Роль и обзор стандартов и спецификаций информационной безопасности

Содержание

Слайд 2

Конституционным органом, осуществляющим подготовку решений Президента Российской Федерации в области обеспечения безопасности

Конституционным органом, осуществляющим подготовку решений Президента Российской Федерации в области обеспечения безопасности
(Закон Российской Федерации от 5 марта 1992 г. "О безопасности", раздел III) является Совет Безопасности Российской Федерации. В Конституции Российской Федерации Совет Безопасности закреплен как государственный орган в статье 83 (п. "ж"), определяющей полномочия Президента Российской Федерации в отношении формирования важнейших институтов государства (Правительство, Центральный банк, федеральные суды, Генеральный прокурор, Администрация Президента, высшее командование Вооруженных Сил Российской Федерации).
На Совет Безопасности как конституционный орган, осуществляющий подготовку решений Президента Российской Федерации в области обеспечения безопасности, возлагалось рассмотрение стратегических проблем государственной, экономической, общественной, оборонной, информационной, экологической и иных видов безопасности, охраны здоровья населения, прогнозирования, предотвращения чрезвычайных ситуаций и преодоления их последствий, обеспечения стабильности и правопорядка.

Роль стандартов и спецификаций

Слайд 3

Основополагающие документы документы в области информационной безопасности

Основополагающие документы документы в области информационной безопасности

Слайд 4

Структура документов в области информационной безопасности в Российской Федерации

Структура документов в области информационной безопасности в Российской Федерации

Слайд 5

Основные законы об информационной безопасности в РФ

Основные законы об информационной безопасности в РФ

Слайд 6

Основные документы в области стандартизации (в соответствии с Федеральным законом «О стандартизации

Основные документы в области стандартизации (в соответствии с Федеральным законом «О стандартизации
в Российской Федерации» от 29.06.2015 № 162-ФЗ)

Слайд 7

Технические комитеты по стандартизации

Технические комитеты по стандартизации

Слайд 8

Технические комитеты по стандартизации

Технические комитеты по стандартизации

Слайд 9

Технические комитеты по стандартизации

Технические комитеты по стандартизации

Слайд 10

Первым стандартом, получившим международное признание и оказавшим исключительно сильное влияние на последующие

Первым стандартом, получившим международное признание и оказавшим исключительно сильное влияние на последующие
разработки в области информационной безопасности, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем" (Department of Defense Trusted Computer System Evaliation Criteria, TCSEC, более известный (по цвету обложки) под названием "Оранжевая книга".
После "Оранжевой книги" была выпущена целая "Радужная серия". С концептуальной точки зрения, наиболее значимый документ в ней - "Интерпретация "Оранжевой книги" для сетевых конфигураций" (Trusted Network Interpretation).
Руководящие документы (РД) Гостехкомиссии России начали появляться несколько позже, и подтверждают разницу между автоматизированными системами (АС) и продуктами (средствами вычислительной техники, СВТ), но в общем и целом они долгое время следовали в фарватере "Оранжевой книги".

Первые стандарты по информационной безопасности

Слайд 11

К ним относятся следующие документы:

Первые стандарты по информационной безопасности

К ним относятся следующие документы: Первые стандарты по информационной безопасности

Слайд 12

Первое примечательное отклонение от этого курса произошло в 1997 году, когда был

Первое примечательное отклонение от этого курса произошло в 1997 году, когда был
принят РД по отдельному сервису безопасности - межсетевым экранам (МЭ). Его основная идея - классифицировать МЭ на основании осуществляющих фильтрацию потоков данных уровней эталонной семиуровневой модели.
Кроме вышеперечисленных РД были приняты ещё два документа:
Наиболее важными из аспектами из Руководящих документов – является классификация автоматизированных систем по уровню защищенности от несанкционированного доступа и аналогичная классификация межсетевых экранов.

Первые стандарты по информационной безопасности

Слайд 13

В 1990 году Рабочая группа 3 Подкомитета 27 Первого совместного технического комитета

В 1990 году Рабочая группа 3 Подкомитета 27 Первого совместного технического комитета
(JTC1/SC27/WG3) Международной организации по стандартизации (ISO) приступила к разработке "Критериев оценки безопасности информационных технологий" (Evaluation Criteria for IT Security, ECITS). Несколько позже, в 1993 году, правительственные организации шести североамериканских и европейских стран - Канады, США, Великобритании, Германии, Нидерландов и Франции - занялись составлением так называемых "Общих критериев оценки безопасности информационных технологий" (Common Criteria for IT Security Evaluation). За этим документом исторически закрепилось более короткое название - "Общие критерии", или ОК (Common Criteria, CC).
В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на "Общие критерии". В 2002 году Гостехкомиссия России приняла в качестве РД русский перевод международного стандарта ISO/IEC 15408:1999 "Критерии оценки безопасности информационных технологий".

Критерии оценки безопасности информационных технологий

Слайд 14

На сегодняшний день "Общие критерии" - самый полный и современный оценочный стандарт.

На сегодняшний день "Общие критерии" - самый полный и современный оценочный стандарт.
Федеральным агентством по техническому регулированию и метрологии утверждены и введены в действие национальные стандарты:
ГОСТ Р ИСО/МЭК 15408-1-2012. Информационная технология. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 1. Введение и общая модель;
ГОСТ Р ИСО/МЭК 15408-2-2012. Информационная технология. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 2. Функциональные компоненты безопасности;
ГОСТ Р ИСО/МЭК 15408-3-2012. Информационная технология. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. Компоненты доверия к безопасности.

Критерии оценки безопасности информационных технологий

Слайд 15

«Общие критерии» содержат два основных вида требований безопасности:
функциональные, соответствующие активному аспекту

«Общие критерии» содержат два основных вида требований безопасности: функциональные, соответствующие активному аспекту
защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
требования доверия, соответствующие пассивному аспекту; они предъявляются к технологии и процессу разработки и эксплуатации.
Требования безопасности формулируются, и их выполнение проверяется для определенного объекта оценки - аппаратно-программного продукта или информационной системы.
Безопасность в «Общих критериях» рассматривается не статично, а в соответствии с жизненным циклом объекта оценки. Кроме того, последний предстает в контексте среды безопасности, характеризующейся определенными условиями и угрозами.

Критерии оценки безопасности информационных технологий

Слайд 16

ГОСТ Р 52069.0-2013 «Защита информации. Система стандартов. Основные положения» устанавливает цель, задачи

ГОСТ Р 52069.0-2013 «Защита информации. Система стандартов. Основные положения» устанавливает цель, задачи
и структуру системы стандартов по защите (некриптографическими методами) информации, объекты и аспекты стандартизации в данной области.
Основными объектами стандартизации системы стандартов защиты информации являются:
Защита информации как область деятельности:
противодействие техническим разведкам;
техническая защита информации;
обеспечение безопасности информации в ключевых системах информационной инфраструктуры;
объекты защиты информации, в том числе:
промышленные объекты, объекты науки, энергетики, жизнеобеспечения;
объекты органов управления;
объекты информатизации;
продукция;
процессы (работы, технологии);
угрозы безопасности информации и уязвимости объектов защиты информации;
организация и содержание работ по защите информации;
методы (процессы, работы, технологии) защиты информации и методы контроля состояния защиты информации;
техника ЗИ, в том числе:
средства защиты информации;
средства контроля эффективности защиты информации;
услуги по защите информации.

Система стандартов РФ по защите информации

Слайд 17

Система стандартов РФ по защите информации

Система стандартов РФ по защите информации

Слайд 18

Семейство стандартов системы менеджмента серии 27000 представляют модель для создания, внедрения и

Семейство стандартов системы менеджмента серии 27000 представляют модель для создания, внедрения и
функционирования системы менеджмента. Подкомитет SC 27 Совместного технического комитета ISO/IEC JTC 1 имеет в своем составе комиссию экспертов, которая работает в области создания системы международных стандартов по информационной безопасности, известной как семейство стандартов системы менеджмента информационной безопасности (СМИБ).
Стандарты устанавливают рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями.
Основой для разработки стандартов явился британский стандарт BS 7799 фактически имеющий статус международного (ISO/IEC 17799:2000 «Information technology. Code of practice for security management»).

Системы менеджмента информационной безопасности

Слайд 19

Семейство стандартов системы менеджмента серии 27000 представляют модель для создания, внедрения и

Семейство стандартов системы менеджмента серии 27000 представляют модель для создания, внедрения и
функционирования системы менеджмента. Подкомитет SC 27 Совместного технического комитета ISO/IEC JTC 1 имеет в своем составе комиссию экспертов, которая работает в области создания системы международных стандартов по информационной безопасности, известной как семейство стандартов системы менеджмента информационной безопасности (СМИБ).
Основой для разработки стандартов явился британский стандарт BS 7799 фактически имеющий статус международного (ISO/IEC 17799:2000 «Information technology. Code of practice for security management»).
Семейство стандартов СМИБ содержит стандарты, которые:
определяют требования к СМИБ и к сертификации таких систем;
содержат прямую поддержку, детальное руководство и (или) интерпретацию полных процессов "План (Plan) - Осуществление (Do) -Проверка (Check) - Действие (Act)" (PDCA) и требования;
включают в себя специальные руководящие принципы для СМИБ;
руководят проведением оценки соответствия СМИБ.
Семейство стандартов СМИБ состоит из международных стандартов под общим названием Information technology – Security techniques (Информационные технологии. Методы и средства обеспечения безопасности).

Системы менеджмента информационной безопасности

Слайд 20

Системы менеджмента информационной безопасности

Системы менеджмента информационной безопасности

Слайд 21

Международный стандарт ISO/IEC 27000 содержит:
обзор семейства стандартов СМИБ;
введение в систему менеджмента информационной

Международный стандарт ISO/IEC 27000 содержит: обзор семейства стандартов СМИБ; введение в систему
безопасности(СМИБ);
краткое описание процесса "План (Plan) - Осуществление (Do) – Проверка (Check) - Действие (Act)" (PDCA);
термины и определения для использования в семействе стандартов СМИБ.
Стандарты, задающие требования:

Системы менеджмента информационной безопасности

Слайд 22

Утвержденное Приказом ФСБ России от 9 февраля 2005 г. № 66 "Положение

Утвержденное Приказом ФСБ России от 9 февраля 2005 г. № 66 "Положение
о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации" (Положение ПКЗ-2005) рекомендует использовать при разработке средств криптографической защиты информации криптографические алгоритмы, утвержденные в качестве национальных стандартов.
С целью обеспечения деятельности по разработке криптографических стандартов и нормативных документов, регламентирующих их применение, Приказом Ростехрегулирования от 28 декабря 2007 г. был создан технический комитет по стандартизации "Криптографическая защита информации", получивший сокращенное наименование ТК 26.
В настоящее время действует пять национальных стандартов в области криптографической защиты информации:
ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;
ГОСТ Р 34.10-2012. Информационная технология. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. Процессы формирования и проверки электронной цифровой подписи;
ГОСТ Р 34.11-2012. Информационная технология. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. Функция хэширования;
ГОСТ Р 34.12-2015. Информационная технология. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. Блочные шифры
ГОСТ Р 34.13-2015 Информационная технология (ИТ). Криптографическая защита информации. Режимы работы блочных шифров

Стандарты по криптографической защите информации

Слайд 23

В настоящий момент приняты и введены в действие распоряжением Банка России следующие

В настоящий момент приняты и введены в действие распоряжением Банка России следующие
стандарты (совокупность указанных документов принято называть Комплексом БР ИББС):
СТО БР ИББС-1.0-2014. «Общие положения (5 редакция)».
СТО БР ИББС-1.1-2007. «Аудит информационной безопасности».
СТО БР ИББС-1.2-2014. «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014 (4 редакция)».
СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при выявлении и расследовании инцидентов информационной безопасности при осуществлении переводов денежных средств».
СТО БР ИББС-1.4-2018 «Управление риском информационной безопасности при аутсорсинге»

Стандарты информационной безопасности в кредитно-финансовой сфере

Слайд 24

Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации:
РС

Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации:
БР ИББС-2.0-2007. «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0».
РС БР ИББС-2.1-2007. «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности».
РС БР ИББС-2.5-2014. «Менеджмент инцидентов информационной безопасности».
РС БР ИББС-2.6-2014. «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем».
РС БР ИББС-2.7-2015. «Ресурсное обеспечение информационной безопасности».
РС БР ИББС-2.8-2015. «Обеспечение информационной безопасности при использовании технологии виртуализации».
РС БР ИББС-2.9-2016. «Предотвращение утечек информации».

Стандарты информационной безопасности в кредитно-финансовой сфере

Слайд 25

Для реализации и поддержания системы обеспечения информационной безопасности (СОИБ) реализуются следующие группы

Для реализации и поддержания системы обеспечения информационной безопасности (СОИБ) реализуются следующие группы
процессов:
— планирование СОИБ организации БС РФ (“планирование”);
— реализация СОИБ организации БС РФ (“реализация”);
— мониторинг и анализ СОИБ организации БС РФ (“проверка”);
—поддержка и улучшение СОИБ организации БС РФ (“совершенствование”).
Указанные группы процессов составляют СМИБ организации БС РФ. Менеджмент ИБ есть часть общего корпоративного менеджмента организации БС РФ, которая ориентирована на содействие достижению целей деятельности организации через обеспечение защищенности ее информационной сферы.
Группы процессов СМИБ организации БС РФ рекомендуется организовывать в виде циклической модели Деминга “… — планирование — реализация — проверка — совершенствование — планирование — …”, которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC IS 27001-2005.

Стандарты информационной безопасности в кредитно-финансовой сфере

Слайд 26

Стандарты информационной безопасности в кредитно-финансовой сфере

Стандарты информационной безопасности в кредитно-финансовой сфере

Слайд 27

Целью государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и

Целью государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и
технологическими процессами критически важных объектов инфраструктуры Российской Федерации, согласно документу «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации», утв. Президентом Российской Федерации Д. Медведевым 3 февраля 2012 г., № 803, является снижение до минимально возможного уровня рисков неконтролируемого вмешательства в процессы функционирования данных систем, а также минимизация негативных последствий подобного вмешательства. Требования к безопасности КИИ РФ приведены в таких документах как:
Приказ ФСТЭК России от 25 декабря 2017 г. N 239 Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
Приказ ФСТЭК России от 21 декабря 2017 г. N 235 Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования
Приказ ФСБ России от 24 июля 2018 г. N 366 О национальном координационном центре по компьютерным инцидентам.

Обеспечение безопасности критической информационной инфраструктуры Российской Федерации

Слайд 28

Перечень национальных стандартов по информационной безопасности

Перечень национальных стандартов по информационной безопасности

Слайд 29

Перечень национальных стандартов по информационной безопасности

Перечень национальных стандартов по информационной безопасности

Слайд 30

Перечень национальных стандартов по информационной безопасности

Перечень национальных стандартов по информационной безопасности

Слайд 31

Перечень национальных стандартов по информационной безопасности

Перечень национальных стандартов по информационной безопасности

Слайд 32

Перечень национальных стандартов по информационной безопасности

Перечень национальных стандартов по информационной безопасности

Слайд 33

Перечень национальных стандартов по информационной безопасности

Перечень национальных стандартов по информационной безопасности

Слайд 34

Перечень национальных стандартов по информационной безопасности

Перечень национальных стандартов по информационной безопасности
Имя файла: Роль-и-обзор-стандартов-и-спецификаций-информационной-безопасности.pptx
Количество просмотров: 172
Количество скачиваний: 1
- Предыдущая
Социальная психология групп
Следующая -
Шаблон таблицы конкурентов

Похожие презентации

ЭКСПРЕСС-ДИАГНОСТИКА ПРОФЕССИОНАЛЬНЫХ ИНТЕРЕСОВ И СКЛОННОСТЕЙ В ПРЕДПРОФИЛЬНЫХ КЛАССАХ БАЗОВОГО И УГЛУБЛЕННОГО УРОВНЯ ИЗУЧЕНИ
Школа_синтеза_цифровых схем_day_1
Загадки природы и человеческого глаза
Тематический семинар
Создание шахматной доски
Учебно-методические и информационно-методические ресурсы, как необходимое условие для успешного решения задач ФГОС
WEB- браузеры
Unit 2a translation
Различные этапы духовной жизни
Australian food
Возрастная психология
Материально-техническое обеспечение бригады в бою
учитель начальных классов БЕЛЯЕВА ЛАРИСА АНАТОЛЬЕВНА МОУ "Верх-Катунская СОШ"
Лот 15, г. Хабаровск, ул. Сысоева, 21, кв. 44
Компланарные векторы. Правило параллелепипеда
Программирование на языке Паскаль
Учения о группах крови
ПЕРИОДИЧЕСКАЯ СИСТЕМА ХИМИЧЕСКИХ ЭЛЕМЕНТОВ Д.И. МЕНДЕЛЕЕВА
Поздравление коллективу с 8 марта
Инструментарий диагностической самооценки
Бурное море причастий
Презентация на тему Малая родина Бунина
Объединенный институт ядерных исследований (ОИЯИ)
Koдекс поведениякак механизм саморегулирования в третьем секторе
Ammatillinen vuorovaikutus
Метод анализа времени жизни флуоресценции и его применение для анализа скульптурных памятников и произведений настенной живописи
«Портфолио»как форма мониторинга успешности кадета
Ярмарок. Традиції
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть