Какими путями осуществляется стандартизация подходов к обеспечению информационной безопасности, и какие международные стандарты для этого применяются?

Специалистам в области ИБ сегодня практически невозможно обой­тись без знаний соответствующих стандартов и спецификаций. На то имеется несколько веских причин. Формальная причина состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и Руководящим документам Гостехкомиссии Рос­сии) закреплена законодательно. Убедительны и содержательные причины. Во-первых, стандарты и спецификации — одна из форм на­копления знаний, прежде всего о процедурном и программно-техничес­ком уровнях ИБ и ИС. В них зафиксированы апробированные, вы­сококачественные решения и методологии, разработанные наиболее квалифицированными компаниями в области разработки ПО и безо­пасности программных средств. Во-вторых, и те и другие являются основным средством обеспечения взаимной совместимости аппарат­но-программных систем и их компонентов, причем в Интернет-сооб­ществе это средство работает весьма эффективно.

На верхнем уровне можно выделить две существенно отличающи­еся друг от друга группы стандартов и спецификаций:

1) оценочные стандарты, предназначенные для оценки и класси­фикации ИС и средств защиты по требованиям безопасности;

2) спецификации, регламентирующие различные аспекты реализа­ции и использования средств и методов защиты.

Эти группы дополняют друг друга. Оценочные стандарты описы­вают важнейшие с точки зрения ИБ понятия и аспекты ИС, играя роль организационных и архитектурных спецификаций. Специализирован­ные стандарты и спецификации определяют, как именно строить И С предписанной архитектуры и выполнять организационные требования.

Из числа оценочных необходимо выделить стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем» и его интерпретацию для сетевых конфигураций, «Гармонизирован­ные критерии Европейских стран», международный стандарт «Крите­рии оценки безопасности информационных технологий» и конечно, Руководящие документы Гостехкомиссии России. К этой же группе от­носится и Федеральный стандарт США «Требования безопасности для криптографических модулей», регламентирующий конкретный, но очень важный и сложный аспект информационной безопасности.

 

Какие уровни реализуются в технологической модели подсистемы информационной безопасности ИС?

Что за хуйня?