WWW.DISS.SELUK.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА
(Авторефераты, диссертации, методички, учебные программы, монографии)

 

Обеспечение информационной

безопасности, разделы

Определения, цели, основные положения

Угрозы

Построение систем защиты информации

Стандартизация в области ИБ

Управление ИБ

Здесь и далее используется терминология документов

Государственной Технической Комиссии при Президенте Российской

Федерации, которая является основным государственным органом в

России, курирующем вопросы защиты информации. Руководящие

документы, Положения и Постановления Гостехкомиссии России формируют большую часть отечественной нормативной базы в области защиты информации. C 08.2004 название ГТК изменено на Федеральная служба по техническому и экспортному контролю (ФСТЭК), подчинена МО РФ. http://www.fstec.ru/ 1 (с) 2002-2008 ВГУ, ФКН, ИС, Коваль А.С.

03.01. Определения Информация в теории компьютерной безопасности определяется как сведения в некоторой предметной области, необходимые для оптимизации принимаемых решений. (в отличии от вероятностного подхода к определению информации Шеннона, здесь учитывается полезность сведений, и.т.п. свойства) Автоматизированная система обработки информации (АС) – организационно-техническая система, совокупность взаимосвязанных компонентов: технических средств, программного обеспечения, информации и персонала.

Угроза – это потенциальная возможность ущерба ресурсу, как со стороны злоумышленника, так и со стороны различных катастроф: пожаров, наводнений, землетрясений.

Информационная безопасность АС – совокупность условий работоспособного состояния АС, при котором АС способна противостоять внутренним и внешним угрозам, а ее функционирование не создает угроз для АС и внешней среды.

(с) 2002-2008 ВГУ, ФКН, ИС, Коваль А.С.

03.01. Свойства информации и АС Из конфиденциальности (англ. confidential:

доверительный, «по секрету») информации следует необходимость введения ограничений на доступ Целостность – существование информации в неискаженном виде Доступность – своевременный и беспрепятственный доступ Безопасность обеспечена, если поддерживаются необходимые уровни К, Ц и Д.

(с) 2002-2008 ВГУ, ФКН, ИС, Коваль А.С.

03.01. Цель создания системы защиты информации Организации создают системы защиты информации, чтобы защитить свои ресурсы от угроз.

Ресурсы включают: производственные секреты, служебную переписку, базы данных клиентов, информацию о транзакциях и т.д.

Угроза – это потенциальная возможность ущерба ресурсу, как со стороны злоумышленника, так и со стороны различных катастроф: пожаров, наводнений, землетрясений.

(с) 2002-2008 ВГУ, ФКН, ИС, Коваль А.С.

03.01. Классификация атак STRIDE Spoofing identity (направлена на нарушение конфиденциальности данных) Tampering with data (модификация данных, атаки MITM – нарушение целостности) Repudiation (любая недоказуемая впоследствии атака) Information disclosure (раскрытие – угроза конфиденциальности) Denial of service ( DoS и DDoS атаки, отказ в обслуживании) Elevation of privilege (непривилегированный пользователь получает права более высокого уровня, обычно через уязвимость/ошибки системы. Может быть направлена на любую часть триады CIA) 03.01. Анализ угроз, классификация ГТК/ФСТЭК По природе возникновения Искусственные (вызванные деятельностью По степени преднамеренности Преднамеренные действия, хищение информации 03.01. Анализ угроз, классификация ГТК/ФСТЭК По непосредственному источнику Санкционированные программно-аппаратные средства (некомпетентное использование) Несанкционированные программно-аппаратные 03.01. Анализ угроз, классификация ГТК/ФСТЭК По положению источника угроз (подслушивающие устройства, отключение Источник расположен в АС (некорректное 03.01. Анализ угроз, классификация ГТК/ФСТЭК По степени воздействия на АС По этапам доступа к ресурсам АС По способу доступа к ресурсам АС По текущему месту расположения информации 03.01. Основные виды угроз для АС Нарушение конфиденциальности Нарушение целостности Прим. В англоязычных источниках – т.н.

триада CIA (Confidentiality, Integrity, Availability) Угроза раскрытия параметров АС 03.01. Методы реализации угроз и принципы обеспечения информационной безопасности Угрозы и методы обеспечения защиты реализуются на разных Уровень носителей информации Уровень средств взаимодействия с Уровень представления информации Уровень содержания информации 03.01. Методы реализации угроз безопасности Уровень досУгроза отказа тупа к ин- Угроза раскрытия Угроза нарушения Угроза нарушения служб (отказа досформации в параметров систе- конфиденциальнос ти целостнос ти тупа к информаАС мы Определение типа и Хи щение (копирование) Уничтожение машин- Выведение из строя Носителей параметров носите- носителей информации. ных носителей инфор- машинных носитеинформации мации о программ- Совершение пользова- лем несанкциониро- Проявление ошибок но-аппаратной среде. телем несанкциониро- ванных изменений в проектирования и Получение детальной ванных действий. Не- программы и данные. разработки провзаимодейинформации о функ- санкционированное ко- Установка и использо- граммно-аппаратных 03.01. Виды, каналы утечки информации Виды утечки И по ГОСТ 50922- акустический (виброакустический )канал;

03.01. Распределение утечек по типам 03.01. Основные каналы утечек, полугодие 2008 года 03.01. Топ-10 утечек, связанных с кражей различных носителей 03.01. Уровни квалификации атакующих и характерные причины атак Низкий уровень Опасны тем, что не представляют всех последствий Средний уровень Желание заявить о себе в своем сообществе Мщение уволенных/отстраненных сотрудников Часто атакуют известные ресурсы для получения наибольшей огласки, обсуждают свои атаки в форумах Высокий уровень Шпионаж, терроризм, получение вознаграждения Методы часто включают введение в заблуждение пользователей и администраторов (social engineering), составление тактических планов атаки 03.01. Принципы обеспечения ИБ в АС Системности Комплексности комплексное использование разнородных средств Непрерывности защиты Разумной достаточности затраты, риск и размер возможного ущерба согласованы Гибкости управления и применения возможность варьировать уровень защиты Открытости алгоритмов и механизмов защиты знание алгоритмов не должно давать преимущества Простоты применения минимальные затраты при внедрении и использовании 03.01. Методология построения систем защиты информации в АС Идентификация угроз Анализ рисков (создание плана УР) Разработка подсистем безопасности для различных угроз Разработка ответных мер для возможных нарушений ИБ 03.01. Разработка систем безопасности Разработка систем безопасности использует концепцию управления рисками, чтобы определить соответствующее риску противодействие.



Данные, собранные в ходе определения адекватных противодействий, с точки зрения управления рисками, также полезны для аргументации важности информационной защиты и затрат на обеспечение безопасности.

03.01. Концепции систем безопасности «Глубокая» (многоуровневая) защита – определяет использование совместных технологических и организационных мер на нескольких уровнях противодействия угрозам «Минимальных привилегий»

«Минимальной поверхности атаки»

03.01. Фазы решения проблем ИБ системы Планирование:

команда, угрозы (STRIDE sections/life-cycle), план Создание:

политики и процедуры (создание и внедрение), тренинг администраторов и пользователей, внедрение мер противодействия угрозам Управление:

мониторинг и управление безопасностью (обнаружение вторжений и реагирование), каждодневное управление, оптимизация политик и 03.01. План управления рисками, стадии Идентификация Для каждой угрозы – RS (возможно несколько для каждого RS: условия возникновения, последствия, оценка урона:

количественно (100-бальная шкала PxI, годовые потери, и т.п.), Планирование УР 4 стратегии: принять, уменьшить, передать, избежать.

Должен быть назначен ответственный за каждый риск.

Разработка методов отслеживания изменений рисков Измерение частоты появления, успеха противодействия.

Меры по управлению Когда и как изменять план УР, актуализировать его.

03.01. Политики безопасности Политика безопасности – документ (заверенный руководством организации) в котором сформулированы основные принципы обеспечения ИБ организации Типы политик безопасности (по основному средству обеспечения):

Административная (например, «соглашение о неразглашении») Техническая (правила сетевых экранов, шаблоны безопасности) Физическая (камеры видеонаблюдения, замки) Процедуры безопасности определяют как именно выполнять те или иные действия, касающиеся политики безопасности.

В организации должны быть не только разработаны политики безопасности, но и также разработаны и опубликованы простые и ясные процедуры соответствующие политике.

В узком смысле, термин «политика безопасности» часто используется по отношению к системам управления доступом:

Политика безопасности включает:

множество возможных операций над объектами для каждой пары субъект-объект множество разрешенных операций, являющееся подмножеством всего множества Типы политик безопасности (в части управления доступом):

Дискреционная (дискретная, Discretionary Access Control -DAC) Мандатная (полномочная, Mandatory Access Control MAC) 03.01. Объекты и субъекты моделей администрирования Понятия объектов и субъектов моделей администрирования и реальных систем эквиваленты соответствующим понятиям теории информационной безопасности (ИБ).

Под объектами моделей понимают данные и функции информационной системы.

Субъекты – это активные компоненты модели – процессы системы часто ассоциированные с пользователями информационной системы.

Задачами администрирования в области обеспечения ИБ, относительно субъектов (С) и объектов (О), являются ранжирование С и О по уровням и контроль за обеспечением соответствия уровня объекта уровню субъекта.

24.09. Пример политики безопасности Информация является ценным ресурсом для деятельности Компании и обеспечение информационной безопасности является обязанностью каждого сотрудника.

Настоящая политика определяет основные принципы защиты информационных ресурсов Компании от угроз нарушения конфиденциальности, целостности и доступности.

Доступ к информационным ресурсам предоставляется только в объеме, необходимом для выполнения сотрудниками своих должностных обязанностей.

При построении эффективной системы управления информационной безопасностью Компания руководствуется международными стандартами ISO 17799 и ISO 27001.

Для обеспечения эффективной защиты информации ежегодно проводится комплексный аудит информационной безопасности, включающий в себя аудит системы управления информационной безопасностью и тестирование на возможность несанкционированного проникновения.

Политики информационной безопасности утверждаются президентом Компании.

Все руководители отвечают за выполнение политик информационной безопасности в подчиненных им подразделениях.

Все сотрудники Компании, текущие и бывшие, выполняют требования политик информационной безопасности.

Департамент информационной безопасности осуществляет разработку и внедрение технических и организационных мер для минимизации рисков информационной безопасности.

Департамент внутреннего аудита проводит регулярный аудит эффективности исполнения политик, стандартов и процедур информационной безопасности.

Для обеспечения непрерывности бизнеса Компании должен быть разработан и поддерживаться в актуальном состоянии план непрерывности бизнеса.

Сотрудники Компании проходят ежегодное обучение в области обеспечения информационной безопасности.

03.01. Стандартизация в области ИБ 03.01. Руководящие документы ГТК, Концепция защиты средств вычислительной техники от НСДкИ.

Защита от несанкционированного доступа к информации (НСДкИ). Термины и определения.

Средства вычислительной техники. Защита от НСДкИ. Показатели защищенности от НСДкИ.

Автоматизированные системы (АС). Защита от НСДкИ. Классификация АС и требования по защите информации.

Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и средствах вычислительной техники.

03.01. Развитие нормативной базы, 1997-1999 гг.

СВТ. Межсетевые экраны. Защита от НСД. Показатели защищенности от НСД к информации. 03.01. Новые нормативные документы по ГОСТ Р ИСО/МЭК 15408-2002 (т.н. «Общие критерии») для продуктов и систем информационных технологий, предназначенных для обработки информации, отнесенной к Безопасность информационных технологий. Критерии оценки безопасности информационных технологий Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности Безопасность информационных технологий. Руководство по регистрации профилей защиты Безопасность информационных технологий. Руководство по формированию семейств профилей защиты Руководство по разработке профилей защиты и заданий по 03.01. Структура Системы сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссия России (федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации).

С 08.2004 ФСТЕК http://www.fstec.ru/ ;

органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;

испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной заявители - изготовители, продавцы или потребители продукции 03.01. Перечень объектов информатизации, подлежащих аттестации в Системе сертификации средств защиты информации по требованиям безопасности информации Автоматизированные системы различного уровня и назначения.

Системы связи, приема, обработки и Помещения, предназначенные для ведения конфиденциальных 03.01. Способы НСД и принципы защиты от информации (по документам ГТК) НСД – доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств СВТ и АС Способы НСД (по ГТК):

непосредственное обращения к объектам;

внедрение программных или технических средств НСД.

Принципы защиты информации (по ГТК):

защита основывается на положениях и требованиях существующих защита СВТ обеспечивается комплексом программно-технических средств защита АС обеспечивается КПТС и организационными мерами защита обеспечивается во всех режимах и на всех этапах КПТС защиты не должен существенно ухудшать основные характеристики неотъемлемая часть работ по защите СВТ – оценка ее эффективности 03.01. Классы защищенности СВТ (ГТК) физический носитель информации Примечания: "-"- нет требований к данному классу;"+"- новые или дополнительные требования; "="- требования совпад ают с требованиями к СВ Т предыдущ его класса.

03.01. Классы защищенности АС (ГТК) Три группы классов защищенности:

1 группа – многопользовательские, с разными правами доступа, одновременная обработка Всего – 9 классов защищенности АС:

03.01. Классы защищенности АС (ГТК) Подсистемы защиты и требования к ним 1. Подсистема управления доступом 1.1. Идентификация. Проверка подлинности и контроль доступа субъектов:

к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ к томам, каталогам, файлам, записям, полям записей Примечание: "+"- требование к данному классу присутствует, в остальных случаях данное требование необязательно.

03.01. Классы защищенности АС (ГТК) 2. Подсистема регистрации и учета входа/выхода субъектов доступа в/из системы (узла запуска/завершения программ и процессов (заданий, доступа программ субъектов к защищаемым файлам, доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, каталогам, файлам, записям, полям записей изменения полномочий субъектов доступа 2.3. Очистка (обнуление, обезличивание) Примечание: "+"- требование к данному классу присутствует, в остальных случаях данное требование необязательно.

03.01. Классы защищенности АС (ГТК) 3. Криптографическая подсистема 3.1. Шифрование конфиденциальной доступа (группам субъектов) на разных ключах 3.3. Использование аттестованных 4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации 4.3. Наличие администратора (службы) 4.5. Наличие средств восстановления СЗИ 4.6. Использование сертифицированных Примечание: "+"- требование к данному классу присутствует, в остальных случаях данное требование необязательно.

03.01. 03.01. МЭ – набор фильтров 03.01. Классы защищенности МЭ (ГТК) Выделяется пять показателей защищенности:

1. Управление доступом 2. Идентификация и аутентификация 3. Регистрация событий и оповещение 4. Контроль целостности 5. Восстановление работоспособности Определяется следующие пять классов защищенности МЭ:

Простейшие фильтрующие маршрутизаторы - 5 класс Пакетные фильтры сетевого уровня - 4 класс Простейшие МЭ прикладного уровня - 3 класс МЭ базового уровня - 2 класс Продвинутые МЭ - 1 класс 03.01. Trusted Computer System Evaluation Criteria - TCSEC,DoD- Trusted Computer System Evaluation Criteria. US Department of Defense, CSC-STD-001-83, Aug. Trusted network Interpretation. National Computer Security Center, July Trusted DBMS Interpretation. National Computer Security Center, April The Interpreted TCSEC Requirements, Jan 03.01. Критерии TCSEC Три категории требований Контроль функционирования средств защиты 03.01. Классы защищенности TSEC Базовые требования "Оранжевой книги" Примечания. "-"- нет требований к данному классу; "+"- новые или дополнительные требования; "="-требования совпадают с требованиями к СВТ предыдущего класса 03.01. Европейские критерии безопасности. ITSEC, Information Technology Security Evaluation Criteria. Harmonized Criteria of France-Germany-Netherlands-United Kingdom. – Department of Trade and Industry, London, Target of Evaluation (аналог Trusted 03.01. Применение критериев ранжирования к F требованиям Функциональное требование Обеспечение прямого взаимодействия с компьютерной системой Контроль над распределением ресурсов Инициализация и восстановление компьютерной системы Ограничение привилегий при работе с компьютерной системой Простота использования компьютерной системы * Знак «*» указывает на какие свойства АС влияет реализация того или иного защитного механизма Federal Criteria for Information Technology Security – компонент Federal Information Processing Standard Разработан National Security Agency совместно с National Institute of Standards and Technologies (США,1992 ) 03.01. Развитие стандартов Federal Criteria for Information Technology Security (как составляющая Federal Information Processing Standard) США, Common Criteria for Information Technology Security Evaluation, США/ Канада/Нидерланды/Великобритания/Фран ция/Германия,1998.

ГОСТ Р ИСО/МЭК 15408-1,2,3- «Общие критерии оценки безопасности ИТ» (перевод ISO 15408). Вводится в действие с 1.01. 03.01. Common Criteria for Information Technology Security Evaluation (ISO/IEC 15408) Стандарт Common Criteria (“Общие Критерии …”) разрабатывался с целью облегчить заказчикам поиск продуктов, удовлетворяющих их требованиям.

представляет собой систему строгих независимых критериев безопасности (т. н. «профилей для оценки информационных продуктов устанавливает гарантированные уровни соответствия (Evaluations Assurance Levels, EAL) или оценочные уровни доверия - ОУД.

в CC главное внимание уделено защите от НСД. Модификации или потери доступа к информации в результате случайных или преднамеренных действий информационной безопасности остались Пример сертификации по «Общим критериям» - семейство систем Microsoft Windows семейства систем Windows 2000 отвечают высшему уровню доверия для серийно выпускаемых Сертификат выдан на три года по правилам ГТК.

Шкала оценок подразумевает всего 7 уровней доверия, выше 4-го – особые требования Был использован профиль защиты CAPP (Controlled access protection profile) «CAPP обеспечивает уровень защиты, подходящий в предположениях о невраждебном и хорошо управляемом сообществе пользователей, требующем защиты от неумышленных или случайных попыток нарушить безопасность системы.»

Основные принципы ОК состоят в том, что следует сформулировать угрозы безопасности и положения политики безопасности организации, а достаточность предложенных мер безопасности должна быть продемонстрирована. Более того, следует предпринять меры по уменьшению вероятности наличия уязвимостей, возможности их проявления (т.е.

преднамеренного использования или непреднамеренной активизации), а также степени ущерба, который может явиться следствием проявления уязвимостей. Дополнительно следует предпринять меры для облегчения последующей идентификации уязвимостей, а также по их устранению, ослаблению и/или оповещению об их использовании или активизации [3].

03.01. Common Criteria for Information Technology Security Evaluation (ISO/IEC 15408) Первая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части «Общих критериев» и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.

Третья часть «Общих критериев» содержит класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации определенных типов уязвимостей 03.01. Новые нормативные документы, базирующиеся на ГОСТ Р ИСО/МЭК 15408- для продуктов и систем информационных технологий, предназначенных для обработки информации, отнесенной к Безопасность информационных технологий. Критерии оценки безопасности информационных технологий Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности Безопасность информационных технологий. Руководство по регистрации профилей защиты Безопасность информационных технологий. Руководство по формированию семейств профилей защиты Руководство по разработке профилей защиты и заданий по 03.01. Термины и определения нормативных документов, базирующихся на ГОСТ Р ИСО/МЭК 15408- Базовая стойкость функции безопасности: Уровень стойкости функции безопасности ОО, на котором функция предоставляет адекватную защиту от случайного нарушения безопасности ОО нарушителями с низким потенциалом Безопасность ИТ: Характеристика защищенности информации и изделий ИТ от воздействия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способности изделий ИТ выполнять предусмотренные функции без нанесения неприемлемого ущерба.

Высокая стойкость функции безопасности: Уровень стойкости функции безопасности ОО, на котором функция предоставляет адекватную защиту от тщательно спланированного и организованного нарушения безопасности ОО нарушителями с высоким потенциалом нападения.

Информационная технология: Приемы, способы и методы применения технических и программных средств при выполнении функций обработки Изделие ИТ: Обобщенный термин для продуктов и систем ИТ.

Продукт ИТ: Совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы ИТ.

Система ИТ: Специфическое воплощение изделия ИТ с конкретным назначением и условиями эксплуатации.

03.01. Термины и определения нормативных документов, базирующихся на ГОСТ Р ИСО/МЭК 15408- Объект оценки: Подлежащие оценке продукт или система ИТ с руководствами администратора и пользователя.

Профиль защиты: Независимая от реализации совокупность требований безопасности для некоторой категории изделий ИТ, отвечающая специфическим запросам потребителя.

Семейство профилей защиты: Совокупность упорядоченных взаимосвязанных ПЗ, которые относятся к определенному типу изделий ИТ.

Функция безопасности: Функциональные возможности части или частей изделия ИТ, обеспечивающие выполнение подмножества взаимосвязанных требований безопасности.

Средняя стойкость функции безопасности: Уровень стойкости функции безопасности ОО, на котором функция предоставляет адекватную защиту от прямого или умышленного нарушения безопасности ОО нарушителями с умеренным потенциалом нападения.

Стойкость функции безопасности: Характеристика функции безопасности ОО, выражающая минимальные усилия, предположительно необходимые для нарушения ее ожидаемого безопасного поведения при прямой атаке на лежащие в ее основе механизмы безопасности.

Пакет доверия: Предназначенная для многократного использования совокупность компонентов доверия для удовлетворения совокупности определенных целей безопасности. Примером ПД является оценочный уровень доверия.

Функциональный пакет: Предназначенная для многократного использования совокупность функциональных компонентов, объединенных для удовлетворения совокупности определенных целей безопасности.

03.01. Требования AVA (по анализу уязвимостей средств и механизмов защиты) методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

Наличие побочных каналов утечки информации;

Ошибки в конфигурации, либо неправильное использование системы, приводящее к переходу системы Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции Наличие уязвимостей в средствах защиты информации, позволяющих пользователям получать НСД к информации в обход существующих механизмов защиты.

03.01. Требования гарантированности оценки уязвимостей Семейство AVA_CCA: Covert Channel Analysis (Анализ каналов утечки информации) Семейство AVA_MSU: Misuse (Ошибки в конфигурации, либо неправильное использование системы, приводящее к переходу системы в небезопасное состояние) Семейство AVA_SOF: Strength of TOE Security Functions (Стойкость функций безопасности, обеспечиваемая их реализацией) Семейство AVA_VLA: Vulnerability Analysis (Анализ уязвимостей) 03.01. PDCA (Plan – Do – Check – Act) У ISO существует мощная методологическая основа в области планирования, внедрения, мониторинга и поддержки систем ИБ, непрерывная последовательность которой базируется на т.н. «Цикле Деминга». В стандартах ISO принято использовать для обозначения этого цикла аббревиатуру PDCA (Plan – Do – Check – Act, Планирование – Внедрение – Мониторинг – Поддержка/улучшение) – модель Организации Экономического Сотрудничества и Развития (OECD). Т.о. используется процессный итеративный подход.

03.01. Управление ИБ ISO находится в процессе реорганизации стандартов по ИБ: во-первых они объединяются в серию ISO27000, во-вторых сама серия «гармонизируется»

с другими стандартами управления – ISO9001, ISO14000.

В настоящее время, серия 27000 включает в себя следующие важные стандарты:

1. Стандарт ISO27001 (основан на британском BS7799-2, есть российский перевод ГОСТ27001:2005) - определяет требования к системе управления ИБ (ISMS, Information Security Management System) по ее определению, внедрению, работе, мониторингу, поддержки и улучшению.

2. Стандарт ISO27002 (основан на британском BS7799-1, есть российский перевод ГОСТ17799:2005) – определяет правила и средства управления.

3. Проект ISO27003 (выход в 2009г.) – руководство по внедрению ISMS.

4. Проект ISO27004 – определяет метрики и измерения эффективности 5. Проект ISO27005 (основан на BS7799-3 и ISO13335) – посвящен управлению рисками (УР).

6. Стандарт ISO27007 – руководство по аудиту ISMS.

03.01. Фазы управления рисками стандарта ISO 03.01. Модель управления рисками ISO 03.01. Международный стандарт ISO/IEC ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) содержит:

Основные понятия и определения информационной безопасности Политика информационной безопасности компании Организация информационной безопасности на предприятии Классификация и управление корпоративными информационными Кадровый менеджмент и информационная безопасность Администрирование безопасности корпоративных информационных Требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения Управление бизнес-процессами компании с точки зрения информационной безопасности Внутренний аудит информационной безопасности компании 03.01. 10 правил ISO 17799 по управлению информационной безопасностью ISO/IEC 17799:2000: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) Классификация ресурсов и их контроль Администрирование компьютерных систем и Разработка и сопровождение информационных систем Планирование бесперебойной работы организации Контроль выполнения требований политики безопасности 03.01. 10 ключевых средств контроля ISO документ о политике информационной безопасности;

распределение обязанностей по обеспечению информационной безопасности;

обучение и подготовка персонала к поддержанию режима информационной безопасности;

уведомление о случаях нарушения защиты;

средства защиты от вирусов;

планирование бесперебойной работы организации;

контроль над копированием программного обеспечения, защищенного законом об авторском праве;

защита документации организации;

контроль соответствия политике безопасности 03.01. Сетевая политика, документы 03.01. Cisco Self-Defending Network 03.01. Уязвимости ОС и ПО Команды быстрого реагирования CERT(tm) - первая computer security incident response team RU-CERT - это CSIRT (Computer Security Incident Response Team) РФ. Cоздан РосНИИРОС, является официальным CSIRT сервисом для пользователей опорной сети RBNET. С 2002 года RU-CERT является полным членом (full member) FIRST (Forum of Incident Common Vulnerabilities & Exposures(CVE) Bugtraq, bugtraq.ru (публикация сообщений об уязвимостях ПО различных фирм-разработчиков) 03.01. Ссылки Девянин П.Н. и др. Теоретические основы компьютерной безопасности: Учебное пособие для вузов. - М.: Радио и связь, 2000. - 192 с.

Федеральная служба по техническому и экспортному контролю (ФСТЭК), http://www.fstec.ru/ Консалтинговая группа «ЛЕКС», http://www.osnovi-bezopasnost.ru/ Марков А., Цирлов В. Управление рисками — нормативный вакуум информационной безопасности http://www.osp.ru/os/2007/08/4492873/ L:\Лекции\4 курс\ИБИС => GOST-17799-2005.pdf 03.01.



Похожие работы:

«Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования РОССИЙСКАЯ АКАДЕМИЯ НАРОДНОГО ХОЗЯЙСТВА И ГОСУДАРСТВЕННОЙ СЛУЖБЫ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ Воронежский филиал Кафедра уголовного права и криминологии,0мт ^УТВЕРЖДАЮ Директор Воронежского филиала Российской академии народного хозяйства и )ственной службы при Президенте федерации д.т.н. Подвальный Е.С. 2013 год РАБОЧАЯ УЧЕБНАЯ ПРОГРАММА по дисциплине Судебная власть в Российской...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ ГЕОЛОГОРАЗВЕДОЧНЫЙ УНИВЕРСИТЕТ имени Серго Орджоникидзе МГРИ-РГГРУ В.И. Лисов, О.С. Брюховецкий, В.А. Косьянов, С.В. Мирскова, М.В. Меркулов ПОДГОТОВКА НАУЧНО-ПЕДАГОГИЧЕСКИХ КАДРОВ В МГРИ-РГГРУ Москва 2012 1 ПОДГОТОВКА НАУЧНО-ПЕДАГОГИЧЕСКИХ КАДРОВ В МГРИ-РГГРУ Предлагаемое издание содержит материалы о подготовке...»

«Рабочая программа по предмету Технология на 2013-2014 учебный год. Класс 7 Учитель Елхова Татьяна Васильевна. Кол-во часов на полугодие -34 Всего 68 часов., в неделю 2 часа. Учебник: Технология 5 класс под редакцией В. Д. Симоненко 2 –е издание переработанное - М. : Вентана – Граф 2008. - 240с. Соответствует федеральному компоненту государственных общеобразовательных стандартов основного общего образования(2004г.) Пояснительная записка Изучение технологии на ступени основного общего образования...»

«ГОСУДАРСТВЕННЫЙ ИСТОРИЧЕСКИЙ МУЗЕЙ XVII ВСЕРОССИЙСКАЯ НУМИЗМАТИЧЕСКАЯ КОНФЕРЕНЦИЯ ПРОГРАММА Москва, Пущино, 22 – 27 апреля 2013 г. Конференция посвящается 400-летию призвания на царствование Михаила Федоровича Романова ОРГКОМИТЕТ КОНФЕРЕНЦИИ Левыкин Алексей Константинович – директор Государственного Исторического музея, председатель оргкомитета, к.и.н. Ширяков Игорь Владимирович – заведующий отделом нумизматики Государственного Исторического музея, к.и.н. Калинин Виталий Александрович –...»

«УТВЕРЖДАЮ Учебный план Директор ГБОУ СПО КМБ № 4 Государственного бюджетного образовательного учреждения среднего профессионального образования _Т.П.Антонова Колледж малого бизнеса № 4 01_апреля2014г. по специальности среднего профессионального образования 09.02.01 Компьютерные системы и комплексы по программе базовой подготовки Квалификация - техник по компьютерным системам Форма обучения - очная Нормативный срок обучения - 3 года 10 месяцев на базе основного общего образования 2. Сводные...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ РЕСПУБЛИКИ БЕЛАРУСЬ МИНСКИЙ ИНСТИТУТ УПРАВЛЕНИЯ Кафедра гражданского и государственного права УТВЕРЖДАЮ: Проректор по учебной работе В.В. Таборовец 2005 г. РАБОЧАЯ ПРОГРАММА по дисциплине “Международное право” для студентов факультета экономики Дневное отделение Дневное отделение Курс – 4 Курс – 2, 3, 4 Семестр - 7 Семестр – 4, 6, 7 Лекции – 58 часов Лекции – 20 часов Из них КСР – 6 часов Из них КСР – 2 часа Семинарские занятия – 50 часов Семинарские занятия – 12 часов...»

«1. МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Саратовский государственный аграрный университет имени Н.И. Вавилова СОГЛАСОВАНО УТВЕРЖДАЮ Заведующий кафедрой Декан факультета / Молчанов В.А./ _ /Молчанов В.А./ 30 августа 2013 г. 30 августа 2013 г. РАБОЧАЯ ПРОГРАММА ДИСЦИПЛИНЫ (МОДУЛЯ) УТИЛИЗАЦИЯ ОТХОДОВ Дисциплина ЖИВОТНОВОДСТВА Направление подготовки 111100.62 Зоотехния Профиль...»

«Федеральное государственное образовательное бюджетное учреждение Липецкий государственный технический университет УТВЕРЖДАЮ Декан ИСФ _Бабкин В.И. _ 2011 г. РАБОЧАЯ ПРОГРАММА ДИСЦИПЛИНЫ УПРАВЛЕНИЕ ПРОЕКТОМ Направление подготовки: 270800.62 Строительство Профиль подготовки: Проектирование зданий Квалификация (степень) выпускника: бакалавр Форма обучения: очная Нормативный срок обучения: 4 года Липецк – 2011 г. Оглавление 1. Цели освоения дисциплины. 2. Место дисциплины в структуре ООП ВПО. 3....»

«МИНКУЛЬТУРЫ РОССИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ ТЮМЕНСКАЯ Г ОСУДАРСТВЕННАЯ АКАДЕМИЯ КУЛЬТУРЫ, ИСКУССТВ И СОЦИАЛЬНЫХ ТЕХНОЛОГИЙ. tf РОс, V. И:;В!. Ивачев Л к ? 2011 г. Программа вступительного экзамена в аспирантуру по специальности 24.00.01 Теория и история культуры ( у т в е р ж д е н о на заседании к а ф е д р ы к у л ь т у р о л о г и и от 29.04.2011 протокол № 9) Тюмень, 1. Т е о р и я к у л ь т у р ы 1. О с н о в н...»

«ПРОГРАММА КУРСА СТАРОСЛАВЯНСКИЙ ЯЗЫК В СРАВНИТЕЛЬНО-ИСТОРИЧЕСКОМ ОСВЕЩЕНИИ Составитель: доктор филологических наук А. И. Изотов Введение Славянские языки. Их классификация. Понятие праславянского языка. Проблемы определения, доказательства существования и подходы к изучению. Методы изучения праславянского языка. Периодизация истории праславянского языка. Прародина и последующее расселение славян. Древнейшие праславянские диалекты. Расширение территории праславянского языка во II-III вв. н. э....»

«Министерство образования и науки Российской Федерации федеральное государственное автономное образовательное учреждение высшего профессионального образования физико-технический институт Московский (государственный университет) УТВЕРЖДАЮ Проректор по учебной работе О. А. Горшков _2013 г. ПРОГРАММА ВСТУПИТЕЛЬНЫХ ИСПЫТАНИЙ В МАГИСТРАТУРУ ФАКУЛЬТЕТА БИОЛОГИЧЕСКОЙ И МЕДИЦИНСКОЙ ФИЗИКИ по направлению 010900 Прикладные математика и физика по магистерским программам 010984 Прикладные экология и...»

«С тепень MBA (Мастер делового администрирования) – это квалификационная степень в менеджменте, подразумевающая способность выполнять работу руководителя среднего и высшего звена, подтверждающая наличие у ее обладателя ключевых управленческих компетенций. Специалисты ОАО РЖД, завершившие обучение по этой программе, обладают самыми современными знаниями и компетенциями по всем моделям управления бизнесом, умеют использовать их для обеспечения основных процессов ОАО РЖД, повышения эффективности...»

«Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Саратовская государственная юридическая академия УТВЕРЖДАЮ Первый проректор, проректор по учебной работе _С.Н. Туманов __2012 г. УЧЕБНО-МЕТОДИЧЕСКИЙ КОМПЛЕКС ДИСЦИПЛИНЫ Актуальные проблемы экологического права по направлению подготовки 03090068 юриспруденция (квалификация (степень) магистр) Саратов 2012 Учебно-методический комплекс...»

«МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ФГОУ ВПО УЛЬЯНОВСКАЯ ГСХА Кафедра биологии, ветеринарной генетики, паразитологии и экологии РАБОЧАЯ ПРОГРАММА ПО ДИСЦИПЛИНЕ БИОЛОГИЯ С ОСНОВАМИ ЭКОЛОГИИ специальность 110501 Ветеринарно-санитарная экспертиза квалификация - ветеринарный санитарный врач (очная, заочная формы обучения) Ульяновск -2008 РАБОЧАЯ ПРОГРАММА по дисциплине Биология с основами экологии для студентов 1 курса факультета ветеринарной медицины ФГОУ ВПО Ульяновская ЦЕЛЬ И...»

«МИНИСТЕРСТВО ТРАНСПОРТА РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА государственное образовательное учреждение высшего профессионального образования ИРКУТСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ ИрГУПС (ИрИИТ) Утверждаю: Ректор _ А.П. Хоменко 20_ г. ОСНОВНАЯ ОБРАЗОВАТЕЛЬНАЯ ПРОГРАММА ВЫСШЕГО ПОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ Направление подготовки _271501 Строительство железных дорог, мостов и транспортных тоннелей Специализация Управление техническим состоянием...»

«ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ Государственное образовательное учреждение высшего профессионального образования Тихоокеанский государственный университет УТВЕРЖДАЮ Проректор по учебной работе. С.В.Шалобанов “” 2007 г. ПРОГРАММА ДИСЦИПЛИНЫ По кафедре Литейное производство и технология металлов ТЕХНОЛОГИЧЕСКОЕ ОБОРУДОВАНИЕ ЛИТЕЙНЫХ ЦЕХОВ Утверждена научно-методическим советом университета для направлений подготовки (специальностей) в области металлургии, машиностроения и металлообработки...»

«Министерство образования и науки Российской Федерации Беловский институт (филиал) федерального государственного бюджетного образовательного учреждения высшего профессионального образования Кемеровский государственный университет кафедра общественных наук Рабочая программа дисциплины Право социального обеспечения Направление подготовки 030900.62 Юриспруденция Квалификация (степень) выпускника Бакалавр Форма обучения Заочная (5 лет, сокращенная) Белово Print to PDF without this message by...»

«GAMTAMOKSLINIS UGDYMAS. ISSN 1648-939X НЕКОТОРЫЕ ИСТОРИЧЕСКИЕ СВЕДЕНИЯ ОБ ИЗУЧЕНИИ БИОЛОГИИ ЧЕЛОВЕКА В ЛАТЫШСКИХ ШКОЛАХ ДО 1940 ГОДА Элеонора Терезия Вайводе Даугавпилс, Латвия Абстракт Интерес к естественонаучным дисциплинам в последнее десятилетие резко упал. Можно утверждать, что такая же ситуация и в сфере научных исследований. Особенно низкий интерес к исследованиям исторического характера. В данной статье автор проанализировала некоторые исторические сведения об изучении биологии человека...»

«Биография судьи чемпионата БЕЛЯКОВА ИННА БОРИСОВНА ТРЕТИЙ ОТКРЫТЫЙ ЧЕМПИОНАТ УКРАИНЫ ПО КЛАССИЧЕСКОМУ, СПОРТИВНОМУ И ЛЕЧЕБНОМУ МАССАЖУ (2 апреля 2013) и ПЕРВЫЙ МЕЖДУНАРОДНЫЙ ОБЪЕДИНЕННЫЙ ЧЕМПИОНАТ ПО МАССАЖУ, БАННЫМ ТЕХНОЛОГИЯМ, SPAРЕАБИЛИТАЦИОННО-ПРОФИЛАКТИЧЕСКИМ ПРОГРАММАМ (4 апреля 2013) г. Киев БЕЛЯКОВА ИННА БОРИСОВНА (Торез - Киев, Украина) ПРИЗЫ И БЛАГОДАРНОСТИ: 2009 г. - номинация Приз зрительских симпатий, Мастерство и Профессионализм, Лучший массаж с использованием натуральних средств,...»

«Tlge vene keelde ЕВРОАКАДЕМИЯ Факультет бизнес менеджмента 1. Название учебной Экономика и управление бизнесом программы 2. Название учебной Economy and Business Administration программы на английском языке 3. Уровень высшего Магистерская программа образования 4. Форма (формы) Обучение с полной нагрузкой; обучение с частичной нагрузкой обучения 5. Учебное заведение Евроакадемия 6. Объем учебной 120 ЕАР программы (в европейских зачетных баллах) 7. Номинальный срок 2 года обучения 8....»






 
2014 www.av.disus.ru - «Бесплатная электронная библиотека - Авторефераты, Диссертации, Монографии, Программы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.