Тема:Обзор стандартов. Работа с содержанием стандартов.
Цели: научиться работать в справочно-правовой системе с нормативными и правовыми документами по защите информации.
Теоретические вопросы.
1. Предмет и задачи программно-аппаратной защиты информации.
Предметом защиты в КС является информация. Основная задача такой защиты - выявить и блокировать каналы утечки информации.
2. Основные понятия программно-аппаратной защиты информации.
Программно-аппаратное обеспечение СИБ - совокупность возможностей системного, прикладного и специального программного компьютерного обеспечения, а также специальных технических устройств, выполняющих функции защиты компьютерной информации в информационной системе объекта.
3. Классификация методов и средств программно-аппаратной защиты информации.
Средства обеспечения защиты информации по вопросам предотвращения и минимизации преднамеренных действий разделяются на несколько категорий (в зависимости от способа их реализации):
• Технические или аппаратные средства
• Программные средства
• Смешанные аппаратно-программные средства
• Организационные средства
4. Стандарты по защите информации, в состав которых входят требования и рекомендации по защите информации программными и программно-аппаратными средствами.
· ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.
· Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.
· ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
· ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
· ГОСТ Р ИСО/МЭК 15408-1-2012 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
· ГОСТ Р ИСО/МЭК 15408-2-2013 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
· ГОСТ Р ИСО/МЭК 15408-3-2013 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
· ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий».
· ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005.
· ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005.
· ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты.
Задание 1
Выписать государственные стандарты в области информационной безопасности.
Ответ:
· ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
· ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения;
· ГОСТ Р 51188-98 - Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство;
· ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;
· ГОСТ Р 51583-2014 - Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения;
· ГОСТ Р 52069.0-2013 - Защита информации. Система стандартов. Основные положения;
· ГОСТ Р 52447-2005 - Защита информации. Техника защиты информации. Номенклатура показателей качества;
· ГОСТ Р 52448-2005 - Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения;
· ГОСТ Р 52633.0-2006 - Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации;
· ГОСТ Р 52633.1-2009 - Защита информации. Техника защиты информации. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации;
· ГОСТ Р 52633.2-2010 - Защита информации. Техника защиты информации. Требования к формированию синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации;
· ГОСТ Р 52633.3-2011 - Защита информации. Техника защиты информации. Тестирование стойкости средств высоконадежной биометрической защиты к атакам подбора;
· ГОСТ Р 52633.4-2011 - Защита информации. Техника защиты информации. Интерфейсы взаимодействия с нейросетевыми преобразователями биометрия - код доступа;
· ГОСТ Р 52633.5-2011 - Защита информации. Техника защиты информации. Автоматическое обучение нейросетевых преобразователей биометрия-код доступа;
· ГОСТ Р 52633.6-2012 - Защита информации. Техника защиты информации. Требования к индикации близости предъявленных биометрических данных образу "Свой";
· ГОСТ Р 52863-2007 - Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования;
· ГОСТ Р 53109-2008 - Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности;
· ГОСТ Р 53110-2008 - Система обеспечения информационной безопасности сети связи общего пользования. Общие положения;
· ГОСТ Р 53111-2008 - Устойчивость функционирования сети связи общего пользования. Требования и методы проверки;
· ГОСТ Р 53112-2008 - Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний;
· ГОСТ Р 53113.1-2008 - Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения;
· ГОСТ Р 53113.2-2009 - Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов;
· ГОСТ Р 53114-2008 - Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения;
· ГОСТ Р 53131-2008 - Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения;
· ГОСТ Р 54581-2011 / ISO/IEC TR 15443-1:2005 - Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы;
· ГОСТ Р 54582-2011 / ISO/IEC TR 15443-2:2005 -Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия;
· ГОСТ Р 54583-2011 / ISO/IEC TR 15443-3:2007 - Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия;
· ГОСТ Р 56045-2014 - Информационная технология. Методы и средства обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью;
· ГОСТ Р 56093-2014 - Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования;
· ГОСТ Р 56103-2014 - Защита информации. Автоматизированные системы в защищенном исполнении. Организация и содержание работ по защите от преднамеренных силовых электромагнитных воздействий. Общие положения;
· ГОСТ Р 56115-2014 - Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования;
· ГОСТ Р ИСО/МЭК 13335-1-2006 - Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий;
· ГОСТ Р ИСО 7498-1-99 - Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель;
· ГОСТ Р ИСО 7498-2-99 - Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации;
· ГОСТ Р ИСО/МЭК ТО 13335-5-2006 - Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети;
· ГОСТ Р ИСО/МЭК 15408-2-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности;
· ГОСТ Р ИСО/МЭК 15408-3-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности;
· ГОСТ Р ИСО/МЭК ТО 18044-2007 - Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности;
· ГОСТ Р ИСО/МЭК 18045-2013 - Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий;
· ГОСТ Р ИСО/МЭК ТО 19791-2008 - Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем;
· ГОСТ Р ИСО/МЭК 21827-2010 - Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса;
· ГОСТ Р ИСО/МЭК 27000-2012 - Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология;
· ГОСТ Р ИСО/МЭК 27002-2012 - Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента безопасности;
· ГОСТ Р ИСО/МЭК 27003-2012 - Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности;
· ГОСТ Р ИСО/МЭК 27004-2011 - Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения;
· ГОСТ Р ИСО/МЭК 27005-2010 - Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности;
· ГОСТ Р ИСО/МЭК 27006-2008 - Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности;
· ГОСТ Р ИСО/МЭК 27007-2014 - Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности;
· ГОСТ Р ИСО/МЭК 27013-2014 - Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1;
· ГОСТ Р ИСО/МЭК 27033-1-2011 - Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции;
· ГОСТ Р ИСО/МЭК 27033-3-2014 - Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления;
· ГОСТ Р ИСО/МЭК 27034-1-2014 - Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия;
· ГОСТ Р ИСО/МЭК 27037-2014 - Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме;
· ГОСТ Р ИСО/МЭК 29100-2013 - Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности;
· Рекомендации по стандартизации Р 50.1.050-2004 - Защита информации. Система обеспечения качества техники защиты информации. Общие положения;
· Рекомендации по стандартизации Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации;
· Рекомендации по стандартизации Р 50.1.056-2005 - Техническая защита информации. Основные термины и определения;
Задание 2
Выписать международные стандарты информационной безопасности.
Ответ:
· BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
· BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
· BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
· ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
· ISO/IEC 27000 — Словарь и определения.
· ISO/IEC 27001 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
· ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005. «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Дата выхода — 2007 год.
· ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
· German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).
Задание 3
Изучить ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью». Выписать требования и рекомендации по защите информации программными и программно-аппаратными средствами.
Ответ:
- Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.
- 3.1.1 Документальное оформление.
краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:
1) соответствие законодательным требованиям и договорным обязательствам;
2) требования в отношении обучения вопросам безопасности;
3) предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;
- 4.1.2 Координация вопросов информационной безопасности.
Согласовывает и обеспечивает поддержку инициатив и проектов в области информационной безопасности в рамках всей организации, например, таких как разработка программы повышения осведомленности сотрудников в области безопасности.
- 4.1.4 Процесс получения разрешения на использование средств обработки информации.
Аппаратные средства и программное обеспечение следует проверять на совместимость с другими компонентами системы.
Если было полезно, и если хотите, чтобы готовые практические выходили в свет, ставьте лойс. Ответы на вопросы были собраны по всему простору интернета.