🗊Презентация Обзор стандартов и методических документов в области защиты информации

Категория: Юриспруденция
Нажмите для полного просмотра!
Обзор стандартов и методических документов в области защиты информации, слайд №1Обзор стандартов и методических документов в области защиты информации, слайд №2Обзор стандартов и методических документов в области защиты информации, слайд №3Обзор стандартов и методических документов в области защиты информации, слайд №4Обзор стандартов и методических документов в области защиты информации, слайд №5Обзор стандартов и методических документов в области защиты информации, слайд №6Обзор стандартов и методических документов в области защиты информации, слайд №7Обзор стандартов и методических документов в области защиты информации, слайд №8Обзор стандартов и методических документов в области защиты информации, слайд №9Обзор стандартов и методических документов в области защиты информации, слайд №10Обзор стандартов и методических документов в области защиты информации, слайд №11Обзор стандартов и методических документов в области защиты информации, слайд №12Обзор стандартов и методических документов в области защиты информации, слайд №13Обзор стандартов и методических документов в области защиты информации, слайд №14Обзор стандартов и методических документов в области защиты информации, слайд №15Обзор стандартов и методических документов в области защиты информации, слайд №16Обзор стандартов и методических документов в области защиты информации, слайд №17Обзор стандартов и методических документов в области защиты информации, слайд №18Обзор стандартов и методических документов в области защиты информации, слайд №19Обзор стандартов и методических документов в области защиты информации, слайд №20Обзор стандартов и методических документов в области защиты информации, слайд №21Обзор стандартов и методических документов в области защиты информации, слайд №22Обзор стандартов и методических документов в области защиты информации, слайд №23Обзор стандартов и методических документов в области защиты информации, слайд №24Обзор стандартов и методических документов в области защиты информации, слайд №25Обзор стандартов и методических документов в области защиты информации, слайд №26Обзор стандартов и методических документов в области защиты информации, слайд №27Обзор стандартов и методических документов в области защиты информации, слайд №28Обзор стандартов и методических документов в области защиты информации, слайд №29Обзор стандартов и методических документов в области защиты информации, слайд №30Обзор стандартов и методических документов в области защиты информации, слайд №31Обзор стандартов и методических документов в области защиты информации, слайд №32Обзор стандартов и методических документов в области защиты информации, слайд №33Обзор стандартов и методических документов в области защиты информации, слайд №34Обзор стандартов и методических документов в области защиты информации, слайд №35Обзор стандартов и методических документов в области защиты информации, слайд №36Обзор стандартов и методических документов в области защиты информации, слайд №37Обзор стандартов и методических документов в области защиты информации, слайд №38Обзор стандартов и методических документов в области защиты информации, слайд №39Обзор стандартов и методических документов в области защиты информации, слайд №40Обзор стандартов и методических документов в области защиты информации, слайд №41Обзор стандартов и методических документов в области защиты информации, слайд №42Обзор стандартов и методических документов в области защиты информации, слайд №43Обзор стандартов и методических документов в области защиты информации, слайд №44Обзор стандартов и методических документов в области защиты информации, слайд №45Обзор стандартов и методических документов в области защиты информации, слайд №46Обзор стандартов и методических документов в области защиты информации, слайд №47Обзор стандартов и методических документов в области защиты информации, слайд №48Обзор стандартов и методических документов в области защиты информации, слайд №49Обзор стандартов и методических документов в области защиты информации, слайд №50Обзор стандартов и методических документов в области защиты информации, слайд №51Обзор стандартов и методических документов в области защиты информации, слайд №52Обзор стандартов и методических документов в области защиты информации, слайд №53Обзор стандартов и методических документов в области защиты информации, слайд №54Обзор стандартов и методических документов в области защиты информации, слайд №55Обзор стандартов и методических документов в области защиты информации, слайд №56Обзор стандартов и методических документов в области защиты информации, слайд №57Обзор стандартов и методических документов в области защиты информации, слайд №58Обзор стандартов и методических документов в области защиты информации, слайд №59Обзор стандартов и методических документов в области защиты информации, слайд №60Обзор стандартов и методических документов в области защиты информации, слайд №61Обзор стандартов и методических документов в области защиты информации, слайд №62Обзор стандартов и методических документов в области защиты информации, слайд №63Обзор стандартов и методических документов в области защиты информации, слайд №64Обзор стандартов и методических документов в области защиты информации, слайд №65Обзор стандартов и методических документов в области защиты информации, слайд №66Обзор стандартов и методических документов в области защиты информации, слайд №67Обзор стандартов и методических документов в области защиты информации, слайд №68

Содержание

Вы можете ознакомиться и скачать презентацию на тему Обзор стандартов и методических документов в области защиты информации. Доклад-сообщение содержит 68 слайдов. Презентации для любого класса можно скачать бесплатно. Если материал и наш сайт презентаций Mypresentation Вам понравились – поделитесь им с друзьями с помощью социальных кнопок и добавьте в закладки в своем браузере.

Слайды и текст этой презентации


Слайд 1





Обзор стандартов и методических документов в области защиты информации
Лекция
Описание слайда:
Обзор стандартов и методических документов в области защиты информации Лекция

Слайд 2





Критерии безопасности компьютерных систем (“Оранжевая книга”)
TCSEC - Trusted Computer System Evaluation Criteria
Разработчики: МО США, 1983 год.
Цель разработки
Определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения.
Эволюция
1985 г. “Оранжевая книга” была принята в качестве стандарта МО США (DOD TCSEC). 
1987 и 1991 гг. стандарт был дополнен требованиями для гарантированной поддержки политики безопасности в распределённых вычислительных сетях и базах данных.
Описание слайда:
Критерии безопасности компьютерных систем (“Оранжевая книга”) TCSEC - Trusted Computer System Evaluation Criteria Разработчики: МО США, 1983 год. Цель разработки Определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения. Эволюция 1985 г. “Оранжевая книга” была принята в качестве стандарта МО США (DOD TCSEC). 1987 и 1991 гг. стандарт был дополнен требованиями для гарантированной поддержки политики безопасности в распределённых вычислительных сетях и базах данных.

Слайд 3





Впервые нормативно определено понятие, “политика безопасности”, ТCB (Trusted Computing Base – вычислительная база защиты или ядро защиты).
Впервые нормативно определено понятие, “политика безопасности”, ТCB (Trusted Computing Base – вычислительная база защиты или ядро защиты).
Безопасная компьютерная система – это система, поддерживающая управление доступом к обрабатываемой в ней информации таким образом, что только соответствующим образом авторизованные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию.
Предложены категории требований безопасности:
Описание слайда:
Впервые нормативно определено понятие, “политика безопасности”, ТCB (Trusted Computing Base – вычислительная база защиты или ядро защиты). Впервые нормативно определено понятие, “политика безопасности”, ТCB (Trusted Computing Base – вычислительная база защиты или ядро защиты). Безопасная компьютерная система – это система, поддерживающая управление доступом к обрабатываемой в ней информации таким образом, что только соответствующим образом авторизованные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию. Предложены категории требований безопасности:

Слайд 4





Сформулированы базовые требования безопасности
Описание слайда:
Сформулированы базовые требования безопасности

Слайд 5





Базовые требования безопасности
Все происходящие в системе события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. 
Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность. 
Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.
Описание слайда:
Базовые требования безопасности Все происходящие в системе события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.

Слайд 6





Базовые требования безопасности
Все средства защиты должны быть защищены от несанкционированного вмешательства и/или отключения.
Защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. 
Данное требование распространяется на весь жизненный цикл компьютерной системы. 
Его выполнение является одним из ключевых аспектов формального доказательства безопасности системы.
Описание слайда:
Базовые требования безопасности Все средства защиты должны быть защищены от несанкционированного вмешательства и/или отключения. Защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Его выполнение является одним из ключевых аспектов формального доказательства безопасности системы.

Слайд 7





Приведена классификация систем
Класс D – минимальная защита. Зарезервирован для систем, не удовлетворяющих ни одному из других классов защиты.
Класс С1 – защита, основанная на разграничении доступа (DAC). Обеспечивается разграничение пользователей и данных.
Класс С2 – защита, основанная на управляемом контроле доступом.
Класс В1 – мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ. 
Класс В2 – структурированная защита. Управление доступом распространяется на все субъекты и объекты системы. 
Класс В3 – домены безопасности. Реализации концепции монитора обращений, который гарантированно защищен от доступа, порчи и подделки, обрабатывает все обращения, прост для анализа и тестирования 
Класс А1 – верифицированный проект. Проект ТСВ должен быть представлен в виде формализованной и верифицированной математическими методами спецификации.
Описание слайда:
Приведена классификация систем Класс D – минимальная защита. Зарезервирован для систем, не удовлетворяющих ни одному из других классов защиты. Класс С1 – защита, основанная на разграничении доступа (DAC). Обеспечивается разграничение пользователей и данных. Класс С2 – защита, основанная на управляемом контроле доступом. Класс В1 – мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ. Класс В2 – структурированная защита. Управление доступом распространяется на все субъекты и объекты системы. Класс В3 – домены безопасности. Реализации концепции монитора обращений, который гарантированно защищен от доступа, порчи и подделки, обрабатывает все обращения, прост для анализа и тестирования Класс А1 – верифицированный проект. Проект ТСВ должен быть представлен в виде формализованной и верифицированной математическими методами спецификации.

Слайд 8





Федеральные критерии безопасности информационных технологий
Federal Criteria for Information Technology Security
Разработчики стандарта
Национальный институт стандартов и технологий США (National Institute of Standarts and Technology)
Агентство национальной безопасности США (National Security Agency).

Цель разработки
одна из составляющих “Американского федерального стандарта по обработке информации” (Federal Information Processing Standart), призванная заменить “Оранжевую книгу”
охват полного спектра проблем, связанных с защитой и обеспечением безопасности, включающих все аспекты обеспечения конфиденциальности, целостности и работоспособности (доступности)
Описание слайда:
Федеральные критерии безопасности информационных технологий Federal Criteria for Information Technology Security Разработчики стандарта Национальный институт стандартов и технологий США (National Institute of Standarts and Technology) Агентство национальной безопасности США (National Security Agency). Цель разработки одна из составляющих “Американского федерального стандарта по обработке информации” (Federal Information Processing Standart), призванная заменить “Оранжевую книгу” охват полного спектра проблем, связанных с защитой и обеспечением безопасности, включающих все аспекты обеспечения конфиденциальности, целостности и работоспособности (доступности)

Слайд 9





Объекты применения требований безопасности “Федеральных критериев”
Продукты Информационных Технологий (Information Technology Products) - совокупность аппаратных и/или программных средств, которая представляет собой поставляемое конечному потребителю готовое к использованию средство обработки информации. 
Системы Обработки Информации (Information Technology Systems).
Вводится ключевое понятие концепции информационной безопасности “Профиль защиты” (Protection Profile) -нормативный документ, регламентирующий все аспекты безопасности ИТ - продукта в виде требований к его проектированию, технологии разработки и квалификационному анализу.
Регламентируется этап разработки и анализа Профиля защиты.
Описание слайда:
Объекты применения требований безопасности “Федеральных критериев” Продукты Информационных Технологий (Information Technology Products) - совокупность аппаратных и/или программных средств, которая представляет собой поставляемое конечному потребителю готовое к использованию средство обработки информации. Системы Обработки Информации (Information Technology Systems). Вводится ключевое понятие концепции информационной безопасности “Профиль защиты” (Protection Profile) -нормативный документ, регламентирующий все аспекты безопасности ИТ - продукта в виде требований к его проектированию, технологии разработки и квалификационному анализу. Регламентируется этап разработки и анализа Профиля защиты.

Слайд 10





Канадские критерии оценки доверенных компьютерных продуктов
Canadian Trusted Computer Product Evaluation Criteria
Разработчики стандарта
Центр безопасности связи Канады (Canadian System Security Center Communication Security Establishment).

Цель разработки
Национальный стандарт безопасности компьютерных систем.

Особенности
возможность применения критериев к широкому кругу различных по назначению систем.
реализован принцип дуального представления требований безопасности в виде функциональных критериев  к средствам защиты и требований к адекватности их реализации.
Описание слайда:
Канадские критерии оценки доверенных компьютерных продуктов Canadian Trusted Computer Product Evaluation Criteria Разработчики стандарта Центр безопасности связи Канады (Canadian System Security Center Communication Security Establishment). Цель разработки Национальный стандарт безопасности компьютерных систем. Особенности возможность применения критериев к широкому кругу различных по назначению систем. реализован принцип дуального представления требований безопасности в виде функциональных критериев к средствам защиты и требований к адекватности их реализации.

Слайд 11





Функциональные критерии
Функциональные критерии
частные метрики, предназначенные для определения показателей эффективности средств защиты в виде уровня их возможностей по отражению угроз соответствующего типа
Описание слайда:
Функциональные критерии Функциональные критерии частные метрики, предназначенные для определения показателей эффективности средств защиты в виде уровня их возможностей по отражению угроз соответствующего типа

Слайд 12





Приложения:
Приложения:
подробное описание концепции обеспечения безопасности информации;
руководство по применению функциональных критериев;
руководство по применению критериев адекватности реализации; 
набор стандартных Профилей защиты (типовые наборы требований к компьютерным системам, применяющимся в государственных учреждениях).
 
Подход к оценке уровня безопасности
отвергается подход к оценке с помощью универсальной шкалы;
используется независимое ранжирование требований по каждому разделу, образующее множество частных критериев, характеризующих работу подсистем обеспечения безопасности; 
уровень адекватности реализации политики безопасности характеризует качество всей системы в целом.
Описание слайда:
Приложения: Приложения: подробное описание концепции обеспечения безопасности информации; руководство по применению функциональных критериев; руководство по применению критериев адекватности реализации; набор стандартных Профилей защиты (типовые наборы требований к компьютерным системам, применяющимся в государственных учреждениях). Подход к оценке уровня безопасности отвергается подход к оценке с помощью универсальной шкалы; используется независимое ранжирование требований по каждому разделу, образующее множество частных критериев, характеризующих работу подсистем обеспечения безопасности; уровень адекватности реализации политики безопасности характеризует качество всей системы в целом.

Слайд 13





Гармонизированные критерии Европейских стран
Information Technology Security Evaluation Criteria
Разработчики стандарта
соответствующие органы Франции, Германии, Нидерландов и Великобритании. Опубликованы в июне 1991 года.
Новое:
вводится понятие адекватности средств защиты.
определяется отдельная шкала для критериев адекватности. адекватности средств защиты придаётся даже большее значение чем их функциональности этот подход используется во многих появившихся позднее стандартах информационной безопасности.
признаётся возможность наличия недостатков в сертифицированных системах (что свидетельствует о реалистичном взгляде на существующее положение и признании того очевидного факта, что реальные системы еще весьма несовершенны и далеки от идеала).
Описание слайда:
Гармонизированные критерии Европейских стран Information Technology Security Evaluation Criteria Разработчики стандарта соответствующие органы Франции, Германии, Нидерландов и Великобритании. Опубликованы в июне 1991 года. Новое: вводится понятие адекватности средств защиты. определяется отдельная шкала для критериев адекватности. адекватности средств защиты придаётся даже большее значение чем их функциональности этот подход используется во многих появившихся позднее стандартах информационной безопасности. признаётся возможность наличия недостатков в сертифицированных системах (что свидетельствует о реалистичном взгляде на существующее положение и признании того очевидного факта, что реальные системы еще весьма несовершенны и далеки от идеала).

Слайд 14





Критерии оценки безопасности информационных технологий 
Evaluation Criteria for IT Security (ECITS)
Разработчики стандарта (на общественных началах)
Рабочая группа 3 подкомитета 27 первого совместного технического комитета (JTC1/SC27/WG3) Международной организации по стандартизации (ISO) , в 1990 году.

Цель разработки
собрать и увязать между собой мнения экспертов примерно из двух десятков стран;
унификация национальных стандартов в области оценки безопасности ИТ;
повышение уровня доверия к оценке безопасности ИТ;
сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.
Описание слайда:
Критерии оценки безопасности информационных технологий Evaluation Criteria for IT Security (ECITS) Разработчики стандарта (на общественных началах) Рабочая группа 3 подкомитета 27 первого совместного технического комитета (JTC1/SC27/WG3) Международной организации по стандартизации (ISO) , в 1990 году. Цель разработки собрать и увязать между собой мнения экспертов примерно из двух десятков стран; унификация национальных стандартов в области оценки безопасности ИТ; повышение уровня доверия к оценке безопасности ИТ; сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.

Слайд 15





Общие критерии безопасности информационных технологий
Common Criteria for Information Technology Security Evaluation
Разработчики стандарта (финансирование правительств)
правительственные организации - Канады, США, Великобритании, Германии, Нидерландов и Франции, в 1993 году.

Цель разработки - объединить и развить: 
Гармонизированные критерии Европейских стран;
Канадские критерии оценки доверенных компьютерных продуктов;
Федеральные критерии безопасности информационных технологий; 
Оранжевую книгу (по мнению разработчиков).
Описание слайда:
Общие критерии безопасности информационных технологий Common Criteria for Information Technology Security Evaluation Разработчики стандарта (финансирование правительств) правительственные организации - Канады, США, Великобритании, Германии, Нидерландов и Франции, в 1993 году. Цель разработки - объединить и развить: Гармонизированные критерии Европейских стран; Канадские критерии оценки доверенных компьютерных продуктов; Федеральные критерии безопасности информационных технологий; Оранжевую книгу (по мнению разработчиков).

Слайд 16





Эволюция “Общих критериев”
С 1994 года ранние версии “Общих критериев” становятся рабочими проектами WG3. 
В 1996 году появилась Версия 1.0 “Общих критериев” (одобрена ISO и обнародована в качестве Проекта Комитета).
Экспериментальная оценка и обсуждение документа.
В мае 1998 года выходит Версия 2.0 “Общих критериев”.
В августе 1999 года выходит Версия 2.1 “Общих критериев”, учтены замечания WG3.
В декабре 1999 года принят международный стандарт ISO/IEC 15408:1999 (первая редакция - аналог ОК версии 2.1).
Принят международный стандарт ISO/IEC 15408:2005 (вторая редакция - аналог ОК версии 2.3).
В настоящее время осуществляется пересмотр ISO/IEC 15408:2005 (в соответствии с программой работы ISO/IEC JTC1/SC27 от 18.08.2008 г.).
Описание слайда:
Эволюция “Общих критериев” С 1994 года ранние версии “Общих критериев” становятся рабочими проектами WG3. В 1996 году появилась Версия 1.0 “Общих критериев” (одобрена ISO и обнародована в качестве Проекта Комитета). Экспериментальная оценка и обсуждение документа. В мае 1998 года выходит Версия 2.0 “Общих критериев”. В августе 1999 года выходит Версия 2.1 “Общих критериев”, учтены замечания WG3. В декабре 1999 года принят международный стандарт ISO/IEC 15408:1999 (первая редакция - аналог ОК версии 2.1). Принят международный стандарт ISO/IEC 15408:2005 (вторая редакция - аналог ОК версии 2.3). В настоящее время осуществляется пересмотр ISO/IEC 15408:2005 (в соответствии с программой работы ISO/IEC JTC1/SC27 от 18.08.2008 г.).

Слайд 17





ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Часть 1. Введение и общая модель.
Часть 2. Функциональные требования безопасности.
Часть 3. Требования доверия к безопасности.
Описание слайда:
ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Часть 2. Функциональные требования безопасности. Часть 3. Требования доверия к безопасности.

Слайд 18





РД “Безопасность информационных технологий. Критерии оценки безопасности информационных технологий”
Часть 1. Критерии оценки безопасности информационных технологий
Часть 2. Функциональные требования безопасности
Часть 3. Требования доверия к безопасности

Цель разработки:
обеспечение практического использования ГОСТ Р ИСО/МЭК 15408-2002 в деятельности заказчиков, разработчиков и пользователей продуктов и систем ИТ при
Описание слайда:
РД “Безопасность информационных технологий. Критерии оценки безопасности информационных технологий” Часть 1. Критерии оценки безопасности информационных технологий Часть 2. Функциональные требования безопасности Часть 3. Требования доверия к безопасности Цель разработки: обеспечение практического использования ГОСТ Р ИСО/МЭК 15408-2002 в деятельности заказчиков, разработчиков и пользователей продуктов и систем ИТ при

Слайд 19





Международные стандарты оценки информационной безопасности и управления ею
Описание слайда:
Международные стандарты оценки информационной безопасности и управления ею

Слайд 20





Международные стандарты оценки информационной безопасности и управления ею
ВS 7799-1:1995 Code of Practice for Information Security Management (Практические правила управления информационной безопасностью)
Описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определенных на основе лучших примеров мирового опыта (best practices) в данной области. 
Служит практическим руководством по созданию СУИБ.  

ВS 7799-2:1999 Information Security Management – specification for information security management system (Спецификация системы управления информационной безопасностью) 
Определяет спецификацию СУИБ. 
Используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
Описание слайда:
Международные стандарты оценки информационной безопасности и управления ею ВS 7799-1:1995 Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) Описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определенных на основе лучших примеров мирового опыта (best practices) в данной области. Служит практическим руководством по созданию СУИБ. ВS 7799-2:1999 Information Security Management – specification for information security management system (Спецификация системы управления информационной безопасностью) Определяет спецификацию СУИБ. Используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.

Слайд 21





Международные и национальные стандарты оценки информационной безопасности и управления ею
ISO/IEC 17799:2000 Information technology — Code of practice for information security management (Информационная технология - свод правил для информационного управления безопасностью).

ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management (Информационные технологии - Методики безопасности - Практические правила управления информационной безопасностью).

ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования).
Описание слайда:
Международные и национальные стандарты оценки информационной безопасности и управления ею ISO/IEC 17799:2000 Information technology — Code of practice for information security management (Информационная технология - свод правил для информационного управления безопасностью). ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management (Информационные технологии - Методики безопасности - Практические правила управления информационной безопасностью). ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования).

Слайд 22





Национальные стандарты
ГОСТ Р ИСО/МЭК 17799:2005 Информационная технология практические правила управления информационной безопасностью.

ГОСТ Р ИСО/МЭК 27001:2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
Описание слайда:
Национальные стандарты ГОСТ Р ИСО/МЭК 17799:2005 Информационная технология практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК 27001:2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

Слайд 23





International ISMS Register в 80 странах мира на сентябрь 2010 года = 6826
Описание слайда:
International ISMS Register в 80 странах мира на сентябрь 2010 года = 6826

Слайд 24


Обзор стандартов и методических документов в области защиты информации, слайд №24
Описание слайда:

Слайд 25





Выписка из International ISMS Register  на 6 сентября 2010 года
Описание слайда:
Выписка из International ISMS Register на 6 сентября 2010 года

Слайд 26





Структура международных стандартов СМИБ
Описание слайда:
Структура международных стандартов СМИБ

Слайд 27





Перспективы развития международных стандартов СМИБ
ISO/IEC 27000 (проект) Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общие положения и терминология.
Описание слайда:
Перспективы развития международных стандартов СМИБ ISO/IEC 27000 (проект) Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общие положения и терминология.

Слайд 28





Перспективы развития международных стандартов СМИБ
ISO/IEC 27002:2005 Информационные технологии. Методы и средства обеспечения безопасности. Свод правил для менеджмента информационной безопасности.
Описание слайда:
Перспективы развития международных стандартов СМИБ ISO/IEC 27002:2005 Информационные технологии. Методы и средства обеспечения безопасности. Свод правил для менеджмента информационной безопасности.

Слайд 29





Перспективы развития международных стандартов СМИБ
ISO/IEC 27004 (проект) Информационные технологии. Методы и средства обеспечения безопасности. Измерение менеджмента информационной безопасности.
Описание слайда:
Перспективы развития международных стандартов СМИБ ISO/IEC 27004 (проект) Информационные технологии. Методы и средства обеспечения безопасности. Измерение менеджмента информационной безопасности.

Слайд 30





Перспективы развития международных стандартов СМИБ
ISO/IEC 27006:2007 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования для органов осуществляющих аудит и сертификацию систем менеджмента информационной безопасности.
Описание слайда:
Перспективы развития международных стандартов СМИБ ISO/IEC 27006:2007 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования для органов осуществляющих аудит и сертификацию систем менеджмента информационной безопасности.

Слайд 31





Общий подход к разработке отраслевых стандартов”
Основной принцип:
дополнение ISO/IEC 27002:2005 (ISO/IEC 17799:2005) “Cвод правил менеджмента ИБ” специфичными для отрасли практиками
Описание слайда:
Общий подход к разработке отраслевых стандартов” Основной принцип: дополнение ISO/IEC 27002:2005 (ISO/IEC 17799:2005) “Cвод правил менеджмента ИБ” специфичными для отрасли практиками

Слайд 32





Предварительный вариант (отвергнут)
Описание слайда:
Предварительный вариант (отвергнут)

Слайд 33





Требования к стандартам безопасности
Что делать?
Простота и понятность;
Непротиворечивость терминов и определений;
Открытость;
Стандарт должен быть прямого действия;
Стандарт должен быть гармонизирован с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) области ИБ и безопасности ИТ;
Стандарт должен содержать механизмы его актуализации.
Описание слайда:
Требования к стандартам безопасности Что делать? Простота и понятность; Непротиворечивость терминов и определений; Открытость; Стандарт должен быть прямого действия; Стандарт должен быть гармонизирован с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) области ИБ и безопасности ИТ; Стандарт должен содержать механизмы его актуализации.

Слайд 34





Требования к стандартам безопасности
Как внедрять?
Форма организации работ по разработке стандарта ИБ
стандарт должен разрабатываться коллегиально, специальной рабочей группой (состоящей из подкомиссий) в состав которой должны входить представители всех сфер жизнедеятельности отрасли;
целесообразно включить в состав рабочей группы представителей ФСТЭК и других государственных организаций занимающихся вопросами защиты информации;
руководители организаций, представители которых включены в состав рабочей группы, должны дать согласие своим сотрудникам на участие в данных работах, то есть должно быть оформлено специальное соглашение.
Описание слайда:
Требования к стандартам безопасности Как внедрять? Форма организации работ по разработке стандарта ИБ стандарт должен разрабатываться коллегиально, специальной рабочей группой (состоящей из подкомиссий) в состав которой должны входить представители всех сфер жизнедеятельности отрасли; целесообразно включить в состав рабочей группы представителей ФСТЭК и других государственных организаций занимающихся вопросами защиты информации; руководители организаций, представители которых включены в состав рабочей группы, должны дать согласие своим сотрудникам на участие в данных работах, то есть должно быть оформлено специальное соглашение.

Слайд 35





Основные тезисы
Язык текста стандарта должен быть ясным.
Цель стандарта – сформировать требования и обеспечить возможность аудита их выполнения.
Необходимо учесть требования международных и национальных стандартов ИБ.
Основа парадигмы – контроль над активами, управление ими, стратегия борьбы брони и снаряда.
Технические риски – часть операционных.
Должно быть указано, что политика безопасности – это основной документ. Определена иерархия политик (корпоративная и т.д.).
Без приложений. Все детали в последующих документах.
Служба ИБ (подразделение должно быть организационно обособлено, свой бюджет, наличие подразделений на местах).
Наличие непрерывного контроля. Все процессы подчиняются бизнес - целям.
Оценка должна быть на уровне подходов.
Описание слайда:
Основные тезисы Язык текста стандарта должен быть ясным. Цель стандарта – сформировать требования и обеспечить возможность аудита их выполнения. Необходимо учесть требования международных и национальных стандартов ИБ. Основа парадигмы – контроль над активами, управление ими, стратегия борьбы брони и снаряда. Технические риски – часть операционных. Должно быть указано, что политика безопасности – это основной документ. Определена иерархия политик (корпоративная и т.д.). Без приложений. Все детали в последующих документах. Служба ИБ (подразделение должно быть организационно обособлено, свой бюджет, наличие подразделений на местах). Наличие непрерывного контроля. Все процессы подчиняются бизнес - целям. Оценка должна быть на уровне подходов.

Слайд 36





Состав комплекса стандарта
Комплекс документов 
в области стандартизации Банка России
“Обеспечение информационной безопасности организаций банковской системы Российской Федерации”
(Комплекс “БР ИББС”)
Описание слайда:
Состав комплекса стандарта Комплекс документов в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации” (Комплекс “БР ИББС”)

Слайд 37





Комплекс “БР ИББС” (перспектива)
Описание слайда:
Комплекс “БР ИББС” (перспектива)

Слайд 38





BSI (Германия, 1998 г.) 
Руководство по защите информационных технологий для базового уровня защищенности
Методология управления ИБ;
Компоненты информационных технологий:
Описание слайда:
BSI (Германия, 1998 г.) Руководство по защите информационных технологий для базового уровня защищенности Методология управления ИБ; Компоненты информационных технологий:

Слайд 39





Структура каталогов угроз  и контрмер
Угрозы по классам:
Форс-мажорные обстоятельства;
Недостатки организационных мер;
Ошибки человека;
Технические неисправности;
Преднамеренные действия.

Контрмеры по классам:
Улучшение инфраструктуры;
Административные контрмеры;
Процедурные контрмеры;
Программно-технические контрмеры;
Уменьшение уязвимости коммуникаций;
Планирование действий в чрезвычайных ситуациях.
Описание слайда:
Структура каталогов угроз и контрмер Угрозы по классам: Форс-мажорные обстоятельства; Недостатки организационных мер; Ошибки человека; Технические неисправности; Преднамеренные действия. Контрмеры по классам: Улучшение инфраструктуры; Административные контрмеры; Процедурные контрмеры; Программно-технические контрмеры; Уменьшение уязвимости коммуникаций; Планирование действий в чрезвычайных ситуациях.

Слайд 40





Достоинства и недостатки BSI
Достоинства:
Детальный учет специфики различных элементов информационных систем.
Детальное рассмотрение особенностей обеспечения ИБ в современных сетях. 
Возможность оперативно вносить изменения и корректировать связи между частями стандарта. 
Недостатки:
Невозможность с одним уровнем детализации описать всё многообразие различных элементов информационных систем.
Описание слайда:
Достоинства и недостатки BSI Достоинства: Детальный учет специфики различных элементов информационных систем. Детальное рассмотрение особенностей обеспечения ИБ в современных сетях. Возможность оперативно вносить изменения и корректировать связи между частями стандарта. Недостатки: Невозможность с одним уровнем детализации описать всё многообразие различных элементов информационных систем.

Слайд 41





COBIT - контрольные объекты для информационных и смежных технологий
Control Objectives for Information and related Technology 
Набор документов, в которых изложены принципы управления и аудита информационных технологий
Описание слайда:
COBIT - контрольные объекты для информационных и смежных технологий Control Objectives for Information and related Technology Набор документов, в которых изложены принципы управления и аудита информационных технологий

Слайд 42





Состав книг COBIT
Описание слайда:
Состав книг COBIT

Слайд 43





В основу стандарта COBIT положено следующее утверждение: для предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов.
Описание слайда:
В основу стандарта COBIT положено следующее утверждение: для предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов.

Слайд 44





Ресурсы ИТ в COBIT
Данные - объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а также графика, звук и т.д. 
Приложения - совокупность автоматизированных и выполняемых вручную процедур. 
Технология - аппаратное обеспечение, программное обеспечение, операционные системы, системы управления базами данных, сетью и мультимедиа. 
Оборудование - все ресурсы, создающие и поддерживающие информационные технологии. 
Люди - персонал, его навыки: умение планировать и организовывать, комплектовать, обслуживать и контролировать информационные системы и услуги.
Описание слайда:
Ресурсы ИТ в COBIT Данные - объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а также графика, звук и т.д. Приложения - совокупность автоматизированных и выполняемых вручную процедур. Технология - аппаратное обеспечение, программное обеспечение, операционные системы, системы управления базами данных, сетью и мультимедиа. Оборудование - все ресурсы, создающие и поддерживающие информационные технологии. Люди - персонал, его навыки: умение планировать и организовывать, комплектовать, обслуживать и контролировать информационные системы и услуги.

Слайд 45





Критерии оценки информации:
Эффективность - актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации. 
Продуктивность - обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов. 
Конфиденциальность - обеспечение защиты информации от неавторизованного ознакомления. 
Целостность - точность, полнота и достоверность информации в соответствии с требованиями бизнеса. 
Пригодность - предоставление информации по требованию бизнес-процессов. 
Согласованность - соответствие законам, правилам и договорным обязательствам. 
Надежность - доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия.
Описание слайда:
Критерии оценки информации: Эффективность - актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации. Продуктивность - обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов. Конфиденциальность - обеспечение защиты информации от неавторизованного ознакомления. Целостность - точность, полнота и достоверность информации в соответствии с требованиями бизнеса. Пригодность - предоставление информации по требованию бизнес-процессов. Согласованность - соответствие законам, правилам и договорным обязательствам. Надежность - доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия.

Слайд 46





Модель управления информационной технологией
Описание слайда:
Модель управления информационной технологией

Слайд 47





Модель зрелости
Описание слайда:
Модель зрелости

Слайд 48





Критические Факторы Успеха (КФУ) 
Определяют наиболее важные проблемы или действия руководителей, направленные на достижение контроля над ИТ-процессами.
Описание слайда:
Критические Факторы Успеха (КФУ) Определяют наиболее важные проблемы или действия руководителей, направленные на достижение контроля над ИТ-процессами.

Слайд 49





Ключевые Индикаторы Цели (КИЦ)
Описывают комплекс измерений, которые по факту сообщают руководству, что ИТ-процесс достиг предъявляемых бизнес - требований.
Описание слайда:
Ключевые Индикаторы Цели (КИЦ) Описывают комплекс измерений, которые по факту сообщают руководству, что ИТ-процесс достиг предъявляемых бизнес - требований.

Слайд 50





Ключевые Индикаторы Результата (КИР)
Описывают комплекс действий, необходимых для определения, насколько ИТ-процессы достигают поставленных целей.
Описание слайда:
Ключевые Индикаторы Результата (КИР) Описывают комплекс действий, необходимых для определения, насколько ИТ-процессы достигают поставленных целей.

Слайд 51





Процессы управления и аудита
Описание слайда:
Процессы управления и аудита

Слайд 52





Взаимосвязь COBIT и других требований и стандартов
Описание слайда:
Взаимосвязь COBIT и других требований и стандартов

Слайд 53





Сравнение некоторых стандартов и концепций аудита
Описание слайда:
Сравнение некоторых стандартов и концепций аудита

Слайд 54





Стандарт безопасной электронной коммерции PCI DSS 
Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации, в частности:
Основные области контроля и требования безопасности
PCI DSS определяет следующие 6 областей контроля и 12 основных требований по безопасности:
1. Построение и сопровождение защищенной сети:
Требование 1: создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;
Требование 2: неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопасности.
2. Защита данных держателей карт:
Требование 3: обеспечение защиты данных держателей карт в ходе их хранения;
Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.
3. Поддержка программы управления уязвимостями:
Требование 5: использование и регулярное обновление антивирусного программного обеспечения;
Требование 6: разработка и поддержка защищенных систем и приложений.
4. Реализация мер по строгому контролю доступа:
Требование 7: разграничение доступа к данным по принципу служебной необходимости;
Требование 8: присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру;
Требование 9: ограничение физического доступа к данным держателей карт.
5. Регулярный мониторинг и тестирование сети:
Требование 10: отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт;
Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.
6. Поддержка политики информационной безопасности:
Требование 12: наличие и исполнение в организации политики информационной безопасности.
Описание слайда:
Стандарт безопасной электронной коммерции PCI DSS Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации, в частности: Основные области контроля и требования безопасности PCI DSS определяет следующие 6 областей контроля и 12 основных требований по безопасности: 1. Построение и сопровождение защищенной сети: Требование 1: создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт; Требование 2: неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопасности. 2. Защита данных держателей карт: Требование 3: обеспечение защиты данных держателей карт в ходе их хранения; Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети. 3. Поддержка программы управления уязвимостями: Требование 5: использование и регулярное обновление антивирусного программного обеспечения; Требование 6: разработка и поддержка защищенных систем и приложений. 4. Реализация мер по строгому контролю доступа: Требование 7: разграничение доступа к данным по принципу служебной необходимости; Требование 8: присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру; Требование 9: ограничение физического доступа к данным держателей карт. 5. Регулярный мониторинг и тестирование сети: Требование 10: отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт; Требование 11: регулярное тестирование систем и процессов обеспечения безопасности. 6. Поддержка политики информационной безопасности: Требование 12: наличие и исполнение в организации политики информационной безопасности.

Слайд 55





Документы ФСТЭК России
Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждено председателем Гостехкомиссии России 25 ноября 1994 г.
Устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации.
Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации. утверждено председателем Гостехкомиссии России 25 ноября 1994 г.
Описание слайда:
Документы ФСТЭК России Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждено председателем Гостехкомиссии России 25 ноября 1994 г. Устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации. утверждено председателем Гостехкомиссии России 25 ноября 1994 г.

Слайд 56







РД Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992.

РД Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Гостехкомиссия России, 1992.

РД Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1992.

РД  Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Гостехкомиссия России, 1992.

РД  Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия России, 1992.
Описание слайда:
РД Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992. РД Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Гостехкомиссия России, 1992. РД Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1992. РД Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Гостехкомиссия России, 1992. РД Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия России, 1992.

Слайд 57





РД Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1997.
РД Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1997.

РД Защита информации. Специальные защитные знаки. Классификация и общие требования. Гостехкомиссия России, 1997.

РД Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 4 июня 1999 г. № 114.

РД Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Утвержден приказом Гостехкомиссии России от 19 июня 2002 г. № 187 (часть 1, часть 2, часть 3).

«Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации», Гостехкомиссия России, Москва, 2002.*
Описание слайда:
РД Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1997. РД Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1997. РД Защита информации. Специальные защитные знаки. Классификация и общие требования. Гостехкомиссия России, 1997. РД Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 4 июня 1999 г. № 114. РД Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Утвержден приказом Гостехкомиссии России от 19 июня 2002 г. № 187 (часть 1, часть 2, часть 3). «Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации», Гостехкомиссия России, Москва, 2002.*

Слайд 58





«Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации», Гостехкомиссия России, Москва, 2002.*
«Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации», Гостехкомиссия России, Москва, 2002.*

«Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам», Гостехкомиссия России, Москва, 2002.*

«Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах», Гостехкомиссия России, Москва, 2002.*

НМД «Специальные требования и рекомендации по технической защите конфиденциальной информации». Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282.

Приказ ФСТЭК России «Об утверждении форм документов, используемых ФСТЭК России в процессе лицензирования деятельности по технической защите конфиденциальной информации и деятельности по разработке и (или) производству средств защиты конфиденциальной информации» от 7 июля 2006 г. № 222, (зарегистрирован Минюстом России 27 июля 2006 г., регистрационный № 8114).

* - Документ ограниченного распространения
Описание слайда:
«Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации», Гостехкомиссия России, Москва, 2002.* «Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации», Гостехкомиссия России, Москва, 2002.* «Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам», Гостехкомиссия России, Москва, 2002.* «Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах», Гостехкомиссия России, Москва, 2002.* НМД «Специальные требования и рекомендации по технической защите конфиденциальной информации». Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282. Приказ ФСТЭК России «Об утверждении форм документов, используемых ФСТЭК России в процессе лицензирования деятельности по технической защите конфиденциальной информации и деятельности по разработке и (или) производству средств защиты конфиденциальной информации» от 7 июля 2006 г. № 222, (зарегистрирован Минюстом России 27 июля 2006 г., регистрационный № 8114). * - Документ ограниченного распространения

Слайд 59





Основные понятия и сокращения.
Основные понятия и сокращения.
Понятие коммерческой тайны.
Порядок определения сведений, составляющих КТ.
Категорирование объектов информатизации по уровням  защищенности и группам коммерческой ценности информации.
Методические рекомендации по общему порядку организации ЗИ, составляющей КТ, на ОИ.
Методические рекомендации по порядку выявления актуальных угроз безопасности информации, составляющей коммерческую тайну.
Описание слайда:
Основные понятия и сокращения. Основные понятия и сокращения. Понятие коммерческой тайны. Порядок определения сведений, составляющих КТ. Категорирование объектов информатизации по уровням защищенности и группам коммерческой ценности информации. Методические рекомендации по общему порядку организации ЗИ, составляющей КТ, на ОИ. Методические рекомендации по порядку выявления актуальных угроз безопасности информации, составляющей коммерческую тайну.

Слайд 60





Рекомендации по применению мер и средств технической защиты информации, составляющей коммерческую тайну.
Рекомендации по применению мер и средств технической защиты информации, составляющей коммерческую тайну.
Описание слайда:
Рекомендации по применению мер и средств технической защиты информации, составляющей коммерческую тайну. Рекомендации по применению мер и средств технической защиты информации, составляющей коммерческую тайну.

Слайд 61






ГОСТ 17168-82. Фильтры электронные октавные и третьоктавные. Общие технические требования и методы испытаний.
ГОСТ 12.1.003-83. Система стандартов безопасности труда. Шум. Общие требования безопасности.
 
ГОСТ 21552-84. Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортировка и хранение.
ГОСТ 12.1.050-86. ССБТ. Методы измерения шума на рабочих местах.
ГОСТ 27296-87. Защита от шума в строительстве. Звукоизоляция ограждающих конструкций. Методы измерений. 
ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования. 
ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.
Описание слайда:
ГОСТ 17168-82. Фильтры электронные октавные и третьоктавные. Общие технические требования и методы испытаний. ГОСТ 12.1.003-83. Система стандартов безопасности труда. Шум. Общие требования безопасности. ГОСТ 21552-84. Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортировка и хранение. ГОСТ 12.1.050-86. ССБТ. Методы измерения шума на рабочих местах. ГОСТ 27296-87. Защита от шума в строительстве. Звукоизоляция ограждающих конструкций. Методы измерений. ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования. ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.

Слайд 62





ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.
ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.
ГОСТ 28806-90. Качество программных средств. Термины и определения.
ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.
ГОСТ 2.503-90. ЕСКД. Правила внесения изменений.
ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
ГОСТ 29216-91. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний.
ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.
Описание слайда:
ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы. ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы. ГОСТ 28806-90. Качество программных средств. Термины и определения. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения. ГОСТ 2.503-90. ЕСКД. Правила внесения изменений. ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. ГОСТ 29216-91. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний. ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.

Слайд 63





ГОСТ Р ИСО 9127-94. Системы обработки информации. Документация пользователя и информация на упаковке для потребительских программных пакетов.
ГОСТ Р ИСО 9127-94. Системы обработки информации. Документация пользователя и информация на упаковке для потребительских программных пакетов.
ГОСТ 30373-95/ГОСТ Р 50414-92. Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний.
ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счёт побочных электромагнитных излучений при её обработке средствами вычислительной техники. Методы испытаний.
ГОСТ Р 50922-96. Защита информации. Основные термины и определения.
ГОСТ Р ИСО 9001-96. Системы качества. Модель обеспечения качества при проектировании, разработке, производстве, монтаже и обслуживании.
ГОСТ Р ИСО 9002-96. Системы качества. Модель обеспечения качества при производстве, монтаже и обслуживании.
Описание слайда:
ГОСТ Р ИСО 9127-94. Системы обработки информации. Документация пользователя и информация на упаковке для потребительских программных пакетов. ГОСТ Р ИСО 9127-94. Системы обработки информации. Документация пользователя и информация на упаковке для потребительских программных пакетов. ГОСТ 30373-95/ГОСТ Р 50414-92. Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счёт побочных электромагнитных излучений при её обработке средствами вычислительной техники. Методы испытаний. ГОСТ Р 50922-96. Защита информации. Основные термины и определения. ГОСТ Р ИСО 9001-96. Системы качества. Модель обеспечения качества при проектировании, разработке, производстве, монтаже и обслуживании. ГОСТ Р ИСО 9002-96. Системы качества. Модель обеспечения качества при производстве, монтаже и обслуживании.

Слайд 64





ГОСТ Р ИСО 9003-96. Системы качества. Модель обеспечения качества при окончательном контроле и испытаниях.
ГОСТ Р ИСО 9003-96. Системы качества. Модель обеспечения качества при окончательном контроле и испытаниях.
ГОСТ Р 50922-96. Защита информации. Основные термины и определения.
ГОСТ Р 50923-96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения.
ГОСТ 22505-97. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от радиовещательных приемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы и методы испытаний.
ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
ГОСТ Р 51171-98. Качество служебной информации. Правила предъявления информационных технологий на сертификацию.
ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
Описание слайда:
ГОСТ Р ИСО 9003-96. Системы качества. Модель обеспечения качества при окончательном контроле и испытаниях. ГОСТ Р ИСО 9003-96. Системы качества. Модель обеспечения качества при окончательном контроле и испытаниях. ГОСТ Р 50922-96. Защита информации. Основные термины и определения. ГОСТ Р 50923-96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения. ГОСТ 22505-97. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от радиовещательных приемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы и методы испытаний. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р 51171-98. Качество служебной информации. Правила предъявления информационных технологий на сертификацию. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

Слайд 65





ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех.
ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех.
ГОСТ Р 51319-99. Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний.
ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения, (дсп).
ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования, (дсп).
ГОСТ Р 50628-2000. Совместимость -технических средств электромагнитная. Устойчивость машин электронных вычислительных персональных к электромагнитным помехам. Требования и методы испытаний.
ГОСТ Р ИСО 9000-2001. Системы менеджмента качества. Основные положения и словарь.
ГОСТ Р ИСО 9001-2001. Системы менеджмента качества. Общие требования.
Описание слайда:
ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех. ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех. ГОСТ Р 51319-99. Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения, (дсп). ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования, (дсп). ГОСТ Р 50628-2000. Совместимость -технических средств электромагнитная. Устойчивость машин электронных вычислительных персональных к электромагнитным помехам. Требования и методы испытаний. ГОСТ Р ИСО 9000-2001. Системы менеджмента качества. Основные положения и словарь. ГОСТ Р ИСО 9001-2001. Системы менеджмента качества. Общие требования.

Слайд 66





ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению качества.
ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению качества.
ГОСТ Р 50948-2001. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности.
ГОСТ Р 50949-2001. Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности.
ГОСТ ИСО/МЭК 15408-1-2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
ГОСТ ИСО/МЭК 15408-2-2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий Часть 2. Функциональные требования безопасности.
ГОСТ ИСО/МЭК 15408-3-2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
РД 50-682-89. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Основные положения.
Описание слайда:
ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению качества. ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению качества. ГОСТ Р 50948-2001. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности. ГОСТ Р 50949-2001. Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности. ГОСТ ИСО/МЭК 15408-1-2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ГОСТ ИСО/МЭК 15408-2-2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий Часть 2. Функциональные требования безопасности. ГОСТ ИСО/МЭК 15408-3-2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. РД 50-682-89. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Основные положения.

Слайд 67





На сайте Федерального агентства по техническому регулированию и метрологии размещены
Описание слайда:
На сайте Федерального агентства по техническому регулированию и метрологии размещены

Слайд 68


Обзор стандартов и методических документов в области защиты информации, слайд №68
Описание слайда:



Похожие презентации
Mypresentation.ru
Загрузить презентацию