- •Актуальные проблемы стандартизации в сфере Информационных технологий в рф План
- •1. Стандарты информационной безопасности: Россия и мир
- •2. Российские особенности
- •3. Стандарты
- •4. Национальная система стандартизации.
- •5. Стандарты в области информационной безопасности рф
- •6. Руководящие документы (рд) Гостехкомиссии России
- •7. «Общие критерии». Криптографические стандарты. Управленческие стандарты
- •Криптографические стандарты
- •Управленческие стандарты
- •8. Международный стандарт исо/мэк 15408-99 «Критерии оценки безопасности информационных технологий» - «Общие критерии»
- •8.1. Истоки и стимулы принятия
- •8.2. Основные понятия «Общих критериев»
- •1. Потребители.
- •2. Разработчики.
- •3. Оценщики.
- •2. Угрозы безопасности
- •3. Политики безопасности
- •9. Выводы по применению в рф международного стандарта isо 15408
- •10 Обзор международных стандартов в области информационной безопасности, принятых в рф
- •Стандарты безопасности в Интернете
- •Ssl (tls)
6. Руководящие документы (рд) Гостехкомиссии России
Гостехкомиссия России (ныне это Федеральная служба по техническому и экспортному контролю — ФСТЭК России) в период с 1992 по 1999 г. разработала пакет руководящих документов, посвященных вопросам защиты информации в автоматизированных системах.
Наибольшее практическое значение представляют следующие документы:
Защита от несанкционированного доступа к информации. Термины и определения .
Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации .
Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.
Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа.
Показатели защищенности от несанкционированного доступа к информации.
Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.
Третий и четвёртый документы были опубликованы в 1992г. В них излагались требования к обеспечению защиты компьютерных систем в соответствии с аналогичными требованиями «Оранжевой книги».
В документе: « Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» рассматриваются требования к обеспечению защищенности отдельных программно-аппаратных элементов защищенных компьютерных систем. Установлено семь классов защищенности средств вычислительной техники. Самые низкие требования предъявляют к классу 7, самые высокие - к первому классу. Требования этих классов в основном соответствуют аналогичным требованиям «Оранжевой книги», при этом класс 7 соответствует классу 01 «Оранжевой книги», класс 6- классу С1, ....класс 1-классу А1.
Второй документ, касающейся автоматизированных систем: Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» - вводит стандарты защищенности не отдельных программно-аппаратных средств защиты, а всей защищенной компьютерной системы в целом. Система стандартов этого документа более существенно отличается от аналогичных стандартов Оранжевой книги.
Все автоматизированные системы разделяются на три группы, в каждой из которых вводится своя иерархия классов защиты. Всего вводится девять классов защиты.
В целом, отличия требований от требований в наиболее распространённом
диапазоне защищённости операционных систем по «Оранжевой книге» и по документам ФСТЭК ( Гостехкомиссии) незначительны.
7. «Общие критерии». Криптографические стандарты. Управленческие стандарты
«Общие критерии».
Стандарт ГОСТ Р ИСО/МЭК 15408-2002, более известный как «Общие критерии», действует и применяется при проведении сертификации средств защиты, не предназначенных для работы с информацией, составляющей государственную тайну. В перспективе предполагается отказ от РД Гостехкомиссии России и полноценный переход к «Общим критериям» как единому оценочному стандарту.