Слайд 2Обеспечение качества и безопасности процессов, продукции и услуг в сфере информационных технологий,
требований международных стандартов серии ИСО 9000 в части создания систем менеджмента качества, структуры и основных требований национальных и международных стандартов в сфере средств информационных технологий.
Слайд 3Для правильного представления места и роли стандартизации в области ИКТ, необходимо дать
определение этому понятию как объекту стандартизации.
ИКТ – совокупность методов, производственных процессов и промышленно- технических средств, объединенных в технологическую цепочку с целью сбора, обработки, хранения, распространения, отображения и использования информации в интересах ее пользователей.
Слайд 4Основными направлениями стандартизации в области ИКТ являются:
системы автоматической обработки текстов и речи
расчетно-логические и эксплуатационные системы
системы автоматической обработки текстов и речи интеллектуальные системы для использования в управлении, проектировании, обучении и т.д.;
CALS-технологии непрерывной информационной поддержки ЖЦП
Стандартизацией ИКТ на международном уровне занимаются три международные организации ISO, IEC, ITU.
ISO (ИСО) (International Organization for Standardization - Международная организация стандартизации
IEC (МЭК) (International Electrotechnical Commision - Международная электротехническая комиссия)
ITU (МСЭ) (International Telecommunication Union - Международный союз электросвязи,)
Слайд 5ISO и IEC, а также их совместным техническим комитетом по стандартизации SO/IEC/JTC1
разработано более 1500 международных стандартов, охватывающих следующие области ИКТ:
телекоммуникационный и информационный обмен между системами
компьютерная графика и обработка изображения программное обеспечение
безопасность информационных технологий средства для цифрового обмена данными
автоматический сбор данных идентификационные карточки управление использованием данных
языки программирования, их среда и интерфейс программного обеспечения
описание документа и языковая обработка совместимость информационно технологического оборудования пользовательский интерфейс и т.д.
Слайд 6Альтернативой международным консорциумам является деятельность большого числа конкурирующих компаний (HP, IBM, Sun
Microsystems, SCO Group, Novell др.), производящих
совместимую серийную технику, стандарты которой становятся международными «дефакто» (в международной практике – одна из форм признания, означающая официальное,
но еще не юридическое признание).
Слайд 7Работы по стандартизации ИКТ также проводятся промышленными профессиональными организациями, среди которых следует
особо выделить Институт инженеров по электротехнике и электронике (IEEE).
Первый стандарт по разработке программного обеспечения был создан IEEE еще в 1979 г. К 1990 г.
Слайд 8ISO/IEC JTC 1/SC 7 разработал 8 стандартов (6 действуют и в настоящее
время), IEEE к этому времени уже разработал 14 стандартов по программному обеспечению, число которых возросло до 27 к 1994 г., сейчас их более 50.
На региональном уровне в странах ЕС координацию работы по стандартизации и обеспечению качества ИКТ проводят: Европейский комитет по стандартизации (СЕN), Европейский комитет по стандартизации в электротехнике (СЕNELЕС), Европейский институт по стандартизации в области электросвязи (ЕТSI).
Слайд 9Европейский комитет по стандартизации (фр. Comité Européen de Normalisation, CEN) — международная
некоммерческая организация, основной целью которой является содействие развитию торговли товарами и услугами путём разработки европейских стандартов (евронорм, EN).
Основная ETSI задача — поиск общих стандартов, на основе которых можно создать комплексную инфраструктуру электросвязи. Эта инфраструктура призвана обеспечить полную совместимость любого оборудования и услуг, предлагаемых потребителям.
Слайд 10Кроме указанных организаций в работе по созданию стандартов ИКТ участвуют и специализированные
региональные организации, которыми разработано более 600 европейских стандартов в области ИКТ:
1. Европейская конференция почтовой и телеграфной связи (СЕРТ) (СЕPТ была образована в 1959 году 19 странами. В настоящее время включает в себя 48 стран-членов, охватывая практически всю Европу)
2. Европейский комитет по сертификации в области информационных технологий (ЕCITC).
Слайд 11СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РФ
Слайд 12Основным направлением работ по стандартизации ИКТ в РФ является использование международных достижений
и принятие международных стандартов в качестве государственных.
Информационная безопасность – состояние защищенности информационной среды общества, обеспечивающее формирование, использование и развитие в интересах граждан, организаций, государства.
Слайд 13Защита информации представляет собой деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных
воздействий на защищаемую информацию, т. е. процесс, направленный на достижение этого состояния
В качестве стандартной модели безопасности часто используется модель CIA:
С – конфиденциальность (confidentiality) – доступность информации только определенному кругу лиц;
– I – целостность (integrity) – гарантия существования информации в исходном виде;
– А – доступность (availability) – возможность получения информации авторизованным пользователем в нужное для него время.
Слайд 14К перечисленным выше можно добавить и другие категории информационной безопасности:
– аутентичность –
возможность установления автора информации;
– апеллируемость – возможность доказать, что автором является именно заявленный человек, а не другой.
Слайд 15ФСТЭК И ЕГО РОЛЬ В ОБЕСПЕЧЕНИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РФ
Слайд 16В Российской Федерации информационная безопасность обеспечивается соблюдение указов Президента, федеральных законов, постановлений
Правительства Российской Федерации, руководящих документов ФСТЭК России и других нормативных документов. В РФ с точки зрения стандартизации положений в сфере информационной безопасности первостепенное значение имеют руководящие документы (РД) ФСТЭК России, одной из задач которой является "проведение единой государственной политики в области технической защиты информации". ФСТЭК России ведет весьма активную нормотворческую деятельность, выпуская руководящие документы, играющие роль национальных оценочных стандартов в области информационной безопасности.
Слайд 17В качестве стратегического направления ФСТЭК России выбрала ориентацию на "Общие критерии".
За 15
лет своего существования ФСТЭК разработала и довела до уровня национальных стандартов десятки документов, среди которых:
Руководящий документ "Положение по аттестации объектов информатизации по требованиям безопасности информации" (Утверждено Председателем ФСТЭК России 25.11.1994 г.).
Руководящий документ "Автоматизированные системы (АС). Защита от несанкционированного доступа (НСД) к информации. Классификация АС и требования к защите информации" (ФСТЭК России, 1997 г.).
Слайд 18Руководящий документ "Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности
от НСД к информации" (ФСТЭК России, 1992 г.).
Руководящий документ "Концепция защиты средств вычислительной техники от НСД к информации" (ФСТЭК России, 1992 г.).
Руководящий документ "Защита от НСД к информации. Термины и определения" (ФСТЭК России, 1992 г.).
Руководящий документ "Средства вычислительной техники (СВТ). Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (ФСТЭК России, 1997 г.).
Руководящий документ "Специальные требования и рекомендации по технической защите
конфиденциальной информации" (ФСТЭК России, 2001 г.).
Слайд 19ДОКУМЕНТЫ ПО ОЦЕНКЕ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В РФ
Слайд 20Руководящий документ "СВТ. Защита от НСД к информации.
Показатели защищенности от НСД к
информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
Основой для разработки этого документа явилась "Оранжевая книга". Этот оценочный стандарт устанавливается семь классов защищенности СВТ от НСД к информации.
Слайд 21Самый низкий класс – седьмой, самый высокий – первый.
Классы подразделяются на
четыре группы, отличающиеся уровнем защиты:
I. первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;
II. вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
III. третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
IV. четвертая группа характеризуется верифицированной защитой и включает только первый класс.
Слайд 22Руководящий документ "АС. Защита от НСД к информации. Классификация АС и требования
по защите информации" устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: