- •Актуальные проблемы стандартизации в сфере Информационных технологий в рф План
- •1. Стандарты информационной безопасности: Россия и мир
- •2. Российские особенности
- •3. Стандарты
- •4. Национальная система стандартизации.
- •5. Стандарты в области информационной безопасности рф
- •6. Руководящие документы (рд) Гостехкомиссии России
- •7. «Общие критерии». Криптографические стандарты. Управленческие стандарты
- •Криптографические стандарты
- •Управленческие стандарты
- •8. Международный стандарт исо/мэк 15408-99 «Критерии оценки безопасности информационных технологий» - «Общие критерии»
- •8.1. Истоки и стимулы принятия
- •8.2. Основные понятия «Общих критериев»
- •1. Потребители.
- •2. Разработчики.
- •3. Оценщики.
- •2. Угрозы безопасности
- •3. Политики безопасности
- •9. Выводы по применению в рф международного стандарта isо 15408
- •10 Обзор международных стандартов в области информационной безопасности, принятых в рф
- •Стандарты безопасности в Интернете
- •Ssl (tls)
ИБИС Л.8. гр.444 (20.10.15)
Актуальные проблемы стандартизации в сфере Информационных технологий в рф План
1. Стандарты информационной безопасности: Россия и мир………………….2
2. Российские особенности……………………………………………………….4
3. Стандарты………………………………………………………………………..6
4. Национальная система стандартизации…………………………………………9
5. Стандарты в области информационной безопасности РФ…………………….10
6. Руководящие документы (РД) ФСТЭК (Гостехкомиссии России)…………..15
7. «Общие критерии», Криптографические стандарты, Управленческие стандарты………………………………………………………………………….17. 8. Международный стандарт ИСО/МЭК 15408-99 «Критерии оценки безопасности информационных технологий» - «Общие критерии»…………………………… 19
8.1. Истоки и стимулы принятия…………………………………………………….19
8.2. Основные понятия «Общих критериев»………………………………………22
9. Выводы по применению в РФ международного стандарта ISО 15408…………26
10. Обзор международных стандартов в области информационной
безопасности, принятых в РФ……………………………………………………..27
1. Стандарты информационной безопасности: Россия и мир
Стандартизация является инструментом обеспечения качества продукции, работ и услуг - важного аспекта многогранной коммерческой деятельности.
Проблема качества актуальна для всех стран независимо от зрелости их рыночной экономики. Чтобы стать участником мирового хозяйства и международных экономических отношений необходимо совершенствование национальной экономики с учетом мировых достижений и тенденций.
Переход России к рыночной экономике определяет новые условия для деятельности отечественных фирм и промышленных предприятий. Право предприятий на самостоятельность не означает вседозволенность в решениях, а заставляет изучать, знать и применять в своей практике принятые во всем мире «правила игры». Международное сотрудничество по любым направлениям и на любом уровне требует гармонизации этих правил с международными и национальными нормами.
Стандартизация в том виде как это было в плановой экономике, не только не вписывалась в новые условия работы, но и тормозила либо просто делала невозможной интеграцию России в цивилизованное экономическое пространство. Особенно ярким примером служит тому условие вступления нашею государства в ГАТТ/ВТО.
За двадцать лет существования стандартов информационной безопасности в результате естественного отбора остались только основополагающие, которые досих пор претерпевают постоянные изменения.
Рынок ИБ России только сегодня начинает оправляться от «влияния гостайны», и в области стандартизации это особенно заметно.
Анализируя существующую сегодня в мире ситуацию в области стандартизации по информационной безопасности, за годы развития индустрии ИБ можно выделить следующие временные периоды, название которых наиболее точным образом характеризует естественное развитие данного процесса:
1.Появление стандартов (1988 — 1995 годы).
2. Испытание практикой (1996 — 2000).
3. Выживание сильнейших (2001— и до настоящего времени)
Первый период характеризовался естественным развитием информационных технологий, за которым с трудом поспевала наука и практика в области ИБ. В этот период формировался понятийный аппарат и основные подходы в области ИБ, вплоть до самых экзотических.
Период конца 80-х и особенно начала 90-х годов характеризовался появлением огромного числа различных стандартов в области ИБ.
Стандарты появлялись как у отдельных компаний, или консорциумов (X-Open, Good Practice и т.д.), так и таких авторитетных институтов как NIST (National Institute of Standards and Technologies) и связка BSI (British Standards Institute) с ISO (International Standards Organization).
Отметим, что NIST и BSI сегодня основные мировые конкуренты в области стандартизации.
Естественными недостатками стандартов этого периода являлись:
- их слабая практическая проработка;
- и отсутствие единых подходов, единого понимания информационной безопасности.
Только время могло преодолеть эти недостатки. Что и случилось во втором и третьем периоде — практическое применение стандартов стимулировало их естественный отбор.
Период испытания практикой в середине 90-х плавно перешел в период естественного отбора и выживания сильнейших стандартов.
Очевидно, что область ИБ является достаточно замкнутой и ограниченной, поэтому нет никакого смысла иметь огромное число стандартов, которые, помимо всего прочего, пересекаются друг с другом и пытаются разными способами описать одну и туже предметную область.
На практике достаточно иметь несколько основополагающих стандартов, которые признаются большинством специалистов и которые используются бизнесом на практике.
Поэтому естественным образом в этой битве стандартов выживали и выжили только сильнейшие, например стандарт ISO 15408, регламентирующий требования по защищенности ПО, или стандарт управления ISO 27001/17799.
Эти стандарты сегодня получили статус международных.
Правда, есть одно «но». Мир разделился на две географически независимые, с точки зрения стандартизации, зоны:
- Европа и Азия признают стандарты ISO,
- а США предпочитает использовать стандарты NIST.
Отметим малоизвестный факт, что многие из наиболее известных стандартов ISO вышли из недр BSI:
- ISO 17799,
- ISO 9001,
- ISO 14001.