Стандарты и спецификации в области информационной безопасности

Содержание

Слайд 2

РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН №1-ФЗ, 1- января 2002г.
ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
(в ред. Федерального

РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН №1-ФЗ, 1- января 2002г. ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
закона от 08.11.2007 N 258-ФЗ)
Глава I. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Цель и сфера применения настоящего Федерального закона
1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

Слайд 3

2. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых

2. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых
сделок и в других предусмотренных законодательством Российской Федерации случаях.
Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
Для целей настоящего Федерального закона используются следующие основные понятия:
электронный документ - документ, в котором информация представлена в электронно-цифровой форме;

Слайд 4

электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного

электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного
документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);

Слайд 5

средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию

средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию
хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
сертификат средств электронной цифровой подписи
закрытый ключ электронной цифровой подписи
открытый ключ электронной цифровой подписи
сертификат ключа подписи
подтверждение подлинности электронной цифровой подписи в электронном документе
пользователь сертификата ключа подписи
корпоративная информационная система

Слайд 6

Глава II. УСЛОВИЯ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ
ЦИФРОВОЙ ПОДПИСИ
Статья 4. Условия признания равнозначности электронной цифровой

Глава II. УСЛОВИЯ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ Статья 4. Условия признания равнозначности
подписи и собственноручной подписи
1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
подтверждена подлинность электронной цифровой подписи в электронном документе;
электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
2. Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

Слайд 7

Глава III. УДОСТОВЕРЯЮЩИЕ ЦЕНТРЫ
Статья 8. Статус удостоверяющего центра
1. Удостоверяющим центром, выдающим сертификаты

Глава III. УДОСТОВЕРЯЮЩИЕ ЦЕНТРЫ Статья 8. Статус удостоверяющего центра 1. Удостоверяющим центром,
ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные настоящим Федеральным законом. При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.
Требования, предъявляемые к материальным и финансовым возможностям удостоверяющих центров, определяются Правительством Российской Федерации по представлению уполномоченного федерального органа исполнительной власти.
Статус удостоверяющего центра, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы.

Слайд 8

Стандарты в области информационной безопасности
ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила

Стандарты в области информационной безопасности ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические
управления информационной безопасностью
ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
ГОСТ Р ИСО/МЭК 15408-2-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

Слайд 9

Стандарты в области информационной безопасности (часть 2)
ГОСТ Р ИСО/МЭК 15408-3-2002 Информационная технология.

Стандарты в области информационной безопасности (часть 2) ГОСТ Р ИСО/МЭК 15408-3-2002 Информационная
Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий
ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер
ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети

Слайд 10

Стандарты в области защиты информации
ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные

Стандарты в области защиты информации ГОСТ Р 52069.0-2003 Защита информации. Система стандартов.
положения.
ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
ГОСТ Р 52447-2005 Защита информации. Техника защиты информации. Номенклатура показателей качества
ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
ГОСТ Р 52863-2007 Защита информации. Автоматизированные системы в защищенном исполнении испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования
Р 50.1.056-2005 Техническая защита информации. Основные термины и определения

Слайд 11

Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.
СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
ГОСТ Р ИСО/МЭК 27001—2006, 2008

Информационная технология МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ГОСТ
– 02 – 01
1 Область применения
1.1 Общие положения
Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).

Слайд 12

Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты

Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты
информационных активов и гарантирующих доверие заинтересованных сторон.
Примечание — Термин «бизнес», в настоящем стандарте понимаемый в широком смысле, обозначает всю ту деятельность, которая является основой для целей существования организации.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующий стандарт: ИСО/МЭК 17799:2005 Информационная технология. Методы и средства обеспечения безопасности. Практические правила менеджмента информационной безопасности

Слайд 13

Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 активы (asset):

Термины и определения В настоящем стандарте применены следующие термины с соответствующими определениями:
Все, что имеет ценность для организации. [ИСО/МЭК 13335-1:2004] [4]
3.2 доступность (availability): Свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта. [ИСО/МЭК 13335-1:2004] [4]
3.3 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. [ИСО/МЭК 13335-1:2004] [4]
3.4 информационная безопасность; ИБ (information security): Свойство информации сохранять конфиденциальность, целостность и доступность.
Примечание - Кроме того, данное понятие может включать в себя также и свойство сохранять аутентичность, подотчетность, неотказуемость и надежность. [ИСО/МЭК 17799:2005]

Слайд 14

3.5 событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги

3.5 событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги
или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью. [ИСО/МЭК ТО 18044:2004] [5]
3.6 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
Примечание - Инцидентами информационной безопасности являются:
утрата услуг, оборудования или устройств; системные сбои или перегрузки; ошибки пользователей; несоблюдение политики или рекомендаций по ИБ; нарушение физических мер защиты; неконтролируемые изменения систем; сбои программного обеспечения и отказы технических средств; нарушение правил доступа. [ИСО/МЭК ТО 18044:2004] [5]

Слайд 15

3.7 система менеджмента информационной безопасности; СМИБ (information security management system; ISMS): Часть

3.7 система менеджмента информационной безопасности; СМИБ (information security management system; ISMS): Часть
общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддерж­ки и улучшения информационной безопасности.
Примечание - Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.
3.8 целостность (integrity): Свойство сохранять правильность и полноту активов. [ИСО/МЭК 13335-1:2004] [4]
3.9 остаточный риск (residual risk): Риск, остающийся после его обработки. [Руководство ИСО/МЭК 73:2002] [6]
3.10 принятие риска (risk acceptance): Решение по принятию риска. [Руководство ИСО/МЭК 73:2002] [6]

Слайд 16

3.11 анализ риска (risk analysis): Систематическое использование информации для определения источников риска

3.11 анализ риска (risk analysis): Систематическое использование информации для определения источников риска
и количественной оценки риска. [Руководство ИСО/МЭК 73:2002] [6]
3.12 оценка риска (risk assessment): Общий процесс анализа риска и его оценивания. [Руководство ИСО/МЭК 73:2002] [6]
3.13 оценивание риска (risk evaluation): Процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости. [Руководство ИСО/МЭК 73:2002] [6]
3.14 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в отношении риска.
Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска.
[Руководство ИСО/МЭК 73:2002] [6]

Слайд 17

3.15 обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации

3.15 обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации
риска. [Руководство ИСО/МЭК 73:2002] [6]
Примечания
Меры по обработке риска могут включать в себя избежание, оптимизацию, перенос или сохранение риска.
В настоящем стандарте термин «мера управления» (control) использован как синоним термина «мера» (measure).
3.16 положение о применимости (statement of applicability): Документированное предписание, определяющее цели и меры управления, соответствующие и применимые к системе менеджмента информационной безопасности организации.
Примечание - Цели и меры управления основываются на результатах и выводах процессов оценки и обработки рисков, на требованиях законодательных или нормативных актов, на обязательствах по контракту и бизнес-требованиях организации по отношению к информационной безопасности.

Слайд 18

4 Система менеджмента информационной безопасности
4.1 Общие требования
Организация должна разработать, внедрить, обеспечить функционирование,

4 Система менеджмента информационной безопасности 4.1 Общие требования Организация должна разработать, внедрить,
вести мониторинг, анализировать, поддерживать и непрерывно улучшать документированную СМИБ применительно ко всей деловой деятельности организации и рискам, с которыми она сталкивается. С учетом целей настоящего стандарта используемый процесс основан на применении модели PDCA, приведенной на рисунке 1.
Имя файла: Стандарты-и-спецификации-в-области-информационной-безопасности.pptx
Количество просмотров: 87
Количество скачиваний: 1