- •1.Место информационной безопасности в системе национальной безопасности.
- •2.Современная концепция информационной безопасности.
- •3.Цели и концептуальные основы защиты информации.
- •4.Критерии, условия и принципы отнесения информации к защищаемой.
- •5.Классификация конфиденциальной информации по видам тайны и степеням конфиденциальности.
- •Государственная тайна
- •6.Понятие и структура угроз защищаемой информации.
- •7.Источники, виды и методы дестабилизирующего воздействия на защищаемую информацию.
- •8.Причины, обстоятельства и условия, вызывающие дестабилизирующее воздействие назащищаемую информацию.
- •9.Виды уязвимости информации и формы ее проявления.
- •10.Каналы и методы несанкционированного доступа к конфиденциальной информации.
- •11. Модель нарушителя.
- •12.Модель угроз.
- •13.Критерии оценки безопасности информационных технологий.
- •14.Методы защиты информации от несанкционированного доступа.
- •15.Риски информационной безопасности.
- •16.Вредоносные программы и антивирусные программные средства.
- •17.Методы программно-аппаратной защиты информации.
- •18.Аттестация объектов информатизации.
- •19.Виды защиты информации.
- •20.Системы защиты информации.
- •21.Модели разграничения доступа.
- •22.Криптографические стандарты и их использование в информационных системах.
- •23.Способы и средства защиты информации от утечки по техническим каналам.
- •24.Принципы организации информационных систем в соответствии с требованиями по защите информации.
- •25. Основные нормативные правовые акты в области информационной безопасности и защиты информации.
- •26.Отечественные и зарубежные стандарты в области компьютерной безопасности.
- •27.Принципы и методы организационной защиты информации.
- •28.Методы и средства обнаружения уязвимостей в корпоративных компьютерных сетях. Основные понятия
- •Классификация уязвимостей
- •Классификация атак
- •29.Лицензирование и сертификация в области защиты информации.
- •30.Комплексные системы защиты информации.
26.Отечественные и зарубежные стандарты в области компьютерной безопасности.
Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
Стандарты в области информационной безопасностивыполняют следующие важнейшие функции:
- выработка понятийного аппарата и терминологии в области информационной безопасности
- формирование шкалы измерений уровня информационной безопасности
- согласованная оценка продуктов, обеспечивающих информационную безопасность
- повышение технической и информационной совместимости продуктов, обеспечивающих ИБ
- накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем
- функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.
Благодаря стандартам информационной безопасности:
Преимущества использования стандартов ИБ разными группами ИТ-сообщества
Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:
- повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;
- обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);
- содействие соблюдению требований технических регламентов;
- создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.
Основными областями стандартизации информационной безопасности являются:
аудит информационной безопасности
модели информационной безопасности
методы и механизмы обеспечения информационной безопасности
криптография
безопасность межсетевых взаимодействий
управление информационной безопасностью.
Стандарты информационной безопасности имеют несколько классификаций:
Различные классификации стандартов информационной безопасности
Существуют российские стандарты информационной безопасности (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р 51275 и др.), причем Федеральный закон №184-ФЗ «О техническом регулировании» декларирует принцип «применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения».
Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения.
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» | |
ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» | |
Р 50.1.056-2005 «Техническая защита информации. Основные термины и определения» | |
ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» | |
ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности» | |
ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности» | |
ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» | |
ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» | |
ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» | |
ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» | |
ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер» | |
ГОСТ Р ИСО/МЭК ТО 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети» | |
ГОСТ Р ИСО/ТО 13569-2007 «Финансовые услуги. Рекомендации по информационной безопасности» | |
ГОСТ Р ИСО/МЭК 15026-2002 «Информационная технология. Уровни целостности систем и программных средств» | |
ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» | |
ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» | |
ГОСТ Р ИСО/МЭК 19794-2-2005 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца - контрольные точки» | |
ГОСТ Р ИСО/МЭК 19794-4-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца» | |
ГОСТ Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица» | |
ГОСТ Р ИСО/МЭК 19794-6-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза» | |
ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» | |
ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство» | |
ГОСТ Р 51725.6-2002 «Каталогизация продукции для федеральных государственных нужд. Сети телекоммуникационные и базы данных. Требования информационной безопасности» | |
ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» | |
ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения» | |
ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества» | |
ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» | |
ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» | |
ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования» |
|