyo conocimiento es necesario para los desarrolladores y evaluadores de productos de seguridad, administradores de sistemas, jefes de servicios de seguridad de la información y usuarios según la cronología de su creación, que incluyen:

    Criterio para evaluar la fiabilidad de los sistemas informáticos " libro naranja"(EE.UU);

    Criterios armonizados de los países europeos.;

    estándar alemán BSI;

    estándar británico BS 7799 ;

    Estándar " Criterios generales"YO ASI 15408;

    Estándar YO ASI 17799;

    Estándar COBIT

Estas normas se pueden dividir en dos tipos diferentes:

    Estándares de evaluación , destinado a clasificar los sistemas de información y medios de protección según los requisitos de seguridad;

    Especificaciones técnicas que regula diversos aspectos de la implementación de equipos de protección.

Es importante tener en cuenta que entre estos tipos de documentos regulatorios no hay un muro en blanco, al contrario, hay una relación lógica.

Estándares de evaluación resaltar los aspectos más importantes de la seguridad de la información desde el punto de vista de la seguridad de la información, desempeñando el papel de especificaciones arquitectónicas.

Especificaciones técnicas determinar cómo construir un SI de una arquitectura prescrita. A continuación se describen las características de estos estándares.

2. Criterios para evaluar sistemas informáticos confiables

Libro Naranja")

Es gratificante que el mercado comprenda la importancia y la necesidad de la seguridad de la información y que su atención a los problemas de seguridad de la información crezca constantemente.

Para explicar esta tendencia, no hace falta ir muy lejos: escuchamos sobre compromisos de alto perfil de los sistemas de información que traen importantes pérdidas financieras y de reputación. En algunos casos, se han vuelto completamente irreversibles para una determinada empresa. Así, la seguridad de la información propia de una organización se convierte no sólo en la clave para su funcionamiento ininterrumpido, sino también en un criterio de confiabilidad para sus socios y clientes.

El mercado juega con las mismas reglas y los criterios para medir el nivel de seguridad actual y la eficacia de los procesos de gestión de la seguridad de la información son los mismos para todos sus actores. Su papel lo desempeñan estándares diseñados para ayudar a la empresa a crear el nivel requerido de protección de la información. Los más populares en la industria bancaria rusa incluyen el estándar ISO/IEC 27000, el estándar del Banco de Rusia para garantizar la seguridad de la información de las organizaciones del sistema bancario y el estándar de seguridad de datos de infraestructura de tarjetas de pago PCI DSS.

La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) han desarrollado y publicado las normas de la serie ISO/IEC 27000. Contienen recomendaciones para construir un sistema de gestión de seguridad de la información. Las empresas auditoras acreditadas tienen derecho a realizar la certificación según normas, guiándose por los requisitos establecidos en ellas.

La ausencia de un requisito estricto de cumplimiento de la Norma para los participantes en el mercado ruso hace que su prevalencia sea bastante baja. Por ejemplo, sólo en Japón, el número de empresas que han superado con éxito una auditoría para cumplir con los requisitos de una norma internacional es casi 200 veces mayor que el mismo indicador en Rusia y los países de la CEI.

Cabe señalar que este cálculo no incluye empresas que realmente cumplen con los requisitos de la Norma, pero que no han pasado por una certificación formal. En otras palabras, en Rusia y los países de la CEI hay muchas empresas que han decidido construir procesos para gestionar y mantener el nivel de seguridad de la información no por una "marca" en forma de certificado de conformidad, sino de verdad. beneficio. El caso es que a menudo los estándares de la serie 27000 son el primer paso en el desarrollo de sistemas de seguridad de la información. Y su uso como guía es la base que presupone una mayor construcción y desarrollo de un sistema de gestión de seguridad de la información eficaz.

IBBS STO BR es un estándar bastante cercano a ISO/IEC 27001, creado por el Banco de Rusia para organizaciones del sector bancario, diseñado para garantizar un nivel aceptable del nivel actual de seguridad de la información y los procesos de gestión de seguridad de los bancos. Se afirmó que los principales objetivos durante su creación eran aumentar el nivel de confianza en la industria bancaria, brindar protección contra amenazas a la seguridad y reducir el nivel de daño causado por incidentes de seguridad de la información. La norma es consultiva y no fue particularmente popular hasta la versión de 2010.

La implementación activa de IBBS STO BR comenzó con el lanzamiento de una versión del estándar que incluía requisitos para garantizar la seguridad de los datos personales, y una carta informativa posterior que define la aceptación del cumplimiento de los requisitos del estándar mediante una forma alternativa de cumplimiento. con la legislación en materia de garantía de la seguridad de los datos personales. Actualmente, según estadísticas no oficiales, alrededor del 70% de los bancos han aceptado como obligatorio el estándar del Banco de Rusia.

El estándar IBBS BR es un conjunto de documentos que se desarrolla de manera bastante dinámica, con requisitos para garantizar y gestionar la seguridad de la información que son adecuados para las amenazas modernas. Su uso en los bancos ya se está volviendo necesario de facto, a pesar del estatus oficial de asesoramiento para las organizaciones no financieras, los documentos del complejo IBBS pueden servir como un conjunto de buenas prácticas para garantizar la seguridad de la información.

Finalmente, otro estándar extremadamente importante para las organizaciones financieras es el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS, Payment Card Industry Data Security Standard). Fue creado por iniciativa de los cinco sistemas de pago más grandes del mundo: Visa, MasterCard, JCB, American Express y Discover, quienes organizaron el Consejo de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). El mantenimiento de las tarjetas de pago debe realizarse según normas uniformes y cumplir con un determinado nivel de seguridad de la información. Obviamente, la seguridad es un factor clave cuando se utilizan tecnologías relacionadas con el dinero. Por tanto, proteger los datos de las tarjetas de pago es una tarea prioritaria de cualquier sistema de pago.

La diferencia clave entre el estándar PCI DSS y los enumerados anteriormente es su aplicación obligatoria para todas las organizaciones que procesan tarjetas de pago. Al mismo tiempo, los requisitos para la evaluación de la conformidad son bastante flexibles: dependen de la cantidad de transacciones que se procesen: desde la autoevaluación hasta la aprobación de una auditoría de certificación. Este último lo realiza una empresa con estatus PCI QSA.

Una característica clave del surgimiento del estándar PCI DSS fue la designación de plazos para lograr el cumplimiento. Esto ha dado lugar a que la mayoría de los principales actores de la industria de las tarjetas de pago se esfuercen por cumplir. Como resultado, esto afectó el nivel general de seguridad tanto para los participantes individuales como para toda la industria de pagos sin efectivo.

Aunque el surgimiento del estándar fue una iniciativa de los actores más importantes de la industria de sistemas de pago, puede encontrar su aplicación y convertirse en una guía para organizaciones no asociadas con esta industria. La principal ventaja de su uso son las actualizaciones constantes y, como resultado, las medidas y recomendaciones actuales para reducir las amenazas a la seguridad de la información.

La aplicación de estándares y el cumplimiento de sus requisitos es sin duda una buena práctica y un gran paso adelante a la hora de construir un sistema de seguridad de la información. Pero, lamentablemente, hay ejemplos de cómo el mero hecho de cumplirlo no garantiza un alto nivel de seguridad. La validez del certificado se extiende por un período determinado cuando dejan de funcionar los procedimientos realizados únicamente para el cumplimiento formal. Por tanto, puede resultar que el estado del sistema de seguridad de la información de la organización en el momento de la auditoría no se corresponda con la evaluación realizada seis meses después.

Además, al analizar posibles riesgos no se puede excluir el factor humano, lo que puede significar un error por parte de los propios auditores al determinar el alcance de la auditoría, la composición de los componentes auditados y las conclusiones generales.

En conclusión, me gustaría señalar que el cumplimiento de las normas no reemplaza el proceso continuo para garantizar la seguridad de la información crítica. No existe una seguridad perfecta, pero el uso de diferentes herramientas permite alcanzar el máximo nivel de seguridad de la información. Los estándares de seguridad de la información son precisamente una de esas herramientas.

Estimar:

0 4



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba