Содержание

Слайд 4

ПО делится

ПО делится

Слайд 7

Стандарты информационной безопасности
это обязательные или рекомендуемые к выполнению документы, в которых

Стандарты информационной безопасности это обязательные или рекомендуемые к выполнению документы, в которых
определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.

Слайд 8

Функции стандартов в области ИБ 

- выработка понятийного аппарата и терминологии в области информационной

Функции стандартов в области ИБ - выработка понятийного аппарата и терминологии в
безопасности
- формирование шкалы измерений уровня информационной безопасности
- согласованная оценка продуктов, обеспечивающих информационную безопасность
- повышение технической и информационной совместимости продуктов, обеспечивающих ИБ
- накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем
- функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.

Слайд 9

Роль стандартов по ИБ

Роль стандартов по ИБ

Слайд 10

Основными областями стандартизации информационной безопасности являются:

аудит информационной безопасности
модели информационной безопасности
методы и механизмы

Основными областями стандартизации информационной безопасности являются: аудит информационной безопасности модели информационной безопасности
обеспечения информационной безопасности
криптография
безопасность межсетевых взаимодействий
управление информационной безопасностью.

Слайд 11

Специалист , имеющему отношение к информационной безопасности, должен знать:

терминологию в сфере ИБ;
общие

Специалист , имеющему отношение к информационной безопасности, должен знать: терминологию в сфере
подходы к построению ИБ;
общепринятые процессы ИБ и рекомендации по их выстраиванию;
конкретные меры защиты — контроли ИБ;
роли и зоны ответственности при построении процессов ИБ;
подходы к измерению зрелости процессов ИБ;
и многое другое.

Слайд 12

Стандарты можно поделить на:

Технические или контрольные (control)

Технические стандарты помогают провести выстраивание технической защиты

Стандарты можно поделить на: Технические или контрольные (control) Технические стандарты помогают провести
информации — выбрать необходимый комплекс защитных мер и провести их грамотную настройку
дают практические рекомендации и отвечают на вопрос «как реализовать?»
серия ISO/IEC 27XXX, руководство ITIL, методология COBIT 

Процессно-ориентированные

описывают поход к выстраиванию отдельных процессов
позволяют ответить на вопросы «что делать?»
проект OWASP top 10, CIS Controls, CIS Benchmarks

Слайд 13

МЕЖДУНАРОДНЫЕ СТАНДАРТЫ В ОБЛАСТИ ИБ

МЕЖДУНАРОДНЫЕ СТАНДАРТЫ В ОБЛАСТИ ИБ

Слайд 14

COBIT

Основой стандарта являются 40 высокоуровневых целей контроля, сгруппированных в четыре домена, два

COBIT Основой стандарта являются 40 высокоуровневых целей контроля, сгруппированных в четыре домена,
из которых посвящены информационной безопасности):
«COBIT 2019 Framework: Introduction and Methodology» — «COBIT 2019 Бизнес-модель: Введение и методология».
«COBIT 2019 Framework: Governance and Management Objectives» — «COBIT 2019 Бизнес-модель: Задачи руководства и управления.
«COBIT 2019 DESIGN GUIDE: Designing an Information and Technology Governance Solution — «Проектирование решения по руководству информацией и технологиями».
«COBIT 2019 IMPLEMENTATION GUIDE: Implementing and Optimizing an Information and Technology Governance Solution» — «Внедрение и оптимизация решения по руководству информацией и технологиями».

Слайд 15

ITIL и ITSM

Библиотека инфраструктуры информационных технологий или ITIL (The IT Infrastructure Library) —

ITIL и ITSM Библиотека инфраструктуры информационных технологий или ITIL (The IT Infrastructure
это набор публикаций (библиотека), описывающий общие принципы эффективного использования ИТ-сервисов. Библиотека ITIL применяется для практического внедрения подходов IT Service Management (ITSM) — проектирования сервисов и ИТ-инфраструктуры компании, а также обеспечения их связности.

Слайд 16

Серия ISO/IEC 27XXX

Самый известный стандарт серии — ISO/IEC 27001:2013, определяющий аспекты менеджмента информационной безопасности

Серия ISO/IEC 27XXX Самый известный стандарт серии — ISO/IEC 27001:2013, определяющий аспекты
и содержащий лучшие практики по выстраиванию процессов для повышения эффективности управления ИБ.
Стандарт ISO/IEC 27001:2013 состоит из двух частей:
Описание подхода к созданию СУИБ;
Приложение А (требования ИБ и средства их реализации , структурированные по разделам).

Слайд 17

ISO/IEC 15408

Еще одним стандартом, применяемым зарубежными ИБ-специалистами, является ISO 15408, состоящий из трех

ISO/IEC 15408 Еще одним стандартом, применяемым зарубежными ИБ-специалистами, является ISO 15408, состоящий
частей:
ISO/IEC 15408-1:2009 Evaluation criteria for IT security — Part 1: Introduction and general model — «Общие критерии оценки безопасности информационных технологий».
ISO/IEC 15408-2:2008 Evaluation criteria for IT security — Part 2: Security functional components model — «Функциональные компоненты безопасности».
ISO/IEC 15408-3:2008 Evaluation criteria for IT security — Part 3: Security assurance components — «Компоненты доверия к безопасности».

Слайд 18

ISO/IEC 15408

Первая часть стандарта содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном

ISO/IEC 15408 Первая часть стандарта содержит единые критерии оценки безопасности ИТ-систем на
уровне, известна как «Оранжевая книга»
Вторая часть приводит требования к функциональности средств защиты, которые могут быть использованы при анализе защищенности для оценки полноты реализованных функций безопасности.
Третья часть серии содержит обоснования угроз, политик и требований. Стандарт определяет компоненты доверия к безопасности, каталогизирует наборы компонентов и классов доверия.

Слайд 19

NIST

NIST — National Institute of Standards and Technology — американский национальный институт

NIST NIST — National Institute of Standards and Technology — американский национальный
стандартизации, аналог отечественного Госстандарта. В состав института входит Центр по компьютерной безопасности, который публикует с начала 1990-х годов Стандарты (FIPS), а также детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности.

Слайд 20

SANS. CIS 20

SANS — организация по обучению и сертификации в области ИБ,

SANS. CIS 20 SANS — организация по обучению и сертификации в области
наиболее известна своими руководствами по безопасной настройке различных систем (Benchmarks) и перечнем ключевых мер защиты Top 20 Critical Security Controls (CSC), включающим 20 рекомендаций по защите ИТ-инфраструктуры.
ИБ-специалисты могут использовать этот документ как контрольный список при проверке безопасности систем.
Имя файла: 4.pptx
Количество просмотров: 51
Количество скачиваний: 4