'

Основы стандартизации в области безопасности информационных технологий

Понравилась презентация – покажи это...





Слайд 0

Основы стандартизации в области безопасности информационных технологий


Слайд 1

Содержание лекции: Понятие и роль стандартов Исторические аспекты Современная система стандартов БИТ Детализированное рассмотрение наиболее актуальных стандартов


Слайд 2

3 ПОНЯТИЕ СТАНДАРТА СТАНДАРТ - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг... СТАНДАРТИЗАЦИЯ - деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг. 4 ФЗ«О техническом регулировании» №184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005 г)


Слайд 3

ФЗ«О техническом регулировании» №184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005 г) Основные цели реформирования системы технического регулирования: снижение административного и экономического давления на производителей; расширение возможностей производителей за счет устранения соблюдаемых ранее ими избыточных требований и процедур; устранение технических барьеров в торговле; повышение эффективности защиты рынка от опасной продукции;


Слайд 4

5 ОСНОВНЫЕ ГРУППЫ СТАНДАРТИЗИРУЮЩИХ ДОКУМЕНТОВ 5 ОЦЕНОЧНЫЕ СТАНДАРТЫ - предназначены для оценки и классификации информационных систем и средств защиты по требованиям безопасности; СПЕЦИФИКАЦИИ (технические регламенты) - регламентируют различные аспекты реализации и использования средств и методов защиты.


Слайд 5

ФЗ«О техническом регулировании» №184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005 г) Технические регламенты (принимаются как ФЗ и являются обязательными) Стандарты: Национальные стандарты (ГОСТы) Стандарты организаций (являются рекомендательными)


Слайд 6

ФЗ«О техническом регулировании» №184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005 г) Роль стандартов: формирование доказательной базы соблюдения технических регламентов повышение конкурентоспособности продукции, работ и услуг


Слайд 7

ФЗ«О техническом регулировании» №184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005 г) Основные цели принятия ТР: защита жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества; охрана окружающей среды, жизни или здоровья животных и растений; предупреждение действий, вводящих в заблуждение приобретателей


Слайд 8

9 Почему необходимы знания стандартов и спецификаций 6 Обязательность следования стандартам и спецификациям в ряде случаев закреплена законодательно. В стандартах и спецификациях зафиксированы апробированные, высококачественные решения и методологии. Стандарты и спецификации являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.


Слайд 9

10 Кому необходимы знания стандартов и спецификаций 6 Разработчикам средств защиты и защищенных ИС, Системным и сетевым администраторам, Администраторам безопасности, Руководителям соответствующих служб и пользователям


Слайд 10

11 ИСТОРИЧЕСКИЕ АСПЕКТЫ Заложен понятийный базис ИБ: безопасная и доверенная системы, политика безопасности, уровень гарантированности, подотчетность, ядро и периметр безопасности. Описаны основные принципы формализации политики безопасности: дискреционное и мандатное управление доступом, безопасность повторного использования объектов. Сформулированы принципы классификации по требованиям безопасности на основе линейной шкалы классов защищенности. Повышение защищенности обеспечивается параллельным усилением требований к политике безопасности и уровню гарантированности. 7 «ОРАНЖЕВАЯ КНИГА» (Trusted Computer System Evaluation Criteria, TCSEC)


Слайд 11

12 Безопасная система – управляет доступом к информации так, что только должным образом авторизованные лица или процессы от их имени, получают права читать, записывать, создавать или удалять информацию. Доверенная система – система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа. «ОРАНЖЕВАЯ КНИГА» (Trusted Computer System Evaluation Criteria, TCSEC) ОСНОВНЫЕ ПОНЯТИЯ


Слайд 12

13 Политика безопасности: набор законов, правил и норм поведения, определяющих порядок обработки, распространения и защиты информации. В зависимости от этого выбираются механизмы безопасности Уровень гарантированности: мера доверия, оказываемая архитектуре и реализации ИС. Показывает, насколько корректны механизмы, реализующие заданную политику безопасности. «ОРАНЖЕВАЯ КНИГА» (Trusted Computer System Evaluation Criteria, TCSEC) КРИТЕРИИ ОЦЕНКИ СТЕПЕНИ ДОВЕРИЯ


Слайд 13

14 Доверенная вычислительная база (Trusted Computer Base, TCB) – совокупность защитных механизмов ИС, отвечающих за проведение в жизнь политики безопасности. Качество ТСВ определяется только реализацией и не зависит от человеческого фактора. Монитор обращений – проверяет каждое обращение пользователя к процессам и данным на предмет согласованности в набором допустимых для него действий. Изолированность – нет возможности отслеживать его работу извне Полнота – нет возможности обратиться к объектам в обход монитора Верифицируемость – возможность обеспечить полноту тестирования. ЯДРО БЕЗОПАСНОСТИ - это конкретная реализация монитора обращений. «ОРАНЖЕВАЯ КНИГА» (Trusted Computer System Evaluation Criteria, TCSEC) СТУКТУРА ДОВЕРЕННОЙ СРЕДЫ


Слайд 14

15 Дискреционное (произвольное) управление доступом – обращение именованных субъектов к именованных объектам. Уполномоченный субъект может предоставлять или отбирать права на доступ к объектам. Мандатное управление доступом – доступ к объектам осуществляется на основе сопоставления метки безопасности объекта и уровня доверия к субъекту по некоторому формально заданному правилу. «ОРАНЖЕВАЯ КНИГА» (Trusted Computer System Evaluation Criteria, TCSEC) ИНСТРУМЕНТЫ ОБЕСПЕЧЕНИЯ ДОВЕРЕННОЙ СРЕДЫ


Слайд 15

16 Безопасность повторного использования объектов – обеспечить невозможность извлечения конфиден-циальной информации из «мусора» (очистка памяти) Подотчетность – включает идентификацию и аутентификацию, предоставление доверенного пути, ведение журнала регистрации и анализ регистрационной информации. Гарантированность – операционная (архитектура и реализация системы) и технологическая (построение и сопровождение). «ОРАНЖЕВАЯ КНИГА» (Trusted Computer System Evaluation Criteria, TCSEC) ИНСТРУМЕНТЫ ОБЕСПЕЧЕНИЯ ДОВЕРЕННОЙ СРЕДЫ


Слайд 16

17 Введено понятие сетевой доверенной вычислительной базы Выделен учет динамичности сетевых конфигураций Выделена криптографическая компонента как механизм обеспечения конфиденциальности и целостности. ИНТЕРПРЕТАЦИЯ «Оранжевой книги» ДЛЯ СЕТЕВЫХ КОНФИГУРАЦИЙ» (Trusted Network Interpretation) ИСТОРИЧЕСКИЕ АСПЕКТЫ


Слайд 17

18 Выделены базовые сервисы безопасности для распределенных систем: аутентификация, управление доступом, конфиденциальность данных, целостность данных, неотказуемость. Описаны реализующие данные сервисы механизмы. РЕКОМЕНДАЦИИ Х.800 СЕТЕВЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ ИСТОРИЧЕСКИЕ АСПЕКТЫ


Слайд 18

19 Сформулированы обязанности администратора средств безопасности (в контексте выделенных сервисов и механизмов безопасности): администрирование ИС в целом администрирование сервисов безопасности администрирование механизмов безопасности. 26 РЕКОМЕНДАЦИИ Х.800 СЕТЕВЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ


Слайд 19

20 Механизмы аутентификации. Пароли, личные карточки, биометрия. Шифрование. Симметричное, асимметричное, необратимое. ЭЦП. Включает два алгоритма: создания подписи и ее проверки. Механизмы управления доступом. базы данных управления доступом, списки доступа аутентификационная информация, «билеты» или иные удостоверения, предъявление которых свидетельствует о наличии прав доступа; метки безопасности, ассоциированные с субъектами и объектами доступа. время, маршрут и длительность запрашиваемого доступа. Механизмы контроля целостности. Различают целостность отдельного сообщения и целостность потока сообщений. РЕКОМЕНДАЦИИ Х.800 Механизмы безопасности


Слайд 20

21 Механизмы дополнения трафика. В сочетании со средствами обеспечения конфиденциальности Механизмы управления маршрутизацией. Маршрутизация статическая или динамическая Маршрут в зависимости от меток безопасности Отказ от «опасных» маршрутов. Механизмы нотаризации. Заверение коммуникационных характеристик (целостность, личность, время и т.п.) доверенной третьей стороной. РЕКОМЕНДАЦИИ Х.800 Механизмы безопасности


Слайд 21

22 РЕКОМЕНДАЦИИ Х.800. ФУНКЦИИ БЕЗОПАСНОСТИ: РАСПРЕДЕЛЕНИЕ ПО УРОВНЯМ OSI


Слайд 22

23 РЕКОМЕНДАЦИИ Х.800 СОПОСТАВЛЕНИЕ ФУНКЦИЙ И МЕХАНИЗМОВ БЕЗОПАСНОСТИ


Слайд 23

24 ОБЩИЙ ПРИНЦИП: Обязанности администратора определяются перечнем задействованных механизмов. Типичный перечень: Управление ключами (генерация и распределение ) Управление шифрованием (установка и синхронизация криптографических параметров), в т.ч. механизмами ЭЦП и целостности с использованием криптографии Администрирование управления доступом (распределение паролей, ведение списков доступа и т.п. ) Управление аутентификацией Управление дополнением трафика (правила дополнения сообщений – частота посылки, размер и пр. ) Управление маршрутизацией (выработка доверенных путей) Управление нотаризацией (администрирование служб) РЕКОМЕНДАЦИИ Х.800 Администрирование безопасности


Слайд 24

25 ИСТОРИЧЕСКИЕ АСПЕКТЫ Новые акценты: Два направления: продукты и системы ИТ. Отказ от единой линейной шкалы. Требование формулирования цели оценки и проведение анализа, насколько полно она достигается. Приведено описание около десятка примерных классов функциональности для государственных и коммерческих систем. 9 ГАРМОНИЗИРОВАННЫЕ КРИТЕРИИ ЕВРОПЕЙСКИХ СТРАН.


Слайд 25

26 ОБЩИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ISO / IEC 15408 Разработан на основе национальных стандартов: «Гармонизированные критерии Европейских стран», «Федеральные критерии безопасности информационных технологий» (США) «Канадские критерии оценки доверенных компьютерных продуктов» На сегодняшний день он является самым полным и современным оценочным стандартом ИБ. 14


Слайд 26

27 ОБЩИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Объект оценки (ОО)– аппаратно-программный продукт или информационная система с соответствующей документацией. Система - специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации. Продукт - совокупность средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы.   15


Слайд 27

28 ОБЩИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ОО рассматривается в контексте среды безопасности. Среда безопасности включает законодательную, административную, процедурную программно-техническую среды. Выделяются следующие аспекты безопасности ОО: предположения безопасности, угрозы безопасности, положения политики безопасности. На основе предположений при учете угроз и положений политики безопасности определяются цели безопасности. 15


Слайд 28

29 ОБЩИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Принципиальные особенности 1. Универсальный метастандарт, определяющий инструменты оценки безопасности ИС и порядок их использования; 2. Безопасность рассматривается в соответствии с жизненным циклом объекта оценки в контексте среды безопасности, характеризующейся определенными условиями и угрозами. 3. Для объекта оценки формулируются требования безопасности (функциональные требования и требования доверия) 4. В методологии ОК формируются два базовых вида НМД – профиль защиты (типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса ) – задание по безопасности (совокупность требований к конкретной разработке ) 5. Основа для сопоставления национальных стандартов. 16


Слайд 29

30 1992 год «Руководящие документы Гостехкомиссии России» по защите СВТ и АС от несанкционированного доступа к информации. Концепция защиты СВТ и АС от НСД к информации Термины и определения Показатели защищенности СВТ от НСД Классификация АС по уровню защищенности от НСД Временное положение по разработке защищенных автоматизированных систем и средств защиты информации. 1997 год Межсетевые экраны. Показатели защищенности от НСД. 2001 год Специальные требования и рекомендации по защите конфиденциальной информации 2002 год – РД Гостехкомисии России «Критерии оценки безопасности информационных технологий» (перевод версии ISO/IEC 15408:1999) 2004 год – введен ГОСТ Р ИСО/МЭК 15408-2002 10 РАЗВИТИЕ ОТЕЧЕСТВЕННЫХ СТАНДАРТОВ ИБ


Слайд 30

31 ОБЩИЕ ПРИНЦИПЫ ЗАЩИТЫ СВТ И АС Разделение на СВТ и АС Модель нарушителя Линейная шкала, аналогичная «Оранжевой книге», для СВТ Классификация АС в зависимости от количества пользователей и режима обработки информации Взаимоувязанные рекомендации по применению классифицированных СВТ для создания АС разного уровня защищенности Определены основные подсистемы обеспечения безопасности. для АС: управления доступом, контроля целостности, регистрации и учета, криптографическая подсистема. Перечислены функции и требования к механизмам их реализации для классифицируемых АС и СВТ 11 РУКОВОДЯЩИЕ ДОКУМЕНТЫ ГОСТЕХКОМИССИИ РОССИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ НСД


Слайд 31

Обзор соверменных стандартов в области ИБ Стандартизация ИБ на международном уровне ISO: International Standardization Organization (ИСО: Международная организация по стандартизации) IEC:International Electro-technical Commission (МЭК : Международная электротехническая комиссия) ITU: International Telecommunications Union МСЭ : Международный союз электросвязи IETF: Internet Engineering Task Force (IETF: Комиссия по технологиям Internet) EMV:Europay, MasterCard и Visa International (ЕМВ:Международная организация пластиковых карт) OECD:Organization for Economic Co-operation and Development (ОЭСР:Организация по экономическому сотрудничеству и развитию)


Слайд 32

Стандартизация ИБ на международном уровне ECMA:European computer manufacturers association (ЕАПК:Европейская ассоциация производителей компьютеров) ETSI:European Telecommunications Standards Institute (ЕИСТ:Европейский институт стандартизации телекоммуникаций) ECBS:European committee for banking standards (ЕКБС:Европейский комитет по банковским стандартам) Обзор соверменных стандартов в области ИБ


Слайд 33

Стандартизация ИБ на международном уровне NIST: National Institute of Standards and Technology (НИСТ: Национальный институт стандартов и технологий США) ANSI:American national standard institute (АНСИ:Американский национальный институт стандартизации) ABA:American banker’s association (АВА: Американская банковская ассоциация) BSI:British Standard Institute (БСИ:Британский институт стандартизации) Обзор соверменных стандартов в области ИБ


Слайд 34

Стандартизация ИБ на международном уровне ISO: International Standardization Organization (ИСО: Международная организация по стандартизации) создана в 1946 г., содержит около 200 технических комитетов (ТС), свыше15000 стандартов, 156 стран-участниц IEC:International Electro-technical Commission (МЭК : Международная электротехническая комиссия) создана в 1944, содержит более 100 TC ISO/IEC (ИСО/МЭК): Объединенный технический комитет (JTC 1) JTC 1 –разрабатывает стандарты в области ИТ Подкомитет 27 (SC 27) JTC 1 работает в сфере ИБ Обзор соверменных стандартов в области ИБ


Слайд 35

Некоторые стандарты, выпущенные SC 27 JTC 1 ISO/IEC ISO/IEC 13335 Management of information security ISO/IEC 15945 Specification of TTP services to support the application of digital signatures (ITU-T X.843) ISO/IEC 18043 Management, implementation and operation of intrusion detection systems (IDS) ISO/IEC 18033 Encryption algorithms, with four Parts, including asymmetric, block and stream ciphers ISO/IEC 9798 Entity authentication, with six Parts ISO/IEC 15408 – Common Criteria for IT Security Evaluation ISO/IEC 18045 – Common Evaluation Methodology ISO/IEC 19790 / U.S. NIST FIPS 140-2 – Security Requirements for Cryptographic Modules Обзор соверменных стандартов в области ИБ


Слайд 36

BS 7799-1 “Information technology. Code of practice for security management” («Информационная технология. Кодекс установившейся практики для управления информационной безопасностью») ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью (Введен 2007-01-01) ISO/IEC 17799:2000 “Information technology. Code of practice for security management” ISO/IEC 17799:2005 “Information technology. Code of practice for security management” ISO/IEC 27002:2005 “Information technology. Code of practice for security management” Обзор соверменных стандартов в области ИБ


Слайд 37

2. Обзор стандартов в области ИБ ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью Стандарт формирует общую основу как для разработки стандартов безопасности отдельных организаций и эффективных правил по поддержанию этой безопасности, так и для обеспечения конфиденциальности торговых связей между организациями


Слайд 38

2. Обзор стандартов в области ИБ ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью Введение Область применения Термины и определения Политика безопасности Организационные вопросы безопасности Классификация и управление активами Вопросы безопасности, связанные с персоналом Физическая защита и защита от воздействия окружающей среды Управление передачей данных и операционной деятельностью Контроль доступа Разработка и обслуживание систем Вопросы управления непрерывностью бизнеса Соответствие требованиям законодательства


Слайд 39

2. Обзор стандартов в области ИБ ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью 9. Контроль доступа (начало): 9.1. Требования бизнеса по обеспечению контроля в отношении логического доступа 9.2. Контроль в отношении доступа пользователей 9.2.1.Регистрация пользователей 9.2.2. Управление привилегиями 9.2.3. Контроль в отношении паролей пользователей Пересмотр прав доступа пользователей 9.3. Обязанности пользователей 9.3.1. Использование паролей 9.3.2.Оборудование, оставленное пользователями без присмотра 9.4. Контроль сетевого доступа 9.4.1.Политика в отношении использования сетевых служб 9.4.2. Предопределенный маршрут 9.4.3. Аутентификация пользователей в случае внешних соединений 9.4.4.Аутентификация узла 9.4.5. Защита портов диагностики при удаленном доступе 9.4.6. Принцип разделения в сетях 9.4.7. Контроль сетевых соединений 9.4.8. Управление маршрутизацией сети 9.4.9. Безопасность использования сетевых служб


Слайд 40

2. Обзор стандартов в области ИБ ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью 9. Контроль доступа (окончание): 9.5. Контроль доступа к операционной системе 9.5.1. Автоматическая идентификация терминала 9.5.2. Процедуры регистрации с терминала 9.5.3. Идентификация и аутентификация пользователей 9.5.4. Система управления паролями 9.5.5. Использование системных утилит 9.5.6. Сигнал тревоги для защиты пользователей на случай, когда они могут стать объектом насилия 9.5.7. Периоды бездействия терминалов 9.5.8. Ограничения подсоединения по времени 9.6. Контроль доступа к приложениям 9.6.1. Ограничения доступа к информации 9.6.2. Изоляция систем, обрабатывающих важную информацию 9.7. Мониторинг доступа с использованием системы 9.7.1. Регистрация событий 9.7.2. Мониторинг использования систем 9.7.3. Синхронизация часов 9.8. Работа с переносными устройствами в дистанционном режиме 9.8.1. Работа с переносными устройствами 9.8.2. Работа в дистанционном режиме


Слайд 41

2. Обзор стандартов в области ИБ BS 7799-2 “Information technology. Security techniques. Information security management systems. Requirements” («Информационная технология. Методы защиты. Системы менеджмента защиты информации. Требования») ISO/IEC 27001:2005“Information technology. Security techniques. Information security management systems. Requirements” ГОСТ Р ИСО/МЭК 27001-2005 Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования Введен ???????


Слайд 42

2. Обзор стандартов в области ИБ ГОСТ Р ИСО/МЭК 27001-2005 Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования Предисловие Введение 1.Область приложения 2.Нормативные ссылки 3.Термины и определения 4.Системы менеджмента защиты информации 5.Ответственность руководства 6.Внутренние аудиты СМЗИ 7.Анализ СМЗИ со стороны руководства 8.Улучшение СМЗИ Приложение А (обязательное). Цели управления и средства управления Приложение В (информационное). Принципы ОЭСР и этот стандарт Приложение С (информационное). Соответствие между ISO 9001:2000, ISO 14001:2004 и этим стандартом


Слайд 43

5 / 23 Новые проекты: семейство стандартов ISO 27000 Основные понятия и терминология Требования СУИБ 17799 (с апреля 2007) Рекомендации по реализации СУИБ Оценка СУИБ Управление рисками в СУИБ опублик в процессе предлагается 2. Обзор стандартов в области ИБ


Слайд 44

45 45 Cryptographic techniques, authentication protocols, biometric techniques, privacy technologies … Disaster recovery, IT networks security, TTP services, IDS, Incident handling, Web applications, identity management, cyber .. Product & system security evaluation & assurance (Common Criteria) Accreditation requirements for ISMS [27006] Information security management system (ISMS) [27001]


Слайд 45

2. Обзор стандартов в области ИБ ISACA: Ассоциация Аудита и Контроля Информационных Систем Основана в 1969 году. Развивает и продвигает стандарт COBIT – Control Objectives for Information and related Technology (Контрольные ОБъекты для Информационных и смежных Технологий) =Принципы управления и аудита ИТ. CobiT позиционируется как открытый стандарт «де-факто» (вышло четвертое издание)


Слайд 46

2. Обзор стандартов в области ИБ Стандарт CobiT Состоит из шести частей, ориентированных на разные аудитории: Резюме для руководителя. Описание стандарта для топ-менеджеров организации для принятия ими решения о применимости стандарта в конкретной организации. Описание структуры. Содержит развернутое описание высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом. Объекты контроля. Детальные описания объектов контроля, содержащие расшифровку каждого из объектов. Принципы управления. Отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ-служб. Принципы аудита. Правила проведения ИТ-аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать. Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ. Набор инструментов внедрения стандарта. Практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.


Слайд 47

2. Обзор стандартов в области ИБ


Слайд 48

2. Обзор стандартов в области ИБ ОТЕЧЕСТВЕННАЯ НОРМАТИВНАЯ БАЗА В ОБЛАСТИ ИБ: СТАНДАРТЫ, РУКОВОДЯЩИЕ ДОКУМЕНТЫ, ПРОФИЛИ, ДРУГИЕ НОРМАТИВНЫЕ ДОКУМЕНТЫ (включая проекты): Защита средств и систем : 28 (ГОСТ, ГОСТ Р); 8 (РД); 40 (СТ. ОТР. ПРИМ.); Управление ИБ : 13 (ПНС-2006/7); Оценка ИБ: 3 (ГОСТ Р); 3 (проекты РД); 6 (проекты профилей)


Слайд 49

2. Обзор стандартов в области ИБ ГОСТ 29339-92 "ИТ. ЗИ от утечки за счет ПЭМИН при ее обработке СВТ. ОТТ" ГОСТ Р 50543-93 "Конструкции базовые несущие СВТ. Требования по обеспечению ЗИ и ЭМС методом экранирования" ГОСТ Р 50752-95 "ИТ. ЗИ от утечки за счет ПЭМИН при ее обработке СВТ. Методы испытаний" ГОСТ Р 50739-95 "СВТ. Защита от НСД к информации. ОТТ" ГОСТ Р 50922-96 "Защита информации. Основные термины и определения" ГОСТ Р 51188-98 "ЗИ. Испытания программных средств на наличие компьютерных вирусов. Типовые руководства" ГОСТ Р 51275-99 "ЗИ. Объекты информатизации. Факторы, воздействующие на информацию. Общие положения" ГОСТ Р 51583-2000 "ЗИ. Порядок создания АС в защищенном исполнении. Общие положения"


Слайд 50

2. Обзор стандартов в области ИБ ГОСТ Р 51624-2000 "ЗИ. АС в защищенном исполнении. Общие требования" ГОСТ 28147-89 "Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования" ГОСТ 34.10-2001 "ИТ. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи" ГОСТ 34.11-94 "ИТ. Криптографическая защита информации. Функция хэширования" ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации ГОСТ Р ИСО 9594-8-98 Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации


×

HTML:





Ссылка: