Международни и национални стандарти за информационна сигурност, технологии

Съдържание

Какво е информационна сигурност и защо стандартите са важни?
Видове информационни системи
Международен стандарт
ISO 17799
Общи критерии
Международни организации за стандартизация
Национален стандарт за регулиране на термините за информационна сигурност
Национални стандарти за информационна сигурност
Разликата в стандартите
Оперативна съвместимост на стандартите за сигурност
Технология за информационна сигурност

Един от най-големите икономически и национални проблеми, свързани със защитата на данните, е киберсигурността на всички инстанции срещу вируси, тъй като те засягат съхранението на информация, както и други аспекти на сигурността, когато са свързани с интернет. Зловредният софтуер е почти постоянен в тенденцията си да атакува незащитени ресурси. Но не бива да забравяме, че защитата не е просто дума. Той е по-структуриран, тъй като включва стандарти осигуряване на информационна сигурност, които са регулирани на международно и национално равнище.

Какво е информационна сигурност и защо стандартите са важни?

Интернет е сложен, както в технологично, така и в политическо отношение, със заинтересовани страни, обхващащи технически дисциплини и национални граници. Една от характеристиките на предизвикателството на киберсигурността е, че макар киберпространството да е обширно, но едно за всички, самите хора, защитени от конституционни права, различни културни норми и правни институции, се различават. Следователно законите се определят от договорите или географските граници. Тъй като се намирате в съвсем друга държава, хакерите може да откраднат чужди данни.

Създадени са множество стандарти за информационна сигурност, за да се поддържа високо ниво на киберсигурност. Сигурността на данните е приоритет за всяка държава. Факт е, че използването на лични данни от крадци на самоличност причинява сериозни вреди на обикновените граждани.

В световен мащаб проблемът става толкова опасен, колкото повече са засегнати интересите на цяла страна или на света. Ето защо са разработени различни технологии за информационна сигурност, които помагат на организациите да намалят риска от компрометиране чрез използване на защита. Последният от своя страна е в съответствие със законовите и регулаторните изисквания на държавата или света.

Видове информационни системи

Компонентите, управляващи информацията, си взаимодействат, припокриват се и често действат като едно цяло. Архитектурата на информационните системи, както и всяка друга, е по-лесно да се разглежда в структуриран вариант. Тя е необходима преди всичко за обединяване на голям брой бази данни, като осигурява опростена информационна система само с три компонента:

Управление на данни. Тук се въвежда информация, която е разделена по видове.
Бизнес логиката установява критериите за сортиране, обработка и по-нататъшно използване на данните. Участват следните лица Различни езици за програмиране.
Потребителският интерфейс опростява задачата за човешкото възприятие, тъй като той вижда на екрана само обобщените данни: полета, таблици, файлове и т.н. д.

Всеки от компонентите взаимодейства помежду си, за да формира цялостна архитектура, която дава отговор на редица преки въпроси за това какво прави системата, как си взаимодейства и на какво е разделена. Именно тези знания използват хакерите, като умело използват теоретичните знания по време на хакерската атака.

Международен стандарт

Технологиите за сигурност не са в крак с бързата еволюция на ИТ, което прави системите, данните и самите потребители уязвими на традиционни и иновативни заплахи за сигурността. Сред заплахите за системите и технологиите, които биха могли да окажат неблагоприятно въздействие върху цялото информационно пространство, засягайки в бъдеще икономиките, здравето, неприкосновеността на личния живот и политиката на държавите, са политически или финансово мотивирани престъпници, злосторници или просто небрежни оторизирани потребители.

В момента е невъзможно да се спрат всички атаки, но стандартите в областта информационна сигурност Помогнете да се намалят рисковете, като сведете до минимум успеваемостта на хакерските атаки, както и да намалите ефективността им.

Глобалните стандарти се оформят така, че всички страни да участват и да стигнат до най-ефективното решение

Пряко участие. Заинтересованите страни от всяка организация, индустрия и държава имат възможност да участват пряко в разработването на глобални и отворени стандарти за киберсигурност.
Широк консенсус. Развитието обхваща широк кръг от заинтересовани страни в световен мащаб, като нито едно лице или организация нямат изключителна власт.
Прозрачност. Дейността в областта на киберсигурността трябва да бъде прозрачна, отчетна и широко приета в световен мащаб.

Стандарти информационна сигурност Системите подобряват защитата на данните и улесняват управлението на риска по множество начини. Те спомагат за установяването на общи изисквания и възможности, необходими за вземане на решения в областта.

Двата най-важни стандарта са ISO 17799, който обхваща безопасността на процесите, и Общите критерии за техническа безопасност на продуктите.

ISO 17799

ISO 17799 е все по-популярен стандарт за прилагане на политики за сигурност. Това е изчерпателен набор от контроли, който включва най-добрите практики в областта на киберсигурността. Стандартът е международно признат като единствен по рода си в света.

Засиленият интерес от страна на държавите доведе до това, че сертифицирането по ISO 17799 от различни органи за акредитация се превърна в цел за много корпорации, правителствени агенции и други организации по света. ISO 17799 предлага лесна за използване рамка, която помага на хората да регулират безопасността в международно признати стандарти за информационна сигурност стандарт.

Сигурност на информацията, изложена на риск

По-голямата част от ISO 17799 се занимава с елементите на управлението на сигурността, определени като практики, процедури или механизми. Те могат да защитават от заплахата, да намаляват уязвимостта, да ограничават и откриват въздействието на нежелани прониквания и да улесняват възстановяването.

Някои инструменти се фокусират върху изключителното управление и политиките за защита, така че информационната сигурност и защитата на данните да останат незасегнати от нападателите. Други се занимават с прилагането, изпълнението и отстраняването на установените оперативни слабости. Имайте предвид, че тези контроли се отнасят до механизми и процедури, които се прилагат от хора, а не от системи.

Общи критерии

Common Criteria (ISO 15408) е единственият световно признат стандарт за сигурност на електронни продукти. Процесът на оценяване по Общите критерии се е променил значително и е по-строг: преди незначителни грешки се пренебрегваха, а сега всяка грешка незабавно се преработва.

Целта на спецификацията на CC е да се осигури по-голяма увереност в сигурността на ИТ продуктите чрез оценка и експлоатация.

Международни организации за стандартизация

Институтът по стандартизация на инженерите по електротехника и електроника (IEEE-SA) разработва стандарти в много области, включително информационни технологии, телекомуникации и производство на енергия. Например IEEE-SA е комитет за стандартизиране на 802 локални мрежи (LAN) и метрополни мрежи (MAN).

Различни работни групи в рамките на комитета разработват широко използвани стандарти за много видове мрежови технологии: Ethernet, безжична LAN, Bluetooth и WiMAX. Тези стандарти включват функции за сигурност, вградени в протоколите на безжичните мрежи.

Нападателят се нуждае само от лаптоп и знания

Национален стандарт за регулиране на термините за информационна сигурност

GOST R 50922-2006 се счита за основен стандарт, който отговаря за основната терминология за сигурност. Той съдържа всички определения, необходими за използване в официални изявления, документи и други документи. Те се използват не само в политическата и правната сфера, но и в научната и академичната литература като стандартизирани наименования на термини.

Национални стандарти за информационна сигурност

За съжаление киберсигурността в Русия не е строго регламентирана и далеч не обхваща всички области. Въпреки това следва да се отбележат най-ефективните стандарти за информационна сигурност в страната:

GOST P ISO 17799. Регулира поверителност на информацията, очертава основите на използването му, организацията за групи от хора, отговорни за съхранението, достъпа и защитата на информацията.
GOST R ISO 27001. очертава строга рамка за оценка на сигурността на дадена технология. Трябва да се отбележи, че всеки от тях има свой собствен минимум ниво на защита.
GOST ISO MECH 15408. Помага за цялостна оценка на нивото на защита на дадена технология въз основа на предоставените критерии.

Минималните стандарти за сигурност са необходими за пълноценната работа на много организации, тъй като те предпазват от риска от въвеждане на злонамерени вируси и зловреден софтуер.

Разликата в стандартите

Стандартите за информационна сигурност се различават по начина, по който се регулират. Съответно стандартите могат да бъдат незадължителни и задължителни.

Необвързващите стандарти се определят на доброволна основа, създават се от доброволци, загрижени граждани и са предназначени за допълнително използване от регулаторните органи.

Задължителни са стандартите, чието използване е задължително за регулаторния орган или прилагащата организация. Обикновено те се прилагат чрез закони и подзаконови актове.

Оперативна съвместимост на стандартите за сигурност

Когато технологиите, процесите и практиките за управление на организациите се сливат и припокриват, в действие влизат едновременно няколко стандарта. Информационната сигурност и безопасност на организациите стават много по-силни, тъй като всяка възможност за грешка е добре разбрана. Въпреки това трябва да се разбере, че когато се използват няколко стандарта, някои от тях могат да налагат изисквания, които противоречат на други.

Следата, която потребителят оставя в киберпространството

Стандартите си взаимодействат по няколко начина:

Един стандарт допълва, подкрепя или засилва изискванията на друг. Например ISO често публикува стандарти в няколко части, като всяка част представлява отделен том, обхващащ различни аспекти на сигурността.
Някои стандарти могат да си противоречат един на друг. Например съществуващите несъответствия или противоречия между стандартите водят до проблеми като технологична несъвместимост или правна несъвместимост.
Другите стандарти са дискретни - те не се влияят пряко един от друг.
Съществуват и пропуски в стандартите. Обикновено се появява поради напредъка на технологиите, които нямат време да регулират новите стандарти навреме.

Технология за информационна сигурност

Мрежова сигурност. Използва се за предотвратяване на влизането на неоторизирани потребители или нарушители в мрежата. Този тип Необходима е сигурност, за да се предотврати достъпът на хакери до данни в мрежата.

Интернет сигурност. Това включва защита на информацията, изпращана и получавана в браузърите, и защита на мрежата чрез уеб базирани приложения. Предназначена е за наблюдение на входящия интернет трафик и сканиране за зловреден софтуер. Използвана защита срещу защитни стени, зловреден и шпионски софтуер.

Крайна точка за сигурност. Осигурява защита на ниво устройство, което може да бъде защитено чрез защита на крайни точки (мобилни телефони, таблети и лаптопи). Сигурността на крайните точки предотвратява достъпа на устройствата до злонамерени мрежи, които представляват заплаха за организацията.

Сигурност в облака. Приложенията и данните в тях се преместват в облака, където потребителите се свързват директно с интернет и не са защитени по традиционния начин. При сигурността в облака често се използват брокер за сигурност на достъпа до облака (CASB), защитен интернет шлюз (SIG) и базирано в облака специално управление на заплахите (UTM).

Сигурност на приложенията. Приложенията са специално криптирани по време на създаването им, за да се осигури максимална защита, като се елиминират пропуските в разработката и зловредният софтуер на трети страни.