Информационная безопасность в юриспруденции. Стандарты и спецификации в области информационной безопасности

Содержание

Слайд 2

Стандарты и спецификации в области информационной безопасности

Стандарты и спецификации в области информационной безопасности

Слайд 3

Понятие стандарта

ФЗ«О техническом регулировании»
№184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ

Понятие стандарта ФЗ«О техническом регулировании» №184-ФЗ 2002 г. (в ред. ФЗ №
2005 г.)

СТАНДАРТ - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг.
СТАНДАРТИЗАЦИЯ - деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг.

Слайд 4

ФЗ«О техническом регулировании»
№184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005

ФЗ«О техническом регулировании» №184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005
г.)

Основные цели реформирования системы
технического регулирования:
снижение административного и экономического давления на производителей;
расширение возможностей производителей за счет устранения соблюдаемых ранее ими избыточных требований и процедур;
устранение технических барьеров в торговле;
повышение эффективности защиты рынка от опасной продукции.

Слайд 5

Знания стандартов и спецификаций

Обязательность следования стандартам и спецификациям в ряде случаев закреплена

Знания стандартов и спецификаций Обязательность следования стандартам и спецификациям в ряде случаев
законодательно.
В стандартах и спецификациях зафиксированы апробированные, высококачественные решения и методологии.
Стандарты и спецификации являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.

Слайд 6

Для кого необходимо знание стандартов и спецификаций

Разработчикам средств защиты и защищенных ИС;

Для кого необходимо знание стандартов и спецификаций Разработчикам средств защиты и защищенных

Системным и сетевым администраторам;
Администраторам безопасности;
Руководителям соответствующих служб и пользователям.

Слайд 7

ФЗ«О техническом регулировании»
№184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005

ФЗ«О техническом регулировании» №184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005
г.)

Роль стандарта:
формирование доказательной базы;
соблюдения технических регламентов;
повышение конкурентоспособности продукции, работ и услуг.

Слайд 8

Начиная с начала 80-х годов XXв. были созданы десятки международных стандартов в

Начиная с начала 80-х годов XXв. были созданы десятки международных стандартов в
области информационной безопасности, дополняющих друг друга, например:
Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);
   Рекомендации Х.800;
   Германский стандарт BSI;
  Британский стандарт BS 7799;
Стандарт ISO 17799;
Стандарт «Общие критерии» ISO 15408;
Стандарт COBIT.

Слайд 9

ОСНОВНЫЕ ГРУППЫ СТАНДАРТИЗИРУЮЩИХ
ДОКУМЕНТОВ В ОБЛАСТИ ИБ

Все эти стандарты можно разделить на

ОСНОВНЫЕ ГРУППЫ СТАНДАРТИЗИРУЮЩИХ ДОКУМЕНТОВ В ОБЛАСТИ ИБ Все эти стандарты можно разделить
два вида:
ОЦЕНОЧНЫЕ СТАНДАРТЫ - предназначены для оценки и классификации информационных систем и средств защиты по требованиям безопасности;
ТЕХНИЧЕСКИЕ СПЕЦИФИКАЦИИ (регламенты) - регламентируют различные аспекты реализации и использования средств и методов защиты.

Слайд 10

В Оранжевой книге:

Заложен понятийный базис ИБ: безопасная и доверенная системы, политика безопасности,

В Оранжевой книге: Заложен понятийный базис ИБ: безопасная и доверенная системы, политика
уровень гарантированности, подотчетность, ядро и периметр безопасности и т.д.
Описаны основные механизмы формализации политики безопасности: дискреционное и мандатное управление доступом, безопасность повторного использования объектов, метки безопасности.
Сформулированы принципы классификации по требованиям безопасности на основе шкалы уровней доверия (D, С, В, A) и классов безопасности (С1, С2, В1, В2, В3, А1).
Повышение защищенности обеспечивается параллельным усилением требований к политике безопасности и уровню гарантированности.

Слайд 11

Механизмы безопасности Оранжевой книги

Политика безопасности должна включать следующие элементы:
Произвольное управление доступом

Механизмы безопасности Оранжевой книги Политика безопасности должна включать следующие элементы: Произвольное управление
– метод разграничения доступа к объектам, основанный на учете личности субъекта;
Безопасность повторного использования объектов – средство управления доступом, предохраняющее от случайного или преднамеренного извлечения информации из областей оперативной или дисковой памяти;
Метки безопасности – специальные идентификаторы определяющие уровни секретности объектов и субъектов;
Принудительное управление доступом – управление доступом к объектам основанное на сопоставлении меток безопасности субъектов и объектов.

Слайд 12

Рекомендации Х.800.
Сетевые сервисы безопасности

 
Функции (сервисы) безопасности включают:
аутентификацию;
управление доступом;
конфиденциальность данных;
целостность данных;
неотказуемость.

Рекомендации Х.800. Сетевые сервисы безопасности Функции (сервисы) безопасности включают: аутентификацию; управление доступом;

Слайд 13

Германский стандарт BSI

 
В 1998 году в Германии вышло "Руководство по защите информационных

Германский стандарт BSI В 1998 году в Германии вышло "Руководство по защите
технологий для базового уровня". Руководство представляет собой гипертекст объемом около 4 МБ (в формате HTML).
В дальнейшем оно было оформлено в виде германского стандарта BSI. В его основе лежит общая методология и компоненты управления информационной безопасностью.

Слайд 14

Британский стандарт BS 7799

 

BS 7799-1:2005 Британский стандарт BS 7799 «Практические правила управления

Британский стандарт BS 7799 BS 7799-1:2005 Британский стандарт BS 7799 «Практические правила
информационной безопасностью» описывают 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью организации, определенных на основе лучших примеров мирового опыта (best practices) в данной области.

Слайд 15

Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий"

 

Международный стандарт ИСО/МЭК 15408-99 (исторически

Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" Международный стандарт ИСО/МЭК 15408-99
сложившееся название – «Общие критерии») представляет собой наиболее удачный результат обобщения опыта различных государств по разработке и практическому использованию критериев оценки безопасности информационных технологий (ИТ), согласует и развивает целый ряд исходных критериев, а именно существующие европейские, американские и канадские критерии (ITSEC, TCSEC и CTCPEC соответственно).

Слайд 16

Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий"

 

Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий"

Слайд 17

Национальные стандарты РФ в области ИБ

 

Национальные стандарты (ГОСТы) в общем случае являются

Национальные стандарты РФ в области ИБ Национальные стандарты (ГОСТы) в общем случае
рекомендательными. Основополагающим стандартом РФ в области защиты информации (некриптографическими методами) является ГОСТ Р 52069.0-2013 "Защита информации. Система стандартов. Основные положения".

Слайд 18

Национальные стандарты РФ в области ИБ

 

Система стандартов по защите информации включает следующие

Национальные стандарты РФ в области ИБ Система стандартов по защите информации включает
виды документов в области стандартизации и защиты информации, используемых на территории Российской Федерации:
национальные стандарты Российской Федерации, в том числе ограниченного распространения, государственные военные стандарты, национальные стандарты, оформленные на основе аутентичных переводов международных стандартов (гармонизированные стандарты);
межгосударственные стандарты;
правила стандартизации, нормы и рекомендации в области стандартизации;
общероссийские классификаторы технико-экономической и социальной информации;
стандарты организаций;
предварительные национальные стандарты.
Имя файла: Информационная-безопасность-в-юриспруденции.-Стандарты-и-спецификации-в-области-информационной-безопасности.pptx
Количество просмотров: 27
Количество скачиваний: 0