Презентация на тему Основы стандартизации в области безопасности информационных технологий

Презентация на тему Презентация на тему Основы стандартизации в области безопасности информационных технологий, предмет презентации: Образование. Этот материал содержит 51 слайдов. Красочные слайды и илюстрации помогут Вам заинтересовать свою аудиторию. Для просмотра воспользуйтесь проигрывателем, если материал оказался полезным для Вас - поделитесь им с друзьями с помощью социальных кнопок и добавьте наш сайт презентаций ThePresentation.ru в закладки!

Слайды и текст этой презентации

Слайд 1
Текст слайда:

Основы стандартизации в области безопасности информационных технологий


Слайд 2
Текст слайда:

Содержание лекции:

Понятие и роль стандартов

Исторические аспекты

Современная система стандартов БИТ

Детализированное рассмотрение
наиболее актуальных стандартов


Слайд 3
Текст слайда:

ПОНЯТИЕ СТАНДАРТА

СТАНДАРТ - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг...

СТАНДАРТИЗАЦИЯ - деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг.

4

ФЗ«О техническом регулировании»
№184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005 г)


Слайд 4
Текст слайда:

ФЗ«О техническом регулировании»
№184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005 г)

Основные цели реформирования системы
технического регулирования:

снижение административного и экономического
давления на производителей;

расширение возможностей производителей
за счет устранения соблюдаемых ранее
ими избыточных требований и процедур;

устранение технических барьеров в торговле;

повышение эффективности защиты
рынка от опасной продукции;


Слайд 5
Текст слайда:

ОСНОВНЫЕ ГРУППЫ СТАНДАРТИЗИРУЮЩИХ ДОКУМЕНТОВ

5


ОЦЕНОЧНЫЕ СТАНДАРТЫ - предназначены для оценки и классификации информационных систем и средств защиты по требованиям безопасности;


СПЕЦИФИКАЦИИ (технические регламенты) - регламентируют различные аспекты реализации и использования средств и методов защиты.


Слайд 6
Текст слайда:

ФЗ«О техническом регулировании»
№184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005 г)

Технические регламенты
(принимаются как ФЗ и
являются обязательными)

Стандарты:
Национальные стандарты
(ГОСТы)
Стандарты организаций
(являются рекомендательными)


Слайд 7
Текст слайда:

ФЗ«О техническом регулировании»
№184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005 г)

Роль стандартов:

формирование доказательной базы
соблюдения технических регламентов

повышение конкурентоспособности
продукции, работ и услуг


Слайд 8
Текст слайда:

ФЗ«О техническом регулировании»
№184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005 г)

Основные цели принятия ТР:

защита жизни или здоровья граждан,
имущества физических или юридических лиц,
государственного или
муниципального имущества;

охрана окружающей среды, жизни или
здоровья животных и растений;

предупреждение действий,
вводящих в заблуждение приобретателей


Слайд 9
Текст слайда:

Почему необходимы знания стандартов и спецификаций

6


Обязательность следования стандартам и спецификациям в ряде случаев закреплена законодательно.

В стандартах и спецификациях зафиксированы апробированные, высококачественные решения и методологии.

Стандарты и спецификации являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.


Слайд 10
Текст слайда:

Кому необходимы знания стандартов и спецификаций

6




Разработчикам средств защиты и защищенных ИС,

Системным и сетевым администраторам,

Администраторам безопасности,

Руководителям соответствующих служб и пользователям


Слайд 11
Текст слайда:

ИСТОРИЧЕСКИЕ АСПЕКТЫ

Заложен понятийный базис ИБ: безопасная и доверенная системы, политика безопасности, уровень гарантированности, подотчетность, ядро и периметр безопасности.

Описаны основные принципы формализации политики безопасности: дискреционное и мандатное управление доступом, безопасность повторного использования объектов.

Сформулированы принципы классификации по требованиям безопасности на основе линейной шкалы классов защищенности.

Повышение защищенности обеспечивается параллельным усилением требований к политике безопасности и уровню гарантированности.


7

«ОРАНЖЕВАЯ КНИГА»
(Trusted Computer System Evaluation Criteria, TCSEC)


Слайд 12
Текст слайда:

Безопасная система – управляет доступом к информации так, что только должным образом авторизованные лица или процессы от их имени, получают права читать, записывать, создавать или удалять информацию.

Доверенная система – система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.

«ОРАНЖЕВАЯ КНИГА»
(Trusted Computer System Evaluation Criteria, TCSEC)

ОСНОВНЫЕ ПОНЯТИЯ


Слайд 13
Текст слайда:


Политика безопасности: набор законов, правил и норм поведения, определяющих порядок обработки, распространения и защиты информации. В зависимости от этого выбираются механизмы безопасности


Уровень гарантированности: мера доверия, оказываемая архитектуре и реализации ИС. Показывает, насколько корректны механизмы, реализующие заданную политику безопасности.

«ОРАНЖЕВАЯ КНИГА»
(Trusted Computer System Evaluation Criteria, TCSEC)

КРИТЕРИИ ОЦЕНКИ СТЕПЕНИ ДОВЕРИЯ


Слайд 14
Текст слайда:

Доверенная вычислительная база (Trusted Computer Base, TCB) – совокупность защитных механизмов ИС, отвечающих за проведение в жизнь политики безопасности.
Качество ТСВ определяется только реализацией и не зависит от человеческого фактора.

Монитор обращений – проверяет каждое обращение пользователя к процессам и данным на предмет согласованности в набором допустимых для него действий.
Изолированность – нет возможности отслеживать его работу извне
Полнота – нет возможности обратиться к объектам в обход монитора
Верифицируемость – возможность обеспечить полноту тестирования.

ЯДРО БЕЗОПАСНОСТИ - это конкретная реализация монитора обращений.

«ОРАНЖЕВАЯ КНИГА»
(Trusted Computer System Evaluation Criteria, TCSEC)

СТУКТУРА ДОВЕРЕННОЙ СРЕДЫ


Слайд 15
Текст слайда:

Дискреционное (произвольное) управление доступом – обращение именованных субъектов к именованных объектам. Уполномоченный субъект может предоставлять или отбирать права на доступ к объектам.

Мандатное управление доступом – доступ к объектам осуществляется на основе сопоставления метки безопасности объекта и уровня доверия к субъекту по некоторому формально заданному правилу.

«ОРАНЖЕВАЯ КНИГА»
(Trusted Computer System Evaluation Criteria, TCSEC)

ИНСТРУМЕНТЫ ОБЕСПЕЧЕНИЯ ДОВЕРЕННОЙ СРЕДЫ


Слайд 16
Текст слайда:


Безопасность повторного использования объектов – обеспечить невозможность извлечения конфиден-циальной информации из «мусора» (очистка памяти)

Подотчетность – включает идентификацию и аутентификацию, предоставление доверенного пути, ведение журнала регистрации и анализ регистрационной информации.

Гарантированность – операционная (архитектура и реализация системы) и технологическая (построение и сопровождение).

«ОРАНЖЕВАЯ КНИГА»
(Trusted Computer System Evaluation Criteria, TCSEC)

ИНСТРУМЕНТЫ ОБЕСПЕЧЕНИЯ ДОВЕРЕННОЙ СРЕДЫ


Слайд 17
Текст слайда:


Введено понятие сетевой доверенной вычислительной базы

Выделен учет динамичности сетевых конфигураций

Выделена криптографическая компонента как механизм обеспечения конфиденциальности и целостности.

ИНТЕРПРЕТАЦИЯ «Оранжевой книги»
ДЛЯ СЕТЕВЫХ КОНФИГУРАЦИЙ»
(Trusted Network Interpretation)

ИСТОРИЧЕСКИЕ АСПЕКТЫ


Слайд 18
Текст слайда:


Выделены базовые сервисы безопасности для распределенных систем:
аутентификация,
управление доступом,
конфиденциальность данных,
целостность данных,
неотказуемость.

Описаны реализующие данные сервисы механизмы.

РЕКОМЕНДАЦИИ Х.800
СЕТЕВЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ

ИСТОРИЧЕСКИЕ АСПЕКТЫ


Слайд 19
Текст слайда:

Сформулированы обязанности администратора средств безопасности
(в контексте выделенных сервисов и механизмов безопасности):

администрирование ИС в целом

администрирование сервисов безопасности

администрирование механизмов безопасности.

26

РЕКОМЕНДАЦИИ Х.800
СЕТЕВЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ


Слайд 20
Текст слайда:

Механизмы аутентификации. Пароли, личные карточки, биометрия.

Шифрование. Симметричное, асимметричное, необратимое.

ЭЦП. Включает два алгоритма: создания подписи и ее проверки.

Механизмы управления доступом.
базы данных управления доступом, списки доступа
аутентификационная информация,
«билеты» или иные удостоверения, предъявление которых свидетельствует о наличии прав доступа;
метки безопасности, ассоциированные с субъектами и объектами доступа.
время, маршрут и длительность запрашиваемого доступа.

Механизмы контроля целостности. Различают целостность отдельного сообщения и целостность потока сообщений.

РЕКОМЕНДАЦИИ Х.800
Механизмы безопасности


Слайд 21
Текст слайда:

Механизмы дополнения трафика. В сочетании со средствами обеспечения конфиденциальности

Механизмы управления маршрутизацией.
Маршрутизация статическая или динамическая
Маршрут в зависимости от меток безопасности
Отказ от «опасных» маршрутов.

Механизмы нотаризации. Заверение коммуникационных характеристик (целостность, личность, время и т.п.) доверенной третьей стороной.

РЕКОМЕНДАЦИИ Х.800
Механизмы безопасности


Слайд 22
Текст слайда:

РЕКОМЕНДАЦИИ Х.800. ФУНКЦИИ БЕЗОПАСНОСТИ: РАСПРЕДЕЛЕНИЕ ПО УРОВНЯМ OSI


Слайд 23
Текст слайда:

РЕКОМЕНДАЦИИ Х.800 СОПОСТАВЛЕНИЕ ФУНКЦИЙ И МЕХАНИЗМОВ БЕЗОПАСНОСТИ


Слайд 24
Текст слайда:

ОБЩИЙ ПРИНЦИП: Обязанности администратора определяются перечнем задействованных механизмов.
Типичный перечень:
Управление ключами (генерация и распределение )
Управление шифрованием (установка и синхронизация криптографических параметров), в т.ч. механизмами ЭЦП и целостности с использованием криптографии
Администрирование управления доступом (распределение паролей, ведение списков доступа и т.п. )
Управление аутентификацией
Управление дополнением трафика (правила дополнения сообщений – частота посылки, размер и пр. )
Управление маршрутизацией (выработка доверенных путей)
Управление нотаризацией (администрирование служб)

РЕКОМЕНДАЦИИ Х.800 Администрирование безопасности


Слайд 25
Текст слайда:

ИСТОРИЧЕСКИЕ АСПЕКТЫ


Новые акценты:

Два направления: продукты и системы ИТ.

Отказ от единой линейной шкалы.

Требование формулирования цели оценки и проведение анализа, насколько полно она достигается.

Приведено описание около десятка примерных классов функциональности для государственных и коммерческих систем.

9

ГАРМОНИЗИРОВАННЫЕ КРИТЕРИИ
ЕВРОПЕЙСКИХ СТРАН.


Слайд 26
Текст слайда:

ОБЩИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ISO / IEC 15408

Разработан на основе национальных стандартов:

«Гармонизированные критерии Европейских стран»,

«Федеральные критерии безопасности информационных технологий» (США)

«Канадские критерии оценки доверенных компьютерных продуктов»

На сегодняшний день он является самым полным и современным оценочным стандартом ИБ.

14


Слайд 27
Текст слайда:

ОБЩИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ



Объект оценки (ОО)– аппаратно-программный продукт или информационная система с соответствующей документацией.




Система - специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации.



Продукт - совокупность средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы.  

15


Слайд 28
Текст слайда:

ОБЩИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ


ОО рассматривается в контексте среды безопасности.

Среда безопасности включает
законодательную,
административную,
процедурную
программно-техническую среды.


Выделяются следующие аспекты безопасности ОО:
предположения безопасности,
угрозы безопасности,
положения политики безопасности.


На основе предположений при учете угроз и положений политики безопасности определяются цели безопасности.

15


Слайд 29
Текст слайда:

ОБЩИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Принципиальные особенности
1. Универсальный метастандарт, определяющий инструменты оценки безопасности ИС и порядок их использования;

2. Безопасность рассматривается в соответствии с жизненным циклом объекта оценки в контексте среды безопасности, характеризующейся определенными условиями и угрозами.

3. Для объекта оценки формулируются требования безопасности (функциональные требования и требования доверия)

4. В методологии ОК формируются два базовых вида НМД
– профиль защиты (типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса )
– задание по безопасности (совокупность требований к конкретной разработке )

5. Основа для сопоставления национальных стандартов.

16


Слайд 30
Текст слайда:

1992 год «Руководящие документы Гостехкомиссии России» по защите СВТ и АС от несанкционированного доступа к информации.
Концепция защиты СВТ и АС от НСД к информации
Термины и определения
Показатели защищенности СВТ от НСД
Классификация АС по уровню защищенности от НСД
Временное положение по разработке защищенных автоматизированных систем и средств защиты информации.
1997 год Межсетевые экраны. Показатели защищенности от НСД.
2001 год Специальные требования и рекомендации по защите конфиденциальной информации

2002 год – РД Гостехкомисии России «Критерии оценки безопасности информационных технологий» (перевод версии ISO/IEC 15408:1999)
2004 год – введен ГОСТ Р ИСО/МЭК 15408-2002

10

РАЗВИТИЕ ОТЕЧЕСТВЕННЫХ СТАНДАРТОВ ИБ


Слайд 31
Текст слайда:

ОБЩИЕ ПРИНЦИПЫ ЗАЩИТЫ СВТ И АС

Разделение на СВТ и АС
Модель нарушителя
Линейная шкала, аналогичная «Оранжевой книге», для СВТ
Классификация АС в зависимости от количества пользователей и режима обработки информации
Взаимоувязанные рекомендации по применению классифицированных СВТ для создания АС разного уровня защищенности
Определены основные подсистемы обеспечения безопасности. для АС: управления доступом, контроля целостности, регистрации и учета, криптографическая подсистема.
Перечислены функции и требования к механизмам их реализации для классифицируемых АС и СВТ

11

РУКОВОДЯЩИЕ ДОКУМЕНТЫ
ГОСТЕХКОМИССИИ РОССИИ
ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ НСД


Слайд 32
Текст слайда:


Обзор соверменных стандартов в области ИБ

Стандартизация ИБ на международном уровне

ISO: International Standardization Organization
(ИСО: Международная организация по стандартизации)
IEC:International Electro-technical Commission
(МЭК : Международная электротехническая комиссия)
ITU: International Telecommunications Union
МСЭ : Международный союз электросвязи
IETF: Internet Engineering Task Force
(IETF: Комиссия по технологиям Internet)
EMV:Europay, MasterCard и Visa International
(ЕМВ:Международная организация пластиковых карт)
OECD:Organization for Economic Co-operation
and Development
(ОЭСР:Организация по экономическому сотрудничеству и развитию)


Слайд 33
Текст слайда:


Стандартизация ИБ на международном уровне

ECMA:European computer manufacturers association
(ЕАПК:Европейская ассоциация производителей компьютеров)

ETSI:European Telecommunications Standards Institute
(ЕИСТ:Европейский институт стандартизации телекоммуникаций)

ECBS:European committee for banking standards
(ЕКБС:Европейский комитет по банковским стандартам)

Обзор соверменных стандартов в области ИБ


Слайд 34
Текст слайда:


Стандартизация ИБ на международном уровне

NIST: National Institute of Standards and Technology
(НИСТ: Национальный институт стандартов и технологий США)

ANSI:American national standard institute
(АНСИ:Американский национальный институт стандартизации)

ABA:American banker’s association
(АВА: Американская банковская ассоциация)

BSI:British Standard Institute
(БСИ:Британский институт стандартизации)

Обзор соверменных стандартов в области ИБ


Слайд 35
Текст слайда:


Стандартизация ИБ на международном уровне

ISO: International Standardization Organization
(ИСО: Международная организация по стандартизации)
создана в 1946 г., содержит около 200 технических комитетов (ТС),
свыше15000 стандартов, 156 стран-участниц

IEC:International Electro-technical Commission
(МЭК : Международная электротехническая комиссия)
создана в 1944, содержит более 100 TC

ISO/IEC (ИСО/МЭК):
Объединенный технический комитет (JTC 1)
JTC 1 –разрабатывает стандарты в области ИТ
Подкомитет 27 (SC 27) JTC 1 работает в сфере ИБ

Обзор соверменных стандартов в области ИБ


Слайд 36
Текст слайда:


Некоторые стандарты, выпущенные SC 27 JTC 1 ISO/IEC

ISO/IEC 13335 Management of information security
ISO/IEC 15945 Specification of TTP services to support the
application of digital signatures (ITU-T X.843)
ISO/IEC 18043 Management, implementation and operation
of intrusion detection systems (IDS)
ISO/IEC 18033 Encryption algorithms, with four Parts,
including asymmetric, block and stream ciphers
ISO/IEC 9798 Entity authentication, with six Parts
ISO/IEC 15408 – Common Criteria for IT Security Evaluation
ISO/IEC 18045 – Common Evaluation Methodology
ISO/IEC 19790 / U.S. NIST FIPS 140-2 – Security Requirements
for Cryptographic Modules

Обзор соверменных стандартов в области ИБ


Слайд 37
Текст слайда:



BS 7799-1 “Information technology. Code of practice for security management”
(«Информационная технология. Кодекс установившейся практики
для управления информационной безопасностью»)

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология.
Практические правила управления информационной безопасностью
(Введен 2007-01-01)

ISO/IEC 17799:2000 “Information technology.
Code of practice for security management”

ISO/IEC 17799:2005 “Information technology.
Code of practice for security management”

ISO/IEC 27002:2005 “Information technology.
Code of practice for security management”




Обзор соверменных стандартов в области ИБ


Слайд 38
Текст слайда:


2. Обзор стандартов в области ИБ

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология.
Практические правила управления информационной безопасностью

Стандарт формирует общую основу
как для разработки стандартов безопасности
отдельных организаций и эффективных
правил по поддержанию этой безопасности,
так и для обеспечения конфиденциальности
торговых связей между организациями


Слайд 39
Текст слайда:


2. Обзор стандартов в области ИБ

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология.
Практические правила управления информационной безопасностью

Введение
Область применения
Термины и определения
Политика безопасности
Организационные вопросы безопасности
Классификация и управление активами
Вопросы безопасности, связанные с персоналом
Физическая защита и защита от воздействия окружающей среды
Управление передачей данных и операционной деятельностью
Контроль доступа
Разработка и обслуживание систем
Вопросы управления непрерывностью бизнеса
Соответствие требованиям законодательства


Слайд 40
Текст слайда:


2. Обзор стандартов в области ИБ

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология.
Практические правила управления информационной безопасностью

9. Контроль доступа (начало):
9.1. Требования бизнеса по обеспечению контроля
в отношении логического доступа
9.2. Контроль в отношении доступа пользователей
9.2.1.Регистрация пользователей
9.2.2. Управление привилегиями
9.2.3. Контроль в отношении паролей пользователей
Пересмотр прав доступа пользователей
9.3. Обязанности пользователей
9.3.1. Использование паролей
9.3.2.Оборудование, оставленное пользователями без присмотра
9.4. Контроль сетевого доступа
9.4.1.Политика в отношении использования сетевых служб
9.4.2. Предопределенный маршрут
9.4.3. Аутентификация пользователей в случае внешних соединений
9.4.4.Аутентификация узла
9.4.5. Защита портов диагностики при удаленном доступе
9.4.6. Принцип разделения в сетях
9.4.7. Контроль сетевых соединений
9.4.8. Управление маршрутизацией сети
9.4.9. Безопасность использования сетевых служб


Слайд 41
Текст слайда:


2. Обзор стандартов в области ИБ

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология.
Практические правила управления информационной безопасностью

9. Контроль доступа (окончание):
9.5. Контроль доступа к операционной системе
9.5.1. Автоматическая идентификация терминала
9.5.2. Процедуры регистрации с терминала
9.5.3. Идентификация и аутентификация пользователей
9.5.4. Система управления паролями
9.5.5. Использование системных утилит
9.5.6. Сигнал тревоги для защиты пользователей на случай,
когда они могут стать объектом насилия
9.5.7. Периоды бездействия терминалов
9.5.8. Ограничения подсоединения по времени
9.6. Контроль доступа к приложениям
9.6.1. Ограничения доступа к информации
9.6.2. Изоляция систем, обрабатывающих важную информацию
9.7. Мониторинг доступа с использованием системы
9.7.1. Регистрация событий
9.7.2. Мониторинг использования систем
9.7.3. Синхронизация часов
9.8. Работа с переносными устройствами в дистанционном режиме
9.8.1. Работа с переносными устройствами
9.8.2. Работа в дистанционном режиме


Слайд 42
Текст слайда:


2. Обзор стандартов в области ИБ

BS 7799-2 “Information technology. Security techniques.
Information security management systems. Requirements”
(«Информационная технология. Методы защиты.
Системы менеджмента защиты информации. Требования»)




ISO/IEC 27001:2005“Information technology. Security techniques.
Information security management systems. Requirements”

ГОСТ Р ИСО/МЭК 27001-2005 Информационные технологии.
Методы защиты. Системы менеджмента защиты информации.
Требования
Введен ???????


Слайд 43
Текст слайда:


2. Обзор стандартов в области ИБ

ГОСТ Р ИСО/МЭК 27001-2005 Информационные технологии.
Методы защиты. Системы менеджмента защиты информации.
Требования

Предисловие
Введение
1.Область приложения
2.Нормативные ссылки
3.Термины и определения
4.Системы менеджмента защиты информации
5.Ответственность руководства
6.Внутренние аудиты СМЗИ
7.Анализ СМЗИ со стороны руководства
8.Улучшение СМЗИ
Приложение А (обязательное). Цели управления и
средства управления
Приложение В (информационное). Принципы ОЭСР и этот стандарт
Приложение С (информационное). Соответствие между
ISO 9001:2000, ISO 14001:2004 и этим стандартом


Слайд 44
Текст слайда:

5 / 23














Новые проекты: семейство стандартов ISO 27000


Основные понятия
и терминология

Требования
СУИБ

17799
(с апреля 2007)

Рекомендации по
реализации СУИБ

Оценка СУИБ

Управление рисками
в СУИБ

опублик

в процессе

предлагается

2. Обзор стандартов в области ИБ


Слайд 45
Текст слайда:

Cryptographic techniques, authentication protocols, biometric techniques, privacy technologies …

Disaster recovery, IT networks security, TTP services, IDS, Incident handling, Web applications, identity management, cyber ..

Product & system
security evaluation & assurance (Common Criteria)

Accreditation requirements for ISMS [27006]

Information security
management system (ISMS) [27001]


Слайд 46
Текст слайда:


2. Обзор стандартов в области ИБ

ISACA: Ассоциация Аудита и Контроля Информационных Систем
Основана в 1969 году.
Развивает и продвигает стандарт
COBIT – Control Objectives for Information and related Technology
(Контрольные ОБъекты для Информационных
и смежных Технологий)
=Принципы управления и аудита ИТ.
CobiT позиционируется как открытый стандарт «де-факто»
(вышло четвертое издание)


Слайд 47
Текст слайда:


2. Обзор стандартов в области ИБ

Стандарт CobiT
Состоит из шести частей, ориентированных на разные аудитории:
Резюме для руководителя. Описание стандарта для
топ-менеджеров организации для принятия ими решения
о применимости стандарта в конкретной организации.
Описание структуры. Содержит развернутое описание высокоуровневых
целей контроля и пояснения к ним, необходимые
для эффективной навигации и результативной работы со стандартом.
Объекты контроля. Детальные описания объектов контроля,
содержащие расшифровку каждого из объектов.
Принципы управления. Отвечает на вопросы как управлять ИТ, как правильно
поставить достижимую цель, как ее достичь
и как проконтролировать полноту ее достижения.
Предназначена для руководителей ИТ-служб.
Принципы аудита. Правила проведения ИТ-аудита.
Описание того, у кого можно получить необходимую информацию,
как ее проверить, какие вопросы задавать.
Книга предназначена для внутренних и внешних аудиторов ИТ,
а также консультантов в сфере ИТ.
Набор инструментов внедрения стандарта. Практические советы
по ежедневному использованию стандарта в управлении и аудите ИТ.
Книга предназначена для внутренних и внешних аудиторов ИТ,
консультантов в сфере ИТ.


Слайд 48
Текст слайда:

2. Обзор стандартов в области ИБ


Слайд 49
Текст слайда:

2. Обзор стандартов в области ИБ

ОТЕЧЕСТВЕННАЯ НОРМАТИВНАЯ БАЗА В ОБЛАСТИ ИБ:

СТАНДАРТЫ, РУКОВОДЯЩИЕ ДОКУМЕНТЫ, ПРОФИЛИ, ДРУГИЕ НОРМАТИВНЫЕ ДОКУМЕНТЫ (включая проекты):
Защита средств и систем : 28 (ГОСТ, ГОСТ Р); 8 (РД); 40 (СТ. ОТР. ПРИМ.);

Управление ИБ : 13 (ПНС-2006/7);

Оценка ИБ: 3 (ГОСТ Р); 3 (проекты РД); 6 (проекты профилей)


Слайд 50
Текст слайда:


2. Обзор стандартов в области ИБ

ГОСТ 29339-92 "ИТ. ЗИ от утечки за счет ПЭМИН при ее обработке СВТ. ОТТ"

ГОСТ Р 50543-93 "Конструкции базовые несущие СВТ. Требования по обеспечению ЗИ и ЭМС методом экранирования"

ГОСТ Р 50752-95 "ИТ. ЗИ от утечки за счет ПЭМИН при ее обработке СВТ. Методы испытаний"

ГОСТ Р 50739-95 "СВТ. Защита от НСД к информации. ОТТ"

ГОСТ Р 50922-96 "Защита информации. Основные термины и определения"

ГОСТ Р 51188-98 "ЗИ. Испытания программных средств на наличие компьютерных вирусов. Типовые руководства"

ГОСТ Р 51275-99 "ЗИ. Объекты информатизации. Факторы, воздействующие на информацию. Общие положения"

ГОСТ Р 51583-2000 "ЗИ. Порядок создания АС в защищенном исполнении. Общие положения"


Слайд 51
Текст слайда:


2. Обзор стандартов в области ИБ

ГОСТ Р 51624-2000 "ЗИ. АС в защищенном исполнении. Общие требования"

ГОСТ 28147-89 "Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования"

ГОСТ 34.10-2001 "ИТ. Криптографическая защита информации.
Процессы формирования и проверки электронной цифровой подписи"

ГОСТ 34.11-94 "ИТ. Криптографическая защита информации.
Функция хэширования"

ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь
открытых систем. Базовая эталонная модель. Часть 2.
Архитектура защиты информации

ГОСТ Р ИСО 9594-8-98 Взаимосвязь открытых систем. Справочник. Часть 8.
Основы аутентификации


Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика