- •1. Понятие информационной безопасности
- •2. Важность и сложность проблемы информационной безопасности
- •3. Основные составляющие информационной безопасности
- •4. Категории информационной безопасности
- •5. Требования к политике безопасности в рамках iso
- •6. Общие сведения о стандартах серии iso 27000
- •Разработчики международных стандартов
- •Русские переводы международных стандартов
- •7. Iso 15408 - Общие критерии оценки безопасности информационных технологий
- •8. Iso 18028 - Международные стандарты сетевой безопасности серии
- •Iso/iec 18028-1:2006 Информационные технологии. Методы обеспечения безопасности. Сетевая ит безопасность. Управление сетевой безопасностью.
- •Iso/iec 18028-5:2006 Информационные технологии. Методы обеспечения безопасности. Защита сетевых взаимодействий при помощи Виртуальных Частных Сетей
- •9. Российские стандарты гост
- •10. Модель сетевого взаимодействия
- •11. Модель безопасности информационной системы
- •12. Классификация криптоалгоритмов
- •13. Алгоритмы симметричного шифрования
- •14. Криптоанализ
- •Дифференциальный и линейный криптоанализ
- •15. Используемые критерии при разработке алгоритмов
- •16. Сеть Фейштеля
- •17. Алгоритм des Принципы разработки
- •Проблемы des
- •18. Алгоритм idea
- •Принципы разработки
- •Криптографическая стойкость
- •21. Создание случайных чисел
- •22. Требования к случайным числам
- •Случайность
- •Непредсказуемость
- •Источники случайных чисел
- •Генераторы псевдослучайных чисел
- •Криптографически созданные случайные числа
- •Циклическое шифрование
- •Режим Output Feedback des
- •Генератор псевдослучайных чисел ansi x9.17
- •23. Разработка Advanced Encryption Standard (aes) Обзор процесса разработки aes
- •Обзор финалистов
- •Критерий оценки
- •Запасной алгоритм
- •Общая безопасность
- •25. Основные способы использования алгоритмов с открытым ключом
- •Алгоритм rsa
- •27. Алгоритм обмена ключа Диффи-Хеллмана
- •28. Транспортное кодирование
- •29. Архивация
- •Требования к хэш-функциям
- •31. Цифровая подпись Требования к цифровой подписи
- •Прямая и арбитражная цифровые подписи
- •32. Симметричное шифрование, арбитр видит сообщение:
- •33. Симметричное шифрование, арбитр не видит сообщение:
- •34. Шифрование открытым ключом, арбитр не видит сообщение:
- •35. Стандарт цифровой подписи dss
- •Подход dss
- •36. Отечественный стандарт цифровой подписи гост 3410
- •37. Алгоритмы распределения ключей с использованием третьей доверенной стороны Понятие мастер-ключа
- •38. Протоколы аутентификации
- •Взаимная аутентификация
- •39. Элементы проектирования защиты сетевого периметра.
- •40. Брандмауэр и маршрутизатор.
- •41. Брандмауэр и виртуальная частная сеть.
- •42. Многоуровневые брандмауэры.
- •43. Прокси-брандмауэры.
- •44.Типы прокси.
- •46.Недостатки прокси-брандмауэров.
- •48. Виртуальные локальные сети.
- •49. Границы виртуальных локальных сетей.
- •50. Частные виртуальные локальные сети.
- •51. Виртуальные частные сети.
- •52. Основы построения виртуальной частной сети.
- •53. Основы методологии виртуальных частных сетей.
- •54. Туннелирование.
- •55. Защита хоста.
- •56. Компьютерные вирусы
- •Структура и классификация компьютерных вирусов
- •2.3.3. Механизмы вирусной атаки
- •58. Протокол ррр рар
- •59. Протокол ррр chap
- •60. Протокол ррр еар
- •68. Виртуального удаленного доступа
- •69. Сервис Директории и Служб Имен
- •70. По и информационная безопасность
- •71. Комплексная система безопасности. Классификация информационных объектов
8. Iso 18028 - Международные стандарты сетевой безопасности серии
Iso/iec 18028-1:2006 Информационные технологии. Методы обеспечения безопасности. Сетевая ит безопасность. Управление сетевой безопасностью.
Этот стандарт содержит руководство по созданию сетей и организации взаимодействия с учетом аспектов безопасности при соединении сетей между собой и при получении удаленного доступа к сети. Руководство включает идентификацию и анализ факторов связанных с сетевыми взаимодействиями, которые следует принимать во внимание при определении требований к сетевой безопасности, идентификация необходимых областей контроля при подключении к сетям и обзор возможных областей контроля, включая проектирование и внедрение, которые подробно рассматриваются в частях 2 - 5 BS ISO/IEC 18028.
Готовится к опубликованию...
Iso/iec 18028-5:2006 Информационные технологии. Методы обеспечения безопасности. Защита сетевых взаимодействий при помощи Виртуальных Частных Сетей
Этот стандарт содержит подробные указания по использованию VPN при межсетевых взаимодействиях, а также для подключения удаленных пользователей. Он основан на принципах сетевого управления, описанных в первой части BS ISO/IEC 18028. Этот стандарт предназначен для специалистов, отвечающих за выбор и внедрение технических средств обеспечения сетевой безопасности при помощи технологий VPN и последующий мониторинг VPN сети.
Готовится к опубликованию...
9. Российские стандарты гост
Система государственных и отраслевых стандартов (ГОСТ и ОСТ) существует со времён Советского Союза. После распада СССР в России развивается своя система стандартов, направленная, в том числе, на соответствие вновь разрабатываемых стандартов международным рекомендациям.
В настоящее время все вопросы, связанные со стандартизацией в Российской Федерации, регулируются Федеральным законом "О техническом регулировании".
Статья 11 Закона определяет цели стандартизации:
повышение уровня безопасности жизни или здоровья граждан, имущества, экологической безопасности, безопасности жизни или здоровья животных и растений;
повышение уровня безопасности объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера;
обеспечение научно-технического прогресса;
повышение конкурентоспособности продукции, работ, услуг;
рациональное использование ресурсов;
техническая и информационная совместимость;
сопоставимость результатов исследований (испытаний) и измерений, технических и экономико-статистических данных;
взаимозаменяемость продукции.
Статья 13 Закона определяет виды документов в области стандартизации, к ним отнесены:
национальные стандарты;
правила стандартизации, нормы и рекомендации в области стандартизации;
применяемые в установленном порядке классификации, общероссийские классификаторы технико-экономической и социальной информации;
стандарты организаций.
Статья 14 Закона определяет статус национального органа Российской Федерации по стандартизации и технических комитетов по стандартизации. В соответствии с данной статьей на указанный орган возложено выполнение следующих задач:
утверждение национальных стандартов;
принятие программы разработки национальных стандартов;
организация экспертизы проектов национальных стандартов;
обеспечение соответствия национальной системы стандартизации интересам национальной экономики, состоянию материально-технической базы и научно-техническому прогрессу;
осуществление учета национальных стандартов, правил стандартизации, норм и рекомендаций в этой области и обеспечение их доступности заинтересованным лицам;
создание технических комитетов по стандартизации и координация их деятельности;
организация опубликования национальных стандартов и их распространения;
участие в соответствии с уставами международных организаций в разработке международных стандартов и обеспечение учета интересов Российской Федерации при их принятии;
утверждение изображения знака соответствия национальным стандартам;
представительство Российской Федерации в международных организациях, осуществляющих деятельность в области стандартизации.
Орган, уполномоченный на исполнение функций национального органа по стандартизации, определяет Правительство Российской Федерации.
Ранее Постановлением Правительства РФ от 2 июня 2003 г. № 316 органом, уполномоченным исполнять функции национального органа по стандартизации, был определен Государственный комитет РФ по стандартизации и метрологии (Госстандарт РФ).
В настоящее время в соответствии с Указом Президента РФ от 9 марта 2004 г. № 314 Государственный комитет Российской Федерации по стандартизации и метрологии преобразован в Федеральную службу по техническому регулированию и метрологии, а его функции по принятию нормативных правовых актов в установленной сфере деятельности переданы Министерству промышленности и энергетики Российской Федерации. Затем Указом Президента РФ от 20 мая 2004 г. № 649 Федеральная служба по техническому регулированию и метрологии была преобразована в Федеральное агентство по техническому регулированию и метрологии (ФАТРиМ), подведомственное Министерству промышленности и энергетики Российской Федерации.
В соответствии с постановлениями Правительства РФ от 16 июня 2004 г. № 284 и от 17 июня 2004 г. № 294 функции федерального органа по техническому регулированию и национального органа по стандартизации осуществляет Федеральное агентство по техническому регулированию и метрологии. Этим же Постановлением (№ 284) утверждено Положение о Федеральном агентстве.
В соответствии с Положением ФАТРиМ, в частности:
Организует экспертизу проектов национальных стандартов.
Осуществляет:
опубликование в установленном порядке уведомлений о разработке и завершении публичного обсуждения проектов технических регламентов, а также заключений экспертных комиссий по техническому регулированию на проекты технических регламентов;
опубликование уведомлений о разработке, завершении публичного обсуждения и утверждении национального стандарта, перечня национальных стандартов, которые могут на добровольной основе применяться для соблюдения требований технических регламентов, официальное опубликование национальных стандартов и общероссийских классификаторов технико-экономической и социальной информации и их распространение;
создание технических комитетов по стандартизации и координацию их деятельности;
утверждение национальных стандартов;
учет национальных стандартов, правил стандартизации, норм и рекомендаций в этой области и обеспечение их доступности заинтересованным лицам;
введение в действие общероссийских классификаторов технико-экономической и социальной информации;
Ведение:
федерального информационного фонда технических регламентов и стандартов;
единой информационной системы по техническому регулированию;
перечня продукции, подлежащей обязательному подтверждению соответствия;
единого реестра выданных сертификатов;
государственного реестра аккредитованных организаций, осуществляющих деятельность по оценке соответствия продукции, производственных процессов и услуг установленным требованиям качества и безопасности, а также деятельность по обеспечению единства измерений;
единого реестра зарегистрированных систем добровольной сертификации;
федерального каталога продукции для государственных нужд;
государственного кадастра гражданского и военного оружия и патронов к нему;
общероссийских классификаторов технико-экономической и социальной информации.
Официальным изданием ФАТРиМ является "Вестник технического регулирования", зарегистрированный под номером ПИ № 77-16464 от 22 сентября 2003 г. Издание и распространение (посредством розничной продажи, по подписке через подписные агентства, а также по редакционной подписке) этого журнала и приложений к нему осуществляет КВФ "Интерстандарт".
Переход на новую систему стандартизации в связи с принятием Закона "О техническом регулировании" осуществляется поэтапно с использованием ранее созданной нормативной базы в этой области.
Так, постановлением Госстандарта РФ от 30 января 2004 г. № 4 определено, что национальными стандартами Российской Федерации признаются государственные и межгосударственные стандарты, принятые Госстандартом России до 1 июля 2003 года.
Однако до вступления в силу соответствующих технических регламентов требования к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, установленные указанными национальными стандартами, подлежат обязательному исполнению только в части, соответствующей целям:
защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;
охраны окружающей среды, жизни или здоровья животных и растений;
предупреждения действий, вводящих в заблуждение приобретателей.
В целях упорядочивания информации о стандартизации в России принят ряд классификаторов. Среди них к защите информации имеют отношение:
1. ОК 026-2002. Общероссийский классификатор информации об общероссийских классификаторах (принят постановлением Госстандарта РФ от 25 декабря 2002 г. № 502-ст, с изменениями № 1/2003).
2. ОК 001-2000 (МК (ИСО/ИНФКО МКС) 001-96). Общероссийский классификатор стандартов (ОКС, принят постановлением Госстандарта РФ от 17 мая 2000 г. № 138-ст, с изменениями № 1/2003).
Объектами классификации ОКС являются стандарты и другие нормативные и технические документы. ОКС устанавливает коды и наименования классификационных группировок, используемых для классификации и индексирования объектов классификации. Классификатор представляет собой иерархическую трехступенчатую классификацию с цифровым алфавитом кода классификационных группировок всех ступеней иерархического деления и имеет следующую структуру: раздел, группа, подгруппа.
Информационным технологиям в ОКС посвящен раздел 35 "Информационные технологии. Машины конторские".
Основополагающим государственным стандартом Российской Федерации в области защиты информации является ГОСТ Р 52069.0-2003 "Защита информации. Система стандартов. Основные положения" (принят постановлением Госстандарта РФ от 5 июня 2003 г. № 181-ст).
Он устанавливает цель и задачи системы стандартов по защите информации, объекты стандартизации, структуру, состав и классификацию входящих в нее стандартов и правила их обозначения. Положения данного стандарта являются рекомендуемыми при разработке нормативных документов по стандартизации в области защиты информации, независимо от организационно-правовой формы и формы собственности предприятия, учреждения, организации – разработчика стандарта, а также при организации работ по стандартизации в области защиты информации органами управления Российской Федерации.
В соответствии с данным стандартом система стандартов по защите информации (ССЗИ) может включать в себя следующие нормативные документы:
регламенты;
стандарты;
правила, нормы и рекомендации по стандартизации;
общероссийские классификаторы технико-экономической информации;
нормативно-технические документы (НТД) системы общих технических требований к вооружению и военной технике (ОТТ).
В зависимости от объекта стандартизации в области ЗИ и требований, предъявляемых к нему, устанавливают стандарты следующих видов:
основополагающие;
на продукцию;
на процессы;
на технологию, включая в том числе информационные технологии;
на услуги;
на методы контроля;
на документацию;
на термины и определения.
Стандарты по ЗИ подразделяют на следующие категории:
международные (ГОСТ ИСО);
межгосударственные (ГОСТ);
государственные стандарты Российской Федерации, оформленные на основе аутентичного текста международного стандарта (ГОСТ Р ИСО/МЭК);
государственные стандарты Российской Федерации (ГОСТ Р);
государственные военные стандарты Российской Федерации (ГОСТ РВ);
стандарты отраслей, в том числе и на оборонную продукцию (ОСТ);
стандарты предприятий.