Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Государственные (национальные) стандарты РФ




Шпорка по ИБ

 

Понятие информационной безопасности. Основные составляющие.

Информационная безопасность (ИБ) – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.

Защита информации – комплекс мероприятий, направленных на обеспечение информационной безопасности.

Основные составляющие ИБ:

– доступность;

– целостность;

– конфиденциальность.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу.

Целостность – актуальность и непротиворечивость информации, её защищенность от несанкционированного изменения и разрушения.

Конфиденциальность – защита от несанкционированного доступа к информации.

 

Классификация угроз. Примеры.

Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность.

Попытка реализации угрозы называется атакой.

Тот, кто предпринимает данную атаку – злоумышленником.

Потенциальные злоумышленники - источники угроз.

Промежуток времени от момента, когда появляется возможность проведения атаки, до момента, когда данная уязвимость устранена, называется окно опасности.

Критерии характеристики угроз:

- по аспекту информационной безопасности (доступности, целостности, конфиденциальности)

- по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура)

- по способу осуществления (случайные/преднамеренные действия природного/техногенного характера)

- по расположению источника угроз (внутри/вне рассматриваемой информационной системы)

Основные виды угроз:

- Взлом

- Вывод компьютерной системы из строя в целях снижения её работоспособности

- Превышение полномочий непривилегированных пользователей

- Отказ от авторства и транзакций

- Уничтожение и изменение информации

 

Нормативно-правовая база информационной безопасности в РФ.

По вопросам безопасности информационных систем общего пользования

1. Постановление Правительства Российской Федерации от 18 мая 2009 г. № 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям».

2. Приказ Министерства связи и массовых коммуникаций РФ от 25 августа 2009 г. N 104 "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования"

3. Приказ ФСБ РФ и ФСТЭК РФ от 31.08.2010 № 416/489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования"

4. Приказ Министерства экономического развития Российской Федерации от 16.11.2009 № 470 "О требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти".

5. Постановление Правительства Самарской области от 13.08.2010 № 380 "Об обеспечении доступа к информации о деятельности Правительства Самарской области и органов исполнительной власти Самарской области, размещаемой в сети интернет.

По вопросам электронной цифровой подписи

1. Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи».

2. Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».

3. Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».

Сопутствующие нормативные правовые акты по безопасности информации

1. Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».

2. Федеральный закон РФ от 29 июля 2004 г № 98-ФЗ «О коммерческой тайне».

3. Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи».

4. Постановление Правительства Российской Федерации от 21 ноября 2011 г. № 957 «Об организации лицензирования отдельных видов деятельности»

5. Постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

 

Стандарты информационной безопасности в РФ.

Международные стандарты

· BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ

· BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.

· BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности

· ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.

· ISO/IEC 27000 — Словарь и определения.

· ISO/IEC 27001:2005 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005.

· ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005. «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Дата выхода — 2007 год.

· ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.

· German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

· ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.

· Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.

· ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.

· ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

· ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

· ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

· ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

· ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.

· ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005.

· ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005.

· ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...