чи про сертифікацію по ISO 17799, варто взяти до уваги узгоджену з СОТ процедуру прийняття Росії в дану організацію. Ця процедура зажадає адекватної реакції від найбільш значущих в економіці Росії структур і адаптації стратегії розвитку в області інформаційних технологій з урахуванням міжнародних стандартів безпеки, таких як ISO 17799.
4.6 Практика проходження аудиту та отримання сертифікату ISO 17799
Для отримання сертифіката відповідності ISO 17799 компанія повинна пройти аудит інформаційної безпеки, провести підготовку інформаційної системи на відповідність стандарту, впровадити зміни і провести остаточну перевірку відповідності стандарту. Дану роботу доцільно розбити на кілька етапів. Попередній етап полягає в проведенні аудиту та, на його підставі, підготовки необхідних змін системи управління інформаційною безпекою. Його може виконати спеціалізована сек'юріті компанія, що має досвід у проведення подібних робіт. Потім, після підготовки комплекту необхідних документів та внесення змін до системи, необхідно провести підсумкову перевірку відповідності ISO 17799, для чого потрібна участь фахівців однієї з консалтингових компаній, які володіють ексклюзивним правом видачі даного сертифікату і мають акредитацію при UKAS (United Kingdom Accreditation Service, # "#"> # "#"> # "#">
В
5. Стандарти безпеки в Інтернеті
В якості засобів забезпечення безпеки в мережі Інтернет популярні протоколи захищеної передачі даних, а саме SSL (TLS), SET, IP v. 6. Вони з'явилися порівняно недавно, і одразу стали стандартами де-факто. p> SSL (TLS)
Найбільш популярний зараз мережевий протокол шифрування даних для безпечної передачі по мережі являє собою набір криптографічних алгоритмів, методів і правил їх застосування. Дозволяє встановлювати захищене з'єднання, проводити контроль цілісності даних і вирішувати різні супутні завдання. p> SET
SET (Security Electronics Transaction) - перспективний протокол, забезпечує безпечні електронні транзакції в Інтернеті. Він заснований на використанні цифрових сертифікатів за стандартом Х.509 і призначено організації електронної торгівлі через мережу. p> Даний протокол є стандартом, розробленим компаніями "MasterCard" та "Visa" за участі "IBM", "GlobeSet" та інших партнерів. З його допомогою покупці можуть купувати товари через Інтернет, використовуючи самий захищений на сьогоднішній день механізм виконання платежів. SET - це відкритий стандартний багатосторонній протокол для проведення платежів в Інтернеті з використанням пластикових карток. Він забезпечує крос-аутентифікацію рахунку власника карти, продавця і банку продавця для перевірки готовності оплати, а також цілісність і секретність повідомлення, шифрування цінних та вразливих даних. SET можна вважати стандартною технологією або системою протоколів виконання безпечних платежів на основі пластикових карт через Інтернет.
IPSec
Специфікація IPSec входить в стандарт IP v. 6 і є додатковою по відношенню до поточної версії протоколів TCP/IP. Вона розробляється Робочою групою IP Security IETF. В даний час IPSec включає три Алгоритм-незалежних базових специфікації, що представляють відповідні RFC-стандарти. p> Протокол IPSec забезпечує стандартний спосіб шифрування трафіку на мережевому (третьому) рівні IP і захищає інформацію на основі наскрізного шифрування: незалежно від працюючого програми, шифрується кожен пакет даних, що проходить по каналу. Це дозволяє організаціям створювати в Інтернеті віртуальні приватні мережі. IPSec працює поверх звичайних протоколів зв'язку, підтримуючи DES, MD5 і ряд інших криптографічних алгоритмів.
Забезпечення інформаційної безпеки на мережевому рівні за допомогою IPSec включає:
В· підтримку немодифіковані кінцевих систем;
В· підтримку транспортних протоколів, відмінних від ТСР;
В· підтримку віртуальних мереж в незахищених мережах;
В· за щиту заголовка транспортного рівня від перехоплення (оберігання від несанкціонованого аналізу трафіку);
В· захист від атак типу "відмова в обслуговуванні". p> Крім того, IPSec має дві важливі переваги: ​​
1. його застосування не вимагає змін до проміжних пристроях мережі;
2. робочі місця і сервери не обов'язково повинні підтримувати IPSec. br/>
