Презентация «Обзор стандартов и методических документов в области защиты информации»

Смотреть слайды в полном размере
Презентация «Обзор стандартов и методических документов в области защиты информации»

Вы можете ознакомиться с презентацией онлайн, просмотреть текст и слайды к ней, а также, в случае, если она вам подходит - скачать файл для редактирования или печати. Документ содержит 68 слайдов и доступен в формате ppt. Размер файла: 18.70 MB

Просмотреть и скачать

Pic.1
Обзор стандартов и методических документов в области защиты информации Лекция
Обзор стандартов и методических документов в области защиты информации Лекция
Pic.2
Критерии безопасности компьютерных систем (“Оранжевая книга”) TCSEC - Trusted Computer System Evalua
Критерии безопасности компьютерных систем (“Оранжевая книга”) TCSEC - Trusted Computer System Evaluation Criteria Разработчики: МО США, 1983 год. Цель разработки Определения требований безопасности, …
Pic.3
Впервые нормативно определено понятие, “политика безопасности”, ТCB (Trusted Computing Base – вычисл
Впервые нормативно определено понятие, “политика безопасности”, ТCB (Trusted Computing Base – вычислительная база защиты или ядро защиты). Впервые нормативно определено понятие, “политика …
Pic.4
Сформулированы базовые требования безопасности
Сформулированы базовые требования безопасности
Pic.5
Базовые требования безопасности Все происходящие в системе события, имеющие значение с точки зрения
Базовые требования безопасности Все происходящие в системе события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации …
Pic.6
Базовые требования безопасности Все средства защиты должны быть защищены от несанкционированного вме
Базовые требования безопасности Все средства защиты должны быть защищены от несанкционированного вмешательства и/или отключения. Защита должна быть постоянной и непрерывной в любом режиме …
Pic.7
Приведена классификация систем Класс D – минимальная защита. Зарезервирован для систем, не удовлетво
Приведена классификация систем Класс D – минимальная защита. Зарезервирован для систем, не удовлетворяющих ни одному из других классов защиты. Класс С1 – защита, основанная на разграничении доступа …
Pic.8
Федеральные критерии безопасности информационных технологий Federal Criteria for Information Technol
Федеральные критерии безопасности информационных технологий Federal Criteria for Information Technology Security Разработчики стандарта Национальный институт стандартов и технологий США (National …
Pic.9
Объекты применения требований безопасности “Федеральных критериев” Продукты Информационных Технологи
Объекты применения требований безопасности “Федеральных критериев” Продукты Информационных Технологий (Information Technology Products) - совокупность аппаратных и/или программных средств, которая …
Pic.10
Канадские критерии оценки доверенных компьютерных продуктов Canadian Trusted Computer Product Evalua
Канадские критерии оценки доверенных компьютерных продуктов Canadian Trusted Computer Product Evaluation Criteria Разработчики стандарта Центр безопасности связи Канады (Canadian System Security …
Pic.11
Функциональные критерии Функциональные критерии частные метрики, предназначенные для определения пок
Функциональные критерии Функциональные критерии частные метрики, предназначенные для определения показателей эффективности средств защиты в виде уровня их возможностей по отражению угроз …
Pic.12
Приложения: Приложения: подробное описание концепции обеспечения безопасности информации; руководств
Приложения: Приложения: подробное описание концепции обеспечения безопасности информации; руководство по применению функциональных критериев; руководство по применению критериев адекватности …
Pic.13
Гармонизированные критерии Европейских стран Information Technology Security Evaluation Criteria Раз
Гармонизированные критерии Европейских стран Information Technology Security Evaluation Criteria Разработчики стандарта соответствующие органы Франции, Германии, Нидерландов и Великобритании. …
Pic.14
Критерии оценки безопасности информационных технологий Evaluation Criteria for IT Security (ECITS) Р
Критерии оценки безопасности информационных технологий Evaluation Criteria for IT Security (ECITS) Разработчики стандарта (на общественных началах) Рабочая группа 3 подкомитета 27 первого совместного …
Pic.15
Общие критерии безопасности информационных технологий Common Criteria for Information Technology Sec
Общие критерии безопасности информационных технологий Common Criteria for Information Technology Security Evaluation Разработчики стандарта (финансирование правительств) правительственные организации …
Pic.16
Эволюция “Общих критериев” С 1994 года ранние версии “Общих критериев” становятся рабочими проектами
Эволюция “Общих критериев” С 1994 года ранние версии “Общих критериев” становятся рабочими проектами WG3. В 1996 году появилась Версия 1. 0 “Общих критериев” (одобрена ISO и обнародована в качестве …
Pic.17
ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. К
ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Часть 2. …
Pic.18
РД “Безопасность информационных технологий. Критерии оценки безопасности информационных технологий”
РД “Безопасность информационных технологий. Критерии оценки безопасности информационных технологий” Часть 1. Критерии оценки безопасности информационных технологий Часть 2. Функциональные требования …
Pic.19
Международные стандарты оценки информационной безопасности и управления ею
Международные стандарты оценки информационной безопасности и управления ею
Pic.20
Международные стандарты оценки информационной безопасности и управления ею ВS 7799-1:1995 Code of Pr
Международные стандарты оценки информационной безопасности и управления ею ВS 7799-1:1995 Code of Practice for Information Security Management (Практические правила управления информационной …
Pic.21
Международные и национальные стандарты оценки информационной безопасности и управления ею ISO/IEC 17
Международные и национальные стандарты оценки информационной безопасности и управления ею ISO/IEC 17799:2000 Information technology — Code of practice for information security management …
Pic.22
Национальные стандарты ГОСТ Р ИСО/МЭК 17799:2005 Информационная технология практические правила упра
Национальные стандарты ГОСТ Р ИСО/МЭК 17799:2005 Информационная технология практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК 27001:2006 Информационная технология. Методы и …
Pic.23
International ISMS Register в 80 странах мира на сентябрь 2010 года = 6826
International ISMS Register в 80 странах мира на сентябрь 2010 года = 6826
Pic.24
«Обзор стандартов и методических документов в области защиты информации», слайд 24
Pic.25
Выписка из International ISMS Register на 6 сентября 2010 года
Выписка из International ISMS Register на 6 сентября 2010 года
Pic.26
Структура международных стандартов СМИБ
Структура международных стандартов СМИБ
Pic.27
Перспективы развития международных стандартов СМИБ ISO/IEC 27000 (проект) Информационные технологии.
Перспективы развития международных стандартов СМИБ ISO/IEC 27000 (проект) Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общие …
Pic.28
Перспективы развития международных стандартов СМИБ ISO/IEC 27002:2005 Информационные технологии. Мет
Перспективы развития международных стандартов СМИБ ISO/IEC 27002:2005 Информационные технологии. Методы и средства обеспечения безопасности. Свод правил для менеджмента информационной безопасности.
Pic.29
Перспективы развития международных стандартов СМИБ ISO/IEC 27004 (проект) Информационные технологии.
Перспективы развития международных стандартов СМИБ ISO/IEC 27004 (проект) Информационные технологии. Методы и средства обеспечения безопасности. Измерение менеджмента информационной безопасности.
Pic.30
Перспективы развития международных стандартов СМИБ ISO/IEC 27006:2007 Информационные технологии. Мет
Перспективы развития международных стандартов СМИБ ISO/IEC 27006:2007 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. …
Pic.31
Общий подход к разработке отраслевых стандартов” Основной принцип: дополнение ISO/IEC 27002:2005 (IS
Общий подход к разработке отраслевых стандартов” Основной принцип: дополнение ISO/IEC 27002:2005 (ISO/IEC 17799:2005) “Cвод правил менеджмента ИБ” специфичными для отрасли практиками
Pic.32
Предварительный вариант (отвергнут)
Предварительный вариант (отвергнут)
Pic.33
Требования к стандартам безопасности Что делать? Простота и понятность; Непротиворечивость терминов
Требования к стандартам безопасности Что делать? Простота и понятность; Непротиворечивость терминов и определений; Открытость; Стандарт должен быть прямого действия; Стандарт должен быть …
Pic.34
Требования к стандартам безопасности Как внедрять? Форма организации работ по разработке стандарта И
Требования к стандартам безопасности Как внедрять? Форма организации работ по разработке стандарта ИБ стандарт должен разрабатываться коллегиально, специальной рабочей группой (состоящей из …
Pic.35
Основные тезисы Язык текста стандарта должен быть ясным. Цель стандарта – сформировать требования и
Основные тезисы Язык текста стандарта должен быть ясным. Цель стандарта – сформировать требования и обеспечить возможность аудита их выполнения. Необходимо учесть требования международных и …
Pic.36
Состав комплекса стандарта Комплекс документов в области стандартизации Банка России “Обеспечение ин
Состав комплекса стандарта Комплекс документов в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации” (Комплекс “БР ИББС”)
Pic.37
Комплекс “БР ИББС” (перспектива)
Комплекс “БР ИББС” (перспектива)
Pic.38
BSI (Германия, 1998 г. ) Руководство по защите информационных технологий для базового уровня защищен
BSI (Германия, 1998 г. ) Руководство по защите информационных технологий для базового уровня защищенности Методология управления ИБ; Компоненты информационных технологий:
Pic.39
Структура каталогов угроз и контрмер Угрозы по классам: Форс-мажорные обстоятельства; Недостатки орг
Структура каталогов угроз и контрмер Угрозы по классам: Форс-мажорные обстоятельства; Недостатки организационных мер; Ошибки человека; Технические неисправности; Преднамеренные действия. Контрмеры по …
Pic.40
Достоинства и недостатки BSI Достоинства: Детальный учет специфики различных элементов информационны
Достоинства и недостатки BSI Достоинства: Детальный учет специфики различных элементов информационных систем. Детальное рассмотрение особенностей обеспечения ИБ в современных сетях. Возможность …
Pic.41
COBIT - контрольные объекты для информационных и смежных технологий Control Objectives for Informati
COBIT - контрольные объекты для информационных и смежных технологий Control Objectives for Information and related Technology Набор документов, в которых изложены принципы управления и аудита …
Pic.42
Состав книг COBIT
Состав книг COBIT
Pic.43
В основу стандарта COBIT положено следующее утверждение: для предоставления информации, необходимой
В основу стандарта COBIT положено следующее утверждение: для предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно …
Pic.44
Ресурсы ИТ в COBIT Данные - объекты в широком смысле (то есть внутренние и внешние), структурированн
Ресурсы ИТ в COBIT Данные - объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а также графика, звук и т. д. Приложения - совокупность …
Pic.45
Критерии оценки информации: Эффективность - актуальность информации, соответствующего бизнес-процесс
Критерии оценки информации: Эффективность - актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации. Продуктивность - …
Pic.46
Модель управления информационной технологией
Модель управления информационной технологией
Pic.47
Модель зрелости
Модель зрелости
Pic.48
Критические Факторы Успеха (КФУ) Определяют наиболее важные проблемы или действия руководителей, нап
Критические Факторы Успеха (КФУ) Определяют наиболее важные проблемы или действия руководителей, направленные на достижение контроля над ИТ-процессами.
Pic.49
Ключевые Индикаторы Цели (КИЦ) Описывают комплекс измерений, которые по факту сообщают руководству,
Ключевые Индикаторы Цели (КИЦ) Описывают комплекс измерений, которые по факту сообщают руководству, что ИТ-процесс достиг предъявляемых бизнес - требований.
Pic.50
Ключевые Индикаторы Результата (КИР) Описывают комплекс действий, необходимых для определения, наско
Ключевые Индикаторы Результата (КИР) Описывают комплекс действий, необходимых для определения, насколько ИТ-процессы достигают поставленных целей.
Pic.51
Процессы управления и аудита
Процессы управления и аудита
Pic.52
Взаимосвязь COBIT и других требований и стандартов
Взаимосвязь COBIT и других требований и стандартов
Pic.53
Сравнение некоторых стандартов и концепций аудита
Сравнение некоторых стандартов и концепций аудита
Pic.54
Стандарт безопасной электронной коммерции PCI DSS Payment Card Industry Data Security Standard (PCI
Стандарт безопасной электронной коммерции PCI DSS Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными …
Pic.55
Документы ФСТЭК России Положение по аттестации объектов информатизации по требованиям безопасности и
Документы ФСТЭК России Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждено председателем Гостехкомиссии России 25 ноября 1994 г. Устанавливает основные …
Pic.56
РД Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированно
РД Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992. РД Временное положение по организации …
Pic.57
РД Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к инфо
РД Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия …
Pic.58
«Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными технич
«Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и …
Pic.59
Основные понятия и сокращения. Основные понятия и сокращения. Понятие коммерческой тайны. Порядок оп
Основные понятия и сокращения. Основные понятия и сокращения. Понятие коммерческой тайны. Порядок определения сведений, составляющих КТ. Категорирование объектов информатизации по уровням …
Pic.60
Рекомендации по применению мер и средств технической защиты информации, составляющей коммерческую та
Рекомендации по применению мер и средств технической защиты информации, составляющей коммерческую тайну. Рекомендации по применению мер и средств технической защиты информации, составляющей …
Pic.61
ГОСТ 17168-82. Фильтры электронные октавные и третьоктавные. Общие технические требования и методы и
ГОСТ 17168-82. Фильтры электронные октавные и третьоктавные. Общие технические требования и методы испытаний. ГОСТ 12. 1. 003-83. Система стандартов безопасности труда. Шум. Общие требования …
Pic.62
ГОСТ 34. 602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техни
ГОСТ 34. 602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы. ГОСТ 34. 602-89. Информационная технология. …
Pic.63
ГОСТ Р ИСО 9127-94. Системы обработки информации. Документация пользователя и информация на упаковке
ГОСТ Р ИСО 9127-94. Системы обработки информации. Документация пользователя и информация на упаковке для потребительских программных пакетов. ГОСТ Р ИСО 9127-94. Системы обработки информации. …
Pic.64
ГОСТ Р ИСО 9003-96. Системы качества. Модель обеспечения качества при окончательном контроле и испыт
ГОСТ Р ИСО 9003-96. Системы качества. Модель обеспечения качества при окончательном контроле и испытаниях. ГОСТ Р ИСО 9003-96. Системы качества. Модель обеспечения качества при окончательном контроле …
Pic.65
ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Мет
ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех. ГОСТ Р 51320-99. …
Pic.66
ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению качества. ГОСТ Р ИСО 9
ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению качества. ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению качества. ГОСТ Р 50948-2001. …
Pic.67
На сайте Федерального агентства по техническому регулированию и метрологии размещены
На сайте Федерального агентства по техническому регулированию и метрологии размещены
Pic.68
«Обзор стандартов и методических документов в области защиты информации», слайд 68


Скачать презентацию

Если вам понравился сайт и размещенные на нем материалы, пожалуйста, не забывайте поделиться этой страничкой в социальных сетях и с друзьями! Спасибо!