- •Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
- •Основные причины обострения проблемы обеспечения безопасности информационных технологий
- •Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
- •Особенности современных автоматизированных систем как объектов защиты
- •Основные понятия в области безопасности информационных технологий Что такое безопасность информационных технологий
- •Информация и информационные отношения
- •Субъекты информационных отношений, их безопасность
- •Цель защиты автоматизированной системы и циркулирующей в ней информации
- •Угрозы безопасности информационных технологий Уязвимость основных структурно-функциональных элементов распределённых автоматизированных систем
- •Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Классификация каналов проникновения в автоматизированную систему и утечки информации
- •Неформальная модель нарушителя
- •Виды мер и основные принципы обеспечения безопасности информационных технологий Виды мер противодействия угрозам безопасности
- •Достоинства и недостатки различных видов мер защиты
- •Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
- •Правовые основы обеспечения безопасности информационных технологий Введение
- •Защищаемая информация
- •Лицензирование
- •Сертификация средств защиты и аттестация объектов информатизации
- •Новое поколение нормативно-технических документов (гост р исо/мэк 15408-2008)
- •Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
- •Специальные требования и рекомендации по технической защите конфиденциальной информации
- •Юридическая значимость электронных документов с электронной подписью
- •Ответственность за нарушения в сфере защиты информации
- •Государственная система защиты информации Введение
- •Государственная система защиты информации
- •Организация защиты информации в системах и средствах информатизации и связи
- •Контроль состояния защиты информации
- •Финансирование мероприятий по защите информации
- •Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем
- •Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированной системы
- •Регистрация и оперативное оповещение о событиях безопасности
- •Криптографические методы защиты информации
- •Контроль целостности программных и информационных ресурсов
- •Обнаружение атак
- •Защита периметра компьютерных сетей
- •Управление механизмами защиты
- •Страхование информационных рисков
- •Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
- •Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала автоматизированной системы
- •Политика безопасности организации
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Распределение функций по обеспечению безопасности информационных технологий
- •Система организационно-распорядительных документов по обеспечению безопасности информационных технологий
- •Документы , регламентирующие правила парольной и антивирусной защиты Инструкция по организации парольной защиты
- •Инструкция по организации антивирусной защиты
- •Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
- •Обеспечение и контроль физической целостности и неизменности конфигурации аппаратно-программных средств автоматизированной системы
- •Регламентация процессов обслуживания и осуществления модификации аппаратных и программных средств автоматизированной системы
- •Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
- •Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
- •Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
- •Назначение, возможности, и основные защитные механизмы межсетевых экранов Введение
- •Мэ - основные сведения
- •Классификация мэ
- •Варианты расположения мэ
- •Политика безопасности и мэ
- •Недостатки мэ
- •Что такое «HoneyNet»?
Часть 1 РД определяет виды требований безопасности (функциональные и требования доверия), основные конструкции представления требований безопасности (профиль защиты, задание по безопасности) и содержит основные методические положения по оценке безопасности ИТ.
Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
Часть 3 РД содержит систематизированный каталог требований доверия к безопасности и оценочные уровни доверия, определяющие меры, которые должны быть приняты на всех этапах жизненного цикла продуктов или систем ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.
Требования безопасности, содержащиеся в настоящем руководящем документе, могут уточняться и дополняться по мере совершенствования правовой и нормативной базы, развития информационных технологий и совершенствования методов обеспечения безопасности.
В соответствии с концепцией ОК, требования к безопасности объекта оценки разделяются на две категории:
функциональные требования;
требования гарантированности.
В функциональных требованиях описаны те функции объекта оценки, которые обеспечивают безопасность ИТ. Имеются в виду требования идентификации, установления подлинности (аутентификации) пользователей, протоколирования и др.
Требования гарантированности отражают качества объекта оценки, дающие основание для уверенности в том, что необходимые меры безопасности объекта эффективны и корректно реализованы. Оценка гарантированности получается на основе изучения назначения, структуры и функционирования объекта оценки. Требования гарантированности включают требования к организации процесса разработки, а также требования поиска, анализа и воздействия на потенциально уязвимые с точки зрения безопасности места.
В РД функциональные требования и требования гарантированности представлены в едином стиле.
Термин «класс» используется для наиболее общей группировки требований безопасности.
Члены класса названы семействами. В семейства группируются наборы требований, которые обеспечивают выполнение определённой части целей безопасности и могут отличаться по степени жёсткости.
Члены семейства называются компонентами. Компонент описывает минимальный набор требований безопасности для включения в структуры, определённые в РД.
Компоненты построены из элементов. Элемент — самый нижний, неделимый уровень требований безопасности.
Организация требований безопасности в РД по иерархии класс - семейство - компонент - элемент помогает определить нужные компоненты после идентификации угроз безопасности объекта оценки.
Между компонентами могут существовать зависимости. Они возникают, когда компонент недостаточен для выполнения цели безопасности и необходимо наличие другого компонента. Зависимости могут существовать как между функциональными компонентами, так и компонентами гарантированности.
Назначение позволяет заполнить спецификацию идентифицированного параметра при использовании компонента. Параметр может быть признаком или правилом, которое конкретизирует требование к определённой величине или диапазону величин. Например, элемент функционального компонента может требовать, чтобы данное действие выполнялось неоднократно. В этом случае назначение обеспечивает число или диапазон чисел, которые должны использоваться в параметре.
Выбор - это выбор одного или большего количества пунктов из списка с целью конкретизации возможностей элемента.
Обработка позволяет включить дополнительные детали в элемент и предполагает интерпретацию требования, правила, константы или условия, основанную на цепях безопасности. Обработка должна только ограничить набор возможных приемлемых функций или механизмов, чтобы осуществить требования, но не увеличивать их. Обработка не позволяет создавать новые требования или удалять существующие и не влияет на список зависимостей, связанных с компонентом.
РД определяют также набор структур, которые объединяют компоненты требований безопасности.
Промежуточная комбинация компонентов названа пакетом. Пакет включает набор требований, которые обеспечивают выполнение многократно используемого поднабора целей безопасности.
Уровни гарантированности оценки - это предопределённые пакеты требований гарантированности.
Одной из основных структур РД является «Профиль защиты» (ПЗ), определённый как набор требований, который состоит только из компонентов или пакетов функциональных требований и одного из уровней гарантированности. ПЗ специфицирует совокупность требований, которые являются необходимыми и достаточными для достижения поставленных целей безопасности.
Требования Профиля защиты могут быть конкретизированы и дополнены в другой структуре РД - «Задании по безопасности» (ЗБ). ЗБ содержит набор требований, которые могут быть представлены одним из ПЗ или сформулированы в явном виде. ЗБ определяет набор требований для конкретного объекта оценки. Оно включает также спецификацию объекта оценки в виде функций безопасности (ФБ), которые должны обеспечить выполнение требований безопасности и мер гарантированности оценки.
Результатом оценки безопасности должен бьггь общий вывод, в котором описана степень соответствия объекта оценки функциональным требованиям и требованиям гарантированности.