Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский университет «Высшая школа экономики»
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Lektsia_5.doc
Скачиваний:
3
Добавлен:
21.09.2019
Размер:
158.72 Кб
Скачать
►Содержание►

Часть 3

СТАНДАРТЫ В ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

3.1. Общие сведения

В общем случае стандартом принято называть доку­мент, в котором в целях добровольного многократного использования устанавливаются характеристики продук­ции, правила осуществления и характеристики процес­сов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказа­ния услуг. Стандарт может задавать и другие требова­ния — например, к символике или терминологии.

Формальной причиной необходимости использования стандартов является тот факт, что необходимость следо­вания некоторым из них закреплена законодательно. Реальные причины гораздо глубже — обычно стандарт является результатом формализации опыта лучших спе­циалистов в той или иной области, потому представляет собой надежный источник оптимальных и проверенных решений. Стандарты являются также одним из основных механизмов обеспечения совместимости продуктов и сис­тем — в частности, АС, использующих решения от раз­личных производителей.

Остановимся на стандартах в области информацион­ной безопасности [25]. Их общепринятая классификация с примерами приведена на рисунке 3.1.

Перечислим основные стандарты в области информа­ционной безопасности, имеющие в настоящее время офи­циальный статус в Российской Федерации:

Рис. 3.1. Классификация стандартов в области информационной безопасности

  • Руководящие документы (РД) Гостехкомиссии России действуют и активно используются при про­ведении сертификации средств защиты информации в системах сертификации ФСТЭК России, Миноборо­ны России, а также в ряде добровольных систем сер­тификации.

- Стандарт ГОСТ Р ИСО/МЭК 15408-2002, более изве­стный как «Общие критерии», действует и приме­няется при проведении сертификации средств защи­ты, не предназначенных для работы с информацией, составляющей государственную тайну. В перспективе предполагается отказ от РД Гостехкомиссии России и полноценный переход к «Общим критериям» как еди­ному оценочному стандарту.

  • Криптографические стандарты (ГОСТ 28147-89, ГОСТ 3410-2001, ГОСТ 3411-94) являются обязательными для применения в системах защиты информации, позиционируемых как средства криптографиче­ской защиты.

Управленческие стандарты ISO 17799-2005 и ISO 27001-2005 в настоящее время не имеют в РФ офици­ального статуса, однако планируются к принятию в качестве ГОСТ в ближайшее время Все остальные спецификации носят сугубо доброволь­ный характер, однако активно используются при постро­ении реальных систем, в первую очередь — в целях обес­печения их взаимной совместимости.

3.2. «Оранжевая книга»

Стандарт «Критерии оценки доверенных компью­терных систем» /Trusted Computer System Evaluation Criteria/, более известный как «Оранжевая книга» [26], был разработан Министерством Обороны США в 1983 г. и стал первым в истории общедоступным оценочным стан­дартом в области информационной безопасности.

Требования «Оранжевой книги» имеют следующую структуру:

1. Политика безопасности

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности