CC BY
52КАРЕВ БОРИС АНАТОЛЬЕВИЧ - доктор педагогических наук, профессор, заведующий кафедрой начертательной геометрии и инженерной графики ДВГУПС. Россия, Хабаровск (E-mail: karevdok.27@mail.ru)
ЧОПОВА НАТАЛЬЯ ВАЛЕРЬЕВНА - старший преподаватель Южно-Салинского филиала ДВГУПС. Россия, Южно-Сахалинск
KAREV BORIS ANA TO LYEVIC H - doctor of Pedagogy; professor; Head of the Chair of Descriptive Geometry and Engineering Graphics of Far East State Transport University. Russia, Khabarovsk
CHOPOVA NATALIA VALERYEVNA - senior teacher of the Yuzhno-Sakhalinsk branch of Far East State Transport University. Russia, Yuzhno-Sakhalinsk
УДК 004.56
ПРОКОПЦЕВ В.О. ХАРАКТЕРИСТИКИ МЕЖДУНАРОДНЫХ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ИХ ПРИМЕНЕНИЕ В ПРОФЕССИОНАЛЬНО-ПРОИЗВОДСТВЕННОЙ ДЕЯТЕЛЬНОСТИ
Ключевые слова: международные стандарты информационной безопасности, информационная безопасность предприятия, информационные технологии, н есан кцион ированн ый доступ.
В статье рассматривается понятие «информационная безопасность» с точки зрения международных стандартов информационной безопасности. Детально рассматривается вопрос о применении стандартов информационной безопасности в организациях.
PROKOPTSEV V.O. CHARACTERISTICS OF THE INTERNATIONAL STANDARDS OF INFORMATION SECURITY AND THEIR APPLICATION IN PROFESSIONAL AND INDUSTRIAL ACTIVITY
Keywords: international standards of information security, information security of the enterprise, information technologies, unauthorized access.
In article the concept of information security from the international standards of information security point of view is considered. The question of application of the information security standards in the organizations is in details described.
Информационная безопасность предприятия (ИБ) - это защищенность информации, которой располагает организация (производит, передает или получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. ИБ включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью ИБ является сохранение информационной системы предприятия в целости и сохранности, защита и гарантирование полноты и точности выдаваемой ею информации,
минимизация разрушений и модификация информации, если таковые случаются. В наши дни актуален вопрос, связанный с защитой информационных систем предприятий. В данной статье рассмотрим один из аспектов ИБ, затрагивающий стандарты по обеспечению ИБ в мировой практике.
В последнее время в мире появилось новое поколение стандартов в области защиты информации, ориентированное на управления ИБ компаний. К ним прежде всего следует отнести международные и национальные стандарты управления ИБ ISO 15408, ISO 17799 (BS7799), BSI; стандарты аудита информационных систем и ИБ COBIT, SAC, COSO, SAS 78/94 и другие, аналогичные им. В соответствии с международными и национальными стандартами ISO 15408, ISO 17799 (BS7799), BSI; COBIT, SAC, COSO, SAS 78/94 обеспечение ИБ в любой компании предполагает следующее. Во-первых, определение целей обеспечения ИБ компьютерных систем. Во-вторых, создание эффективной системы управления ИБ. В-третьих, расчет совокупности детализированных качественных и количественных показателей для оценки соответствия ИБ заявленным целям. В-четвертых, применение инструментария обеспечения ИБ и оценки ее текущего состояния. В-пятых, использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения ИБ, позволяющих объективно оценить защищенность информационных активов и управлять ИБ компании [3].
Рассмотрим наиболее известные международные стандарты в области защиты информации, обращая внимание на возможность их применения в российских условиях.
Международный стандарт ISO 15408. В 1990 г. Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (ТЕС) составили специализированную систему мировой стандартизации. ISO начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования. В результате 8 июня 1999 года был утвержден Международный стандарт ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий» (ОК). Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.
Использование методик данного стандарта позволяет определить для компании или организации те критерии, которые могут быть использованы в качестве основы для выработки оценок защитных свойств продуктов и систем информационной технологии. Кроме того, эти методики позволяют проводить наиболее полное сравнение результатов оценки защитных свойств корпоративных информационных систем с помощью общего перечня требований для функций защиты продуктов и систем, а также методов точных измерений, которые проводятся во время получения оценок защиты [5].
В ОК главное внимание уделено защите от несанкционированного доступа (НСД). Модификации или потери доступа к информации в результате случайных или преднамеренных действий и ряд других аспектов ИБ остался не рассмотренным.
В результате на практике становится возможным реализовать следующие существенные особенности.
1. Охватить весь спектр ИТ и учесть особенности каждой конкретной системы при задании требований по безопасности. Предлагаемые адаптированные ОК предназначены для оценки безопасности как систем ИТ, разрабатываемых для автоматизации в конкретной области применения, так и отдельных продуктов ИТ, которые имеют универсальное предназначение. Такие ОК применимы к оценке безопасности как аппаратных средств, так и программного обеспечения ИТ.
2. Применять сформированные по определенным правилам типовые наборы требований по различным видам ИТ, уровням ЗИ и другим классификационным признакам.
Таким образом, работы по анализу требований, реализуемые на основе стандарта ОК, позволяют грамотно задать требования к безопасности ИТ. Результаты работы могут также использоваться для сравнительного анализа различных систем и продуктов ИТ.
3. Предложить широкий спектр, детальность и структурированность требований к механизмам безопасности, мерам и средствам обеспечения их реализации.
4. Охватить весь жизненный цикл ИТ, начиная от формирования целей и требований обеспечения безопасности и кончая поставкой и наладкой ИТ на конкретном объекте.
5. Реализовать возможность формирования наборов требований по уровням безопасности ИТ, сопоставимых с другими системами оценки.
6. Обеспечить комплексность подхода к обеспечению безопасности ИТ.
7. Обеспечить комплексную оценку безопасности ИТ.
8. Предусмотреть расширяемость требований к безопасности ИТ.
Стандарт BS ^О/ГЕС 27002:2005 предоставляет всесторонний набор
механизмов контроля, отражающих лучшую практику в области информационной безопасности. Он служит единым справочником для определения диапазона механизмов контроля, необходимых в большинстве ситуаций, связанных с использованием информационных систем в промышленности и торговле, а также для использования в крупных, средних и небольших организациях. Термин «организация» используется в тексте этого стандарта для обозначения как коммерческих, так и некоммерческих организаций, таких как, например, общественные организации. Не все механизмы контроля, описанные в настоящем документе, применимы в любой ситуации. Невозможно учесть все особенности конкретных систем, окружающей среды и технологические ограничения. Форма данного документа не может соответствовать потребностям каждого потенциального пользователя в организации. Поэтому может потребоваться дополнить данный документ детализированными инструкциями. Он может служить основой для разработки, например, корпоративной политики безопасности или торгового соглашения между компаниями. Являясь сводом практических правил, данный Британский стандарт представлен в форме руководящих принципов и рекомендаций. Не следует ссылаться на данный документ как на спецификацию. Особое внимание следует уделять тому, чтобы заявления о соответствии данному стандарту не вводили в заблуждение относительно уровня защищенности информационной системы. При разработке данного стандарта предполагалось, что реализация его
положений будет доверена специалистам, обладающим необходимой квалификацией и опытом [3].
В настоящее время Международный стандарт ISO/IEC 17799:2005 является наиболее известным стандартом в области защиты информации. Текущая версия стандарта ISO/IEC 17799:2005 рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
- необходимость обеспечения информационной безопасности;
- основные понятия и определения информационной безопасности;
- политика информационной безопасности компании;
- организация информационной безопасности на предприятии;
- классификация и управление корпоративными информационными ресурсами;
- кадровый менеджмент и информационная безопасность;
- физическая безопасность;
- администрирование безопасности корпоративных информационных систем;
- управление доступом;
- требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения;
- управление бизнес-процессами компании с точки зрения информационной безопасности;
- внутренний аудит информационной безопасности компании.
Вторая часть стандарта BS 7799-2:2000 «Спецификации систем управления информационной безопасностью» определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем [2].
Существенно, что вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании - возможные угрозы и уязвимости безопасности - возможные меры и средства контроля и защиты.
Стандарт COBIT - Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий») представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта. Первое издание данного пакета открытых документов было опубликовано в 1996 году [1].
Задача CobiT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и IT-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей. В модели COBIT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна
удовлетворять требованиям бизнес-процесса. Эти требования сгруппированы следующим образом. Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например: стиль, удобство интерфейсов. Характеристики доставки информации получателю - показатели, в обобщенном виде входящие в показатели доступности и частично в показатели конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии. Во-вторых, доверие к технологии - группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность. В-третьих, показатели ИБ - конфиденциальность, целостность и доступность обрабатываемой в системе информации [4].
Новое поколение стандартов в области защиты информации отличается как от предыдущего, так и от Руководящих документов Гостехкомиссии России 1992-1998 годов, большей формализацией процесса обеспечения безопасности и более детальным комплексным учетом качественно и количественно проверяемых и управляемых показателей ИБ компании. Комплексный учет показателей предполагает комплексный подход к управлению безопасности, когда на соответствие определенным правилам проверяется не только программно-техническая составляющая защиты информации компании, но и организационно-административные меры по ее обеспечению. Вместе с тем необходимо учитывать следующее.
Стандарты ISO 15408, ISO 17799 и COBIT позволяют рассмотреть наиболее общие принципы управления ИБ, характерные для процессов защиты информации в целом. Однако названные подходы обладают определенными ограничениями. Ограничением стандарта ISO 15408 является невозможность распространить рекомендации этого стандарта на защиту информационных активов российских компаний, которые отличаются по своей структуре и специфике бизнес-деятельности от ранее рассмотренных примеров организации режима ИБ. Ограничением стандартов ISO 17799 и COBIT является трудность перехода от общих принципов и вопросов защиты информации к частным практическим процессам обеспечения ИБ в российских компаниях. Основная причина этого заключается в том, что защита информационных активов любой российской компании дополнительно характеризуется определенными индивидуальными специфическими условиями бизнес-деятельности в условиях ограничений и регулирования российской нормативной базы в области защиты информации. Другими словами, только совместно используя сильные стороны рассмотренных международных стандартов, а также адаптировав полученные рекомендации в соответствии с требованиями российской нормативной базы в области защиты информации можно эффективно обеспечить защиту информационных активов конкретной российской компании.
Литература и источники
1. Астахов А.М. Введение в СОВ1Т// Директор ИС. - 2003. - № 7.
2. Баранова О.В. Методологические подходы к аудиту информационных систем // Аудит и финансовый анализ - 2009. - № 3.
3. ВдовинИ.А. СоЬй 4.1// Аудит и контроль информационных систем. - 2008.
4. Актуальные проблемы инфотелекоммуникаций в науке и образовании. 20-24 февраля 2012 года: Международная научно-техническая и научно-методическая конференция материалы. № 64. - СПб.: Издательство СПбГУТ, 2012.
5. Цирлов В.Л. Основы информационной безопасности автоматизированных систем. -М.: Феникс, 2008.
ПРОКОПЦЕВ ВЛАДИМИР ОЛЕГОВИЧ - преподаватель кафедры Многоканальных телекоммуникационных систем Хабаровского института инфокоммуникаций. Россия, Хабаровск (E-mail: azp_prokoptsev@mail.ru)
PROKOPTSEV VLADIMIR OLEGOVICH - teacher of the Chair of Multichannel telecommunication systems of Khabarovsk institute of Infocommunication. Russia, Khabarovsk
УДК 159.9
ПРОКОПЦЕВА Н.В. СИНДРОМ ЭМОЦИОНАЛЬНОГО ВЫГОРАНИЯ КАК ФАКТОР ВОЗНИКНОВЕНИЯ ПРОФЕССИОНАЛЬНОЙ ДЕФОРМАЦИИ
ПРЕПОДАВАТЕЛЯ
Ключевые слова: синдром эмоционального выгорания, профессиональная деформация преподавателя, профилактика и коррекция профессиональной деформации.
Проведен анализ синдрома «эмоционального выгорания» как одной из причин формирования профессиональной деформации преподавателя, а также предложены основные направления профилактики и коррекции данного состояния.
PROKOPTS EVA N.V. SYNDROME OF EMOTIONAL BURNING OUT AS A FACTOR OF EMERGENCE OF PROFESSIONAL DEFORMATION OF THE TEACHER
Keywords: syndrome of emotional burning out, professional deformation of the teacher, prevention and correction of professional deformation.
The syndrome analysis of «emotional burning out» as one of the reasons of emergence of the teachers' professional deformation is provided, the main directions of prevention and correction of this condition are offered.
