ОК применимы к мерам безопасности ИТ, реализуемым аппаратными, программно-аппарат- ными и программными средствами. Критерии для оценки специфических качеств криптографических алгоритмов не входят в ОК
ОК безопасности продуктов и систем ИТ предназначены в основном для потребителей, разработчиков и оценщиков.
ОК предоставляют потребителям, независимую от реализации структуру, называемую профилем защиты (ПЗ), для выражения их специфических требований к мерам безопасности ИТ в объекте оценки.
Кроме указанного выше используется также ГОСТ Р50922-96 «Защита информации. Основные термины и определения».
В настоящее время разработан и действует еще один международный стандарт ISO/IEC 17799 "Безопасность информационных систем".
Гармонизация российских стандартов с международными стандартами:
ГОСТ Р ИСО/МЭК 15408 – «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ».
Состоит из 3 частей:
1)Сокращения, определения и т.п.;
2)11 групп базовых задач обеспечения безопасности»
3)Цели, методы, уровни обеспечения, гарантии качества
Тема 3. Направления защиты информации в информационных системах
3.1 Характеристика направлений защиты информации
Существенное значение при выборе путей решения проблемы защиты информации (ЗИ) имеет направление или вид объекта информационной защиты.
Направления ЗИ:
1.Защита объектов ИС
2.Защита процессов и процедур обработки информации
3.Защита каналов связи
4.Подавление ПЭМИН
5.Управление защитой.
1. Защита объектов информационной системы (ИС).
Объекты информационной безопасности могут быть следующих видов:
-Информационные объекты – любая информация (сообщения, сведения, файлы, БД) в любых форматах ее представления (аналоговая, цифровая, виртуальная, мысленная).
-Ресурсные объекты - все компоненты ИС, ее аппаратное и программное обеспечение, процедуры, протоколы и т.д. (начиная с ОС и заканчивая выключателем сети).
-Физические объекты – территория, здания, помещения, средства связи, компьютерная техника.
-Пользовательские объекты – это люди, которые используют ресурсы ИС, имея доступ через терминалы и рабочие станции.
-Логические объекты – логические операции или процедуры, результатом которых является
определенный вывод или признак.
2. Защита процессов и процедур обработки информации
Это направление включает защиту:
-Процессов обработки данных;
-Программ;
-Исполняемых файлов;
-От загрузки программного обеспечения;
-От программных закладок и вирусов.
Под процессом обработки данных будем понимать установленную последовательность процедур, операций преобразования информации, реализуемых при функционировании системы.
16