ISKE – трехуровневая система эталонной защиты информационных систем
Основой для любой информационной защиты служит анализ рисков. Факторы риска, определение сфер, в которых следует принять меры безопасности, установление уровня и вероятности риска, назначение и усовершенствование мер безопасности, акцептация остаточного риска – все это в целом составляет большой объем работы. Сегодня мы говорим об эталонной защите. Эталонная защита – это стандартный минимальный комплекс мер безопасности, которые необходимо применять для достижения и сохранения предусмотренного уровня безопасности информационных активов.
ISKE – трехуровневая система эталонной защиты информационных систем – предназначена для достижения и сохранения безопасности информационных систем, применяемых для работы с базами данных и информационными массивами эстонского государства и муниципалитетов. Система ISKE легко применяется и на коммерческих предприятиях, а также в некоммерческих организациях. ISKE не предназначена для защиты информационных систем, обрабатывающих данные, которые являются государственной тайной.
За основу при разработке и развитии системы ISKE был принят Стандарт базового уровня защиты информационных технологий – IT Baseline Protection Manual (IT-Grundschutz), установленный BSI – Федеральным агентством по безопасности информационных технологий Германии (Bundesamt für Sicherheit in der Informationstechnik, Federal Office for Information Security).
Первая версия инструкции пользования ISKE была готова в октябре 2003 года, в настоящее время действует версия 4.01 (16.12.2008).
Правительство Республики установило систему мер безопасности информационных систем Постановлением №252 от 20 декабря 2007 года (RT I 2007, 71, 440), вступившим в силу 1.01.2008. Обязательность применения системы ISKE устанавливается частью 3 Статьи 439 Закона о публичной информации: «Держатели баз данных всех государственных учреждений и муниципалитетов обязаны применять средства, обеспечивающие безопасность государственной информационной системы».
Система ISKE обязательна к применению не только для держателей баз данных (регистров), но и для их пользователей. Это обусловлено, прежде всего, тем, что, хотя государственные регистры (к примеру, Строительный регистр, Регистр народонаселения) не размещаются физически в помещениях пользователя (муниципалитета), тем не менее, пользователь обладает правом делать запросы в эти регистры, обновлять данные в них и осуществлять прочие операции. Если пользователь не обеспечивает безопасность на достаточном уровне, это приводит к невозможности обеспечения безопасности регистра в целом.
В системе ISKE установлено три уровня защиты: «L» – низкий, «М» – средний и «Н» – высокий. Существует также уровень «Z», обозначающий рекомендуемые меры, которые могут понадобиться, прежде всего, в связи с повышенными требованиями к безопасности. Комплекс мер является многослойным, то есть средний уровень можно получить при добавлении определенных мер к комплексу низкого уровня, а высокий уровень – при добавлении мер к комплексу среднего уровня.
Требуемый уровень определяется в зависимости от целей информационной защиты по следующим параметрам: эксплуатационная безопасность (K), целостность (Т) и конфиденциальность (S). Каждый из этих параметров оценивается по трехбалльной шкале (0-3). Обозначение класса безопасности данных формируется из обозначений подклассов, указанных по порядку: KTS (например, К2Т3S1).
Ответственный пользователь базы данных, которая относится к уровню защиты «Н», обязан провести первый аудит применения системы мер безопасности не позднее 1 марта 2010 года, в случае базы данных с уровнем защиты «М» такой аудит должен быть проведен не позднее 1 декабря 2010 года, а в случае базы данных с уровнем защиты «L» – не позднее 1 марта 2011 года.
Ответственный пользователь базы данных с уровнем защиты «Н» обязан проводить независимый аудит применения системы мер безопасности каждые два года, в случае базы данных с уровнем защиты «М» такой аудит должен проводиться каждые три года, а в случае базы данных с уровнем защиты «L» – каждые четыре года
Дополнительная информация:
Аво Рауп
Руководитель по IT-консультациям
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
Консультации и обучение 
