Отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования. (Лекция 2)

Содержание

Слайд 2

Учебные вопросы:
Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого

Учебные вопросы: Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности
оборудования
ГОСТ Р 50739-95 «Защита от несанкционированного доступа к информации. Общие технические требования»
Типовая инструкция по эксплуатации телекоммуникационного оборудования

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 3

В рамках данной лекции будет проведен обзор существующей отечественной и зарубежной нормативной

В рамках данной лекции будет проведен обзор существующей отечественной и зарубежной нормативной
правовой базы в области информационной безопасности (ИБ) сетевого оборудования, с целью определения конкретных требований к ТКО, направленных на обеспечение его защиты от компьютерных атак и иных противоправных воздействий, диагностики технического состояния и уровня его защищенности, а также аудита всех действия оператора.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 4

Нормативную правовую базу, в области информационной безопасности сетей и сетевого оборудования можно

Нормативную правовую базу, в области информационной безопасности сетей и сетевого оборудования можно
разделить на :
– Постановления Правительства Российской Федерации;
– Федеральные законы Российской Федерации;
– ведомственные приказы (ФСБ России, ФСТЭК России и т.д.)
– государственные стандарты Российской Федерации (ГОСТ Р);
– государственные военные стандарты Российской Федерации (ГОСТ РВ);

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 5

– стандарты СССР (ГОСТ, ГОСТ В), не отменённые на настоящий момент;
– рекомендации сектора стандартизации электросвязи

– стандарты СССР (ГОСТ, ГОСТ В), не отменённые на настоящий момент; –
Международного союза электросвязи (International Telecommunication Union – Telecommunication sector, ITU-T);
– стандарты IEEE (Institute of Electrical and Electronics Engineers, Институт инженеров по электротехнике и электронике), прежде всего – группа стандартов IEEE 802, касающихся локальных вычислительных сетей (LAN) и сетей мегаполисов (MAN).

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 6

Следует отметить, что в Российской Федерации отсутствуют государственные стандарты, которые регламентировали бы

Следует отметить, что в Российской Федерации отсутствуют государственные стандарты, которые регламентировали бы
напрямую вопросы информационной безопасности ТКО. В тоже время, можно отметить ГОСТ Р 50739-95 «Защита от несанкционированного доступа к информации. Общие технические требования», в котором отсутствует понятие ТКО, но, учитывая современные функциональные возможности и принципы построения ТКО, предлагаемые ГОСТ Р 50739-95 требования к СВТ могут предъявляться и к ТКО.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 7

Среди ведомственных нормативных требований к ТКО следует, прежде всего, выделить требования ФСБ

Среди ведомственных нормативных требований к ТКО следует, прежде всего, выделить требования ФСБ
России и ФСТЭК России.
На настоящий момент ФСТЭК России по требованиям к межсетевым экранам сертифицировано несколько десятков моделей маршрутизаторов и коммутаторов Cisco.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 8

Для большинства маршрутизаторов и коммутаторов Cisco, сертифицированных ФСТЭК России по требованиям к

Для большинства маршрутизаторов и коммутаторов Cisco, сертифицированных ФСТЭК России по требованиям к
межсетевым экранам, имеющийся в них функционал межсетевого экранирования не является значимым для конечного пользователя, а требования к межсетевым экранам используются как наиболее применимые для маршрутизаторов и коммутаторов (за неимением в ФСТЭК России полноценных требований к телекоммуникационному оборудованию).

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 9

В связи с отсутствием в ФСТЭК России специализированных требований к ТКО, существует

В связи с отсутствием в ФСТЭК России специализированных требований к ТКО, существует
практика сертификации отдельных моделей телекоммуникационного оборудования по требованиям к средствам вычислительной техники. Например, в связи с отсутствием в ФСТЭК России специализированных требований к автоматическим телефонным станциям (АТС), АТС «HUAWEI C&C08» сертифицирована по требованиям Руководящего документа Гостехкомиссии России (предшественник ФСТЭК России) «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости. Показатели защищённости от несанкционированного доступа к информации», как СВТ 6 класса защищённости от несанкционированного доступа.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 10

Кроме того, в ФСТЭК России существует практика сертификации ТКО на соответствие требованиям

Кроме того, в ФСТЭК России существует практика сертификации ТКО на соответствие требованиям
технических условий (например – Cisco Catalyst 3750, Cisco WS-6506-EXL-FWM-K9), то есть в этих случаях нормативным документом выступают ТУ разработчиков соответствующего оборудования, а ФСТЭК России при сертификации только подтверждает соответствие фактических характеристик ТКО заявленным в документации.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 11

Также, необходимо выделить Руководящий документ Гостехкомиссии России Защита от несанкционированного доступа к

Также, необходимо выделить Руководящий документ Гостехкомиссии России Защита от несанкционированного доступа к
информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (далее – НДВ). Данный Руководящий документ регламентирует порядок исследований ПО (в том числе, ПО ТКО и СУ ТКО) на отсутствие НДВ, предъявляет требования к исходным текстам ПО и его документации.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 12

Далее будет проведён анализ нормативных документов различных организаций и ведомств, регламентирующих вопросы

Далее будет проведён анализ нормативных документов различных организаций и ведомств, регламентирующих вопросы
информационной безопасности сетей связи. При проведении анализа наибольшее внимание уделялось разделам нормативных документов, в которых приводились механизмы защиты и средства диагностического исследования ТКО.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 13

Кроме того, проводился поиск мер, направленных на повышение уровня защищённости ТКО, включая

Кроме того, проводился поиск мер, направленных на повышение уровня защищённости ТКО, включая
требования к создаваемым образцам и уже применяемым решениям, комплексным подходам защиты сетей связи общего, корпоративного и специального назначения, а также исследовались требования к функциональным возможностям оборудования, с точки зрения противодействия потенциальным компьютерным атакам.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 14

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 15

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 16

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 17

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 18

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 19

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 20

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 21

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 22

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 23

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 24

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 25

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 26

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 27

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 28

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 29

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 30

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 31

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 32

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 33

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 34

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 35

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 36

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 37

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 38

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 39

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 40

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования
сетевого оборудования

Слайд 41

Следует подробнее остановиться на анализе упомянутого выше ГОСТ Р 50739-95 «Защита от несанкционированного доступа

Следует подробнее остановиться на анализе упомянутого выше ГОСТ Р 50739-95 «Защита от
к информации. Общие технические требования».

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 42

В ГОСТ Р 50739-95 можно выделить следующие группы требований по защите информации, применимые для

В ГОСТ Р 50739-95 можно выделить следующие группы требований по защите информации,
современных образцов ТКО:
1. Требования к системе разграничения доступа, предусматривающие поддержку непротиворечивых, однозначно определенных правил разграничения доступа
(п. 5.1. Требования к разграничению доступа)
а) дискретизационный принцип контроля доступа;
б) идентификация и аутентификация;
в) сопоставление пользователя с устройством.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 43

1.1. Для реализации дискретизационного принципа контроля доступа (комплекс средств защиты) КСЗ должен контролировать

1.1. Для реализации дискретизационного принципа контроля доступа (комплекс средств защиты) КСЗ должен
доступ именованных субъектов (пользователей) к именованным объектам (например, файлам, программам, томам).
1.2. Для каждой пары (субъект - объект) в должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (например, читать, писать), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 44

1.3. Право изменять правила разграничения доступа (ПРД) должно быть предоставлено выделенным субъектам (например,

1.3. Право изменять правила разграничения доступа (ПРД) должно быть предоставлено выделенным субъектам
администрации, службе безопасности).
1.4. Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.
1.5. Cубъект может читать объект, если уровень иерархической классификации в классификационном уровне субъекта не меньше, чем уровень иерархической классификации в классификационном уровне субъекта, и неиерархические категории в классификационном уровне субъекта включают в себя все неиерархические категории в классификационном уровне объекта:

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 45

1.6. Cубъект осуществляет запись в объект, если классификационный уровень субъекта в иерархической классификации

1.6. Cубъект осуществляет запись в объект, если классификационный уровень субъекта в иерархической
не больше, чем классификационный уровень объекта в иерархической классификации, и все неиерархические категории в классификационном уровне субъекта включены в неиерархические категории в классификационном уровне объекта.
1.7. КСЗ должен обеспечивать идентификацию субъектов при запросах на доступ, должен проверять подлинность идентификатора субъекта (осуществлять аутентификацию). КСЗ должен располагать необходимыми данными для идентификации и аутентификации и препятствовать доступу к защищаемым ресурсам неидентифицированных субъектов или субъектов, чья подлинность при аутентификации не подтвердилась.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 46

Требования к системе учёта, предусматривающие поддержку регистрации событий, имеющих отношение к информационной

Требования к системе учёта, предусматривающие поддержку регистрации событий, имеющих отношение к информационной
безопасности;
2.1.  КСЗ должен осуществлять регистрацию следующих событий:
а) использование идентификационного и аутентификационного механизма;
б) запрос на доступ к защищаемому ресурсу (например, открытие файла, запуск программы);
в) действия, связанные с изменением ПРД.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 47

Для каждого из этих событий должна быть зарегистрирована следующая информация:
- дата и

Для каждого из этих событий должна быть зарегистрирована следующая информация: - дата
время;
- субъект, осуществляющий регистрируемое действие;
- тип события (если регистрируется запрос на доступ, то отмечают объект и тип доступа);
- успешно ли осуществилось событие (обслужен запрос на доступ или нет).

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 48

3. Требования к гарантиям, определяющие наличие программных и аппаратных механизмов обеспечивающих выполнение требований

3. Требования к гарантиям, определяющие наличие программных и аппаратных механизмов обеспечивающих выполнение
к системам разграничения доступа и учёта.
3.1. Требования к гарантиям определяют следующие показатели защищенности, которые должны поддерживаться СВТ:
а) контроль модификации;
б) контроль дистрибуции;
в) тестирование.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 49

3.2. Процедуры восстановления после сбоев и отказов оборудования должны обеспечивать полное восстановление свойств

3.2. Процедуры восстановления после сбоев и отказов оборудования должны обеспечивать полное восстановление
КСЗ.
3.4. В СВТ должны быть предусмотрены средства периодического контроля за целостностью программной и информационной части КСЗ.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 50

На основе указанных выше документов разрабатывается типовая инструкция по эксплуатации телекоммуникационного оборудования,

На основе указанных выше документов разрабатывается типовая инструкция по эксплуатации телекоммуникационного оборудования,
в которую, обычно, входят следующие разделы.

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 51

- общие требования к ТКО и системе управления ТКО (СУ ТКО) –

- общие требования к ТКО и системе управления ТКО (СУ ТКО) –
определяющие состав программно-аппаратных средств, требования к составу и квалификации обслуживающего персонала;
- требования к специализированным средствам защиты и специальные требования к ТКО – определяющие основные свойства применяемых специальных средств защиты (средства криптографической защиты информации (СКЗИ), межсетевые экраны, средства обнаружения компьютерных атак);

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 52

- требования по размещению ТКО и СУ ТКО – определяющие основные условия

- требования по размещению ТКО и СУ ТКО – определяющие основные условия
и особенности монтажа и установки оборудования, его электропитания и защитного заземления, а также требования к помещению в котором оно размещается;
- требования по сопряжению ТКО с оборудованием ЛВС и внешних сетей – определяющие классы применяемых устройств межсетевого экранирования и устройств обнаружения компьютерных атак;

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 53

- требования по защите каналов удаленного управления ТКО – определяющие необходимость использования

- требования по защите каналов удаленного управления ТКО – определяющие необходимость использования
для защиты канала управления сертифицированных СКЗИ прошедших исследования в составе с телекоммуникационным оборудованием;
- требования по эксплуатации – определяющие количество и состав рабочих мест СУ ТКО, параметры их настройки, порядок ввода в эксплуатацию, политику назначения и смены паролей операторов, требования по проверке ПЭВМ СУ ТКО, а также требования по проверке отключения неразрешенных сервисов и функций;

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Слайд 54

- организационно-технические требования – определяющие порядок допуска оборудования к эксплуатации, регламенты осуществления

- организационно-технические требования – определяющие порядок допуска оборудования к эксплуатации, регламенты осуществления
проверок целостности ПО, порядок действий в случае выявленных нарушений;
- требования по проведению ремонтно-профилактических работ – определяющие требования к лицам допущенным к проведению указанных работ, действия обслуживающего персонала после их проведения, а также порядок передачи компонентов ТКО для устранения неисправностей разработчику оборудования;

ЛЕКЦИЯ №2 Существующая отечественная и зарубежная нормативно-правовая база в области информационной безопасности сетевого оборудования

Имя файла: Отечественная-и-зарубежная-нормативно-правовая-база-в-области-информационной-безопасности-сетевого-оборудования.-(Лекция-2).pptx
Количество просмотров: 25
Количество скачиваний: 0