і A ієрархічно розбиті на серії підрозділів, що називаються класами: C1, C2, B1, B2, B3 і A1. Кожен розділ і клас розширює або доповнює вимоги зазначені в попередньому розділі або класі.
D - Мінімальна захист
Системи, безпека яких була оцінена, але виявилася не задовольняє вимогам вищих розділів.
C - Дискреційна захист
В· C1 - Дискреційне забезпечення секретності. p> o Поділ користувачів і даних
o Дискреційне управління доступом, що допускає примусове обмеження доступу на індивідуальній основі.
В· C2 - Управління доступом
o Більш чітко оформлене діскреціонное управління доступом.
o Індивідуальні облікові записи, вхід під якими можливий через процедуру авторизації.
o Журнал контролю доступу до системи.
o Ізоляція ресурсів.
B - Мандатна захист
В· B1
o Мандатне управління доступом до вибраними суб'єктам і об'єктам.
o Всі виявлені недоліки мають бути усунені або прибрані яким іншим способом.
В· B2 - Структурна захист
o Чітко певна і документована модель правил безпеки.
o Застосування розширеного дискреційного і мандатної управління доступом до всіх об'єктів і суб'єктам.
o Приховані канали зберігання.
В· B3 - Захищені області
o Відповідність вимогам монітора звернень.
o Структурування для виключення коду що не відповідає вимогам обов'язкової політики безпеки.
o Підтримка адміністратора системи безпеки.
o Прикладом подібної системи є XTS-300, попередниця XTS-400.
A - Перевірена захист
В· A1 - Перевірений дизайн. p> o По функціям ідентично B3.
o Формалізований дизайн і перевірені техніки, що включають високорівневу специфікацію.
o Формалізовані процедури управління та розповсюдження.
o Прикладом подібної системи є SCOMP, попередниця XTS-400.
В· Вище A1
o Системна архітектура демонструє, що вимоги самозахисту і повноцінності для моніторів звернень були виконані у відповідності з В«Базою безпечних обчислень В»(колекцією програмного і апаратного забезпечення необхідних для обов'язкової політики безпеки в операційних системах орієнтованих на безпеку).
В
В
4. Міжнародний стандарт управління інформаційної безпекою ISO 17799
4.1 Критерії оцінки захищеності інформаційних систем
Яке питання найбільш часто задають керівники вищої ланки компанії ІТ менеджерам і фахівцям з інформаційної безпеки? Думаю, що це очевидно: "Наскільки захищена наша інформаційна система?". Цей питання дійсно є наріжним каменем інформаційної безпеки та тим самим "тонким" місцем, яке зазвичай намагаються уникати сек'юріті фахівці. І дійсно оцінити захищеність інформаційної системи досить складно: але, як відомо, можна. Для цього існують, у основному, якісні методи оцінки рівня захищеності, які на виході дозволяють одержати не кількісну оцінку ("система захищена на 4.2 бали або на 58% "), а якісну - система відповідає певному класу або рівню захищеності; тому чи іншому стандарту безпеки. Кількісні методи оцінки на практиці не знайшли свого застосування. Застосування якісних методів оцінки є на сьогоднішній день єдиним способом отримати уявлення про реальний рівень захищеності інформаційних ресурсів компанії.
4.2 Критерії проведення аудиту безпеки інформаційних систем
Перейдемо до наступної частини і згадаємо, яке питання зазвичай є ключовим при проведенні аудиту безпеки. Зазвичай, це питання про стандарт безпеки, перевірку на відповідність якому буде виконувати аудитор. У Росії звичайною практикою при проведенні аудиту є виконання даних робіт без прив'язки до якого або критерієм чи стандартом - аудитор обмежується оцінкою поточного рівня захищеності та вироблення рекомендацій щодо його підвищення у відповідності зі своєю експертною оцінкою і своїм розумінням про рівні і критеріях захисту. І, загалом, це нормальна практика, коли компанія довіряє обраному експерту або групі експертів, але проводити аудит, грунтуючись тільки на власній експертною оцінкою, не враховуючи світовий досвід та існуючі стандарти безпеки, на сьогоднішній день практично неприпустимо. p> 4.3 Міжнародний стандарт безпеки інформаційних систем ISO 17799
Кілька років тому Британський інститут стандартів (BSI) за участю комерційних організацій, таких як Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica і ін, зайнявся розробкою стандарту інформаційної безпеки. І в 1995 р. був прийнятий національний стандарт BS 7799 управління інформаційною безпекою організації незалежно від сфери діяльності компанії. Служба безпеки, IT-відділ, керівництво компанії починають працювати відповідно до загального регламентом. Неважливо, йдеться про захист паперового документо...
