- •1. Понятие информационной безопасности
- •2. Важность и сложность проблемы информационной безопасности
- •3. Основные составляющие информационной безопасности
- •4. Категории информационной безопасности
- •5. Требования к политике безопасности в рамках iso
- •6. Общие сведения о стандартах серии iso 27000
- •Разработчики международных стандартов
- •Русские переводы международных стандартов
- •7. Iso 15408 - Общие критерии оценки безопасности информационных технологий
- •8. Iso 18028 - Международные стандарты сетевой безопасности серии
- •Iso/iec 18028-1:2006 Информационные технологии. Методы обеспечения безопасности. Сетевая ит безопасность. Управление сетевой безопасностью.
- •Iso/iec 18028-5:2006 Информационные технологии. Методы обеспечения безопасности. Защита сетевых взаимодействий при помощи Виртуальных Частных Сетей
- •9. Российские стандарты гост
- •10. Модель сетевого взаимодействия
- •11. Модель безопасности информационной системы
- •12. Классификация криптоалгоритмов
- •13. Алгоритмы симметричного шифрования
- •14. Криптоанализ
- •Дифференциальный и линейный криптоанализ
- •15. Используемые критерии при разработке алгоритмов
- •16. Сеть Фейштеля
- •17. Алгоритм des Принципы разработки
- •Проблемы des
- •18. Алгоритм idea
- •Принципы разработки
- •Криптографическая стойкость
- •21. Создание случайных чисел
- •22. Требования к случайным числам
- •Случайность
- •Непредсказуемость
- •Источники случайных чисел
- •Генераторы псевдослучайных чисел
- •Криптографически созданные случайные числа
- •Циклическое шифрование
- •Режим Output Feedback des
- •Генератор псевдослучайных чисел ansi x9.17
- •23. Разработка Advanced Encryption Standard (aes) Обзор процесса разработки aes
- •Обзор финалистов
- •Критерий оценки
- •Запасной алгоритм
- •Общая безопасность
- •25. Основные способы использования алгоритмов с открытым ключом
- •Алгоритм rsa
- •27. Алгоритм обмена ключа Диффи-Хеллмана
- •28. Транспортное кодирование
- •29. Архивация
- •Требования к хэш-функциям
- •31. Цифровая подпись Требования к цифровой подписи
- •Прямая и арбитражная цифровые подписи
- •32. Симметричное шифрование, арбитр видит сообщение:
- •33. Симметричное шифрование, арбитр не видит сообщение:
- •34. Шифрование открытым ключом, арбитр не видит сообщение:
- •35. Стандарт цифровой подписи dss
- •Подход dss
- •36. Отечественный стандарт цифровой подписи гост 3410
- •37. Алгоритмы распределения ключей с использованием третьей доверенной стороны Понятие мастер-ключа
- •38. Протоколы аутентификации
- •Взаимная аутентификация
- •39. Элементы проектирования защиты сетевого периметра.
- •40. Брандмауэр и маршрутизатор.
- •41. Брандмауэр и виртуальная частная сеть.
- •42. Многоуровневые брандмауэры.
- •43. Прокси-брандмауэры.
- •44.Типы прокси.
- •46.Недостатки прокси-брандмауэров.
- •48. Виртуальные локальные сети.
- •49. Границы виртуальных локальных сетей.
- •50. Частные виртуальные локальные сети.
- •51. Виртуальные частные сети.
- •52. Основы построения виртуальной частной сети.
- •53. Основы методологии виртуальных частных сетей.
- •54. Туннелирование.
- •55. Защита хоста.
- •56. Компьютерные вирусы
- •Структура и классификация компьютерных вирусов
- •2.3.3. Механизмы вирусной атаки
- •58. Протокол ррр рар
- •59. Протокол ррр chap
- •60. Протокол ррр еар
- •68. Виртуального удаленного доступа
- •69. Сервис Директории и Служб Имен
- •70. По и информационная безопасность
- •71. Комплексная система безопасности. Классификация информационных объектов
6. Общие сведения о стандартах серии iso 27000
Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.
Разработчики международных стандартов
ISO (Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, являющиеся членами ISO или IEC, участвуют в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности. Технические комитеты ISO и IEC сотрудничают в областях взаимных интересов. Другие международные организации, правительственные и не правительственные, совместно с ISO и IEC также принимают участие в этой работе. В области информационных технологий, ISO и IEC организован совместный технический комитет, ISO/IEC JTC 1. Основной задачей совместного технического комитета является подготовка Международных Стандартов. Проекты Международных Стандартов принятые совместным техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. Международные Стандарты проектируются в соответствии с правилами, установленными Директивами ISO/IEC, Часть 2.
Русские переводы международных стандартов
Перевод международных стандартов управления информационной безопасностью на русский язык и их распространение на территории РФ и стран СНГ осуществляется компаний GlobalTrust - официальным дистрибутором Британского Института Стандартов (BSI) на основании лицензии BSI.
7. Iso 15408 - Общие критерии оценки безопасности информационных технологий
В 1999 г. Международная Организация по Стандартизации (ISO) приняла международный стандарт ISO 15408 под названием Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation или сокращенно - Common Criteria). Внушительных размеров тома Common Criteria содержат обобщенное формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности на протяжении десятилетий.
В Common Criteria наиболее полно представлены критерии для оценки механизмов безопасности программно-технического уровня . Общие критерии определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).
При проведении работ по анализу защищенности АС (СВТ) “Общие критерии” используются в качестве основный критериев, позволяющих оценить уровень защищенности АС (СВТ) с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.
Хотя применимость “Общих критериев” ограничивается механизмами безопасности программно-технического уровня, в нем содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.
Требования к функциональности средств защиты приводятся во второй части “Общих критериев” и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.
В ходе формирования такой области знаний, как компьютерная безопасность, разрабатывались и совершенствовались критерии оценки безопасности. Точность, полнота и понятность этих критериев возрастала по мере того, как уточнялись концепции, формулировались основные принципы компьютерной безопасности, вводились новые понятия и уяснялся смысл старых.
К настоящему времени во многих странах мира разработаны критерии оценки безопасности автоматизированных систем. Еще в начале 80-х в США были разработаны Критерии Оценки Защищенности Компьютерных Систем (TCSEC или Оранжевая книга). В Европе такие критерии (ITSEC) был опубликованы в 1991 году Европейской Комиссией, в состав которой входили представители Франции, Германии, Нидерландов и Великобритании. Затем в Канаде в 1993 году были опубликованы Канадские Критерии Оценки Защищенности Компьютерных Продуктов (CTCPEC), являющиеся дальнейшим развитием и объединением Европейского и Американского подходов. В том же году в США выходит проект Федеральных Критериев Оценки Безопасности ИТ (FC), реализующего второй подход к объединению Северо-Американской и Европейской концепций оценки безопасности. В нашей стране в 1992 году Гостехкомиссией также был разработан РД концептуально схожий с Оранжевой книгой.
Отсутствие международного стандарта в области оценки безопасности не позволяет специалистам по сертификации компьютерных приложений одной страны использовать результаты оценок полученные специалистами другой страны. Поэтому следующим этапом развития этого научно-технического направления, после принятия соответствующих национальных стандартов, должна была закономерно стать разработка международного стандарта для критерия оценки безопасности автоматизированных систем.
ISO начала разработку такого международного стандарта еще в 1990 году. Затем, авторы Канадского (CTCPEC), Европейского (ITSEC) и Американских (FC и TCSEC) критериев в 1993 году объединили свои усилия и начали разработку проекта единых критериев. Целью проекта является устранение концептуальных и технических различий между существующими критериями и предоставление полученных результатов ISO в качестве вклада в разработку международного стандарта.
В результате международного сотрудничества была разработана первая версия Единых критериев оценки безопасности ИТ (а к настоящему времени разработана и передана в ISO их вторая версия). Первая версия этого документа была опубликована в Интернет с целью ее изучения международным сообществом и проведения пробных оценок. Опыт проведения пробных оценок и полученные комментарии предполагается использовать для разработки следующих версий “Единых критериев”. Наряду с “Едиными критериями” был также опубликован ряд других документов, таких как Общая Методика Оценки Безопасности ИТ, Руководство по Проведению Сертификации и Аккредитации Компьютерной безопасности, профили защиты для межсетевых экранов и коммерческих систем. Не имеет особого смысла сравнивать особенности нового и старого подходов к оценке безопасности, т. к. новый подход является дальнейшим развитием предметной области. В настоящее время можно говорить о создании единого языка для формулирования утверждений относительно безопасности автоматизированных систем (требований, угроз и целей защиты) и частичной формализации этой предметной области. Применение содержащихся в этих документах концепций позволит повысить эффективность проводимых оценок и качество получаемых результатов. Это также позволит использовать опыт, накопленный в этой области мировым сообществом.
Единые критерии представляют собой набор из пяти отдельных взаимосвязанных частей. К ним относятся:
Введение и общая модель
Функциональные требования безопасности
Требования к надежности защитных механизмов
Предопределенные профили защиты
Процедуры регистрации профилей защиты
Предопределенные профили защиты содержат примеры профилей защиты, представляющие функциональные требования и требования к надежности, определенные в исходных критериях, включая ITSEC, CTCPEC, FC и TCSEC, а также требования не представленные в этих критериях. Четвертая часть "Единых критериев" является реестром профилей защиты, которые прошли процедуру регистрации. Этот реестр будет со временем пополнять по мере регистрации новых профилей защиты в соответствии с процедурой регистрации, описанной в пятой части "Единых критериев". Новые профили защиты будут разрабатываться группами пользователей и поставщиками компьютерных приложений и оцениваться независимыми экспертами в соответствии с требованиями, выраженными в "Единых критериях". Примерами существующих профилей защиты служат разработанные NIST профиль защиты межсетевых экранов (US Goverment Firewall Protection Profile) и профиль защиты коммерческих систем (Commercial Systems 2), соответствующих уровню защищенности класса С2 Оранжевой книги.
Изучение существующих критериев оценки безопасности АС позволяет сделать следующие выводы:
Для того, чтобы результаты сертификационных испытаний можно было сравнивать между собой, они должны проводиться в рамках надежной схемы, устанавливаемой соответствующими стандартами в этой области и позволяющей контролировать качество оценки безопасности.
В настоящее время в некоторых странах существуют такие схемы, но они базируются на различных критериях оценки. Однако, эти критерии имеют между собой много общего, т. к. используют сходные концепции, что позволяет осуществлять их сравнения. "Единые критерии" поддерживают совместимость с уже существующими. Это позволяет использовать имеющиеся результаты и методики оценок.
Единые критерии определяют общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно безопасности АС. Это позволяет экспертам, проводящим оценку, использовать уже накопленный в этой области опыт.
Требования, содержащиеся в "Единых критериях", могут также использоваться при выборе подходящих средств обеспечения безопасности АС. Потенциальные пользователи АС, опираясь на результаты сертификации, могут определить удовлетворяет ли данный программный продукт или система их требованиям безопасности.
Кроме этого, "Единые критерии" улучшают существующие критерии, вводя новые концепции и уточняя содержание имеющихся.