Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вы здесь: Главная / Услуги / Разработка и независимая экспертиза документов по ИБ

Разработка и независимая экспертиза документов по информационной безопасности

Мы разрабатываем и постоянно совершенствуем самую большую из существующих коллекций русскоязычных организационно-распорядительных документов по информационной безопасности, накопили огромный опыт в разработке проектной документации на системы защиты информации и планов обеспечения непрерывности бизнеса.
Разработка документов

Мы принимали участие в разработке первых русскоязычных профилей защиты еще до принятия Общих критериев в качестве международного стандарта в 1999 году, а затем российского национального стандарта.

Услуги GlobalTrust по разработке документов позволяют нашим заказчикам воспользоваться существующим опытом и наработками, съэкономить время и деньги, избежать характерных ошибок и заложить прочный фундамент для управления информационной безопасностью в организации.

Вы можете заказать у нас разработку:

  • Политик и других организационно-распорядительных документов по информационной безопасности
  • Планов обеспечения непрерывности бизнеса и аварийных процедур
  • Профилей защиты и заданий по безопасности

Вы также можете заказать у нас готовые комплекты типовых документов по информационной безопасности и осуществлять их доработку собственными силами или с нашей помощью.

GlobalTrust также оказывает услуги по независимой экспертизе проектной, нормативной и организационно-распорядительной документации по ИБ, которая уже имеется у заказчика или разрабатывается в ходе реализации соответствующих проектов в сфере защиты информации.

Разработка политик информационной безопасности

В основе организационный мер защиты информации лежат политики безопасности организации (ПБ), от эффективности которых в наибольшей степени зависит успешность мероприятий по обеспечению ИБ.

В современной практике обеспечения ИБ термин «политика безопасности» может употребляться как в широком, так и в узком смыле слова. В широком смысле, ПБ определяется как система документированных управленческих решений по обеспечению ИБ организации. В узком смысле под ПБ обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения ИБ.

Примерами таких документов могут служить «Политика управления паролями», «Политика управления доступом к ресурсам корпоративной сети», «Политика обеспечения ИБ при взаимодействии с сетью Интернет» и т.п. Использование нескольких специализированных нормативных документов обычно является предпочтительней создания «Общего руководства по обеспечению ИБ организации».

Например, в компании Cisco Systems, Inc. стараются чтобы размер ПБ не превышал 2 страниц. В редких случаях размер ПБ может достигать 4-5 страниц (3). По нашему опыту содержательная часть типовой ПБ на русском языке обычно не превышает 7 страниц. Этот подход, однако, не противоречит созданию «Концепции обеспечения ИБ», которая бы содержала ссылки на множество специализированных ПБ и увязывала бы их в единую систему организационных мер по защите информации.

Разработка политик безопасности собственными силами – длительный и трудоемкий процесс, требующего высокого профессионализма, отличного знания нормативной базы в области ИБ и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно.

Большинство организаций не располагают собственными людскими ресурсами, необходимыми для квалифицированной разработки и внедрения ПБ. Отыскать готовые политики безопасности, которые бы оказались применимыми в вашей организации, соответствовали бы ее структуре и требованиям безопасности нереально. Несмотря на доступность соответствующих, в основном англоязычных, ресурсов в сети Интернет они являются непригодными для практического использования и могут служить только основой для разработки собственных ПБ.

GlobalTrust располагает самой большой коллекцией шаблонов типовых документов, эффективность которых проверена на практике. При разработке ПБ мы опираемся, помимо собственного опыта, на международные стандарты ИБ, такие как ISO 17799, ISO 15408, ISO 13335, COBIT, ITIL, а также на руководящие документы и рекомендации ФСТЭК и ФСБ.

Разработка профилей защиты и заданий по безопасности

В основе процессов проектирования, оценки и сертификации средств защиты информации, СВТ и АС в настоящее время лежит международный стандарт ISO 15408 Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation).

В основе процессов проектирования, оценки и сертификации средств защиты информации, СВТ и АС в настоящее время лежит международный стандарт ISO 15408 Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation).

Общие критерии определяют требования безопасности, на основании которых проводится оценка уровня защищенности продуктов ИТ, общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно безопасности продуктов ИТ.

В Общих критериях представлены две категории требований безопасности: функциональные требования и требования адекватности (гарантированности) механизмов безопасности. Функциональные требования определяют совокупность функций Объекта оценки, обеспечивающих его безопасность. Адекватность — это свойство Объекта оценки, дающее определенную степень уверенности в том, что механизмы безопасности Объекта оценки достаточно эффективны и правильно реализованы. Выводы об адекватности Объекта оценки делаются на основании знаний о его спецификации, реализации и функционировании. Для выражения функциональных требований и требований адекватности в Общих критериях используется единая терминология и стиль.

В Общих критериях определен ряд ключевых понятий, лежащих в основе концепции оценки защищенности продуктов ИТ. Среди них понятие Профиля защиты (Protection Profile), Задания по безопасности (Security Target) и Объекта оценки (Target of Evaluation). В качестве Объекта оценки может выступать любое СВТ или АС.

Профиль защиты представляет собой жестко структурированный документ, содержащий требования безопасности для определенного класса программно-технических средств. Помимо требований безопасности Профиль защиты описывает множество угроз безопасности и задач защиты, а также содержит обоснование соответствия между угрозами безопасности, задачами защиты и требованиями безопасности.

Задание по безопасности представляет собой жестко структурированный документ, определяющий, помимо требований безопасности, функциональную спецификацию механизмов безопасности конкретного продукта ИТ. Содержащиеся в Задании по безопасности требования безопасности определяются при помощи ссылок на соответствующие Профили защиты и требования Общих критериев. Специфичные для конкретного продукта ИТ требования формулируются отдельно и также включаются в Задание по безопасности. Кроме этого, Задание по безопасности содержит обоснование соответствия между требованиями безопасности и функциональной спецификацией Объекта оценки.

Для получения более подробной информации обращайтесь к нам: