基本的な安全基準。 国際情報セキュリティ基準 国際情報セキュリティ基準

ISO/IEC 27001- 国際標準化機構と国際電気標準会議が共同で開発した情報セキュリティの国際規格。 この規格には、情報セキュリティ管理システム (ISMS) の作成、開発、保守に関する情報セキュリティ分野の要件が含まれています。

規格の目的。 ISO/IEC 27001 規格 (ISO 27001) には、情報セキュリティ管理の分野における世界のベスト プラクティスの説明が含まれています。 ISO 27001 は、情報資産を保護する組織の能力を実証するための情報セキュリティ管理システムの要件を指定します。 この規格は、情報セキュリティマネジメントシステム（ISMS）の開発、実装、運用、監視、分析、サポートおよび改善のモデルとして作成されました。

ISMSの目的- 情報資産を保護し、関係者の信頼を確保するために設計された適切なセキュリティ管理の選択。

基本概念。情報セキュリティ - 情報の機密性、完全性、可用性を維持します。 さらに、信頼性、否認防止、信頼性などの他のプロパティが含まれる場合もあります。

機密性 - 適切な権限を持つ人 (許可されたユーザー) のみが情報にアクセスできるようにすること。

完全性 - 情報の正確性と完全性、および情報の処理方法を保証します。

可用性 - 承認されたユーザーが必要なときに (オンデマンドで) 情報にアクセスできるようにします。

ISO 27001 規格では次のことが規定されています。

· 情報セキュリティに関する目標を定義し、活動の方向性と原則を理解する。

· 組織におけるリスク評価と管理へのアプローチの決定。

· 適用される法律および規制要件に従った情報セキュリティ管理。

· 情報セキュリティ目標を達成するために、管理システムの作成、実装、運用、監視、分析、サポート、改善の際に統一されたアプローチを使用します。

· 情報セキュリティ管理システムのプロセスを定義する。

・情報セキュリティ対策の状況の判断。

· 情報セキュリティ管理システムが規格の要件にどの程度準拠しているかを判断するための内部監査と外部監査の使用。

· パートナーおよびその他の利害関係者に情報セキュリティ ポリシーに関する適切な情報を提供する。

2006 年 7 月 27 日のロシア連邦法第 149-FZ「情報、情報技術および情報保護について」の内容に基づく、情報、情報技術および情報保護の分野における関係の法的規制の原則。

情報、情報技術、および情報保護の分野で生じる関係の法的規制は、次の原則に基づいています。

1) 法的方法を問わず、情報を検索、受信、送信、作成、配布する自由。

2) 情報へのアクセスに対する制限を連邦法によってのみ確立する。

3) 連邦法で定められた場合を除き、州機関および地方自治体の活動に関する情報の公開性、およびかかる情報への自由なアクセス。

4）情報システムの構築とその運用におけるロシア連邦国民の言語に対する権利の平等。

5) 情報システムの構築、運用およびそこに含まれる情報の保護におけるロシア連邦の安全を確保する。

6) 情報の信頼性と提供の適時性。

7) 私生活の不可侵、個人の私生活に関する情報を本人の同意なしに収集、保存、使用、配布することは許されない。

8) 州情報システムの構築と運用のための特定の情報技術の使用の義務が連邦法によって確立されていない限り、ある情報技術を使用することの他の利点を規制法によって確立することは認められない。

2020年までのロシア連邦の国家安全保障戦略。」 「ロシア連邦の情報セキュリティ原則」における情報セキュリティを確保するために国家がその機能を実施するための構造、目的、方法および方法。

2020年までのロシア連邦の国家安全保障戦略は、国家安全保障の状態と長期的な国家の持続可能な発展のレベルを決定する内政および外交政策の分野における戦略的優先順位、目標、および措置の公式に認められた体系である。 。

ロシア連邦の情報セキュリティ原則は、ロシア連邦の情報セキュリティを確保するための目標、目的、原則、および主な方向性に関する一連の公式見解です。

ドクトリンにおける情報分野におけるロシア連邦の国益の構成要素:

1) 情報の取得および使用の分野における憲法上の人権および自由の遵守の義務。

2) ロシア連邦の国家政策に対する情報支援（ロシア連邦の国家政策、ロシアおよび世界の重要な出来事に関する公式立場についてロシア連邦国民および国際社会に伝達する）と国民のアクセス政府のリソースを開放する。

３）国内産業における現代のＩＴ（情報通信手段）の発展。 ロシア国内市場にITを提供し、世界市場に参入します。

4) 情報資源を不正アクセスから保護し、情報通信システムのセキュリティを確保します。

ドクトリンにおけるロシア連邦の情報セキュリティに対する脅威の種類:

1. 情報活動分野における憲法上の人権および自由を狙った脅威。

2. ロシア連邦の国策に対する情報支援に対する脅威。

3. 国内産業における最新の IT の発展、および国内および世界市場への参入に対する脅威。

4. 情報通信施設およびシステムのセキュリティに対する脅威。

原則に基づいてロシア連邦の情報セキュリティを確保する方法:

法的手段

IT分野における関係を規制する規範的な法律の整備

組織的および技術的手法

ロシア連邦の情報セキュリティシステムの構築とその改善

この地域で犯罪を犯した人々を裁く

処理された情報への不正アクセスを防止するためのシステムと手段の構築

経済的手法

情報セキュリティプログラムの開発とその資金調達

ロシア連邦の情報セキュリティの確保に関連する業務への資金提供

現代社会の最も重要な問題とニーズの 1 つは、自動化された情報処理プロセスにおける個人情報の保護の権利を含む、情報相互作用のプロセスに人が関与する状況における人権の保護です。

I. N. マラニッチ、VSU 6 年生

今日の個人データ保護研究所は、もはや国内法のみで規制できるカテゴリーではありません。 現代の自動情報システムの最も重要な特徴は、それらの多くの「超国家性」、国境を越えた「出口」、インターネットなどの公的にアクセス可能なグローバル情報ネットワークの発展、そして内部での単一の情報空間の形成である。そのような国際構造の枠組み。

現在、ロシア連邦では、自動化された情報プロセスの枠組み内で個人データ保護制度を法的分野に導入するだけでなく、それをこの分野の既存の国際法基準と関連付けることにも問題がある。

自動情報処理のプロセスに関連する個人データ保護機関の国際法規制には、主に 3 つの傾向があります。

1) 国際機関内で採用された一般的な人道的性質の行為における、基本的人権の不可欠な部分としての個人データの保護に対する権利の宣言。

2) 欧州連合、欧州評議会、一部独立国家共同体および一部の地域国際機関の規制法における個人情報を保護する権利の強化と規制。 このクラスの規範は最も普遍的であり、自動化された情報処理プロセスにおける個人データの保護の権利に直接関係します。

３）秘密情報（個人情報を含む）の保護に関するルールを国際条約に盛り込む。

最初の方法は歴史的に他の方法よりも早く登場しました。 現代世界では、情報に関する権利と自由は基本的人権の不可欠な部分です。

1948 年の世界人権宣言は、「何人も、自分のプライバシーや家族に対する恣意的な干渉、または通信のプライバシーに対する恣意的な攻撃にさらされない」と宣言し、さらに次のように宣言しています。そのような干渉や攻撃に対する法律を制定する必要があります。」 1966 年の市民的および政治的権利に関する国際規約は、この部分で宣言を繰り返しています。 1950 年の欧州条約では、この権利について次のように詳しく規定されています。 この権利には、公的機関からの干渉を受けることなく、国境に関係なく、意見を保持し、情報やアイデアを受け取って伝える自由が含まれます。」

これらの国際文書は、人権に関する情報の権利を確立しています。

現在、人権に関する人権に関する安定した見解体系が国際レベルで形成されつつある。 一般的に言えば、これは情報を受け取る権利、それに関する情報を保護するというプライバシーの権利、国家安全保障の観点と財務を含むビジネス安全保障の観点の両方から情報を保護する権利です。活動。

2 番目の方法 - 個人情報保護の権利のより詳細な規制は、自動化されたコンピューター情報システムを使用した近年の個人情報の処理の強度の増加に関連しています。 ここ数十年、国境を越えた情報交換と現代の情報技術の利用の強化に関連して、基本的な情報権を開発する多くの国際機関の枠組みの中で、多くの国際文書が採択されてきました。 そのような文書には次のようなものがあります。

1980 年、欧州評議会は個人データの自動処理に関する欧州個人保護条約を策定し、1985 年に発効しました。この条約は、個人データの収集と処理の手順、保存とアクセスの原則を定義しています。このデータと物理的なデータ保護の方法。 この条約は、個人データの収集と処理における人権の尊重、このデータへの保存とアクセスの原則、データの物理的保護方法を保証し、また人種、政治的意見、健康、宗教に関するデータを適切な方法なく処理することも禁止しています。法的根拠。 ロシアは 2001 年 11 月に欧州条約に加入しました。

欧州連合では、個人データ保護の問題はさまざまな文書によって規制されています。 1979年には「情報化の進展に伴う個人の権利の保護について」という欧州議会決議が採択された。 この決議は、欧州委員会と欧州共同体委員会に対し、コンピューターサイエンス分野の技術進歩に関連した個人データの保護に関する法的措置を策定し、採用するよう要請した。 1980 年に、欧州連合加盟国協力機構の勧告「個人データの州間交換におけるプライバシー保護のガイドラインについて」が採択されました。 現在、個人データ保護の問題は、欧州議会および欧州連合理事会の指令によって詳細に規制されています。 これらは、個人データの処理および無料のデータ処理に関する個人の権利の保護に関する、1995 年 10 月 24 日の欧州議会および理事会の指令 No. 95/46/EC および No. 2002/58/EC です。このようなデータの移動については、電気通信およびその他の文書における個人データの使用およびプライバシーの保護に関する 1997 年 12 月 15 日の欧州議会および欧州連合理事会の指令 No. 97/66 /EC に準拠しています。

欧州連合の法律は、自動データ処理の原則と基準、個人データの主体と保有者の権利と義務、国境を越えた転送の問題、損害に対する責任と制裁が詳細に規定されていることを特徴としています。 。 指令 No. 95/46/EC に従って、欧州連合は個人データの処理に関する個人の保護に関する作業部会を設立しました。 これは諮問機関の地位を有しており、独立した組織として機能します。 作業部会は、指令の規定の遵守をその領域内で監視する目的で各加盟国によって設立された機関の代表者、共同体の機関および構造のために設立された機関の代表者、および次の機関の代表者で構成されます。欧州委員会。

経済協力開発機構 (OECD) には、プライバシーの保護と個人データの国際交換に関する枠組みがあり、1980 年 9 月 23 日に採択されました。 この指令の前文には、「...OECD加盟国は、各国のプライバシー法の調和を促進し、関連する人権を尊重しつつ、国際的なデータ交換の阻止を許さない枠組みを開発する必要があると考えている...」と述べられています。 これらの規定は、公的部門と民間部門の両方で、処理方法、またはその性質や使用状況により、プライバシーと個人の自由を侵害するリスクを引き起こす個人データに適用されます。 これは、個人データの紛失、破壊、変更または開示、および不正アクセスに関連するリスクに対する適切な保護メカニズムを個人データに提供する必要性を定義しています。 残念ながら、ロシアはこの組織に参加していません。

1999 年 10 月 16 日の CIS 加盟国の議会間会議。 「個人データに関する」モデル法が採択されました。

法律によれば、「個人データ」とは、特定の個人に関する情報 (有形媒体に記録されたもの) であり、特定されるか、特定される可能性があります。 個人データには、経歴および識別データ、個人の特徴、家族に関する情報、社会的地位、教育、職業、専門職および財務状況、健康状態などが含まれます。 この法律には、個人データの法的規制の原則、個人データの運用に関する国家規制の形式、個人データの主体および保有者の権利と義務も列挙されています。

国際的な法律行為における個人データの保護に関する規制法として検討されている 2 番目の方法が、分析にとって最も興味深いと思われます。 このクラスの規範は、この分野での広報活動を直接規制するだけでなく、加盟国の法律を国際基準に合わせるのにも役立ち、それによって加盟国の領土におけるこれらの規範の有効性を確保します。 したがって、世界人権宣言に謳われている情報権の保障は、世界人権宣言の第 12 条で宣言されている「…干渉または…侵害から法の保護を受ける権利」という意味で確保されている。

個人データの保護に関するルールを強化する 3 番目の方法は、国際条約における法的保護を強化することです。

情報交換に関する条項は、法的援助、二重課税の回避、および特定の公共および文化的領域における協力に関する国際条約に含まれています。

アートによると。 所得税および資本税に関する二重課税の回避および脱税の防止に関するロシア連邦と米国との間の条約の第 25 条により、国家は職業上の機密に該当する情報を提供することが義務付けられています。 刑事問題における相互法的援助に関するロシア連邦とインド共和国との間の条約には、第 15 条「機密保持」が含まれており、要求された当事者は、送信される情報の機密保持を要求することができます。 国際条約を締結するという行為は、締約国が個人データ保護の国際基準に準拠したいという願望を示しています。

この機関を国際法レベルで規制するための最も効果的なメカニズムは、国際機関の枠組み内で特別な規制文書を発行することであると思われます。 このメカニズムは、記事の冒頭で述べたこれらの組織内で個人情報保護の差し迫った問題に対する適切な内部規制を促進するだけでなく、参加国の国内法にも有益な効果をもたらします。

ゲオルギー・ガルブゾフ
CISSP、MCSE:セキュリティ、情報セキュリティ総局、URALSIB Insurance Group

繰り返しの使用に適した統一要件を確立するプロセスとしての標準化の歴史は数千年前に遡ります。古代エジプトのピラミッド建設中にさえ、標準サイズのブロックが使用され、特別な人々が準拠の程度を管理していました。この古代の基準で。 今日、標準化は人間の活動のほぼすべての分野で重要な位置を占めています。

情報セキュリティ分野の標準化

情報セキュリティ (IS) の分野における標準化は、最適なレベルの合理化と統合を確立し、IS 製品の互換性、測定可能性、およびサービスの互換性を確保できるため、IS 製品とサービスの専門家と消費者の両方にとって有益です。さまざまな国や組織で得られた結果の再現性。 これは、専門家にとっては、効果的で実証済みのソリューションを探す時間を節約できることを意味し、消費者にとっては、期待される品質の結果が得られることを保証することになります。

標準化の対象となるのは、評価方法、セキュリティ ツールと設定の機能、互換性プロパティ、開発および生産プロセス、管理システムなど、あらゆる情報セキュリティ製品またはサービスです。

標準化は、参加者の構成に応じて、国際、地域、国内のいずれかになりますが、国際標準化（ISO などの公式標準化団体とともに）にはコンソーシアム（IEEE や SAE など）の標準化が含まれ、国家標準化には州または国家の標準化が含まれます。業界 。

今日求められている、何らかの形で情報セキュリティ問題に影響を与える外国規格のいくつかについて、さらに詳しく見ていきましょう。

情報セキュリティ分野の国際標準 - 海外での経験

海外の情報セキュリティ分野の標準化は数十年にわたって発展しており、英国などの一部の国は標準の開発に豊富な経験を持っており、BS7799-1/2 などの多くの英国国家標準は時間の経過とともに国際的な地位を獲得しています。 まずはそれらから始めましょう。

国際規格 ISO 27002 および ISO 27001

おそらくこれらは、今日の情報セキュリティの分野で最も一般的な標準です。

ISO 27002 (旧 ISO 17799) には、企業内で情報セキュリティ管理システムを効果的に組織するための一連の推奨事項が含まれており、特に以下の主要な領域をすべてカバーしています。

• 情報セキュリティポリシーの策定。
• 人員関連の安全性。
• 通信のセキュリティ。
• 物理的なセキュリティ。
• アクセス制御;
• インシデント処理;
• 法的要件の遵守を確保します。

ISO 27001 規格はマネジメント システム認証の基準をまとめたもので、その結果に基づいて認定認証機関により国際適合証明書が発行され、登録されます。

登録簿によると、現在ロシアにはこのような認証を取得している企業が約12社登録されており、世界中の認証の総数は5,000を超えており、認証の準備は組織自体またはコンサルティング会社によって行われています。そして、すでに認証された管理システム (品質など) を備えている企業にとって、ISO 27001 認証を取得する方がはるかに簡単であることが実践的に証明されています。

ISO 27001/27002 規格は、新しい一連の規格の代表であり、その最終的な形成はまだ完了していません: 規格 27000 (基本原則と用語)、27003 (情報セキュリティ管理システムの実装のためのガイドライン)、27004 (情報セキュリティ管理システムの有効性の測定など）などが開発中です。合計 30 以上の規格が 27000 シリーズに含まれる予定です。 シリーズの構成と開発の現在の状況についての詳細は、ISO の公式 Web サイト (www.iso.org) でご覧いただけます。

国際規格 ISO13335 および ISO15408

ISO 13335 標準は、IT セキュリティ管理を対象とする一連の情報技術セキュリティ標準であり、特定の保護手段と技術を提供します。 現在、13335 シリーズは徐々に新しい 27000 シリーズに置き換えられています。ISO 15408 標準には、IT システムのセキュリティをソフトウェアおよびハードウェア レベルで評価するための統一基準が含まれています (TCSEC 評価としても知られる有名なオレンジ ブックと同様)。基準、または欧州 ITSEC 基準）を使用して、さまざまな国で得られた結果を比較できます。

一般に、これらの規格には技術的な部分のみが含まれていますが、単独で使用することも、ISO 27001 準拠の認証準備などの一環として情報セキュリティ管理システムを構築するときに使用することもできます。

コビット

CobiT は、IT ガバナンス、監査、セキュリティの分野における約 40 の国際標準とガイドラインのセットであり、関連するプロセスと指標の説明が含まれています。 CobiT の主な目標は、特定の目標を持つビジネスと、その達成に貢献する IT との間の共通言語を見つけ、組織の情報テクノロジ開発のための適切な計画を作成できるようにすることです。

CobiT は、組織の IT 管理システムを監査および制御するために使用され、管理の目標、原則、目的、可能な IT プロセス、およびセキュリティ管理プロセスの詳細な説明が含まれています。 CobiT は、完全性、特定のアクションとツールの明確な説明、ビジネスに焦点を当てているため、情報インフラストラクチャと管理システムを作成する場合に優れた選択肢となります。

記事の次の部分では、NIST SP 800、BS、BSI、PCI DSS、ISF、ITU などの興味深い国内規格および業界固有の外国規格について見ていきます。

専門家の解説

アレクセイ・プレシコフ
ガスプロムバンク (オープン株式会社) 情報技術セキュリティ部門責任者

上記の国際標準のレビューに加えて、情報セキュリティに関する別の規制文書にも注目したいと思いますが、これはロシア連邦では普及していません。 これらの標準の 1 つは、EBIOS メソッド ファミリの文書です。

情報システムにおける情報セキュリティ管理のための手法とツールを開発するための EBIOS プロジェクトは、フランス政府によって支援され、フランス首相の下にある DCSSI 委員会によって汎ヨーロッパレベルまで推進されています。 このプロジェクトの目的は、公的または民間組織の情報システムのセキュリティの向上を支援することです (http://www.securiteinfo.com/conseils/ebios.shtml)。

情報セキュリティサポートの評価タスクを自動化する製品「情報システムのセキュリティを実現するための方法論的ツール EBIOS（ニーズの定義とセキュリティ目標の特定）」の文書一式がフランス政府の公式ウェブサイトで公開された2004 年には自動化システムの情報セキュリティ確保の問題に特化しました。

EBIOS 手法は、フランス国防省事務総局によって提案され、「ニーズの定義とセキュリティ目標の特定」(EBIOS) と呼ばれ、情報セキュリティの確保を目的とした国際標準を考慮して開発されました。 これは、情報システム セキュリティの分野におけるリスクを評価および処理するアプローチを形式化し、開発されたシステムおよび既存のシステムの情報セキュリティ レベルを評価するために使用されます。
この方法の目的は、政府が管理する組織が最初に実行する必要があるセキュリティ対策のリストを決定できるようにすることです。 この方法は、組織のセキュリティ部門の管理者によって実装でき、開発または既存の情報システム (サブシステム、アプリケーション プログラム) の構造のすべてのレベルに適用できます。

EBIOS のアプローチでは、情報セキュリティの 3 つの主要な特性、つまり情報とシステムの両方の機密性、完全性、可用性、およびそれらが置かれている環境を考慮します。 場合によっては、否認防止、認可、認証のニーズを確保するために注意することが推奨されます。

情報システムのセキュリティを確保する 現時点では、有能かつ高品質な情報セキュリティ システムの構築がなければ不可能です。 これにより、情報セキュリティの観点からそのようなシステムの基本要件と特性を体系化し、合理化するという世界コミュニティの取り組みが決定されました。

このような活動の主な成果の 1 つは、 システム国際規格と国内規格情報セキュリティー、これには 100 を超えるさまざまな文書が含まれています。

これは特にいわゆるものに当てはまります。 商用利用可能なオープンシステム、国家機密を含まない制限された情報を処理し、我が国で急速に発展しています。

下 オープンシステムを理解する さまざまなメーカーのあらゆる種類のコンピューティングおよび通信機器の集合体であり、それらの共同機能は、主に国際標準の要件に準拠することによって保証されます。

用語 " 開ける 「また、コンピューティング システムが標準に準拠していれば、同じ標準を満たす他のシステムとの相互接続が可能であることも意味します。これは、特に、暗号化情報の保護や不正アクセスからの保護のメカニズムに当てはまります ( NSD）情報に。

情報セキュリティ専門家（ は）今日では、関連する規格の知識なしにそれを行うことはほとんど不可能です。

まず、 標準と仕様は、主に情報セキュリティの手順およびソフトウェアおよびハードウェアのレベルに関する知識蓄積の形式の 1 つです。 これらは、最も資格のある専門家によって開発された、実績のある高品質のソリューションと方法論を文書化しています。

第二に どちらも、ハードウェアとソフトウェアのシステムおよびそのコンポーネントの相互互換性を確保するための主な手段です。 インターネット：-コミュニティこの商品は本当に効果があり、とても効果的です。

最近、企業の情報セキュリティ管理の実際的な問題に特化した、情報セキュリティ分野の新世代の標準が各国で登場しています。 これらはまず、国際および国内の情報セキュリティ管理基準です。 ISO 15408, はO 17799 (BS7799)、BS.I.; 情報システムと情報の監査基準

オンラインセキュリティ フクロウ私TさんSあC、コロラド州Sについておよびそれらに類似したものもあります。

国際規格は特に重要です ISO 15408, ISO 17799 現場でのあらゆる作業の基礎として機能します 監査を含む情報セキュリティ。

ISO 15408 - 詳細な定義 ソフトウェアおよびハードウェアの情報セキュリティ ツールの要件。

ISO 17799 - 問題に焦点を当てた 組織とセキュリティの管理。

国際語と国内語の使用 標準 情報セキュリティを確保することは、次の 5 つの課題を解決するのに役立ちます。

- まず最初に 、コンピュータシステムの情報セキュリティを確保するための目標の決定。

- 第二に 、効果的な情報セキュリティ管理システムの構築。

- 第三に 、情報セキュリティが定められた目標に準拠しているかどうかを評価するための、定性的だけでなく定量的でもある一連の詳細な指標の計算。

- 4番目に 、情報セキュリティツールの適用とその現状の評価。

- 五番目に 、情報システム開発者が情報資産のセキュリティを客観的に評価し、企業の情報セキュリティを管理できるようにするための、十分に根拠のある指標と尺度のシステムを備えたセキュリティ管理手法の使用。

国際標準を重視 ISO/ 15408 そして彼のロシア語 GOST R ISO/IEC15408 -2002「情報技術のセキュリティを評価するための基準」の類似品そして 仕様」インターネット-コミュニティ。」

監査の実施情報セキュリティは、主に国際標準に定められた多数の推奨事項の使用に基づいています。 は.

最初から始める 80年代、情報セキュリティの分野では数十の国際標準および国内標準が作成されており、それらはある程度相互に補完します。

この講義では、セキュリティ製品の開発者と評価者、システム管理者、情報セキュリティ サービスの責任者、ユーザーに必要な知識として、作成の年代順に次のような最も重要な標準について説明します。

コンピュータシステムの信頼性を評価する基準」 オレンジブック"（アメリカ合衆国）;

ヨーロッパ諸国の調和された基準;

ドイツの標準 BSI;

英国規格 理学士 7799 ;

標準 " 一般的な基準」ISO 15408;

標準 ISO 17799;

標準 コビット

これらの規格は、次の 2 つの異なるタイプに分類できます。

評価基準 , セキュリティ要件に従って情報システムと保護手段を分類することを目的としています。

技術仕様 保護具の実装に関するさまざまな側面を規制します。

注意することが重要です これらの種類の規制文書の間それどころか、空白の壁はありません。 論理的な関係がある.

評価基準 情報セキュリティの観点から、情報セキュリティの最も重要な側面を強調します。 建築仕様の役割を果たす.

技術仕様 所定のアーキテクチャのISを構築する方法を決定します。 以下にこれらの規格の特徴を説明します。

2. 信頼できるコンピュータ システムの評価基準

(« オレンジブック」）

市場が情報セキュリティの重要性と必要性​​を理解しており、情報セキュリティ問題に対する注目が常に高まっていることは喜ばしいことです。

この傾向を説明するのに、わざわざ説明する必要はありません。重大な経済的損失と評判の損失をもたらす、情報システムの重大な侵害についてよく耳にします。 場合によっては、特定のビジネスにとってそれらは完全に取り消し不能になってしまいます。 したがって、組織自身の情報のセキュリティは、中断のない運営の鍵となるだけでなく、パートナーやクライアントの信頼性の基準にもなります。

市場は同じルールに従って機能し、現在のセキュリティのレベルと情報セキュリティ管理プロセスの有効性を測定する基準は、すべての参加者にとって同じです。 これらの役割は、企業が必要なレベルの情報保護を確立できるように設計された標準によって果たされます。 ロシアの銀行業界で最も人気のあるものには、ISO/IEC 27000 標準、銀行システム組織の情報セキュリティを確保するためのロシア銀行標準、および PCI DSS ペイメント カード インフラストラクチャ データ セキュリティ標準が含まれます。

国際標準化機構 (ISO) と国際電気標準会議 (IEC) は、情報セキュリティ管理システムを構築するための推奨事項を含む ISO/IEC 27000 シリーズ規格を開発および発行しています。 認定監査会社は、そこに定められた要件に基づいて、基準に従って認証を実行する権利を有します。

ロシアの市場参加者に対して基準に準拠するという厳格な要件がないため、その普及率は非常に低くなります。 例えば、日本だけでも、国際基準の要件を満たすための監査に合格した企業の数は、ロシアとCIS諸国の同じ指標のほぼ200倍です。

この計算には、実際に規格の要件に準拠しているものの、正式な認証を受けていない企業は含まれていないことに注意してください。 言い換えれば、ロシアと CIS 諸国では、適合証明書という形での「チェック」のためではなく、実際に情報セキュリティのレベルを管理および維持するためのプロセスを構築することを決定した企業が数多くあります。利点。 重要なのは、多くの場合、27000 シリーズ標準が情報セキュリティ システム開発の最初のステップであるということです。 そして、それらをガイドラインとして使用することは、効果的な情報セキュリティ管理システムのさらなる構築と開発を前提とする基礎となります。

IBBS STO BR は、ISO/IEC 27001 に非常に近い標準であり、銀行部門の組織向けにロシア銀行によって作成され、銀行の情報セキュリティとセキュリティ管理プロセスの現在のレベルの許容レベルを保証するように設計されています。 創設時の主な目標は、銀行業界の信頼レベルを向上させ、セキュリティの脅威から保護し、情報セキュリティ インシデントによる被害のレベルを軽減することであると述べられています。 この標準は勧告的なものであり、2010 年バージョンまでは特に普及していませんでした。

IBBS STO BR の積極的な導入は、個人データのセキュリティを確保するための要件を含むバージョンの標準のリリースと、それに続く代替の準拠方法による標準要件への準拠の受け入れを定義する情報レターのリリースから始まりました。個人データの安全性を確保する分野の法律とともに。 現在、非公式統計によると、銀行の約 70% がロシア銀行の基準を必須として受け入れています。

IBBS BR 標準は、現代の脅威に適切な情報セキュリティを確保および管理するための要件を備えた、かなり動的に開発されている一連の文書です。 非金融機関に対する公式の諮問機関であるにもかかわらず、銀行でのその使用はすでに事実上必要になりつつあり、IBBS 複合体の文書は情報セキュリティを確保するための一連の優れた実践例として機能します。

最後に、金融組織にとってもう 1 つの非常に重要な基準は、Payment Card Industry Data Security Standard (PCI DSS、Payment Card Industry Data Security Standard) です。 これは、Payment Card Industry Security Council (PCI SSC) を組織した世界 5 大決済システム (Visa、MasterCard、JCB、American Express、Discover) の主導で作成されました。 支払いカードのサービスは統一ルールに従って実行され、一定レベルの情報セキュリティに準拠する必要があります。 お金関連のテクノロジーを使用する場合、セキュリティが重要な要素であることは明らかです。 したがって、支払いカードのデータを保護することは、どの支払いシステムにとっても優先課題です。

PCI DSS 標準と上記の標準の主な違いは、支払いカードを処理するすべての組織に適用が必須であることです。 同時に、適合性評価の要件は非常に柔軟であり、自己評価から認証監査の合格まで、処理されるトランザクションの数に応じて異なります。 後者は、PCI QSA ステータスを持つ企業によって実行されます。

PCI DSS 標準の出現の主な特徴は、準拠を達成するための期限の指定でした。 これにより、ペイメントカード業界の主要企業のほとんどが準拠する取り組みを行うことになりました。 結果として、これは個々の参加者とキャッシュレス決済業界全体の両方の全体的なセキュリティ レベルに影響を与えました。

この規格の出現は、決済システム業界の最大手企業による取り組みでしたが、この規格はその応用例を見出し、この業界に関係のない組織にとってもガイドラインとなる可能性があります。 これを使用する主な利点は、継続的に更新され、その結果、情報セキュリティの脅威を軽減するための最新の対策と推奨事項が得られることです。

標準を適用し、その要件に準拠することは間違いなく良い実践であり、情報セキュリティ システムを構築する際の大きな前進です。 しかし、残念なことに、コンプライアンスを遵守しているというだけでは、高レベルのセキュリティが保証されない例もあります。 証明書の有効期間は、正式な遵守のみを目的として行われた手順が機能しなくなった場合、一定期間延長されます。 したがって、監査時の組織の情報セキュリティ システムの状態が 6 か月後の評価と一致していないことが判明する可能性があります。

さらに、起こり得るリスクを分析する場合、人的要因を排除することはできません。これは、監査の範囲、監査対象の構成要素の構成、および一般的な結論を決定する際の監査人自身の誤りを意味する可能性があります。

結論として、標準への準拠は、重要な情報のセキュリティを確保する継続的なプロセスに代わるものではないことに注意してください。 完璧なセキュリティはありませんが、さまざまなツールを使用することで、最大限のレベルの情報セキュリティを達成できます。 情報セキュリティ標準はまさにそのようなツールです。

見積もり：

0 4