- •Инженерия (системная и программная)
- •Программная инженерия —
- •Составные части ас:
- •Разновидности ас
- •Замысел
- •Разработка
- •Архитектура системы (эл-ты аппаратного и программного обеспечения, персонал и интерфейс);
- •Производство
- •Эксплуатация
- •Сопровождение
- •Списание
- •Перемещение, перевод или увольнение обслуживающего персонала;
- •Соотв-вие кр-ям завершения стадии списания.
- •Средства зи:
- •Способы зи:
- •Комплексность:
- •4 Функции управления:
- •3 Класса угроз:
- •Созданные людьми:
- •Источники угроз
- •Национальные интересы рф в информационной сфере
- •1. Системный анализ
- •2. Проектирование
- •3. Реализация
- •4. Отладка
- •5. Сопровождение
- •4. Состояние информационной безопасности
- •3. Основные направления обеспеч. Иб
- •5. (35 Глава) Задачи гос.Органов
- •Базовые типы оценки соответствия (виды деятельности по оценке соответствия):
- •Основные процедуры оценки соответствия иб:
- •Стороны деятельности по оценке соответствия
- •Фстэк. История. Контрольные функции
- •Ключевые особенности сертификации
Фстэк. История. Контрольные функции
ФСТЭК - федеральная служба по техническому и экспортному контролю.
Это федеральный орган, обеспечивающий координацию и взаимодействие в области гос безопасности.
5 января 1992 - создана техническая комиссия при президенте РФ.
ФСТЭК подчиняется напрямую президенту РФ. Подведомство МИнобороны. ФСТЭК - федеральный орган, который участвует в решении следующих вопросов:
обеспечение безопасности (некриптографическими методами) информации в системах инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере
противодействие иностранной технической разведке на территории РФ
обеспечение ЗИ (некриптографическими методами), содержащей сведения о гос. тайне, предотвращение ее утечки по техническим каналам
ЗИ при разработке, эксплуатации, производстве и утилизации неинформационных излучающих комплексов, систем и устройств;
осуществление экспортного контроля
Ключевые особенности сертификации
Виды Сертификации:
сертификация ФСБ ( для проверки ПО, использующего криптографическую защиту; требования к сертификации непубличные)
сертификация ФСТЭК ( предназначена для сертификации ЗИ некриптографическими методами)
Сертификация: вопросы, касаемые сертификации, отражены в ГОСТ Р ИСО\МЭК 1700:2005
ОСОБЕННОСТИ:
1.Сертификация проверки на соответствие заданным требованиям:
технической регламентации
сводов правил
положений стандартов
условий договора
других требований, определенных в нормативных…….
Область сертификации и ее результат однозначно определен конкретными нормативными документами, а не требованиями или рекомендациями на повышение качества или защищенности вообще.
2.В случае положительного результата процесс сертификации заканчивается выдачей официального письменно оформленного документа, который называется сертификатом соответствия.
Сертифицированная продукция подлежит маркировке знаком соответствия системе сертификации.
3.Сертификация является деятельностью третьей стороны, т.е. должна обеспечиваться независимость оценки соответствия, максимально исключая любые формы сговора.
4.Сертификация может быть добровольной и обязательной.
Сертификация средств ЗИ по требованиям ИБ является обязательной, поскольку действуют несколько систем сертификации.
5.Системы сертификации определяют свои правила и процедуры.
Системы сертификации: МО, СВР, ФСБ, ФСТЭК, добровольные сертификации СЗИ. Сертификация СЗИ по требованиям ИБ представляет собой независимое подтверждение соответствия требованиям нормативных документов с учетом федеральных органов в рамках их компетенции.
КЛЮЧЕВЫЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
К ПО, которое используется для ключевых систем, предъявляются особые требования к ЗИ. Виды ключевых систем:
ИС органов гос. власти, организаций управления и правоохранительных структур
ИС финансово-кредитной и экономической сферы
Информационно-телекоммуникационные системы специального назначения
сети связи правоохранительных структур
сети связи общего пользования на участках, не имеющих резервных или альтернативных видов связи
АСУ энергоснабжения;
АСУ наземного и воздушного транспорта
АСУ добычи и транспортировки нефти и газа
АСУ экологически опасного производства
АСУ водоснабжения
АСУ предупреждения и ликвидации ЧС Географические и информационные системы
В этих системах обрабатывается, накапливается, хранится, передается информация, связанная с деятельностью государства.
Эта информация определяет надежность и безопасность важных элементов государства. Для таких систем обязательна сертификация.
В соответствии с требованиями законодательства РФ должны соответствовать специальным требованиям технические средства, предназначенные для обработки информации, в том числе и программно-технические средства.
Средства ЗИ - основная часть ИС.
Российская система сертификации отличается от систем зарубежных стран в лучшую сторону. Каждая копия ПО, претендующая на сертификат, проверяется на соответствие.
За рубежом такого нет ( только оригинал).
Прочее
Область определений и терминов по ОС имеет весьма размытые рамки.
В сфере СЗИ кроме сертификации широко применяются следующие процедуры:
испытания
аттестация (аттестационные испытания)
тестирование
аудит
анализ рисков
Испытания - вид деятельности по ОС экспертное определение количественных и качественных характеристик объекта испытаний как результата воздействия на него при его функционировании и моделировании. Испытания проводятся на основании документа ( программная методика испытаний).
Документ разрабатывается в лаборатории.
Результаты испытаний оформляются в виде технического отчета.
Испытания по требованиям ИБ проводятся на этапе внедрения( исключение: периодические испытания).
Различают испытания продукции и систем.
В ГОСТ 16504 представлено 46 видов испытаний продукции ( предварительные, доводочные, периодические, государственные, межведомственные, стендовые, полигонные, аттестационные…) Для АС: ГОСТ 34.603
предварительные ( автономные, комплексные)
опытная эксплуатация
приемочные
В области ИБ требования к виду испытаний устанавливаются уполномоченным государственным регулятором на соответствие ведомственным нормативным документам.
Легитимность обработки информации на ОИ подтверждается путем их аттестации. Основное содержание - аттестационные испытания.
Это комплексная проверка ОИ в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Положительный результат оформляется в виде аттестата соответствия.
Характер и объем проверки зависит от типа ОИ:
АС
помещение для ведения конфиденциальных и секретных переговоров
системы связи отобранные и реализованные вместе с помещением Существует отличие аттестационных испытаний и сертификации.
Аудит ИБ
Аудит - систематический, независимый, документированный процесс объективного оценивания с целью уставки степени выполнения требований.
Отличия аудита от сертификации:
нет жестких рамок в плане подтверждения соответствия в виде документа гос. образца
нет необходимого привлечения 3 стороны
Критерии аудита очень гибкие
Аудит бывает внутренний и внешний.
аудит организации
аудит ИС
аудит систем менеджмента
аудит программного кода