Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
КСЗИ.doc
Скачиваний:
5
Добавлен:
13.09.2019
Размер:
649.73 Кб
Скачать

16. Пиб в стандарте гост р исо/мэк 17799-2005 «ит. Практические правила управления иб»

3.1 Политика информационной безопасности.

3.1.1 Документальное оформление

Как минимум, политика должна включать следующие пункты:

а) определение ИБ, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации

б) изложение целей и принципов ИБ, сформулированных руководством;

в) краткое изложение наиболее существенных для организации частных политик безопасности, принципов, правил и требований, например:

  1. Соответствие законодательным требованиям и договорным обязательствам.

  2. Требования в отношении обучения вопросам безопасности;

  3. Предотвращение появления и обнаружение вирусов и другого вредоносного ПО,

  4. Управление непрерывностью бизнеса

  5. Ответственность за нарушения политики безопасности,

г) определение общих и конкретных обязанностей сотрудников в рамках управления ИБ, включая информирование об инцидентах нарушения ИБ,

д) ссылки на документы, дополняющие ПИБ, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи,

Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме

3.1.2 Пересмотр и оценка

Периодические пересмотры должны осуществляться в соответствии с установленным графиком и включать

  • проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности,

  • определение стоимости мероприятий по управлению информационной безопасностью и их влия­ние на эффективность бизнеса,

  • оценку влияния изменений в технологиях.

17. Основы стандарта гост р исо/мэк 15408-2002 «Общие критерии оценки безопасности ит»

Все стандарты носят рекомендательный характер.

Данный стандарт состоит из трех частей:

  1. Введение и общая модель

  2. Функциональные требования безопасности

  3. Требование доверия к безопасности

Все функциональные требования в данном стандарте разбиты на 11 классов, каждый класс имеет свою аббревиатуру:

  1. FAU – аудит безопасности

  2. FCO – коммуникации, связь (отправление получение)

  3. FCS - криптография

  4. FDP – защита данных пользователя

  5. FIA - идентификация и аутентификация

  6. FMT – управление безопасностью

  7. FPR – сокрытие данных

  8. FPT – приватность, защита ситем

  9. FRU – использование ресурсов

  10. FTA – доступ к объекту оценки

  11. FTP доверенные пути/каналы

Каждый класс делится на семейства.

Семейства FAU:

  1. FAU_ARP – автоматическая реакция аудита ИБ

  2. FAU_GEN – генерирование данных аудита ИБ

  3. FAU_SAA – анализ аудита (для АС)

  4. FAU_SAR – обзор аудита ИБ (для персонала)

  5. FAU_SEL – выбор событий аудита ИБ

  6. FAU_STG –хранение событий аудита ИБ

Требования доверия. 10 классов:

  1. APE – оценка профиля защиты

  2. ASE – оценка объекта оценки

  3. ACM – управление конфигурацией

  4. ADO –поставка и эксплуатация (требования к поставке)

  5. ADV – разработка

  6. AGD – руководства (требования к руководству администратора и пользователя)

  7. ALC – поддержка жизненного цикла

  8. ATE – тестирование (подтверждение выполнения требований)

  9. AVA – оценка уязвимостей

  10. AMA – поддержка доверия

Объекты оценки: аппаратные, программные средства, инф.технологии, СЗИ.

Профиль защиты – не зависимая от реализации совокупность требований безопасности для некоторой категории изделий ИТ, отвечающая специфическим запросам потребителя: профиль защиты межсетевого экрана.

Задание по безопасности – совокупность требований безопасности и спецификации, предназначенная для использования в качестве основы для оценки безопасности конкретного изделия ИТ.

В рамках создания набора метод.док., реализующих требования стандарта «Общие критерии» ФСТЭК России разработаны руководства по разработке профилей защиты и заданий по безопасности.

Структура профиля защиты:

1. Введение профиля защиты

1.1. Идентификация ПЗ – идентифицируется сам объект, на который нацелен профиль защиты

1.2. Аннотация ПЗ – инф-я в форме, наиболее подходящей для включения в каталоги и реестры профилей защиты

2. Описание объекта оценки.

3. Среда безопасности объекта оценки.

3.1. Предположения безопасности

3.2. Угрозы

3.3. Политика безопасности организации

4. Цели безопасности.

4.1. Цели безопасности для объекта оценки

4.2. Цели безопасности для среды

5. Требования безопасности ИТ

5.1. Функциональные требования безопасности объекта оценки

5.2. Требования доверия к безопасности объекта оценки

5.3. Требования безопасности для среды ИТ

6. Замечания по применению.

7. Обоснование.

7.1. Логическое обоснование целей безопасности

7.2. Логическое обоснование требований безопасности