Обеспечение информационной
безопасности, разделы
Определения, цели, основные положения
Угрозы
Построение систем защиты информации
Стандартизация в области ИБ
Управление ИБ
Здесь и далее используется терминология документов
Государственной Технической Комиссии при Президенте Российской
Федерации, которая является основным государственным органом в
России, курирующем вопросы защиты информации. Руководящие
документы, Положения и Постановления Гостехкомиссии России формируют большую часть отечественной нормативной базы в области защиты информации. C 08.2004 название ГТК изменено на Федеральная служба по техническому и экспортному контролю (ФСТЭК), подчинена МО РФ. http://www.fstec.ru/ 1 (с) 2002-2008 ВГУ, ФКН, ИС, Коваль А.С.
03.01. Определения Информация в теории компьютерной безопасности определяется как сведения в некоторой предметной области, необходимые для оптимизации принимаемых решений. (в отличии от вероятностного подхода к определению информации Шеннона, здесь учитывается полезность сведений, и.т.п. свойства) Автоматизированная система обработки информации (АС) – организационно-техническая система, совокупность взаимосвязанных компонентов: технических средств, программного обеспечения, информации и персонала.
Угроза – это потенциальная возможность ущерба ресурсу, как со стороны злоумышленника, так и со стороны различных катастроф: пожаров, наводнений, землетрясений.
Информационная безопасность АС – совокупность условий работоспособного состояния АС, при котором АС способна противостоять внутренним и внешним угрозам, а ее функционирование не создает угроз для АС и внешней среды.
(с) 2002-2008 ВГУ, ФКН, ИС, Коваль А.С.
03.01. Свойства информации и АС Из конфиденциальности (англ. confidential:
доверительный, «по секрету») информации следует необходимость введения ограничений на доступ Целостность – существование информации в неискаженном виде Доступность – своевременный и беспрепятственный доступ Безопасность обеспечена, если поддерживаются необходимые уровни К, Ц и Д.
(с) 2002-2008 ВГУ, ФКН, ИС, Коваль А.С.
03.01. Цель создания системы защиты информации Организации создают системы защиты информации, чтобы защитить свои ресурсы от угроз.
Ресурсы включают: производственные секреты, служебную переписку, базы данных клиентов, информацию о транзакциях и т.д.
Угроза – это потенциальная возможность ущерба ресурсу, как со стороны злоумышленника, так и со стороны различных катастроф: пожаров, наводнений, землетрясений.
(с) 2002-2008 ВГУ, ФКН, ИС, Коваль А.С.
03.01. Классификация атак STRIDE Spoofing identity (направлена на нарушение конфиденциальности данных) Tampering with data (модификация данных, атаки MITM – нарушение целостности) Repudiation (любая недоказуемая впоследствии атака) Information disclosure (раскрытие – угроза конфиденциальности) Denial of service ( DoS и DDoS атаки, отказ в обслуживании) Elevation of privilege (непривилегированный пользователь получает права более высокого уровня, обычно через уязвимость/ошибки системы. Может быть направлена на любую часть триады CIA) 03.01. Анализ угроз, классификация ГТК/ФСТЭК По природе возникновения Искусственные (вызванные деятельностью По степени преднамеренности Преднамеренные действия, хищение информации 03.01. Анализ угроз, классификация ГТК/ФСТЭК По непосредственному источнику Санкционированные программно-аппаратные средства (некомпетентное использование) Несанкционированные программно-аппаратные 03.01. Анализ угроз, классификация ГТК/ФСТЭК По положению источника угроз (подслушивающие устройства, отключение Источник расположен в АС (некорректное 03.01. Анализ угроз, классификация ГТК/ФСТЭК По степени воздействия на АС По этапам доступа к ресурсам АС По способу доступа к ресурсам АС По текущему месту расположения информации 03.01. Основные виды угроз для АС Нарушение конфиденциальности Нарушение целостности Прим. В англоязычных источниках – т.н.
триада CIA (Confidentiality, Integrity, Availability) Угроза раскрытия параметров АС 03.01. Методы реализации угроз и принципы обеспечения информационной безопасности Угрозы и методы обеспечения защиты реализуются на разных Уровень носителей информации Уровень средств взаимодействия с Уровень представления информации Уровень содержания информации 03.01. Методы реализации угроз безопасности Уровень досУгроза отказа тупа к ин- Угроза раскрытия Угроза нарушения Угроза нарушения служб (отказа досформации в параметров систе- конфиденциальнос ти целостнос ти тупа к информаАС мы Определение типа и Хи щение (копирование) Уничтожение машин- Выведение из строя Носителей параметров носите- носителей информации. ных носителей инфор- машинных носитеинформации мации о программ- Совершение пользова- лем несанкциониро- Проявление ошибок но-аппаратной среде. телем несанкциониро- ванных изменений в проектирования и Получение детальной ванных действий. Не- программы и данные. разработки провзаимодейинформации о функ- санкционированное ко- Установка и использо- граммно-аппаратных 03.01. Виды, каналы утечки информации Виды утечки И по ГОСТ 50922- акустический (виброакустический )канал;
03.01. Распределение утечек по типам 03.01. Основные каналы утечек, полугодие 2008 года 03.01. Топ-10 утечек, связанных с кражей различных носителей 03.01. Уровни квалификации атакующих и характерные причины атак Низкий уровень Опасны тем, что не представляют всех последствий Средний уровень Желание заявить о себе в своем сообществе Мщение уволенных/отстраненных сотрудников Часто атакуют известные ресурсы для получения наибольшей огласки, обсуждают свои атаки в форумах Высокий уровень Шпионаж, терроризм, получение вознаграждения Методы часто включают введение в заблуждение пользователей и администраторов (social engineering), составление тактических планов атаки 03.01. Принципы обеспечения ИБ в АС Системности Комплексности комплексное использование разнородных средств Непрерывности защиты Разумной достаточности затраты, риск и размер возможного ущерба согласованы Гибкости управления и применения возможность варьировать уровень защиты Открытости алгоритмов и механизмов защиты знание алгоритмов не должно давать преимущества Простоты применения минимальные затраты при внедрении и использовании 03.01. Методология построения систем защиты информации в АС Идентификация угроз Анализ рисков (создание плана УР) Разработка подсистем безопасности для различных угроз Разработка ответных мер для возможных нарушений ИБ 03.01. Разработка систем безопасности Разработка систем безопасности использует концепцию управления рисками, чтобы определить соответствующее риску противодействие.
Данные, собранные в ходе определения адекватных противодействий, с точки зрения управления рисками, также полезны для аргументации важности информационной защиты и затрат на обеспечение безопасности.
03.01. Концепции систем безопасности «Глубокая» (многоуровневая) защита – определяет использование совместных технологических и организационных мер на нескольких уровнях противодействия угрозам «Минимальных привилегий»
«Минимальной поверхности атаки»
03.01. Фазы решения проблем ИБ системы Планирование:
команда, угрозы (STRIDE sections/life-cycle), план Создание:
политики и процедуры (создание и внедрение), тренинг администраторов и пользователей, внедрение мер противодействия угрозам Управление:
мониторинг и управление безопасностью (обнаружение вторжений и реагирование), каждодневное управление, оптимизация политик и 03.01. План управления рисками, стадии Идентификация Для каждой угрозы – RS (возможно несколько для каждого RS: условия возникновения, последствия, оценка урона:
количественно (100-бальная шкала PxI, годовые потери, и т.п.), Планирование УР 4 стратегии: принять, уменьшить, передать, избежать.
Должен быть назначен ответственный за каждый риск.
Разработка методов отслеживания изменений рисков Измерение частоты появления, успеха противодействия.
Меры по управлению Когда и как изменять план УР, актуализировать его.
03.01. Политики безопасности Политика безопасности – документ (заверенный руководством организации) в котором сформулированы основные принципы обеспечения ИБ организации Типы политик безопасности (по основному средству обеспечения):
Административная (например, «соглашение о неразглашении») Техническая (правила сетевых экранов, шаблоны безопасности) Физическая (камеры видеонаблюдения, замки) Процедуры безопасности определяют как именно выполнять те или иные действия, касающиеся политики безопасности.
В организации должны быть не только разработаны политики безопасности, но и также разработаны и опубликованы простые и ясные процедуры соответствующие политике.
В узком смысле, термин «политика безопасности» часто используется по отношению к системам управления доступом:
Политика безопасности включает:
множество возможных операций над объектами для каждой пары субъект-объект множество разрешенных операций, являющееся подмножеством всего множества Типы политик безопасности (в части управления доступом):
Дискреционная (дискретная, Discretionary Access Control -DAC) Мандатная (полномочная, Mandatory Access Control MAC) 03.01. Объекты и субъекты моделей администрирования Понятия объектов и субъектов моделей администрирования и реальных систем эквиваленты соответствующим понятиям теории информационной безопасности (ИБ).
Под объектами моделей понимают данные и функции информационной системы.
Субъекты – это активные компоненты модели – процессы системы часто ассоциированные с пользователями информационной системы.
Задачами администрирования в области обеспечения ИБ, относительно субъектов (С) и объектов (О), являются ранжирование С и О по уровням и контроль за обеспечением соответствия уровня объекта уровню субъекта.
24.09. Пример политики безопасности Информация является ценным ресурсом для деятельности Компании и обеспечение информационной безопасности является обязанностью каждого сотрудника.
Настоящая политика определяет основные принципы защиты информационных ресурсов Компании от угроз нарушения конфиденциальности, целостности и доступности.
Доступ к информационным ресурсам предоставляется только в объеме, необходимом для выполнения сотрудниками своих должностных обязанностей.
При построении эффективной системы управления информационной безопасностью Компания руководствуется международными стандартами ISO 17799 и ISO 27001.
Для обеспечения эффективной защиты информации ежегодно проводится комплексный аудит информационной безопасности, включающий в себя аудит системы управления информационной безопасностью и тестирование на возможность несанкционированного проникновения.
Политики информационной безопасности утверждаются президентом Компании.
Все руководители отвечают за выполнение политик информационной безопасности в подчиненных им подразделениях.
Все сотрудники Компании, текущие и бывшие, выполняют требования политик информационной безопасности.
Департамент информационной безопасности осуществляет разработку и внедрение технических и организационных мер для минимизации рисков информационной безопасности.
Департамент внутреннего аудита проводит регулярный аудит эффективности исполнения политик, стандартов и процедур информационной безопасности.
Для обеспечения непрерывности бизнеса Компании должен быть разработан и поддерживаться в актуальном состоянии план непрерывности бизнеса.
Сотрудники Компании проходят ежегодное обучение в области обеспечения информационной безопасности.
03.01. Стандартизация в области ИБ 03.01. Руководящие документы ГТК, Концепция защиты средств вычислительной техники от НСДкИ.
Защита от несанкционированного доступа к информации (НСДкИ). Термины и определения.
Средства вычислительной техники. Защита от НСДкИ. Показатели защищенности от НСДкИ.
Автоматизированные системы (АС). Защита от НСДкИ. Классификация АС и требования по защите информации.
Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и средствах вычислительной техники.
03.01. Развитие нормативной базы, 1997-1999 гг.
СВТ. Межсетевые экраны. Защита от НСД. Показатели защищенности от НСД к информации. 03.01. Новые нормативные документы по ГОСТ Р ИСО/МЭК 15408-2002 (т.н. «Общие критерии») для продуктов и систем информационных технологий, предназначенных для обработки информации, отнесенной к Безопасность информационных технологий. Критерии оценки безопасности информационных технологий Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности Безопасность информационных технологий. Руководство по регистрации профилей защиты Безопасность информационных технологий. Руководство по формированию семейств профилей защиты Руководство по разработке профилей защиты и заданий по 03.01. Структура Системы сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссия России (федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации).
С 08.2004 ФСТЕК http://www.fstec.ru/ ;
органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;
испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной заявители - изготовители, продавцы или потребители продукции 03.01. Перечень объектов информатизации, подлежащих аттестации в Системе сертификации средств защиты информации по требованиям безопасности информации Автоматизированные системы различного уровня и назначения.
Системы связи, приема, обработки и Помещения, предназначенные для ведения конфиденциальных 03.01. Способы НСД и принципы защиты от информации (по документам ГТК) НСД – доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств СВТ и АС Способы НСД (по ГТК):
непосредственное обращения к объектам;
внедрение программных или технических средств НСД.
Принципы защиты информации (по ГТК):
защита основывается на положениях и требованиях существующих защита СВТ обеспечивается комплексом программно-технических средств защита АС обеспечивается КПТС и организационными мерами защита обеспечивается во всех режимах и на всех этапах КПТС защиты не должен существенно ухудшать основные характеристики неотъемлемая часть работ по защите СВТ – оценка ее эффективности 03.01. Классы защищенности СВТ (ГТК) физический носитель информации Примечания: "-"- нет требований к данному классу;"+"- новые или дополнительные требования; "="- требования совпад ают с требованиями к СВ Т предыдущ его класса.
03.01. Классы защищенности АС (ГТК) Три группы классов защищенности:
1 группа – многопользовательские, с разными правами доступа, одновременная обработка Всего – 9 классов защищенности АС:
03.01. Классы защищенности АС (ГТК) Подсистемы защиты и требования к ним 1. Подсистема управления доступом 1.1. Идентификация. Проверка подлинности и контроль доступа субъектов:
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ к томам, каталогам, файлам, записям, полям записей Примечание: "+"- требование к данному классу присутствует, в остальных случаях данное требование необязательно.
03.01. Классы защищенности АС (ГТК) 2. Подсистема регистрации и учета входа/выхода субъектов доступа в/из системы (узла запуска/завершения программ и процессов (заданий, доступа программ субъектов к защищаемым файлам, доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, каталогам, файлам, записям, полям записей изменения полномочий субъектов доступа 2.3. Очистка (обнуление, обезличивание) Примечание: "+"- требование к данному классу присутствует, в остальных случаях данное требование необязательно.
03.01. Классы защищенности АС (ГТК) 3. Криптографическая подсистема 3.1. Шифрование конфиденциальной доступа (группам субъектов) на разных ключах 3.3. Использование аттестованных 4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации 4.3. Наличие администратора (службы) 4.5. Наличие средств восстановления СЗИ 4.6. Использование сертифицированных Примечание: "+"- требование к данному классу присутствует, в остальных случаях данное требование необязательно.
03.01. 03.01. МЭ – набор фильтров 03.01. Классы защищенности МЭ (ГТК) Выделяется пять показателей защищенности:
1. Управление доступом 2. Идентификация и аутентификация 3. Регистрация событий и оповещение 4. Контроль целостности 5. Восстановление работоспособности Определяется следующие пять классов защищенности МЭ:
Простейшие фильтрующие маршрутизаторы - 5 класс Пакетные фильтры сетевого уровня - 4 класс Простейшие МЭ прикладного уровня - 3 класс МЭ базового уровня - 2 класс Продвинутые МЭ - 1 класс 03.01. Trusted Computer System Evaluation Criteria - TCSEC,DoD- Trusted Computer System Evaluation Criteria. US Department of Defense, CSC-STD-001-83, Aug. Trusted network Interpretation. National Computer Security Center, July Trusted DBMS Interpretation. National Computer Security Center, April The Interpreted TCSEC Requirements, Jan 03.01. Критерии TCSEC Три категории требований Контроль функционирования средств защиты 03.01. Классы защищенности TSEC Базовые требования "Оранжевой книги" Примечания. "-"- нет требований к данному классу; "+"- новые или дополнительные требования; "="-требования совпадают с требованиями к СВТ предыдущего класса 03.01. Европейские критерии безопасности. ITSEC, Information Technology Security Evaluation Criteria. Harmonized Criteria of France-Germany-Netherlands-United Kingdom. – Department of Trade and Industry, London, Target of Evaluation (аналог Trusted 03.01. Применение критериев ранжирования к F требованиям Функциональное требование Обеспечение прямого взаимодействия с компьютерной системой Контроль над распределением ресурсов Инициализация и восстановление компьютерной системы Ограничение привилегий при работе с компьютерной системой Простота использования компьютерной системы * Знак «*» указывает на какие свойства АС влияет реализация того или иного защитного механизма Federal Criteria for Information Technology Security – компонент Federal Information Processing Standard Разработан National Security Agency совместно с National Institute of Standards and Technologies (США,1992 ) 03.01. Развитие стандартов Federal Criteria for Information Technology Security (как составляющая Federal Information Processing Standard) США, Common Criteria for Information Technology Security Evaluation, США/ Канада/Нидерланды/Великобритания/Фран ция/Германия,1998.
ГОСТ Р ИСО/МЭК 15408-1,2,3- «Общие критерии оценки безопасности ИТ» (перевод ISO 15408). Вводится в действие с 1.01. 03.01. Common Criteria for Information Technology Security Evaluation (ISO/IEC 15408) Стандарт Common Criteria (“Общие Критерии …”) разрабатывался с целью облегчить заказчикам поиск продуктов, удовлетворяющих их требованиям.
представляет собой систему строгих независимых критериев безопасности (т. н. «профилей для оценки информационных продуктов устанавливает гарантированные уровни соответствия (Evaluations Assurance Levels, EAL) или оценочные уровни доверия - ОУД.
в CC главное внимание уделено защите от НСД. Модификации или потери доступа к информации в результате случайных или преднамеренных действий информационной безопасности остались Пример сертификации по «Общим критериям» - семейство систем Microsoft Windows семейства систем Windows 2000 отвечают высшему уровню доверия для серийно выпускаемых Сертификат выдан на три года по правилам ГТК.
Шкала оценок подразумевает всего 7 уровней доверия, выше 4-го – особые требования Был использован профиль защиты CAPP (Controlled access protection profile) «CAPP обеспечивает уровень защиты, подходящий в предположениях о невраждебном и хорошо управляемом сообществе пользователей, требующем защиты от неумышленных или случайных попыток нарушить безопасность системы.»
Основные принципы ОК состоят в том, что следует сформулировать угрозы безопасности и положения политики безопасности организации, а достаточность предложенных мер безопасности должна быть продемонстрирована. Более того, следует предпринять меры по уменьшению вероятности наличия уязвимостей, возможности их проявления (т.е.
преднамеренного использования или непреднамеренной активизации), а также степени ущерба, который может явиться следствием проявления уязвимостей. Дополнительно следует предпринять меры для облегчения последующей идентификации уязвимостей, а также по их устранению, ослаблению и/или оповещению об их использовании или активизации [3].
03.01. Common Criteria for Information Technology Security Evaluation (ISO/IEC 15408) Первая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат и определяются принципы формализации предметной области.
Требования к функциональности средств защиты приводятся во второй части «Общих критериев» и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.
Третья часть «Общих критериев» содержит класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации определенных типов уязвимостей 03.01. Новые нормативные документы, базирующиеся на ГОСТ Р ИСО/МЭК 15408- для продуктов и систем информационных технологий, предназначенных для обработки информации, отнесенной к Безопасность информационных технологий. Критерии оценки безопасности информационных технологий Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности Безопасность информационных технологий. Руководство по регистрации профилей защиты Безопасность информационных технологий. Руководство по формированию семейств профилей защиты Руководство по разработке профилей защиты и заданий по 03.01. Термины и определения нормативных документов, базирующихся на ГОСТ Р ИСО/МЭК 15408- Базовая стойкость функции безопасности: Уровень стойкости функции безопасности ОО, на котором функция предоставляет адекватную защиту от случайного нарушения безопасности ОО нарушителями с низким потенциалом Безопасность ИТ: Характеристика защищенности информации и изделий ИТ от воздействия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способности изделий ИТ выполнять предусмотренные функции без нанесения неприемлемого ущерба.
Высокая стойкость функции безопасности: Уровень стойкости функции безопасности ОО, на котором функция предоставляет адекватную защиту от тщательно спланированного и организованного нарушения безопасности ОО нарушителями с высоким потенциалом нападения.
Информационная технология: Приемы, способы и методы применения технических и программных средств при выполнении функций обработки Изделие ИТ: Обобщенный термин для продуктов и систем ИТ.
Продукт ИТ: Совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы ИТ.
Система ИТ: Специфическое воплощение изделия ИТ с конкретным назначением и условиями эксплуатации.
03.01. Термины и определения нормативных документов, базирующихся на ГОСТ Р ИСО/МЭК 15408- Объект оценки: Подлежащие оценке продукт или система ИТ с руководствами администратора и пользователя.
Профиль защиты: Независимая от реализации совокупность требований безопасности для некоторой категории изделий ИТ, отвечающая специфическим запросам потребителя.
Семейство профилей защиты: Совокупность упорядоченных взаимосвязанных ПЗ, которые относятся к определенному типу изделий ИТ.
Функция безопасности: Функциональные возможности части или частей изделия ИТ, обеспечивающие выполнение подмножества взаимосвязанных требований безопасности.
Средняя стойкость функции безопасности: Уровень стойкости функции безопасности ОО, на котором функция предоставляет адекватную защиту от прямого или умышленного нарушения безопасности ОО нарушителями с умеренным потенциалом нападения.
Стойкость функции безопасности: Характеристика функции безопасности ОО, выражающая минимальные усилия, предположительно необходимые для нарушения ее ожидаемого безопасного поведения при прямой атаке на лежащие в ее основе механизмы безопасности.
Пакет доверия: Предназначенная для многократного использования совокупность компонентов доверия для удовлетворения совокупности определенных целей безопасности. Примером ПД является оценочный уровень доверия.
Функциональный пакет: Предназначенная для многократного использования совокупность функциональных компонентов, объединенных для удовлетворения совокупности определенных целей безопасности.
03.01. Требования AVA (по анализу уязвимостей средств и механизмов защиты) методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:
Наличие побочных каналов утечки информации;
Ошибки в конфигурации, либо неправильное использование системы, приводящее к переходу системы Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции Наличие уязвимостей в средствах защиты информации, позволяющих пользователям получать НСД к информации в обход существующих механизмов защиты.
03.01. Требования гарантированности оценки уязвимостей Семейство AVA_CCA: Covert Channel Analysis (Анализ каналов утечки информации) Семейство AVA_MSU: Misuse (Ошибки в конфигурации, либо неправильное использование системы, приводящее к переходу системы в небезопасное состояние) Семейство AVA_SOF: Strength of TOE Security Functions (Стойкость функций безопасности, обеспечиваемая их реализацией) Семейство AVA_VLA: Vulnerability Analysis (Анализ уязвимостей) 03.01. PDCA (Plan – Do – Check – Act) У ISO существует мощная методологическая основа в области планирования, внедрения, мониторинга и поддержки систем ИБ, непрерывная последовательность которой базируется на т.н. «Цикле Деминга». В стандартах ISO принято использовать для обозначения этого цикла аббревиатуру PDCA (Plan – Do – Check – Act, Планирование – Внедрение – Мониторинг – Поддержка/улучшение) – модель Организации Экономического Сотрудничества и Развития (OECD). Т.о. используется процессный итеративный подход.
03.01. Управление ИБ ISO находится в процессе реорганизации стандартов по ИБ: во-первых они объединяются в серию ISO27000, во-вторых сама серия «гармонизируется»
с другими стандартами управления – ISO9001, ISO14000.
В настоящее время, серия 27000 включает в себя следующие важные стандарты:
1. Стандарт ISO27001 (основан на британском BS7799-2, есть российский перевод ГОСТ27001:2005) - определяет требования к системе управления ИБ (ISMS, Information Security Management System) по ее определению, внедрению, работе, мониторингу, поддержки и улучшению.
2. Стандарт ISO27002 (основан на британском BS7799-1, есть российский перевод ГОСТ17799:2005) – определяет правила и средства управления.
3. Проект ISO27003 (выход в 2009г.) – руководство по внедрению ISMS.
4. Проект ISO27004 – определяет метрики и измерения эффективности 5. Проект ISO27005 (основан на BS7799-3 и ISO13335) – посвящен управлению рисками (УР).
6. Стандарт ISO27007 – руководство по аудиту ISMS.
03.01. Фазы управления рисками стандарта ISO 03.01. Модель управления рисками ISO 03.01. Международный стандарт ISO/IEC ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) содержит:
Основные понятия и определения информационной безопасности Политика информационной безопасности компании Организация информационной безопасности на предприятии Классификация и управление корпоративными информационными Кадровый менеджмент и информационная безопасность Администрирование безопасности корпоративных информационных Требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения Управление бизнес-процессами компании с точки зрения информационной безопасности Внутренний аудит информационной безопасности компании 03.01. 10 правил ISO 17799 по управлению информационной безопасностью ISO/IEC 17799:2000: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) Классификация ресурсов и их контроль Администрирование компьютерных систем и Разработка и сопровождение информационных систем Планирование бесперебойной работы организации Контроль выполнения требований политики безопасности 03.01. 10 ключевых средств контроля ISO документ о политике информационной безопасности;
распределение обязанностей по обеспечению информационной безопасности;
обучение и подготовка персонала к поддержанию режима информационной безопасности;
уведомление о случаях нарушения защиты;
средства защиты от вирусов;
планирование бесперебойной работы организации;
контроль над копированием программного обеспечения, защищенного законом об авторском праве;
защита документации организации;
контроль соответствия политике безопасности 03.01. Сетевая политика, документы 03.01. Cisco Self-Defending Network 03.01. Уязвимости ОС и ПО Команды быстрого реагирования CERT(tm) - первая computer security incident response team RU-CERT - это CSIRT (Computer Security Incident Response Team) РФ. Cоздан РосНИИРОС, является официальным CSIRT сервисом для пользователей опорной сети RBNET. С 2002 года RU-CERT является полным членом (full member) FIRST (Forum of Incident Common Vulnerabilities & Exposures(CVE) Bugtraq, bugtraq.ru (публикация сообщений об уязвимостях ПО различных фирм-разработчиков) 03.01. Ссылки Девянин П.Н. и др. Теоретические основы компьютерной безопасности: Учебное пособие для вузов. - М.: Радио и связь, 2000. - 192 с.
Федеральная служба по техническому и экспортному контролю (ФСТЭК), http://www.fstec.ru/ Консалтинговая группа «ЛЕКС», http://www.osnovi-bezopasnost.ru/ Марков А., Цирлов В. Управление рисками — нормативный вакуум информационной безопасности http://www.osp.ru/os/2007/08/4492873/ L:\Лекции\4 курс\ИБИС => GOST-17799-2005.pdf 03.01.