Слайды и текст доклада
Pic.1
Обзор стандартов и методических документов в области защиты информации Лекция
Pic.2
Критерии безопасности компьютерных систем (“Оранжевая книга”) TCSEC - Trusted Computer System Evaluation Criteria Разработчики: МО США, 1983 год. Цель разработки Определения требований безопасности, …
Pic.3
Впервые нормативно определено понятие, “политика безопасности”, ТCB (Trusted Computing Base – вычислительная база защиты или ядро защиты). Впервые нормативно определено понятие, “политика …
Pic.4
Сформулированы базовые требования безопасности
Pic.5
Базовые требования безопасности Все происходящие в системе события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации …
Pic.6
Базовые требования безопасности Все средства защиты должны быть защищены от несанкционированного вмешательства и/или отключения. Защита должна быть постоянной и непрерывной в любом режиме …
Pic.7
Приведена классификация систем Класс D – минимальная защита. Зарезервирован для систем, не удовлетворяющих ни одному из других классов защиты. Класс С1 – защита, основанная на разграничении доступа …
Pic.8
Федеральные критерии безопасности информационных технологий Federal Criteria for Information Technology Security Разработчики стандарта Национальный институт стандартов и технологий США (National …
Pic.9
Объекты применения требований безопасности “Федеральных критериев” Продукты Информационных Технологий (Information Technology Products) - совокупность аппаратных и/или программных средств, которая …
Pic.10
Канадские критерии оценки доверенных компьютерных продуктов Canadian Trusted Computer Product Evaluation Criteria Разработчики стандарта Центр безопасности связи Канады (Canadian System Security …
Pic.11
Функциональные критерии Функциональные критерии частные метрики, предназначенные для определения показателей эффективности средств защиты в виде уровня их возможностей по отражению угроз …
Pic.12
Приложения: Приложения: подробное описание концепции обеспечения безопасности информации; руководство по применению функциональных критериев; руководство по применению критериев адекватности …
Pic.13
Гармонизированные критерии Европейских стран Information Technology Security Evaluation Criteria Разработчики стандарта соответствующие органы Франции, Германии, Нидерландов и Великобритании. …
Pic.14
Критерии оценки безопасности информационных технологий Evaluation Criteria for IT Security (ECITS) Разработчики стандарта (на общественных началах) Рабочая группа 3 подкомитета 27 первого совместного …
Pic.15
Общие критерии безопасности информационных технологий Common Criteria for Information Technology Security Evaluation Разработчики стандарта (финансирование правительств) правительственные организации …
Pic.16
Эволюция “Общих критериев” С 1994 года ранние версии “Общих критериев” становятся рабочими проектами WG3. В 1996 году появилась Версия 1. 0 “Общих критериев” (одобрена ISO и обнародована в качестве …
Pic.17
ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Часть 2. …
Pic.18
РД “Безопасность информационных технологий. Критерии оценки безопасности информационных технологий” Часть 1. Критерии оценки безопасности информационных технологий Часть 2. Функциональные требования …
Pic.19
Международные стандарты оценки информационной безопасности и управления ею
Pic.20
Международные стандарты оценки информационной безопасности и управления ею ВS 7799-1:1995 Code of Practice for Information Security Management (Практические правила управления информационной …
Pic.21
Международные и национальные стандарты оценки информационной безопасности и управления ею ISO/IEC 17799:2000 Information technology — Code of practice for information security management …
Pic.22
Национальные стандарты ГОСТ Р ИСО/МЭК 17799:2005 Информационная технология практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК 27001:2006 Информационная технология. Методы и …
Pic.23
International ISMS Register в 80 странах мира на сентябрь 2010 года = 6826
Pic.25
Выписка из International ISMS Register на 6 сентября 2010 года
Pic.26
Структура международных стандартов СМИБ
Pic.27
Перспективы развития международных стандартов СМИБ ISO/IEC 27000 (проект) Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общие …
Pic.28
Перспективы развития международных стандартов СМИБ ISO/IEC 27002:2005 Информационные технологии. Методы и средства обеспечения безопасности. Свод правил для менеджмента информационной безопасности.
Pic.29
Перспективы развития международных стандартов СМИБ ISO/IEC 27004 (проект) Информационные технологии. Методы и средства обеспечения безопасности. Измерение менеджмента информационной безопасности.
Pic.30
Перспективы развития международных стандартов СМИБ ISO/IEC 27006:2007 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. …
Pic.31
Общий подход к разработке отраслевых стандартов” Основной принцип: дополнение ISO/IEC 27002:2005 (ISO/IEC 17799:2005) “Cвод правил менеджмента ИБ” специфичными для отрасли практиками
Pic.32
Предварительный вариант (отвергнут)
Pic.33
Требования к стандартам безопасности Что делать? Простота и понятность; Непротиворечивость терминов и определений; Открытость; Стандарт должен быть прямого действия; Стандарт должен быть …
Pic.34
Требования к стандартам безопасности Как внедрять? Форма организации работ по разработке стандарта ИБ стандарт должен разрабатываться коллегиально, специальной рабочей группой (состоящей из …
Pic.35
Основные тезисы Язык текста стандарта должен быть ясным. Цель стандарта – сформировать требования и обеспечить возможность аудита их выполнения. Необходимо учесть требования международных и …
Pic.36
Состав комплекса стандарта Комплекс документов в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации” (Комплекс “БР ИББС”)
Pic.37
Комплекс “БР ИББС” (перспектива)
Pic.38
BSI (Германия, 1998 г. ) Руководство по защите информационных технологий для базового уровня защищенности Методология управления ИБ; Компоненты информационных технологий:
Pic.39
Структура каталогов угроз и контрмер Угрозы по классам: Форс-мажорные обстоятельства; Недостатки организационных мер; Ошибки человека; Технические неисправности; Преднамеренные действия. Контрмеры по …
Pic.40
Достоинства и недостатки BSI Достоинства: Детальный учет специфики различных элементов информационных систем. Детальное рассмотрение особенностей обеспечения ИБ в современных сетях. Возможность …
Pic.41
COBIT - контрольные объекты для информационных и смежных технологий Control Objectives for Information and related Technology Набор документов, в которых изложены принципы управления и аудита …
Pic.43
В основу стандарта COBIT положено следующее утверждение: для предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно …
Pic.44
Ресурсы ИТ в COBIT Данные - объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а также графика, звук и т. д. Приложения - совокупность …
Pic.45
Критерии оценки информации: Эффективность - актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации. Продуктивность - …
Pic.46
Модель управления информационной технологией
Pic.48
Критические Факторы Успеха (КФУ) Определяют наиболее важные проблемы или действия руководителей, направленные на достижение контроля над ИТ-процессами.
Pic.49
Ключевые Индикаторы Цели (КИЦ) Описывают комплекс измерений, которые по факту сообщают руководству, что ИТ-процесс достиг предъявляемых бизнес - требований.
Pic.50
Ключевые Индикаторы Результата (КИР) Описывают комплекс действий, необходимых для определения, насколько ИТ-процессы достигают поставленных целей.
Pic.51
Процессы управления и аудита
Pic.52
Взаимосвязь COBIT и других требований и стандартов
Pic.53
Сравнение некоторых стандартов и концепций аудита
Pic.54
Стандарт безопасной электронной коммерции PCI DSS Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными …
Pic.55
Документы ФСТЭК России Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждено председателем Гостехкомиссии России 25 ноября 1994 г. Устанавливает основные …
Pic.56
РД Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992. РД Временное положение по организации …
Pic.57
РД Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия …
Pic.58
«Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и …
Pic.59
Основные понятия и сокращения. Основные понятия и сокращения. Понятие коммерческой тайны. Порядок определения сведений, составляющих КТ. Категорирование объектов информатизации по уровням …
Pic.60
Рекомендации по применению мер и средств технической защиты информации, составляющей коммерческую тайну. Рекомендации по применению мер и средств технической защиты информации, составляющей …
Pic.61
ГОСТ 17168-82. Фильтры электронные октавные и третьоктавные. Общие технические требования и методы испытаний. ГОСТ 12. 1. 003-83. Система стандартов безопасности труда. Шум. Общие требования …
Pic.62
ГОСТ 34. 602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы. ГОСТ 34. 602-89. Информационная технология. …
Pic.63
ГОСТ Р ИСО 9127-94. Системы обработки информации. Документация пользователя и информация на упаковке для потребительских программных пакетов. ГОСТ Р ИСО 9127-94. Системы обработки информации. …
Pic.64
ГОСТ Р ИСО 9003-96. Системы качества. Модель обеспечения качества при окончательном контроле и испытаниях. ГОСТ Р ИСО 9003-96. Системы качества. Модель обеспечения качества при окончательном контроле …
Pic.65
ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех. ГОСТ Р 51320-99. …
Pic.66
ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению качества. ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению качества. ГОСТ Р 50948-2001. …
Pic.67
На сайте Федерального агентства по техническому регулированию и метрологии размещены
Скачать презентацию
Если вам понравился сайт и размещенные на нем материалы, пожалуйста, не забывайте поделиться этой страничкой в социальных сетях и с друзьями! Спасибо!