- •1. Сущность и задачи ксзи
- •2. Необходимость и принципы создания ксзи
- •3. Организация архитектурного построения ксзи
- •4. Специфические функции и задачи ксзи
- •5. Методы формирования функций защиты
- •6. Функции управления ксзи
- •7. Планирование как элемент управления ксзи
- •8. Классификация задач зи
- •9. Система управления иб (в соответствие с гост р 27001-2005)
- •Система управления предприятия
- •Этапы создания суиб
- •1. Принятие решения о создании суиб
- •2. Подготовка к созданию суиб
- •3. Анализ рисков
- •4. Разработка политик и процедур суиб
- •5. Внедрение суиб в эксплуатацию
- •10. Управление рисками как основной вид управления в суиб
- •Реализация плана обработки рисков
- •11. Разработка политик и процедур суиб
- •Внедрение суиб в эксплуатацию
- •Подготовка к сертификационному аудиту
- •12. Классификация субъектов и объектов доступа к зи
- •13. Понятие и структура Концепции и Политики безопасности
- •14. Основные этапы разработки пиб
- •Разработка политики иб в соответствии в международными стандартами
- •6) Сертификация суиб на соответствие требованиям нормативных документов (стрелка от него) Документы, сопровождающие процедуру сертификации.
- •15. Содержание основных разделов пиб
- •16. Пиб в стандарте гост р исо/мэк 17799-2005 «ит. Практические правила управления иб»
- •17. Основы стандарта гост р исо/мэк 15408-2002 «Общие критерии оценки безопасности ит»
- •Назначение профиля защиты
- •18. Основы стандарта cobit
- •Описание структуры.
- •Принципы аудита.
- •19. Основы экономической эффективности ксзи
- •Методика расчета ущерба
- •20. Библиотека itil и ее роль в обеспечении иб
16. Пиб в стандарте гост р исо/мэк 17799-2005 «ит. Практические правила управления иб»
3.1 Политика информационной безопасности.
3.1.1 Документальное оформление
Как минимум, политика должна включать следующие пункты:
а) определение ИБ, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации
б) изложение целей и принципов ИБ, сформулированных руководством;
в) краткое изложение наиболее существенных для организации частных политик безопасности, принципов, правил и требований, например:
Соответствие законодательным требованиям и договорным обязательствам.
Требования в отношении обучения вопросам безопасности;
Предотвращение появления и обнаружение вирусов и другого вредоносного ПО,
Управление непрерывностью бизнеса
Ответственность за нарушения политики безопасности,
г) определение общих и конкретных обязанностей сотрудников в рамках управления ИБ, включая информирование об инцидентах нарушения ИБ,
д) ссылки на документы, дополняющие ПИБ, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи,
Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме
3.1.2 Пересмотр и оценка
Периодические пересмотры должны осуществляться в соответствии с установленным графиком и включать
проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности,
определение стоимости мероприятий по управлению информационной безопасностью и их влияние на эффективность бизнеса,
оценку влияния изменений в технологиях.
17. Основы стандарта гост р исо/мэк 15408-2002 «Общие критерии оценки безопасности ит»
Все стандарты носят рекомендательный характер.
Данный стандарт состоит из трех частей:
Введение и общая модель
Функциональные требования безопасности
Требование доверия к безопасности
Все функциональные требования в данном стандарте разбиты на 11 классов, каждый класс имеет свою аббревиатуру:
FAU – аудит безопасности
FCO – коммуникации, связь (отправление получение)
FCS - криптография
FDP – защита данных пользователя
FIA - идентификация и аутентификация
FMT – управление безопасностью
FPR – сокрытие данных
FPT – приватность, защита ситем
FRU – использование ресурсов
FTA – доступ к объекту оценки
FTP доверенные пути/каналы
Каждый класс делится на семейства.
Семейства FAU:
FAU_ARP – автоматическая реакция аудита ИБ
FAU_GEN – генерирование данных аудита ИБ
FAU_SAA – анализ аудита (для АС)
FAU_SAR – обзор аудита ИБ (для персонала)
FAU_SEL – выбор событий аудита ИБ
FAU_STG –хранение событий аудита ИБ
Требования доверия. 10 классов:
APE – оценка профиля защиты
ASE – оценка объекта оценки
ACM – управление конфигурацией
ADO –поставка и эксплуатация (требования к поставке)
ADV – разработка
AGD – руководства (требования к руководству администратора и пользователя)
ALC – поддержка жизненного цикла
ATE – тестирование (подтверждение выполнения требований)
AVA – оценка уязвимостей
AMA – поддержка доверия
Объекты оценки: аппаратные, программные средства, инф.технологии, СЗИ.
Профиль защиты – не зависимая от реализации совокупность требований безопасности для некоторой категории изделий ИТ, отвечающая специфическим запросам потребителя: профиль защиты межсетевого экрана.
Задание по безопасности – совокупность требований безопасности и спецификации, предназначенная для использования в качестве основы для оценки безопасности конкретного изделия ИТ.
В рамках создания набора метод.док., реализующих требования стандарта «Общие критерии» ФСТЭК России разработаны руководства по разработке профилей защиты и заданий по безопасности.
Структура профиля защиты:
1. Введение профиля защиты
1.1. Идентификация ПЗ – идентифицируется сам объект, на который нацелен профиль защиты
1.2. Аннотация ПЗ – инф-я в форме, наиболее подходящей для включения в каталоги и реестры профилей защиты
2. Описание объекта оценки.
3. Среда безопасности объекта оценки.
3.1. Предположения безопасности
3.2. Угрозы
3.3. Политика безопасности организации
4. Цели безопасности.
4.1. Цели безопасности для объекта оценки
4.2. Цели безопасности для среды
5. Требования безопасности ИТ
5.1. Функциональные требования безопасности объекта оценки
5.2. Требования доверия к безопасности объекта оценки
5.3. Требования безопасности для среды ИТ
6. Замечания по применению.
7. Обоснование.
7.1. Логическое обоснование целей безопасности
7.2. Логическое обоснование требований безопасности