Големина на текста:
ISO 17799 И COBRA. АНАЛИЗ ЗА СЪОТВЕТСТВИЕ
ст. н.с. II ст. д.т.н. Веселин Ценов Целков
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
АНОТАЦИЯ
Развитието на информационното общество, стратегиите за информационни войни и
информационен тероризъм и престъпления, поставят въпроса за защитата на
информацията в компютърните системи и мрежи като един от основните въпроси за
осигуряване на информационната сигурност. Целта на настоящата работа е да се
направи представяне на приложението на програмната система COBRA [9] в процеса на
одит за съответствие по стандарта ISO 17799 (BS 7799) [6,7] на системата за
информационна сигурност на една Организация. Изследванията са извършени в
Специализираното Висше Училище по Библиотекознание и Информационни
Технологии.
Ключови думи: информационна сигурност, политика за сигурност, стандарти за
информационна сигурност, ISO 17799, BS 7799, COBRA
1. ВЪВЕДЕНИЕ
Развитието на Internet, като най-голямата световна мрежа, я поставя в основата на
взаимодействията в Информационното Общество [1, 2]. Все повече корпоративни
информационни системи (държавни и частни) се изграждат на базата на Интернет
технологиите. С това се увеличават заплахите и атаките, и въпросите за сигурността на
информацията в компютърните системи и мрежи на отделната Организация стават по-
сериозни и актуални. Анализът и оценката на информационната сигурност на
Организацията заемат съществено място при изграждане на системата за сигурност.
2. ИНФОРМАЦИОННА СИГУРНОСТ
С развитието на информационните взаимодействия и увеличаването на атаките върху
компютърните системи, въпросите за компютърната сигурност стават по-сериозни [3,
5]. Компютърната сигурност защитава компютъра и всичко, свързано с него - сградата,
стаите, терминалите, принтерите, кабелите, дисковете и лентите. Най-важното е, че
компютърната сигурност защитава информацията, съхранявана в системата. Ето защо
компютърната сигурност често се нарича информационна сигурност.
Информационната сигурност
Информационната сигурност осигурява: тайна;
2
цялостност; наличност.
Политика за сигурност
Политиката на сигурност е множеството от правила и практики, които определят как
една организация управлява, защитава и разпределя информацията. Това е рамката, в
която една система осигурява защитата и се изразява в описанието на средствата за
защита, обектите на защита, служби и механизми и основни практически принципи.
Две са изходните точки при дефинирането на политиката на компютърната сигурност:
Кои ресурси трябва да се защитят? Срещу какви заплахи трябва да се защити
компютъра?
3. ISO 17799 И COBRA
3.1. ISO 17799
Стандартът ISO 17799:2000 съдържа препоръки за управление на информационната
сигурност на една Организация. Той покрива различни аспекти на сигурността като:
Планиране на кризисни ситуации; Физическа сигурност; Въпроси на сигурността,
свързани с персонала; Контрол на достъпа до информационните системи; Сигурност
при разработка и поддръжка на информационни системи.
ISO 17799:2000 представя най-добрите практики по сигурността, които могат да бъдат
приложени във всяка компания, независимо от нейния размер и специфика на
дейността. Стандартът не е обвързан с определена информационна технология. От своя
страна стандартът BS 7799-2 дефинира изисквания към системи за информационна
сигурност. Изграждането на система за информационна сигурност в съответствие с
изискванията на двойката стандарти ISO 17799:2000 / BS7799-2 е един от най-
подходящите начини за управление на рисковете, свързани с информацията във всяка
една Организация.
3.2. ISO 17799, КРИТИЧНИ ФАКТОРИ ЗА УСПЕХ
ISO 17799 идентифицира десетте най-важни фактора, които са основа за успешната
реализация на сигурността в Организацията. Те са както следва: Един подход към
информационната сигурност, който отразява културата на Организацията; Политиката
за информационна сигурност, обекти и дейности, които са свързани с дейностите на
Организацията; Задължения за сигурността на всички нива на управлението; Добро
разпределение на стандартите и ръководствата за информационна сигурност;
3
Прилагане на ефективни мерки в системата за информационна сигурност; Подходящо
финансиране на дейностите по информационна сигурност; Адекватно убеждение,
обучение и тренировки; Реакции от системата за управление на инцидентите, свързани
с информационната сигурност; Добро разбиране на изискванията и риска за
информационната сигурност; Ефективно разбиране за сигурността „от край до край”
през целия бизнес процес на Организацията.
3.3. ISO 17799, COBRA
COBRA е програмен продукт, подпомагащ извършването на одит за информационна
сигурност на една Организация, в съответствие с ISO 17799 (BS 7799). Базиран е на
попълване на въпросници и оценка на получените отговори. Състои се от два основни
модула: Анализ за съответствие; Консултант за риска.
Анализ за съответствие
В модула се проверява съответствието на системата за информационна сигурност с
изискаванията на ISO 17799 (BS 7799).
Консултант за риска
Основното назначение на модула е анализ и оценка на риска. В модула са включени:
Оценка на риска на най-високо ниво; Оценка на риска на информационните
технологии; Оценка на риска на информационните технологии и бизнес операциите;
Оценка на риска в инфраструктурата.
Компоненти на COBRA
Основните компоненти на COBRA във всеки един от изброените модули са:
Конструктор на въпросници (могат да се използват и стандартно заложени); Контрол на
риска; Генератор на доклади.
4. АНАЛИЗ ЗА СЪОТВЕТСТВИЕ. ВЪПРОСНИК
Представени са отделните компоненти (модули) на основния модул Анализ за
съответствие. За всеки модул са дадени описанието на модула, предметите на одит и
брой на въпросите в модула. Направено е обобщение.
Модул A: ПОЛИТИКА ЗА СИГУРНОСТ Описание: СЕКЦИЯ 5 – ПОЛИТИКА ЗА
СИГУРНОСТ
Предметът на тази секция е да осигури директно управлението и поддръжката на
информационната сигурност на Организацията, в
4
съответствие с изискванията на бизнеса и съответните закони и нормативни актове.
Брой въпроси: 9
Модул B: СИГУРНОСТ НА ОРГАНИЗАЦИЯТА Описание: СЕКЦИЯ 6 – СИГУРНОСТ
НА ОРГАНИЗАЦИЯТА
Предмети на одит в тази секция са:
o Управлението на информационната сигурност вътре в Организацията;
o Поддържането на сигурността на средствата, осигуряващи информационните процеси
на Организацията и информационните предимства от достъп от трети страни;
o Поддържането на сигурността на информацията, когато отговорността за
информационните процеси се осигурява (has been outsourced) от друга организация.
Брой въпроси: 15
Модул C: УПРАВЛЕНИЕ НА АКТИВИТЕ Описание: СЕКЦИЯ 7 – УПРАВЛЕНИЕ НА
АКТИВИТЕ
Предмети на одит в тази секция са:
o Поддържането на подходяща защита на активите на Организацията;
o Осигуряване на съответното ниво на защита на информационните активи на
Организацията. Брой въпроси: 10
Модул D: ЧОВЕШКИ РЕСУРСИ Описание: СЕКЦИЯ 8 – СИГУРНОСТ НА
ЧОВЕШКИТЕ РЕСУРСИ
Предмети на одит в тази секция са:
o Осигуряването, че служителите, партньорите и другите потребители разбират техните
отговорности и вземат предвид техните роли за редуцирането (намаляването) на риска
от кражби, измами или неправилно използване на средствата;
o Осигуряването, че служителите, партньорите и другите потребители са осъзнали
(знаят) заплахите и уязвимостите за информационната сигурност и са подготвени
(оборудвани) да осигурят изпълнението на политиката за сигурност на Организацията в
тяхната нормална работа;
o Осигуряването, че служителите, партньорите и другите потребители напускат
Организацията или сменят ролите (длъжносттите) си по контролиран начин. Брой
въпроси: 12
Модул E: ФИЗИЧЕСКА СИГУРНОСТ И СИГУРНОСТ НА СРЕДАТА Описание:
СЕКЦИЯ 9 – ФИЗИЧЕСКА СИГУРНОСТ И СИГУРНОСТ НА СРЕДАТА
Предмети на одит в тази секция са:
5
o Предотвратяването на неоторизиран достъп, повредите и физическите увреждания на
помещенията и информацията на Организацията;
o Предотвратяването на загуба, повреждане или компроментиране на активите или
прекъсване на дейностите на Организацията;
o Предотвратяването на компроментиране или кражба на информация и устройства за
информационните процеси. Брой въпроси: 17
Модул F: КОМУНИКАЦИИ И ОПЕРАЦИИ Описание: СЕКЦИЯ 10 – УПРАВЛЕНИЕ
НА КОМУНИКАЦИИТЕ И ОПЕРАЦИИТЕ
Предмети на одит в тази секция са:
o Осигуряването на правилното и сигурно функциониране на комуникационно-
информационните средства;
o Прилагането и използването на съответстващи нива на информационна сигурност и
услуги за предаване, в случаите когато трета страна осигурява предаването;
o Минимизирането на риска за системни откази;
o Защитата на цялостността на програмното осигуряване (software) и информацията;
o Запазването на цялостността и наличността на информационните процеси и
комуникациите;

Това е само предварителен преглед

За да разгледате всички страници от този документ натиснете тук.
КОМЕНТАРИ
(1-10 от 1)
vaskaolegova написа на 04 ное 2009 ОТГОВОРИ
студент на 25 години от Благоевград , Югозападен университет "Неофит Рилски"
това е лекция
 
Домашни по темата на материала
Информационни аспекти на сигурността
добавена от Apu3JL 19.04.2012
0
50
Подобни материали
 

Проверка на самоличност, задържане, правни гаранции


28ми въпрос проверка на самоличност, задържане и отвеждане на лица. Правни гаранции Полицейските органи могат да извършват проверка за установяване на самоличността на лице: *за което има данни, че е извършило престъпление или друго нарушение на общ...
 

Полицеиско право


Има около 200 определения за НцС. Понятие за национална сигурност - когато липсват заплахи срещу държавата или при наличието на такива, страната може да ги преодолее. В този аспект не следва да се разглежда като елемент на...
 

Мерки срещу изпирането на пари


Изпирането на пари е съществувало още през Средновековието, когато широко разпространено било морското пиратство...
 
Онлайн тестове по Полиция, отбрана, национална сигурност
Тест по основи на националната и международната сигурност
изпитен тест по Полиция, отбрана, национална сигурност за Студенти от 2 курс
Тестът е изпитен за УНИБИТ при Стойчо Стойчев, 2 курс, задочно обучение. Състои се от 60 въпроса, всеки от които има само един верен отговор.
(Лесен)
60
70
1
5 мин
11.09.2013
Тест върху Закона за защита на класифицираната информация
изходен тест по Полиция, отбрана, национална сигурност за Студенти
Тестът се полага в НВУ "Васил Левски" - В. Търново, факултет "Общовойскови", катедра "Национална и регионална сигурност"...
(Лесен)
24
615
1
13.10.2011
» виж всички онлайн тестове по полиция, отбрана, национална сигурност

Кобра

Материал № 377534, от 30 сеп 2009
Свален: 71 пъти
Прегледан: 87 пъти
Качен от:
Предмет: Полиция, отбрана, национална сигурност
Тип: Курсова работа
Брой страници: 6
Брой думи: 1,163
Брой символи: 11,493

Потърси помощ за своята домашна:

Имаш домашна за "Кобра"?
Намери бързо решение, с помощтта на потребители на Pomagalo.com:

Намери частен учител

Виолета Георгиева
преподава по Финансов контрол
в град София
с опит от  3 години
121 32

виж още преподаватели...
Последно видяха материала
Сродни търсения