2.6 Міжнародні стандарти інформаційної безпеки. 

Одними з найбільш важливих нормативно-технічних документів, які стимулюють розвиток захищених інформаційних систем, мереж і засобів є документи, що стандартизують вимоги та критерії оцінки безпеки.

Стандарти інформаційної безпеки — це стандарти забезпечення захисту, призначені для взаємодії між виробниками, споживачами і експертами з кваліфікації продуктів інформаційних технологій у процесі створення та експлуатації захищених систем оброблення інформації.

Стандарти кібербезпеки – це  методи, що зазвичай викладені в опублікованих матеріалах, які намагаються захистити кібернетичне середовище користувача чи організації. 

Це середовище включає в себе користувачів, мережі, пристрої, все програмне забезпечення, процеси, інформацію в режимі зберігання або транзиту, програми, служби та системи, які можуть бути безпосередньо або опосередковано підключені до мереж. 

Основна мета — знизити ризики, включаючи попередження або пом'якшення кібер-атак. Ці опубліковані матеріали включають збірки інструментів, політику, концепції безпеки, гарантії безпеки, керівні принципи, підходи до управління ризиками, дії, навчання, найкращі практики, забезпечення та технології.

Міжнародні стандарти

• BS 7799-1: 2005 — Британський стандарт BS 7799 перша частина. BS 7799 Частина 1 — Кодекс практики управління інформаційною безпекою (Практичні правила управління інформаційної безпеки) описує 127 механізмів контролю, необхідних для побудови системи управління інформаційною безпекою (СУІБ) організації, визначених на основі кращих прикладів світового досвіду в цій області . Цей документ служить практичним керівництвом по створенню СУІБ

• BS 7799-2: 2005 — Британський стандарт BS 7799 друга частина стандарту. BS 7799 Частина 2 — Управління інформаційною безпекою — специфікація систем управління інформаційною безпекою (Специфікація системи управління інформаційної безпеки) визначає специфікацію СУИБ. Втора частина стандарту використовується як критерії при проведенні офіційної процедури сертифікації СУІБ організації.

• BS 7799-3: 2006 — Британський стандарт BS 7799 третя частина стандарту. Новий стандарт в області управління ризиками інформаційної безпеки

• ISO/IEC 17799: 2005 — «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Міжнародний стандарт, базувався на BS 7799-1: 2005.

• ISO/IEC 27000 — Словарь і визначення.

• ISO/IEC 27001 — «Інформаційні технології — Методи забезпечення безпеки — Системы управління інформаційної безпеки — Требования». Міжнародний стандарт, базувався на BS 7799-2: 2005.

• ISO/IEC 27002 — Зараз: ISO/IEC 17799: 2005. «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Дата выхода — 2007 год.

• ISO/IEC 27005 — Зараз: BS 7799-3: 2006 — Руководство по управлению рисками ИБ.

Механізми захисту інформації

Однією з умов безпечної роботи в інформаційній системі є дотримання користувачем ряду правил, які перевірені на практиці і показали свою високу ефективність. Їх декілька:

1. Використання програмних продуктів, отриманих законним офіційним шляхом. Імовірність наявності вірусу в піратської копії у багато разів вище, ніж в офіційно отриманому програмному забезпеченні.

2. Дублювання інформації. Перш за все, необхідно зберігати дистрибутивні носії програмного забезпечення. При цьому запис на носії, що допускають виконання цієї операції, повинна бути, по можливості, заблокована. Слід особливо подбати про збереження робочої інформації. Переважно регулярно створювати копії робочих файлів на знімних машинних носіях інформації із захистом від запису. Копіюється або весь файл, або тільки що вносяться зміни. Останній варіант застосуємо, наприклад, при роботі з базами даних.

3. Регулярне оновлення системного ПЗ. Операційну систему необхідно регулярно оновлювати і встановлювати все виправлення безпеки від Microsoft та інших виробників, щоб усунути існуючі уразливості програмного забезпечення.

4. Обмеження доступу користувачів до налаштувань операційної системи і системним даними. Для забезпечення стабільної роботи системи досить часто потрібно обмежувати можливості користувачів, що можна зробити або за допомогою вбудованих засобів Windows, або за допомогою спеціалізованих програм, призначених для управління доступом до комп'ютера. 

5. У корпоративних мережах можливе застосування групових політик в мережі домену Windows.

6. Для максимально ефективного використання мережевих ресурсів необхідно вводити обмеження доступу авторизованих користувачів до внутрішніх і зовнішніх мережевих ресурсів і блокувати доступ неавторизованих користувачів.

7. Регулярне використання антивірусних засобів. Перед початком роботи доцільно виконувати програми-сканери та програми-ревізори. Антивірусні бази повинні регулярно оновлюватися. Крім того, необхідно проводити антивірусний контроль мережевого трафіку.

8. Захист від мережевих вторгнень забезпечується застосуванням програмно-апаратних засобів, в тому числі: використанням міжмережевих екранів, систем виявлення / запобігання вторгнень IDS / IPS (Intrusion Detection / Prevention System), реалізацією технологій VPN (Virtual Private Network).

9. Застосування засобів аутентифікації і криптографії - використання паролів (простих / складних / неповторяющихся) і методів шифрування. Не рекомендується використовувати один і той же пароль на різних ресурсах і розголошувати відомості про паролі. При написанні пароля на сайтах слід бути особливо уважним, щоб не допустити введення свого пароля на шахрайському сайті-двійника.

10. Особливу обережність слід проявляти при використанні нових (невідомих) знімних носіїв інформації і нових файлів. Нові знімні носії обов'язково повинні бути перевірені на відсутність завантажувальних і файлових вірусів, а отримані файли - на наявність файлових вірусів. При роботі в розподілених системах або в системах колективного користування нові змінні носії інформації і вводяться в систему файли доцільно перевіряти на спеціально виділених для цієї мети комп'ютерах, не підключених до локальної мережі. Тільки після всебічної антивірусної перевірки дисків і файлів вони можуть передаватися користувачам системи.

11. При роботі з отриманими (наприклад, за допомогою електронної пошти) документами і таблицями доцільно заборонити виконання макрокоманд засобами, вбудованими в текстові і табличні редактори (MS Word, MS Excel), до завершення повної перевірки цих файлів.

12. Якщо не передбачається здійснювати запис інформації на зовнішні носії, то необхідно заблокувати виконання цієї операції, наприклад, програмно відключивши USB-порти.

13. При роботі з загальними ресурсами в відкритих мережах (наприклад, Інтернет) використовувати тільки перевірені мережеві ресурси, які не мають шкідливого контенту. Не слід довіряти всієї що надходить на комп'ютер інформації - електронних листів, посилань на Web-сайти, повідомленнями на Інтернет-пейджери. Категорично не рекомендується відкривати файли і посилання, що приходять з невідомого джерела.

Постійне дотримання наведених рекомендацій дозволяє значно зменшити ймовірність зараження програмними вірусами і захищає користувача від безповоротних втрат інформації. Однак навіть при скрупульозному виконанні всіх правил профілактики можливість зараження ПК комп'ютерними вірусами повністю виключити не можна, тому методи і засоби захисту від шкідливого ПО необхідно постійно вдосконалювати і підтримувати в працездатному стані.

Домашнє завдання

1. Опрацювати конспект