http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/kratkij-obzor-standarta/ http://www.microfinance.uz/kratkij-obzor-standarta/#comments Thu, 28 Aug 2008 13:28:50 +0000 admin http://www.microfinance.uz/2008/08/28/kratkij-obzor-standarta/ Теперь рассмотрим вопросы классификации средств обработки информации. В разделе “Введение в классификацию ИС” этой главы, было упомянуто о множестве существующих классификаторов, в том числе и российских. Подробно с этими документами читатель может ознакомиться самостоятельно. Из их числа несомненно выделяются:
□ CCITSE (Common Criteria for Information Technology Security Evaluation — Общие критерии оценки безопасности информационных систем);
□ наследник британского стандарта BS7799 — стандарт ISO 17799 (International Security Standard — Международный стандарт по безопасности).
Нам хотелось бы остановиться на первом документе по ряду причин. Во-первых, это качественно разработанный и продолжающий совершенствоваться документ, в создании которого принимают участие высокопрофессиональные специалисты из Великобритании, Германии, Канады, Нидерландов, США и Франции. Во-вторых, по оценкам многих специалистов, этот проект может стать единым стандартом для документов такого характера, заменив собой существующие национальные стандарты. Что касается ISO 17799, то, к сожалению, в настоящее время его нет в свободном доступе в Интернете, поэтому его обсуждение с читателями было бы затруднено.
Мы за основу взяли версию 2.1 документа CCITSE [СС1], которая была доступна в Интернете на момент создания книги. Сравнивая ее с предыдущей версией, можно предположить, что основные характеристики документа сформированы и будут перенесены в более поздние версии.
Документ состоит из трех частей, общим размером более 600 страниц. Первая часть — “Введение и общая модель”, вторая — “Требования к функциональности безопасности”, третья — “Требования к достоверности безопасности”.
Подробно описать весь документ на страницах данной книги невозможно, более того, не каждому специалисту он целиком и понадобится. Отметим основные параметры, по которым выполняется оценка, чтобы читатели имели представление, как такая классификация проводится и, возможно, при необходимости смогли создать свою собственную, выбрать подходящую или хотя бы ориентироваться в документе такого класса.
В первой части документа говорится, что данные критерии являются составной частью общего процесса оценки наряду с такими понятиями, как методика оценки и схема оценки, которые не входят в сферу рассмотрения данного документа. Вводится понятие предмета оценки (англ. Target of Evaluation — TOE), в качестве примера к которому отнесены операционная система, компьютерная сеть, распределенная система или приложение. Также указаны ссылки на понятия конфиденциальности, целостности и доступности. Кроме того здесь представлены принципы формирования целей информационной безопасности для выбора и определения требований и создания спецификаций для продуктов и систем. Собственно этой же цели посвящена вся книга, которую вы держите в руках, поэтому эта часть документа не представляет непосредственного интереса в данной главе. Документ разделяет потенциальных его читателей на три группы — потребитель, разработчик и специалист по оценке.
Дополнительно в этой части даны простые и понятные схематические интерпретации различных аспектов безопасности, таких как “Концепция и связи в рамках безопасности”, “Концепция и связи в рамках оценки”, “Модель развития предмета оценки”, “Процесс оценки предмета” и др. Также определен подход к оценке путем разделения предмета на классы, семейства и компоненты, и использования требований к безопасности.
Во второй и третьей его частях определяются множества функциональных (англ. functional) и доверенных (англ. assurance) компонент как способ определения требований для предмета оценки.
Рассмотрим эти части подробнее.

]]> http://www.microfinance.uz/kratkij-obzor-standarta/feed/ 0