Техническое регулирование и стандартизация в области ИКТ

Стандартизация ИКТ на международном и региональном уровнях

ISO (ИСО) (International Organization for Standardization - Международная организация стандартизации

IEC (МЭК) (International Electrotechnical Commision - Международная электротехническая комиссия)

ITU (МСЭ) (International Telecommunication Union - Международный союз электросвязи,)

Одной из важнейших задач, решаемых этими организациями, является устранение ТБТ (тех. Барьеры в торговле) за счет решения вопросов совместимости средств вычислительной техники, которые в настоящее время входят в состав более 50% продукции, выпускаемой электротехнической и электронной промышленностью.

Сектор стандартизации Международного союза электросвязи ITU-Т специализируется на разработке рекомендаций, которые обеспечивают интероперабельность (способность системы к взаимодействию с другими системами) коммуникационного сервиса в глобальном масштабе, т.е. сервиса, связанного с передачей данных интегрированных услуг связи: голоса и данных, сообщений и справочной информации

–; –

телекоммуникационный и информационный обмен между системами

программное обеспечение

средства для цифрового обмена данными

идентификационные карточки

языки программирования, их среда и интерфейс программного обеспечения

совместимость информационно-технологического оборудования

компьютерная графика и обработка изображения

безопасность информационных технологий

автоматический сбор данных

управление использованием данных

пользовательский интерфейс и т.д.

описание документа и языковая обработка

Стандартизация ИКТ на международном и региональном уровнях

На развитие стандартизации в области ИКТ значительное влияние оказывают крупные международные консорциумы (150 консорциумов, работают в области стандартизации ИКТ). Как правило, консорциумы различаются сферами интересов, организационной инфраструктурой и способами финансирования.
Некоторые из них:

ISOC (Internet Society – Общество Интернета, www.isoc.org) – ассоциация экспертов, отвечающая за разработку стандартов Интернет-технологий

IETF (Internet Engineering Task Force – Рабочая группа инженеров Интернета, www.ietf.org) решает текущие задачи в области стандартизации и развития Интернет-технологий

IRTF (Internet Research Task Force – Исследовательская группа Интернета, www.irtf.org) решает проблемные задачи по развитию Интернеттехнологий

OMG (Object Management Group – Группа управления объектами, www.omg.org) – международный консорциум, осуществляющий разработку стандартов унифицированного распределенного программного обеспечения, созданного на принципах объектно-ориентированной модели

ATM Forum (Asynchronous Transfere Mode Forum, www.atmforum.org) – консорциум, целями которого являются разработка и развитие стандартов широкополосных сетей асинхронного режима передачи данных

ECBS (European Commitee for Banking Standards – Европейский комитет банковских стандартов, www.ecbs.org) отвечает за разработку общеевропейского стандарта для банковской инфраструктуры

DAVIC (Digital Audio-Visual Council – Совет по развитию цифровых аудио- и видеомультимедиа систем, www.davic.org) – консорциум, осуществлявший разработку и развитие архитектурных, функциональных и информационных моделей и стандартов мультимедиа-сервисов Глобальной информационной инфраструктуры

TeleManagement Forum (www.tmforum.org) – глобальный консорциум операторов и поставщиков услуг, разрабатывает стандарты в области управления частными сетями и услугами

Open Group (www.opengroup.org) – организация, сформированная в 1996 г. в результате объединения консорциумов X/Open и Open Software Foundation, исследует вопросы открытости и бесшовного введения информационных систем в интерсеть

Gigabit Ethernet Alliance (www.gigabit-ethernet.org) – консорциум, целью которого является разработка стандартов технологий Ethernet нового поколения (стандарт IEEE 802.3z на волоконно-оптические системы связи), обеспечивающих скорость передачи данных 1 Гбит/с.

Стандартизация ИКТ на международном и региональном уровнях

Работы по стандартизации ИКТ также проводятся промышленными профессиональными организациями, среди которых следует особо выделить Институт инженеров по электротехнике и электронике (IEEE).

Первый стандарт по разработке программного обеспечения был создан IEEE еще в 1979 г. К 1990 г. ISO/IEC JTC 1/SC 7 разработал 8 стандартов (6 действуют и в настоящее время), IEEE к этому времени уже разработал 14 стандартов по программному обеспечению, число которых возросло до 27 к 1994 г., сейчас их более 50.

Европейский комитет по стандартизации (фр. Comité Européen de Normalisation, CEN) — международная некоммерческая организация, основной целью которой является содействие развитию торговли товарами и услугами путём разработки европейских стандартов (евронорм, EN). Организация создана в 1961 году.

СЕНЭЛЕК создан в 1971 г. объединением двух европейских организаций — Европейского комитета по координации электротех­нических стандартов стран – членов ЕАСТ и Европейского комитета по координации электротехнических стандартов стран – членов ЕС (в то время ЕЭС).
Члены СЕНЭЛЕК — 17 стран Европы: Австрия, Бельгия, Великобритания, Германия, Греция, Дания, Ирландия, Испа­ния, Италия, Люксембург, Нидерланды, Норвегия, Португалия, Финляндия, Франция, ФРГ, Швейцария, Швеция. Все они представлены национальными электротехническими комитета­ми и являются членами МЭК (кроме Люксембурга).

Начало деятельности института ETSI относится к 1988 г. Основная его задача — поиск общих стан­дартов, на основе которых можно создать комплексную инфра­структуру электросвязи. Эта инфраструктура призвана обеспе­чить полную совместимость любого оборудования и услуг, предлагаемых потребителям.

Европейская конференция почтовой и телеграфной связи (СЕРТ) (СЕPТ была образована в 1959 году 19 странами. В настоящее время включает в себя 48 стран-членов, охватывая практически всю Европу)
Европейский комитет по сертификации в области информационных технологий (ЕCITC).

Одной из главных тенденций процесса стандартизации является все более тесная интеграция деятельности различных организаций, направленная на создание единой системы стандартизации информационного общества

Основным направлением работ по стандартизации ИКТ в РФ является использование международных достижений и принятие международных стандартов в качестве государственных

Защита информации представляет собой деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, т. е. процесс, направленный на достижение этого состояния

В качестве стандартной модели безопасности часто используется модель CIA:

С – конфиденциальность (confidentiality) – доступность информации только определенному кругу лиц;
– I – целостность (integrity) – гарантия существования информации в исходном виде;
– А – доступность (availability) – возможность получения информации авторизованным пользователем в нужное для него время.

К перечисленным выше можно добавить и другие категории информационной безопасности:
– аутентичность – возможность установления автора информации;
– апеллируемость – возможность доказать, что автором является именно заявленный человек, а не другой.

Если коммерческая организация допускает утечку более 20% важной внутренней информации, то в 60 случаях из 100 она банкротится.
Утверждают также, что 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покинули бизнес, причем половина из них заявила о своей несостоятельности сразу же.

По статистическим данным Национального отделения ФБР США по компьютерным преступлениям, от 85 до 97% нападений на корпоративные сети не только не пресекаются, но даже и не обнаруживаются. Специальная группа экспертов провела анализ защищенности военных информационных систем; в 88% случаях несанкционированное проникновение посторонних в эти системы было успешным.

Таким образом, защита информации по своим характеристикам и затратам должна быть соразмерной масштабам угроз.

Способы защиты информации постоянно меняются, как меняется наше общество и технологии. Но какие бы сложные шифры и современные технические средства ни использовали для защиты информации, в любой системе безопасности существует самое слабое звено – это человеческий фактор. И этому есть много исторических подтверждений.

Так, летом 2013 года полиция Тайваня задержала трёх топ-менеджеров корпорации HTC, связанных с разработкой продуктов. Одно из выдвинутых обвинений — передача конфиденциальной информации по перспективным разработкам конкурирующим фирмам. При этом не лишним будет напомнить, что на протяжении долгого времени дела HTC шли не самым лучшим образом, финансовые показатели ухудшались, а в 3 квартале 2013 года компания зафиксировала чистый убыток около $100 млн. Использование служебного положения — типичный кейс для целенаправленных утечек.

ИБ

В качестве примера можно привести «утечку» клиентской базы в компанию-конкурент вместе с сотрудниками. По неофициальной информации, с такой проблемой столкнулся филиал коммерческого банка ОАО «Уралсиб» в Воронеже, когда в конце 2009 года ряд сотрудников «Уралсиба» перешли работать в Воронежский филиал Банка «Поволжский» забрав с собой клиентскую базу предыдущего работодателя. И клиенты «Уралсиба» с назойливой регулярностью начали получать предложения от нового банка. Это может привести к оттоку клиентов, возможным судебным тяжбам и, конечно же, удару по репутации банка. В «Уралсибе» и банке «Поволжский» эту информацию не комментируют.

Шифровальная машина, как и любая другая электрическая машина, имеет побочное электромагнитное излучение, которое модулируется информационным сигналом еще до момента его кодирования. Таким образом, путем перехвата и анализа побочных излучений шифровальной машины, не имея ключа для расшифровки кодированных сообщений, представляется возможным получать необходимую информацию.

Долгое время все, что было связано с понятием ПЭМИН, было окутано завесой секретности. Первое сообщение, появившееся в открытой печати, принадлежит голландскому инженеру Вим ван Эку (Wim van Eck), опубликовавшему в 1985 году статью «Электромагнитное излучение видеодисплейных модулей:

Риск перехвата?» Статья посвящена потенциальным методам перехвата композитного сигнала видеомониторов. В марте 1985 года на выставке Securecom-85 в Каннах ван Эк продемонстрировал оборудование для перехвата излучений монитора. Эксперимент показал, что перехват возможен с помощью слегка доработанного обычного телевизионного приемника.

В 1983 г. Министерством обороны США разработан стандарт MIL 5200.28 Trusted Computing System Evaluation Criteria (TCSEC) (Критерий оценки безопасности компьютерных систем). Из-за цвета обложки он получил название «Оранжевая книга». Эта модель базировалась на правительственной концепции уровней классификации информации (несекретная, конфиденциальная, секретная, совершенно секретная) и уровней допуска.

В Европе критерием оценки безопасности служил стандарт ITSEC – Information Technology Security Evaluation Criteria (Критерий оценки безопасности информационных технологий).

Уровень A самый высокобезопасный

Далее следует уровень B, внутри которого в порядке понижения безопасности идут классы B3, B2, B1

Затем наиболее распространенный уровень C (с классами C2 и C1).

Самый низкий уровень – D, включающий системы, которые не смогли получить аттестацию по заявленным выше классам

Для каждого класса определены функциональные требования и требования гарантированности, которым должна удовлетворять система, чтобы соответствовать определенному уровню сертификации.

уровень C — произвольное управление доступом;
уровень B — принудительное управление доступом;
уровень A — верифицируемая безопасность.

Профиль защиты (ПЗ) - это независимая от реализации совокупность требований безопасности для некоторой категории изделий ИТ, отвечающая специфическим запросам потребителя.

ПЗ не регламентирует, каким образом должны быть выполнены данные требования, тем самым предоставляя возможность разработчику системы защиты самостоятельно выбирать средства защиты.
ПЗ может применяться либо к определенному классу продуктов, например, операционным системам или межсетевым экранам, и к совокупности продуктов, образующих систему информационной технологии (например, виртуальные частные сети, PKI). 

Использование профилей защиты преследует три основные задачи:

стандартизация наборов требований к информационным продуктам

проведение сравнительного анализа уровней безопасности различных изделий ИТ

оценка безопасности

ПЗ подлежат оценке, регистрации и сертификации в соответствии с руководящими документами ФСТЭК России.

Следуя компромиссу между требованиями безопасности, эффективностью системы и ее ценой, подавляющее большинство компаний стремится сегодня получить сертификат по классу C2

Политика безопасности и уровень гарантированности для данного класса должны удовлетворять следующим важнейшим требованиям:

пользователи должны идентифицировать себя, причем аутентификационная информация должна быть защищена от НСД;
должны быть в наличии аппаратные или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;
защитные механизмы должны быть протестированы (нет способов обойти или разрушить средства защиты доверенной вычислительной базы);

В настоящее время на международном уровне в сфере информационной безопасности разработано более 60 международных стандартов. Международные стандарты (BS 7799-1-2-3:2005(6), ISO/IEC 17799:2005, ISO/IEC 27001, 27002, 27005:2005) представляют собой сборник рекомендаций по развертыванию системы управления информационной безопасностью для сотрудников организаций, ответственных за разработку, реализацию и обеспечение защиты информации.

Эти основополагающие стандарты формируют общую основу для разработки стандартов безопасности отдельных организаций, эффективных правил по поддержанию этой безопасности и обеспечению конфиденциальности торговых связей между организациями.

На национальном уровне вышеперечисленные международные стандарты вступают в силу после их принятия в качестве национальных стандартов.