Анализ международных, национальных и отраслевых стандартов информационной безопасности
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
«Уральский государственный
(ФГБОУ ВПО УрГУПС)
Кафедра ИТ и ЗИ
КУРСОВАЯ РАБОТА
На тему «Анализ международных, национальных и отраслевых стандартов информационной безопасности»
по дисциплине
«Комплексные системы защиты информации»
Выполнил:
Кутовой В.Д.
доцент
Зырянова Т.Ю.
2013 г.
Введение |
3 |
1. Номер и полное наименование |
4 |
2. Страна происхождения и организации разработчики |
4 |
3. История развития |
4 |
4. Назначение стандарта |
5 |
5. Область применения |
6 |
6. Термины и определения |
8 |
7. Структура |
11 |
8. Характерные особенности |
12 |
9. Методики оценки показателей обеспечения ИБ |
13 |
10. Сертификация на соответствие стандарту |
14 |
Заключение |
17 |
Список используемых информационных источников |
18 |
ВВЕДЕНИЕ.
Хороший специалист в области информационной безопасности (ИБ) обязан обладать знаниями о соответствующих стандартах и спецификациях в области защиты информации. Причины этого следующие. Основная причина состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и/или Руководящим документам Гостехкомиссии России) закреплена законодательно. Но возможно более важными причинами являются то что сами сведения содержащиеся в стандартах обладают немалой ценностью. Во-первых, стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами. Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов. С практической точки зрения, количество стандартов и спецификаций (международных, национальных, отраслевых и т.п.) в области информационной безопасности бесконечно. В данной работе рассматривается только один стандарт.
Цель – составление наиболее полного каталога стандартов в области ИБ с их кратким анализом.
- Номер и полное название
ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. Information technology. Security techniques. Security assessment of operational systems.
- Страна происхождения и организации разработчики
Первоначально стандарт был
В Российской федерации
2.1 Подготовлен - Федеральным
государственным учреждением "
2.2 Внесен - Управлением технического
регулирования и
2.3 УТВЕРЖДЕН
И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального
агентства по техническому регулированию
и метрологии от 18 декабря 2008 г. N 525-ст.
- История развития стандарта
В середине октября 2002 г. на пленарном собрании Подкомитета 27 "Методы и средства обеспечения безопасности" (SC27) совместного Технического комитета 1 "Информационная технология" (JTC1) Международной организации по стандартизации (ISO) было выдвинуто предложение разработать новый стандарт для оценки безопасности автоматизированных систем. Данная инициатива получила поддержку членов подкомитета, в результате появился технический доклад "Security assessment of operational systems". В настоящем обзоре рассматривается вторая редакция проекта технического доклада (2nd Proposed Draft Technical Report, PDTR), опубликованная 17 декабря 2004 г.
В центральном секретариате ISO проекту
был присвоен номер 19791, а статус
разрабатываемого документа
В России ГОСТ Р ИСО/МЭК ТО 19791-2008, утвержден приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 525-ст.
- Назначение стандарта.
Настоящий стандарт содержит
дополнительные правила (
Настоящий стандарт
содержит дополнительные критерии оценки
и рекомендации по оценке аспектов безопасности,
связанных как с информационными технологиями,
так и с применением их в автоматизированных
системах. Настоящий стандарт, прежде
всего предназначен для тех, кто связан
с разработкой, интеграцией, развертыванием
и управлением безопасностью автоматизированных
систем, а также для организаций, оказывающих
услуги по оценке, пытающихся применить
требования стандартов серии ИСО/МЭК 15408
к подобным системам. Настоящий стандарт
будет также необходим органам, осуществляющим
оценку соответствия, ответственным за
утверждение и подтверждение правильности
действий организаций, оказывающих услуги
по оценке. Заказчики оценки безопасности
и другие стороны, заинтересованные в
безопасности автоматизированных систем,
будут дополнительными пользователями
сведений общего характера в области безопасности
информации.
Относительно
определения и использования термина
"система" существуют фундаментальные
проблемы. В стандартах серии ИСО/МЭК 15408,
целью которых является оценка продуктов
информационных технологий, термин "система"
используется для учета только аспектов
информационных технологий конкретной
системы. Определение термина "автоматизированная
система", используемого в настоящем
стандарте, включает в себя совокупность
персонала, процедур и процессов, интегрированных
с функциями и механизмами информационных
технологий, применяемых совместно, чтобы
установить приемлемый уровень остаточного
риска в установленной среде функционирования
автоматизированной системы.
- Область применения
Настоящий стандарт содержит
рекомендации и критерии
5.1 Устанавливает:
a. определение и модель АС;
в. описание расширений концепции оценки
безопасности с помощью стандартов
серии ИСО/МЭК 15408, необходимых для оценки
АС;
с. методологию и процесс выполнения оценки
безопасности АС;
d. дополнительные критерии оценки безопасности,
охватывающие те аспекты АС, которые не
были охвачены критериями оценки безопасности
в стандартах серии ИСО/МЭК 15408.
5.2 Дает возможность включать продукты безопасности,
оцененные в соответствии с требованиями стандартов серии ИСО/МЭК 15408, в автоматизированные системы и проводить оценку как единого целого с использованием настоящего стандарта.
- Стандарт ограничивается оценкой безопасности автоматизированных систем и не распространяется на другие формы оценки систем. Настоящий стандарт не определяет методы и средства идентификации, оценки и принятия эксплуатационного риска.
- Термины и определения
В настоящем стандарте
6.1 компонент (component): Поддающаяся идентификации отдельная
часть (элемент) автоматизированной системы,
которая реализует часть функциональных
возможностей системы.
6.2 внешняя автоматизированная
система (external operational system): Отдельная автоматизированная
система, которая имеет связи с автоматизированной
системой, являющейся объектом оценки.
6.3 управленческие меры безопасности (management controls):
Меры безопасности информационной системы,
направленные на менеджмент рисков и менеджмент
информационной безопасности информационных
систем.
- организационные меры безопасности (operational controls): Меры безопасности информационной системы, которые, главным образом, реализуются и выполняются операторами, а не системами.
- автоматизированная система (operational system): Информационная система, включая элементы, не связанные с информационной технологией, рассматриваемые с учетом условий ее эксплуатации.
- остаточный риск (residual risk): Риск, который остается после обработки рисков.
- риск (risk): Потенциальная возможность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей активов или группы активов организаций.
Примечание - Риск измеряется в терминах сочетания вероятности события и его последствий.
- анализ рисков (risk analysis): Cистемный подход к определению величины риска.
- оценка рисков (risk assessment): Процесс, включающий в себя идентификацию рисков, анализ рисков и оценивание рисков.
- менеджмент рисков (risk management): Весь процесс идентификации, контроля и управления или минимизации подозрительных (неопределенных) событий, которые могут оказать негативное воздействие на ресурсы системы.
Примечание - Адаптированный термин из ИСО/МЭК 13335-1. Менеджмент рисков обычно включает в себя анализ рисков, обработку рисков, принятие рисков, распространение информации о рисках (обмен или предоставление в совместное пользование информации о рисках между лицом, принимающим решение, и другими заинтересованными лицами).
- обработка рисков (risk treatment): Процесс выбора и реализации мер обеспечения безопасности (security controls) для изменения рисков.
Примечание - Адаптированный термин из ИСО/МЭК 13335-1.
- меры обеспечения безопасности (security controls): Управленческие, организационные и технические меры обеспечения безопасности, применяемые в информационной системе для защиты и доступности системы и ее информации.
- Данное определение распространяется также на меры обеспечения безопасности, связанные с обеспечением подотчетности, аутентичности, неотказуемости, приватности и надежности, которые иногда рассматриваются отдельно от конфиденциальности, целостности и доступности.
- Меры безопасности - меры защиты и контрмеры.
- домен безопасности (security domain): Часть автоматизированной системы, которая реализует одни и те же политики безопасности.
- подсистема (subsystem): Один или более компонентов автоматизированной системы, которые допускают их выполнение отдельно от остальной системы.
- система как объект оценки (system target of evaluation): Автоматизированная система, которая эксплуатируется в соответствии с рекомендациями по эксплуатации, включая технические и организационные меры обеспечения безопасности, и является предметом оценки.
Примечание - Организционные меры обеспечения безопасности образуют часть эксплуатационной среды. Они не оцениваются по критериям оценки в соответствии со стандартами серии ИСО/МЭК 15408.
- технические меры безопасности (technical controls): Меры безопасности информационной системы, которые реализуются и выполняются самой информационной системой через механизмы, содержащиеся в аппаратных, программных или программно-аппаратных компонентах системы.
- верификация (verification): Процессы оценки, используемые для подтверждения того, что меры обеспечения безопасности для автоматизированной системы реализованы корректно, и их применение является эффективным.
- уязвимость (vulnerability): Недостатки или слабости в проекте или реализации информационной системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднамеренно использованы для оказания неблагоприятного воздействия на активы организации или ее функционирование.
- Структура
Текст документа содержит 128 страниц после титульных страниц идут 8 разделов, три обязательных приложения и два справочных приложения, библиография.
В разделе
1 область применения. В разделе
2 собраны нормативные ссылки, точнее,
одна ссылка — на
Приложение A регламентирует структуру
и содержание системных
Справочные приложения D – о взаимосвязи с разработкой общих критериев, E – сведения о соответствии национальных и международных стандартов.
- Характерные особенности
Стандарт
содержит дополнительные
Многие основные понятия ГОСТ
Р ИСО/МЭК 19791 получаются из
аналогичных понятий стандарта
ISO/IEC 15408 добавлением слов "системный",
"система", например: "системный
профиль защиты" (СПЗ), "системное
задание по безопасности" (СЗБ),
"доверие к безопасности
- методики оценки показателей обеспечения ИБ
В стандарте используются рекомендации качественные показатели:
- Профили защиты и задания безопасности системы.
- Функциональные требования безопасности.
- Требования к безопасности автоматизированной системы.
Процесс оценки безопасности
автоматизированной системы в
предлагаемом стандарте
- порождение свидетельств для оценивания, включая результаты оценки рисков, спецификацию системного объекта оценки, данные и документацию по разработке, интеграции, эксплуатации и мониторингу АС;
- оценивание, включая сертификацию результатов оценки;
- аккредитация автоматизированной системы.
Все перечисленные действия
На первом этапе руководитель
организации владельца
Отдел информационной безопасности разрабатывает политику безопасности организации, определяет обязательные регуляторы, которые должны быть реализованы во всех автоматизированных системах организации.
Владелец системы проводит
Проектировщик/разработчик/
Специалисты, занимающиеся
На этапе проведения оценки
оценщик/представитель
На этапе аккредитации
- сертификация на соответствие стандарту
Сертификация по данному стандарту не производится, но он используется для сертификации по Постановление Правительства РФ от 3 февраля 2012 г. N 79 "О лицензировании деятельности по технической защите конфиденциальной информации"
При следующих видах работ:
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
- средствах и системах
- технических средствах (
- помещениях со средствами (системами), подлежащими защите;
- помещениях, предназначенных для
ведения конфиденциальных
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:
- средств и систем
- помещений со средствами (системами), подлежащими защите;
- защищаемых помещений.
ЗАКЛЮЧЕНИЕ
Проблема оценки
информационной безопасности
СПИСОК ИСПОЛЬЗУЕМЫХ ИНФОРМАЦИОННЫХ ИСТОЧНИКОВ.
- ГОСТ Р ИСО/МЭК ТО 19791-2008, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ Оценк
а безопасности автоматизированных систем. - ГОСТ Р ИСО/МЭК ТО 15408 Методы И Средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
- Оценка безопасности автоматизированных систем. Обзор и анализ предлагаемого проекта технического доклада ISO/IEC PDTR 19791. В.А Галатенко, JetInfo – информационный бюллетень № 7 2005.

- Анализ международных рынков демократических многоразовых денежных средств
- Анализ международных финансовых рынков
- Анализ международных финансовых рынков
- Анализ межличностных и межгрупповых отношений
- Анализ межличностных и организационных коммуникаций на предприятии
- Анализ межличностных и организационных коммуникаций на предприятии
- Анализ межличностных отношений
- Анализ межбюджетных трансферт регионального бюджета
- Анализ международного рынка пива на примере пивоваренной компании «Балтика»
- Анализ международного рынка произведений искусства, антиквариата и предметов коллекционирования
- Анализ международной торговли
- Анализ международной торговли какао
- Анализ международной торговли услугами на современном этапе
- Анализ международных маркетинговых коммуникаций на примере косметической компании «L’Oreal » в Беларуси