- •Предесловие:
- •Вопросы гавна.
- •? Этапы выполнения окр, краткая их характеристика.
- •? Разделы технического задания на окр, краткая их характеристика.
- •Содержание задания по безопасности.
- •Оценка достаточности контрмер.
- •Взаимосвязь параметров безопасности.
- •Методы обеспечения безопасности при использовании информационных технологий.
- •Критерии оценки безопасности информационных технологий.
- •Функции государственного заказчика окр.
- •Функции головного исполнителя окр.
- •Функции исполнителя составной части окр.
- •Функции изготовителя опытного образца изделия.
- •Функции нио заказчика.
- •Группы опытно-конструкторских работ.
- •Требования к выполнению окр.
- •Содержание технического предложения.
- •Содержание эскизного проекта.
- •Содержание пояснительной записки эскизного проекта.
- •Содержание технического проекта.
- •Перечень работ, выполняемых при разработке технического проекта.
- •Содержание пояснительной записки технического проекта.
- •Содержание рабочей документации опытного образца.
- •Содержание этапа изготовления опытного образца.
- •Содержание этапа предварительных испытаний опытного образца.
- •Содержание этапа приемочных испытаний.
- •Состав рабочей документации.
- •Силы обеспечения безопасности значимых объектов кии.
- •Требования к силам и средствам обеспечения безопасности значимых объектов кии.
- •Требования к организационно-распорядительным документам по безопасности значимых объектов кии.
- •Требования к организации работ по обеспечению безопасности значимых объектов кии.
- •Требования к обеспечению безопасности в ходе создания, эксплуатации и вывода из эксплуатации значимых объектов кии.
- •Установление требований к обеспечению безопасности значимых объектов кии.
- •Разработка организационных и технических мер по обеспечению безопасности значимого объекта кии.
- •Анализ угроз безопасности информации.
- •Проектирование подсистемы безопасности значимого объекта кии.
- •Внедрение организационных и технических мер по обеспечению безопасности значимого объекта кии и ввод его в действие.
- •Способы выявления уязвимостей при проведении анализа угроз безопасности информации.
- •? Анализ угроз безопасности информации.
- •Способы обеспечения безопасности значимого объекта в ходе его эксплуатации.
- •Способы обеспечения безопасности значимого объекта при выводе его из эксплуатации.
- •Требования к организационным и техническим мерам, принимаемым для обеспечения безопасности значимых объектов.
- •Назначение профилей защиты для продуктов и систем информационных технологий.
- •Содержание профилей защиты для продуктов и систем информационных технологий.
- •Порядок разработки профилей защиты и заданий по безопасности.
- •Порядок выбора мер защиты информации.
- •Классы защищенности информационной системы.
- •Определение угроз безопасности информации в информационной системе.
- •Выбор мер защиты информации.
- •Определение базового набора мер защиты информации, его адаптация и уточнение.
- •Применение компенсирующих мер защиты информации.
- •Содержание, правила выбора и реализации мер защиты информации.
- •Причины возникновения ГосСопка и её назначение.
- •Системы обнаружения атак основанные на технологии ids.
- •Ids, основанные на аномалиях
- •Ids на основе правил
- •Различия типов технологий ids.
- •Принцип работы технологии ids.
- •Систем обнаружения вторжений основанные на технологии ips.
- •Структура системы ГосСопка.
- •Ведомственные и корпоративные сегменты ГосСопка.
- •Порядок взаимодействия главного центра ГосСопка и ведомственного сегмента ГосСопка. Порядок обработки сообщений от главного центра ГосСопка и ведомственного сегмента ГосСопка
- •Порядок предоставления сведений главному центру ГосСопка
- •Обязанности владельца объекта кии по взаимодействию с ГосСопка.
- •Подключение субъекта кии к инфраструктуре ГосСопка.
Содержание профилей защиты для продуктов и систем информационных технологий.
Профиль защиты содержит взаимосвязанную информацию, имеющую отношение к безопасности ИТ, в том числе: а) формулировку потребности в безопасности, соответствующую проблеме безопасности и выраженную в терминах, ориентированных на пользователей ИТ; б) описание проблемы безопасности, уточняющее формулировку потребности в безопасности с учетом порождаемых средой угроз безопасности информации, которым нужно противостоять, политики безопасности организации, которая должна выполняться, и сделанных предположений; в) цели безопасности ОО, основанные на описании проблемы безопасности и предоставляющие информацию относительно того, как и в какой мере должны быть удовлетворены потребности в безопасности. Предназначение целей безопасности заключается в том, чтобы снизить риск реализации угроз безопасности информации и обеспечить поддержание политики безопасности организации, в интересах которой ведется разработка ПЗ;
г) функциональные требования безопасности и требования доверия к безопасности, которые направлены на решение проблемы безопасности в соответствии с описанием проблемы безопасности и целями безопасности для ОО. Функциональные требования безопасности выражают то, что должно выполняться ОО для удовлетворения целей безопасности. Требования доверия к безопасности определяют степень уверенности в правильности реализации функций безопасности ОО; д) обоснование, показывающее, что функциональные требования и требования доверия к безопасности являются соответствующими для удовлетворения сформулированной потребности в безопасности. Посредством целей безопасности должно быть показано, что необходимо сделать для решения проблемы безопасности. Функциональные требования безопасности должны удовлетворять целям безопасности.
Порядок разработки профилей защиты и заданий по безопасности.
Разработка ПЗ или ЗБ осуществляется в следующей последовательности (например, для случая разработки ЗБ): а) первоначальное определение проблемы безопасности; б) идентификация целей безопасности, направленных на решение проблемы безопасности; в) формирование требований безопасности, направленных на удовлетворение целей безопасности для ОО; г) выбор конкретных функциональных возможностей безопасности, направленных на выполнение требований безопасности. В общем случае процесс разработки ПЗ и ЗБ чаще всего носит итеративный характер. Например, формирование требований безопасности может способствовать корректировке целей безопасности или даже проблемы безопасности. Может потребоваться целый ряд итераций для наиболее полного учета взаимосвязей между угрозами, ПБОр, целями и требованиями безопасности, а также функциями безопасности, в частности при формировании обоснований. При этом только когда все проблемы формирования обоснований решены, процесс разработки ПЗ или ЗБ можно считать завершенным.
Процесс разработки ПЗ или ЗБ может также включать в себя внесение изменений в документ при появлении новой информации в рамках проблемы безопасности, чтобы отразить изменения условий применения, например: а) идентификацию новых угроз; б) изменение политики безопасности организации; в) изменения в распределении задач по обеспечению безопасности информации, возлагаемой соответственно на ОО и среду ОО, связанные со стоимостными и временными ограничениями; г) корректировку проблемы безопасности для ОО вследствие изменения предполагаемого потенциала нападения нарушителя. Также возможно (в особенности для случая, когда объектом оценки является уже существующий продукт ИТ), что разработчики ПЗ или ЗБ имеют четкое представление относительно функциональных возможностей безопасности, которые предоставляет ОО (даже если эти требования еще не были выражены в стиле функциональных требований безопасности по ГОСТ Р ИСО/МЭК 15408). В таких случаях на определение проблемы безопасности и целей безопасности будут влиять сведения о том, каким образом ОО решает проблему безопасности. Процесс разработки ПЗ или ЗБ в таком случае будет в некоторой степени «восходящим».