Какие пособия положены мамочкам в МолдовеКомментарии: 19

Декретный отпуск

В соответствии со статьей 124 Трудового кодекса РМ, работающие молдавские женщины имеют право на отпуск по беременности и родам продолжительностью 70 календарных дней в дородовой и 56 дней - в послеродовой период. Всего - 126 календарных дней. Будущие мамы могут не просто претендовать, а требовать установления во время беременности неполного рабочего дня или даже неполной рабочей недели. С чистой совестью беременные вправе отказываться от командировок, ночной и сверхурочной работы, а также трудовых подвигов в выходные, нерабочие и праздничные дни.

Более того, они могут требовать у работодателя перевода на более легкую работу с сохранением прежней заработной платы. Расчет декретного отпуска происходит следующим образом. Основой для исчисления пособий является среднемесячный доход за последние 6 предшествовавших наступлению страхового риска календарных месяцев, на который начислялись взносы социального страхования.

Среднемесячный застрахованный доход, принятый для исчисления размера пособий, не может превышать 3 прогнозированных среднемесячных заработных плат по стране. Если месяцы, взятые для исчисления пособий, не отработаны полностью по уважительным причинам, то берется застрахованный доход за полностью отработанные календарные месяцы соответствующего периода.

Если женщина работала менее 6 месяцев, основой для исчисления является среднемесячный застрахованный доход, полученный за полностью отработанные календарные месяцы. При наличии страхового стажа менее одного календарного месяца учитывается застрахованный доход за отработанные дни, который делится на число отработанных дней и умножается на число рабочих дней месяца.

При отсутствии по уважительным причинам застрахованного дохода за последние 6 календарных месяцев, предшествовавших месяцу наступления страхового риска, основой для исчисления пособий является тарифная ставка или должностной оклад получателя. Женщинам, работающим на нескольких предприятиях и застрахованным на каждом из них, пособие исчисляется в зависимости от общего застрахованного дохода. Застрахованные доходы подтверждаются справками с каждого предприятия. Основой для исчисления пособия по материнству, предоставляемого женщине, находящейся на содержании у работающего мужа, является среднемесячный застрахованный доход мужа.

Единовременное пособие

Закон о бюджете социального страхования на 2010 год (№129-XVIII от 23.12.2009 года) претерпел в этом году изменения, которые были внесены постановлением правительства от 19 января. Найти эти изменения можно в «Monitorul Oficial» №8-10 от 22 января этого года. Согласно этим изменениям, начиная с 1 января 2010 года, единовременное пособие при рождении ребенка для детей, рожденных в этом году, повысилось на 300 леев. Причем повышение коснулось и застрахованных мамочек, и незастрахованных. На сегодняшний день пособия при рождении ребенка выглядят следующим образом:

- при рождении первого ребенка – 1700 леев

- при рождение каждого последующего ребенка – 2000 леев.

Ежемесячные выплаты

Также, начиная с 1 января 2010 года, увеличился размер ежемесячного пособия по уходу за ребенком до достижения им возраста 1,5 года для незастрахованных лиц от 150 леев до 250 леев. Будьте внимательны, лицам, получавшим пособие по уходу за ребенком до 1 января 2010 года в размере 150 леев, размер пособия увеличился, начиная с января этого года, в автоматическом режиме. Изменения внесены в постановлении правительства №1478 от 15 ноября 2002 года. Согласно им, ежемесячное пособие на содержание ребенка в возрасте от 3 до 16 лет для застрахованных лиц и в возрасте от 1,5 до 16 лет для незастрахованных лиц, в том числе на ребенка, взятого под опеку или попечительство, начиная с 1 января 2010 года, не назначается.

Неработающие мамы (то есть незастрахованные) получают пособие до 1,5 лет. А работающие - до 3-х лет. Но с 1 апреля 2010 года увеличены на 5 процентов пособия по уходу за ребенком до трех лет. Решение это принято на уровне кабинета министров. Выплаты составляют четверть объема жалования на последнем месте работы. Минимальная сумма ежемесячных пособий для молодых мам составит 300 леев.

Компенсация на проезд в общественном транспорте

Все знают о решении муниципального совета от 15.09.2009 о повышении тарифов на проезд в городском общественном транспорте и о компенсациях для некоторых категорий граждан. Многие мамочки подходят под категорию «граждане, чей ежемесячный доход не превышает 1450 леев». Получается, что тем, кто находится в отпуске по уходу за ребёнком в возрасте до 3 лет и у кого размер ежемесячного пособия не превышает 1450 леев, тоже могут воспользоваться компенсацией на проезд в общественном транспорте города Кишинева. 70 леев семейному бюджету не повредят. Для оформления компенсации нужно обратиться в управление социальной защиты. С собой нужно иметь: оригинал и копию удостоверения личности, справку о размере пособия и копию приказа с вашего места работы о том, что вы находитесь в отпуске по уходу за ребёнком.

Для чернобыльцев - путевки

Для этой категории граждан тоже есть льготы. Дети, эвакуированные из зоны отчуждения, а также дети в возрасте до 18 лет, родившиеся после 26 апреля 1986 г. один из родителей которых пострадал вследствие Чернобыльской катастрофы, имеют право на ежегодное обеспечение бесплатными путевками в санаторно-курортные и другие оздоровительные учреждения (при наличии медицинских показаний).

Для получения бесплатной санаторной путевки необходимо обратиться в территориальную кассу социального страхования (ТКСС) по месту жительства до 15 января соответствующего года. При себе иметь следующие документы:

-заявление на предоставление путевки

- медицинскую справку формы 070/е с рекомендациями по профилю восстановительно-оздоровительного учреждения, выданную семейным врачом

- копию удостоверения участника ликвидации последствий аварии на Чернобыльской АЭС

- копию паспорта или удостоверения личности

- копию трудовой книжки

- справку КВЭЖ (бывший ВТЭК) для инвалидов, в отношении которых установлена причинная связь с последствиями аварии на Чернобыльской АЭС

- медицинскую справка с рекомендациями о профиле санатория

- свидетельство о рождении ребенка (если оформляется компенсация на ребенка)

- медицинскую справку с показаниями на санаторно-курортное лечение ребенка

- справку детского лечебного учреждения о непредставлении санаторно-курортной путевки

- справку с места работы о выплате или невыплате компенсации или предоставлении путевки за период работы на данном предприятии (для работающих граждан)

- справку об эвакуации из 30-километровой зоны (для эвакуированных лиц)

- справку о непредставлении санаторной путевки - для получателей по линии

Министерства обороны, Министерства внутренних дел, Департамента пенитенциарных учреждений, Министерства внешних отношений и других военных центров.

Если в течение календарного года не имеется возможности обеспечить ребенка путевкой по линии Министерства здравоохранения, то не позднее первой декады декабря родители имеют право обратиться в ТКСС за получением компенсации - при предоставлении сертификата медико-консультативного консилиума Центра семейных врачей о невозможности предоставления путевки на данный календарный год.

Кому еще можно рассчитывать на пособия?

Из средств госбюджета выплачиваются также следующие пособия:

- ежемесячное пособие на детей, чьи родители уклоняются от уплаты алиментов

- социальные пособия по уходу за инвалидами с детства I группы или детьми-инвалидами в возрасте до 16 лет с поражениями 1-й степени (для неработающих лиц)

- ежегодная денежная компенсация в размере стоимости одной санаторно-курортной путевки детям участников ликвидации последствий аварии на Чернобыльской АЭС, родившимся после 1986 года

- единовременная материальная помощь детям, потерявшим кормильца вследствие аварии на Чернобыльской АЭС.

К заявлению о получении единовременного пособия при рождении ребенка и ежемесячного пособия по воспитанию/уходу за ребенком прилагаются следующие документы:

- документ, удостоверяющий личность матери или отца (опекуна, попечителя)

- свидетельство о рождении ребенка, при необходимости, свидетельство о рождении предыдущего ребенка

- справка о рождении ребенка (только для получения единовременного пособия при рождении ребенка)

- документ, подтверждающий, что мать (отец) ребенка не работает (трудовая книжка, справка, выданная учебным заведением, справка, выданная территориальным агентством занятости населения).

Обращаться за пособием необходимо в течение года с момента рождения ребенка, и вы обязательно получите единовременное пособие. Что касается ежемесячных пособий, то они будут зачисляться с момента обращения в территориальную кассу социального страхования.

Адреса управлений социальной помощи города Кишинева:

Центр - ул. Эминеску, 29

Боюканы - ул. Алба-Юлия, 5

Чеканы - бул. Мирча чел Бэтрын, 5/2

Рышкановка - бул. Ренаштерий, 21

Ботаника - ул. Н. Титулеску, 47

Недопустимый идентификатор

Идентификатор 123456789/19038/1/%D0%A2%D0%B5%D0%BC%D1%8B%20%D0%BA%D0%BE%D0%BD%D1%82%D1%80%D0%BE%D0%BB%D1%8C%D0%BD%D1%8B%D1%85%20%D1%80%D0%B0%D0%B1%D0%BE%D1%82%20%D0%B4%D0%BB%D1%8F%20%D0%B7%D0%B0%D0%BE%D1%87.%D0%BE%D1%82%D0%B4%D0%B5%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F.PDF не соответствует правильному Bitstream ЭБ. Это могло произойти по одной из следующих причин:

• URL текущей страницы неверен. Если Вы попали сюда извне ЭБ, то, возможно, адрес набран неправильно или поврежден.
• Вы ввели недопустимый ID в форму — пожалуйста, повторите попытку.

Если у Вас возникли проблемы или Вы считаете, что ID должен работать, то свяжитесь с администраторами сайта.

Реферат: Стандарты в информационной безопасности

3.2 Механизмы реализации безопасности

3.3 Разделы и классы

4. Международный стандарт управления информационной безопасностью ISO 17799

4.1 Критерии оценки защищенности информационных систем

4.2 Критерии проведения аудита безопасности информационных систем

4.3 Международный стандарт безопасности информационных систем ISO 17799

4.4 ISO 17799 в странах СНГ

4.5 Преимущества, получаемые компанией после прохождения сертификации по ISO 17799

4.6 Практика прохождения аудита и получения сертификата ISO 17799

4.7 Программные средства создания и проверки политики безопасности на соответствие требованиям ISO 17799

5. Стандарты безопасности в Интернете

1. Международная электротехническая комиссия

Международная электротехническая комиссия (International Electrotechnical Commission, IEC) — международная некоммерческая организация по стандартизации в области электрических, электронных и смежных технологий. Некоторые из стандартов МЭК разрабатываются совместно с Международной организацией по стандартизации (ISO).

МЭК составлена из представителей национальных служб стандартов. МЭК была основана в 1906 году и в настоящее время в её состав входят более 76 стран. Первоначально комиссия располагалась в Лондоне, с 1948 года по настоящее время штаб-квартира находится в Женеве, Швейцария. В настоящее время имеет региональные центры в Юго-восточной Азии (Сингапур), Латинской Америке (Сан-Пауло, Бразилия) и Северной Америке (Бостон, США).

МЭК способствовала развитию и распространению стандартов для единиц измерения, особенно гаусса, герца, и вебера. Также МЭК предложила систему стандартов, которая в конечном счёте стала единицами СИ. В 1938 году был издан международный словарь с целью объединить электрическую терминологию. Эти усилия продолжаются и Международный электротехнический словарь остаётся важной работой в электрических и электронных отраслях промышленности.

Стандарты МЭК имеют номера в диапазоне 60 000 — 79 999, и их названия имеют вид типа МЭК 60411 Графические символы. Номера старых стандартов МЭК были преобразованы в 1997 году путём добавления числа 60 000, например, стандарт МЭК 27 получил номер МЭК 60027. Стандарты, развитые совместно с Международной организацией по стандартизации, имеют названия вида ISO/IEC 7498-1:1994 Open Systems Interconnection: Basic Reference Model.

2. Организация ISO

Международная организация по стандартизации. ИСО (International Organization for Standardization. ISO ) — международная организация, занимающаяся выпуском стандартов.

Международная организация по стандартизации создана в 1946 двадцатью пятью национальными организациями по стандартизации. Фактически её работа началась с 1947. СССР был одним из основателей организации, постоянным членом руководящих органов, дважды представитель Госстандарта избирался председателем организации. Россия стала членом ИСО как правопреемник СССР. 23 сентября 2005 года Россия вошла в Совет ИСО.

При создании организации и выборе её названия учитывалась необходимость того, чтобы аббревиатура наименования звучала одинаково на всех языках. Для этого было решено использовать греческое слово #953 #963 #959 #962 — равный, вот почему на всех языках мира Международная организация по стандартизации имеет краткое название «исо».

Сфера деятельности ИСО касается стандартизации во всех областях, кроме электротехники и электроники, относящихся к компетенции Международной электротехнической комиссии (МЭК, IEC). Некоторые виды работ выполняются совместными усилиями этих организаций. Кроме стандартизации ИСО занимается проблемами сертификации.

ИСО определяет свои задачи следующим образом: содействие развитию стандартизации и смежных видов деятельности в мире с целью обеспечения международного обмена товарами и услугами, а также развития сотрудничества в интеллектуальной, научно-технической и экономической областях.

Организационно в ИСО входят руководящие и рабочие органы. Руководящие органы: Генеральная ассамблея (высший орган), Совет, Техническое руководящее бюро. Рабочие органы — технические Комитеты (ТК), подкомитеты, технические консультативные группы (ТКГ).

Генеральная ассамблея

Генеральная ассамблея — это собрание должностных лиц и делегатов, назначенных комитетами-членами. Каждый комитет-член имеет право представить не более трех делегатов, но их могут сопровождать наблюдатели. Члены-корреспонденты и члены-абоненты участвуют как наблюдатели.

3. Критерии определения безопасности компьютерных систем

3.1 Структура Книги

Сначала вводятся основные понятия, заложившие основу словаря информационной безопасности на десятилетия вперед.

Безопасная система( Secure system ) - это система, которая обеспечивает управление доступом к информации, таким образом, что только авторизованные лица или процессы, действующие от их имени, получают право работы с информацией.

Доверенная система(Trustedsystem) - под доверенной системой в стандарте понимается система, использующая аппаратные и программные средства для обеспечения одновременной обработки информации разной категории секретности группой пользователей без нарушения прав доступа.

Политика безопасности( Security policy ) - это набор законов, правил, процедур и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Причем, политика безопасности относится к активным методам защиты, поскольку учитывает анализ возможных угроз и выбор адекватных мер противодействия.

Уровень гарантированности ( Assurance ) - подразумевает меру доверия, которая может быть оказана архитектуре и реализации информационной системы, и показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности (пассивный аспект защиты).

Подотчетность( Audit ) - Доверенная система должна фиксировать все события (вести протокол), связанные с обеспечением безопасности информационной системы.

Доверенная вычислительная база( Trusted Computer Base ) - это совокупность защитных механизмов информационной системы (как программные, так и аппаратные), реализующие политику безопасности.

Монитор обращений( Reference Monitor ) - контроль за выполнением субъектами (пользователями) определенных операций над объектами, путем проверки допустимости обращения (данного пользователя) к программам и данным разрешенному набору действий.

Обязательные качества для монитора обращений:

1. Изолированность (неотслеживаемость работы).

2. Полнота (невозможность обойти).

3. Верифицируемость (возможность анализа и тестирования).

Ядро безопасности( Security kernel ) - конкретная реализация монитора обращений, обладающая гарантированной неизменностью.

Периметр безопасности( Security Perimeter ) -это граница доверенной вычислительной базы.

Канал утечек/тайный канал - паразитический канал связи, возникающий в любом канале связи, позволяющий обойти контроль доступа к информации. Гл. метод борьбы — уменьшение их пропускной способности(bandwidth).

3.2 Механизмы реализации безопасности

Произвольное управление доступом

Иначе — добровольное управление доступом. Добровольное управление доступом — это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Добровольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту. Большинство операционных систем и СУБД реализуют именно добровольное управление доступом. Главное его достоинство — гибкость, главные недостатки — рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы или секретные файлы в незащищенные каталоги.

Безопасность повторного использования объектов

Безопасность повторного использования объектов — важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т. п.), для дисковых блоков и магнитных носителей в целом. Важно обратить внимание на следующий момент. Поскольку информация о субъектах также представляет собой объект, необходимо позаботиться о безопасности «повторного использования субъектов». Когда пользователь покидает организацию, следует не только лишить его возможности входа в систему, но и запретить доступ ко всем объектам. В противном случае, новый сотрудник может получить ранее использовавшийся идентификатор, а с ним и все права своего предшественника. Современные интеллектуальные периферийные устройства усложняют обеспечение безопасности повторного использования объектов. Действительно, принтер может буферизовать несколько страниц документа, которые останутся в памяти даже после окончания печати. Необходимо предпринять специальные меры, чтобы «вытолкнуть» их оттуда. Впрочем, иногда организации защищаются от повторного использования слишком ревностно — путем уничтожения магнитных носителей. На практике заведомо достаточно троекратной записи случайных последовательностей бит.

Метки безопасности

Предусмотрены метки для субъектов (степень благонадежности) и объектов (степень конфиденциальности информации). Метки безопасности содержат данные об уровне секретности и категории, к которой относятся данные. Согласно «Оранжевой книге», метки безопасности состоят из двух частей — уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядоченное множество, которое может выглядеть, например, так:

• совершенно секретно • секретно • конфиденциально • несекретно.

Для разных систем набор уровней секретности может различаться. Категории образуют неупорядоченный набор. Их назначение — описать предметную область, к которой относятся данные. В военном окружении каждая категория может соответствовать, например, определенному виду вооружений. Механизм категорий позволяет разделить информацию по отсекам, что способствует лучшей защищенности. Субъект не может получить доступ к «чужим» категориям, даже если его уровень благонадежности «совершенно секретно». Специалист по танкам не узнает тактико-технические данные самолетов.

Главная проблема, которую необходимо решать в связи с метками, это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными. В особенности это относится к экспорту и импорту данных. Например, печатный документ должен открываться заголовком, содержащим текстовое и/или графическое представление метки безопасности. Аналогично при передаче файла по каналу связи должна передаваться и ассоциированная с ним метка, причем в таком виде, чтобы удаленная система могла её разобрать, несмотря на возможные различия в уровнях секретности и наборе категорий. Одним из средств обеспечения целостности меток безопасности является разделение устройств на многоуровневые и одноуровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уровень устройства, система может решить, допустимо ли записывать на него информацию с определенной меткой. Например, попытка напечатать совершенно секретную информацию на принтере общего пользования с уровнем «несекретно» потерпит неудачу.

Принудительное управление доступом

Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, «конфиденциальный» субъект может писать в секретные файлы, но не может — в несекретные (разумеется, должны также выполняться ограничения на набор категорий). На первый взгляд подобное ограничение может показаться странным, однако оно вполне разумно. Ни при каких операциях уровень секретности информации не должен понижаться, хотя обратный процесс вполне возможен. Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов, на месте которых могут оказаться даже системные администраторы. После того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа. В терминах принудительного управления нельзя выразить предложение «разрешить доступ к объекту Х ещё и для пользователя Y». Конечно, можно изменить метку безопасности пользователя Y, но тогда он скорее всего получит доступ ко многим дополнительным объектам, а не только к Х. Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности. В частности, такие варианты существуют для SunOS и СУБД Ingres. Независимо от практического использования принципы принудительного управления являются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удобнее мыслить в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа. Впрочем, в реальной жизни добровольное и принудительное управление доступом сочетается в рамках одной системы, что позволяет использовать сильные стороны обоих подходов.

3.3 Разделы и классы

Критерии делятся на 4 раздела: D, C, B и A, из которых наивысшей безопасностью обладает раздел A. Каждый дивизион представляет собой значительные отличия в доверии индивидуальным пользователям или организациям. Разделы C, B и A иерархически разбиты на серии подразделов, называющиеся классами: C1, C2, B1, B2, B3 и A1. Каждый раздел и класс расширяет или дополняет требования указанные в предшествующем разделе или классе.

D — Минимальная защита

Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов.

C — Дискреционная защита

· C1 — Дискреционное обеспечение секретности.

o Разделение пользователей и данных

o Дискреционное управление доступом, допускающее принудительное ограничение доступа на индивидуальной основе.

· C2 — Управление доступом

o Более чётко оформленное дискреционное управление доступом.

o Индивидуальные учётные записи, вход под которыми возможен через процедуру авторизации.

o Журнал контроля доступа к системе.

o Изоляция ресурсов.

B — Мандатная защита

· B1

o Мандатное управление доступом к выбранными субъектам и объектам.

o Все обнаруженные недостатки должны быть устранены или убраны каким-либо другим способом.

· B2 — Структурная защита

o Чётко определённая и документированная модель правил безопасности.

o Применение расширенного дискреционного и мандатного управления доступом ко всем объектам и субъектам.

o Скрытые каналы хранения.

· B3 — Защищённые области

o Соответствие требованиям монитора обращений.

o Структурирование для исключения кода не отвечающего требованиям обязательной политики безопасности.

o Поддержка администратора системы безопасности.

o Примером подобной системы является XTS-300, предшественница XTS-400.

A — Проверенная защита

· A1 — Проверенный дизайн.

o По функциям идентично B3.

o Формализованный дизайн и проверенные техники, включающие высокоуровневую спецификацию.

o Формализованные процедуры управления и распространения.

o Примером подобной системы является SCOMP, предшественница XTS-400.

· Выше A1

o Системная архитектура демонстрирующая, что требования самозащиты и полноценности для мониторов обращений были выполнены в соответствии с «Базой безопасных вычислений» (коллекцией программного и аппаратного обеспечения необходимых для обязательной политики безопасности в операционных системах ориентированных на безопасность).

4. Международный стандарт управления информационной безопасностью ISO 17799

4.1 Критерии оценки защищенности информационных систем

Какой вопрос наиболее часто задают руководители высшего звена компании ИТ менеджерам и специалистам по информационной безопасности? Думаю, что это очевидно: Насколько защищена наша информационная система? . Этот вопрос действительно является краеугольным камнем информационной безопасности и тем самым тонким местом, которое обычно стараются избегать секьюрити специалисты. И действительно оценить защищенность информационной системы достаточно сложно: но, как известно, можно. Для этого существуют, в основном, качественные методы оценки уровня защищенности, которые на выходе позволяют получить не количественную оценку ( система защищена на 4.2 балла или на 58% ), а качественную - система соответствует определенному классу или уровню защищенности тому или иному стандарту безопасности. Количественные методы оценки на практике не нашли своего применения. Применение качественных методов оценки является на сегодняшний день единственным способом получить представление о реальном уровне защищенности информационных ресурсов компании.

4.2 Критерии проведения аудита безопасности информационных систем

Перейдем к следующей части и вспомним, какой вопрос обычно является ключевым при проведении аудита безопасности. Обычно, это вопрос о стандарте безопасности, проверку на соответствие которому будет выполнять аудитор. В России обычной практикой при проведении аудита является выполнение данных работ без привязки к какому либо критерию или стандарту - аудитор ограничивается оценкой текущего уровня защищенности и выработке рекомендаций по его повышению в соответствии со своей экспертной оценкой и своим пониманием об уровнях и критериях защиты. И, в общем, это нормальная практика, когда компания доверяет выбранному эксперту или группе экспертов, но проводить аудит, основываясь только на собственной экспертной оценке, не учитывая мировой опыт и существующие стандарты безопасности, на сегодняшний день практически недопустимо.

4.3 Международный стандарт безопасности информационных систем ISO 17799

Несколько лет назад Британский институт стандартов ( BSI ) при участии коммерческих организаций, таких как Shell. National Westminster Bank. Midland Bank. Unilever. British Telecommunications. Marks Spencer. Logica и др. занялся разработкой стандарта информационной безопасности. И в 1995 г. был принят национальный стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. Служба безопасности, IT -отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Поэтому сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO.

Ниже приведены основные разделы стандарта ISO 17799:

1. Политика безопасности

2. Организационные меры по обеспечению безопасности

o Управление форумами по информационной безопасности

o Координация вопросов, связанных с информационной безопасностью

o Распределение ответственности за обеспечение безопасности

3. Организационные меры по обеспечению безопасности

o Инвентаризация ресурсов

o Классификация ресурсов

4. Безопасность персонала

o Безопасность при выборе и работе с персоналом

o Тренинги персонала по вопросам безопасности

o Реагирование на секьюрити инциденты и неисправности

o Безопасность носителей данных

o Передача информации и программного обеспечения

7. Контроль доступа

o Бизнес требования для контроля доступа

o Управление доступом пользователя

o Ответственность пользователей

o Контроль и управление удаленного (сетевого) доступа

o Контроль доступа в операционную систему

o Контроль и управление доступом к приложениям

o Мониторинг доступа и использования систем

o Мобильные пользователи

8. Разработка и техническая поддержка вычислительных систем

o Требования по безопасности систем

o Безопасность приложений

o Криптография

o Безопасность системных файлов

o Безопасность процессов разработки и поддержки

9. Управление непрерывностью бизнеса

o Процесс управления непрерывного ведения бизнеса

o Непрерывность бизнеса и анализ воздействий

o Создание и внедрение плана непрерывного ведения бизнеса

o Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса

10. Соответствие системы основным требованиям

o Соответствие требованиям законодательства

o Анализ соответствия политики безопасности

o Анализ соответствия техническим требованиям

o Анализ соответствия требованиям системного аудита

4.4 ISO 17799 в странах СНГ

В последние несколько лет ISO 17799 начал уверенно продвигаться по странам СНГ. В Молдове благодаря позиции Национального Банка все банки уже более года проходят регулярную проверку на соответствие ISO 17799. В ближайшее время в Молдове ISO 17799 получит статус государственного стандарта. В Украине также существуют планы принятия данного стандарта в качестве государственного - эту позицию озвучил выступавший в 2002 году в Киеве на одном из семинаров Digital Security представитель Службы Безопасности Украины. В России стандарт ISO 17799 пока не имеет статус государственного стандарта. Однако в последнее время ситуация меняется: Государственная Техническая Комиссия при Президенте РФ уже отказалась от использования собственных стандартов защищенности автоматизированных систем и принимает ГОСТ 15408 ( ISO 15408). Ожидается, что подобная ситуация в ближайшие годы в России произойдет и с ISO 17799 и нам следует ожидать появления ГОСТ 17799.

4.5 Преимущества, получаемые компанией после прохождения сертификации по ISO 17799

Какие преимущества получает компания, которая провела аудит безопасности своих информационных ресурсов и получила сертификат соответствия системы управления информационной безопасности по стандарту ISO 17799? Прежде всего, это неформальные преимущества: после проведения аудита информационная система компании становится прозрачнее для менеджмента, выявляются основные угрозы безопасности для бизнес - процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью, как для повышения реального уровня защищенности, так и для непосредственного соответствия стандарту. Сертификация на соответствие стандарту ISO 17799 ( BS 7799) позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками. Кроме того, говоря о сертификации по ISO 17799, стоит принять во внимание согласованную с ВТО процедуру принятия России в данную организацию. Эта процедура потребует адекватной реакции от наиболее значимых в экономике России структур и адаптации стратегии развития в области информационных технологий с учетом международных стандартов безопасности, таких как ISO 17799.

4.6 Практика прохождения аудита и получения сертификата ISO 17799

4.7 Программные средства создания и проверки политики безопасности на соответствие требованиям ISO 17799

5. Стандарты безопасности в Интернете

В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.

SSL (TLS)

Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.

SET

SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту Х.509 и предназначен для организации электронной торговли через сеть.

Данный протокол является стандартом, разработанным компаниями MasterCard и Visa при участии IBM , GlobeSet и других партнеров. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет.

IPSec

Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.

Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других криптографических алгоритмов.

Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:

· поддержку немодифицированных конечных систем

· поддержку транспортных протоколов, отличных от ТСР

· поддержку виртуальных сетей в незащищенных сетях

· защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного анализа трафика)

· защиту от атак типа отказ в обслуживании .

Кроме того, IPSec имеет два важных преимущества:

1. его применение не требует изменений в промежуточных устройствах сети

2. рабочие места и серверы не обязательно должны поддерживать IPSec.

Источники: http://www.kp.ru/daily/24465/625461/, http://elib.bsu.by/bitstream/123456789/19038/1/%25D0%25A2%25D0%25B5%25D0%25BC%25D1%258B%2520%25D0%25BA%25D0%25BE%25D0%25BD%25D1%2582%25D1%2580%25D0%25BE%25D0%25BB%25D1%258C%25D0%25BD%25D1%258B%25D1%2585%2520%25D1%2580%25D0%25B0%25D0%25B1%25D0%25BE%25D1%2582%2520%25D0%25B4%25D0%25BB%25D1%258F%2520%25D0%25B7%25D0%25B0%25D0%25BE%25D1%2587.%25D0%25BE%25D1%2582%25D0%25B4%25D0%25B5%25D0%25BB%25D0%25B5%25D0%25BD%25D0%25B8%25D1%258F.PDF, http://www.bestreferat.ru/referat-142560.html