Иваненко / one_ivanenko_2_rule_39_em_all

ДОКТРИНА:

24. (7 глава) Информационные технологии приобрели глобальный трансграничный характер и стали неотъемлемой частью всех сфер деятельности личности, общества и государства. Их эффективное применение является фактором ускорения экономического развития государства и формирования информационного общества. Информационная сфера играет важную роль в обеспечении реализации стратегических национальных приоритетов Российской Федерации.

(глава 14) Возрастают масштабы компьютерной преступности, прежде всего в кредитно-финансовой сфере, увеличивается число преступлений, связанных с нарушением конституционных прав и свобод человека и гражданина, в том числе в части, касающейся неприкосновенности частной жизни, личной и семейной тайны, при обработке персональных данных с использованием информационных технологий. При этом методы, способы и средства совершения таких преступлений становятся все изощреннее.

25. (10 глава) Расширение областей применения информационных технологий, являясь фактором развития экономики и совершенствования функционирования общественных и государственных институтов, одновременно порождает новые информационные угрозы.

Возможности трансграничного оборота информации все чаще используются для достижения геополитических, противоречащих международному праву военнополитических, а также террористических, экстремистских, криминальных и иных противоправных целей в ущерб международной безопасности и стратегической стабильности. При этом практика внедрения информационных технологий без увязки с обеспечением информационной безопасности существенно повышает вероятность проявления информационных угроз.

(глава17). Состояние информационной безопасности в экономической сфере характеризуется недостаточным уровнем развития конкурентоспособных информационных технологий и их использования для производства продукции и оказания услуг. Остается высоким уровень зависимости отечественной промышленности от зарубежных информационных технологий в части, касающейся электронной компонентной базы, программного обеспечения, вычислительной техники и средств связи, что обусловливает зависимость социальноэкономического развития Российской Федерации от геополитических интересов зарубежных стран.

(глава 18). Состояние информационной безопасности в области науки, технологий и образования характеризуется недостаточной эффективностью научных исследований, направленных на создание перспективных информационных технологий, низким уровнем внедрения отечественных разработок и недостаточным кадровым обеспечением в области информационной безопасности, а также низкой осведомленностью граждан в вопросах обеспечения личной информационной безопасности. При этом мероприятия по обеспечению безопасности информационной инфраструктуры, включая ее целостность, доступность и устойчивое функционирование, с использованием отечественных информационных технологий и отечественной продукции зачастую не имеют комплексной основы.

26. Основные направления обеспечения информационной безопасности

(глава 21) В соответствии с военной политикой Российской Федерации основными направлениями обеспечения информационной безопасности в области обороны страны являются:

а) стратегическое сдерживание и предотвращение военных конфликтов, которые могут возникнуть в результате применения информационных технологий; б) совершенствование системы обеспечения информационной

безопасности Вооруженных Сил Российской Федерации, других войск, воинских формирований и органов, включающей в себя силы и средства информационного противоборства; в) прогнозирование, обнаружение и оценка информационных угроз,

включая угрозы Вооруженным Силам Российской Федерации в информационной сфере;

г) содействие обеспечению защиты интересов союзников Российской Федерации в информационной сфере; д) нейтрализация информационно-психологического воздействия, в том

числе направленного на подрыв исторических основ и патриотических традиций, связанных с защитой Отечества.

(глава 25). Основными направлениями обеспечения информационной безопасности в экономической сфере являются:

а) инновационное развитие отрасли информационных технологий и электронной промышленности, увеличение доли продукции этой отрасли в валовом внутреннем продукте, B структуре экспорта страны; б) ликвидация зависимости отечественной промышленности от зарубежных информационных технологий и средств обеспечения информационной безопасности за счет создания, развития и широкого внедрения отечественных разработок, а также производства продукции и оказания услуг на их основе; в) повышение конкурентоспособности российских компаний,

осуществляющих деятельность в отрасли информационных технологий и электронной промышленности, разработку, производство и эксплуатацию средств обеспечения информационной безопасности, оказывающих услуги B области обеспечения информационной безопасности, B том числе за счет создания благоприятных условий для осуществления деятельности на территории Российской Федерации; г) развитие отечественной конкурентоспособной электронной

компонентной базы и технологий производства электронных компонентов, обеспечение потребности внутреннего рынка в такой продукции и выхода этой продукции на мировой рынок.

(Глава 27). Основными направлениями обеспечения информационной безопасности в области науки, технологий и образования являются:

а) достижение конкурентоспособности российских информационных технологий и развитие научно-технического потенциала в области обеспечения информационной безопасности; б) создание и внедрение информационных технологий,

изначально устойчивых к различным видам воздействия; в) проведение научных исследований и осуществление

опытных разработок в целях создания перспективных информационных технологий и средств обеспечения информационной безопасности; г) развитие кадрового потенциала в области обеспечения

информационной безопасности и применения информационных технологий; д) обеспечение защищенности граждан от информационных

угроз, в том числе за счет формирования культуры личной информационной безопасности.

27. Организационные основы обеспечения информационной безопасности

(Глава 30). Система обеспечения информационной безопасности является частью системы обеспечения национальной безопасности Российской Федерации. Обеспечение информационной безопасности осуществляется на основе сочетания законодательной, правоприменительной, правоохранительной, судебной, контрольной и других форм деятельности государственных органов во взаимодействии с органами местного самоуправления, организациями и гражданами.

(Глава 33). Организационную основу системы обеспечения информационной безопасности составляют: Совет Федерации Федерального Собрания Российской Федерации, Государственная Дума Федерального Собрания Российской Федерации, Правительство Российской Федерации, Совет Безопасности Российской Федерации, федеральные органы исполнительной власти, Центральный банк Российской Федерации, Военно-промышленная комиссия Российской Федерации, межведомственные органы, создаваемые Президентом Российской Федерации и Правительством Российской Федерации, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, органы судебной власти, принимающие в соответствии с законодательством Российской Федерации участие в решении задач по обеспечению информационной безопасности.

Участниками системы обеспечения информационной

безопасности являются: собственники объектов критической информационной инфраструктуры и организации, эксплуатирующие такие объекты, средства массовой информации и массовых коммуникаций, организации денежно-кредитной, валютной, банковской и иных сфер финансового рынка, операторы связи, операторы информационных систем, организации, осуществляющие деятельность по созданию и эксплуатации информационных систем и сетей связи, по разработке, производству и эксплуатации средств обеспечения информационной безопасности, по оказанию услуг в области обеспечения информационной безопасности, организации, осуществляющие образовательную деятельность в данной области, общественные объединения, иные организации и граждане, которые в соответствии с законодательством Российской Федерации участвуют в решении задач по обеспечению информационной безопасности.

28. Задачи гос. органов в рамках деятельности по обеспечению информационной безопасности РФ

(глава 35). Задачами государственных органов в рамках деятельности по обеспечению информационной безопасности являются:

а) обеспечение защиты прав и законных интересов граждан и организаций в информационной сфере; б) оценка состояния информационной безопасности,

прогнозирование и обнаружение информационных угроз, определение приоритетных направлений их предотвращения и ликвидации последствий их проявления; в) планирование, осуществление и оценка эффективности

комплекса мер по обеспечению информационной безопасности; г) организация деятельности и координация взаимодействия

сил обеспечения информационной безопасности, совершенствование их правового, организационного, оперативно-разыскного, разведывательного, контрразведывательного, научно-технического, информационно-аналитического, кадрового и экономического обеспечения; д) выработка и реализация мер государственной поддержки

организаций, осуществляющих деятельность по разработке,

производству и эксплуатации средств обеспечения информационной безопасности, по оказанию услуг в области обеспечения информационной безопасности, а также организаций, осуществляющих образовательную деятельность в данной области.

ДОПОЛНЕНИЕ:

29. ТЕСТИРОВАНИЕ

Тестирование - неотъемлемая часть разработки ПО.

Тестирование - процесс выполнения программы с целью определения места некорректного функционирования.

Тестирование эффективно демонстрирует наличие ошибок, но неадекватно для демонстрации их отсутствия.

Преднамеренное внесение ошибок - малоиспользуемый, но очень эффективный способ повышения качества (надежности).

Причины неудач надежных программ:

●на ранних этапах разработки нечетко установлены требования к ПО

●проект ПО утвержден до анализа всех аспектов надежности

●средства на разработку документации расходуются не по назначению

●порядок внесения изменений в ПО не согласован с тестированием

●взаимодействия с заказчиком и взаимная ответственность определены нечетко

При отсутствии опыта надо ориентироваться на примеры разработки проектов схожего объема. Важные плюсы: разделение больших задач на функциональные части.

Обязательна регистрация всех изменений ПО.

При создании особо больших программных комплексов рекомендуется:

●создание группы объединенных компонент ПО

●группа контроля качества

●группа контроля изменений ПО

●группа заказчика, пользователя

Перечень может расширяться, либо группы могут объединяться Важны взаимоотношения между группами, особенно в больших проектах.

При написании средних программ эффективно работает такая форма, как бригада главного программиста (группа специалистов для 1 проекта)

Руководитель группы - опытный разработчик.

Технический секретарь - библиотекарь (учет делопроизводства, взаимодействие с другими подразделениями).

Упор на коллективный труд.

30. ОСНОВЫ ОЦЕНКИ СООТВЕТСТВИЯ.

Очень важно оценивать соответствие продукта по безопасности. Основной механизм - сертификация.

●основной механизм УИБ АС

●один из видов оценки соответствия

Оценка соответствия - доказательство того, что требования к продукции, процессу, системе, лицу, органу выполнены.

Продукция - результат деятельности, предназначенный для дальнейшего использования. Доказательство может быть прямым или косвенным, формальным\неформальным. Подтверждение соответствия: выдача документа, оформленного в соответствии с заданными требованиями.

31.БАЗОВЫЕ ТИПЫ ОЦЕНКИ СООТВЕТСТВИЯ (ВИДЫ ДЕЯТЕЛЬНОСТИ ПО ОЦЕНКЕ СООТВЕТСТВИЯ):

●испытания

●контроль

●сертификация

●аккредитация органов по оценке соответствия

32.ОСНОВНЫЕ ПРОЦЕДУРЫ ОЦЕНКИ СООТВЕТСТВИЯ ИБ:

●сертификация СЗИ

●различные виды испытаний

●аттестация ОИ

●тестирование программных средств

●аудит ИБ, ИС, АС, систем менеджмента

●анализ риска ИБ

ДРУГИЕ:

●предварительные испытания

●контроль

●премка

●экспертиза

33.СТОРОНЫ ДЕЯТЕЛЬНОСТИ ПО ОЦЕНКЕ СООТВЕТСТВИЯ

Деятельность: стороны

1.сторона, представляющая объект оценки

2.сторона, заинтересованная в объекте оценки как пользователь

3.независимая сторона (испытательная лаборатория)

Различные средства подлежат оценке разной комбинацией сторон Пример: СЗИ должны оцениваться испытательными лабораториями, независимыми от заказчика В некоторых случаях ОИ может аттестовываться самой организацией.

Результат: декларация соответствия.

Система оценки соответствия (слэш говорит, что это тоже самое что и системы сертификации, а полина нет) - совокупность участников, правил, процедур, менеджмента, используемых для оценки соответствия.

34. СИСТЕМЫ СЕРТИФИКАЦИИ В РФ

Пример: в области безопасности существуют следующие системы сертификации СЗИ:

●Минобороны

●СВР

●ФСБ

●ФСТЭК

●добровольные системы сертификации по безопасности информации

Важнейшая процедура - сертификация. Это подтверждение соответствия 3 стороной, относ. к продукции, процессам, системам или персоналу.

Системы сертификации.

Для проверки ПО, использующих криптографическую защиту, используется сертификация ФСБ. В нашей стране допускается использование только российских криптографических алгоритмов. Требования ФСБ непубличны.

Непубличными в меньшей степени являются требования Минобороны и СВР.

35. ФСТЭК. ИСТОРИЯ. КОНТРОЛЬНЫЕ ФУНКЦИИ

ФСТЭК - федеральная служба по техническому и экспортному контролю.

Это федеральный орган, обеспечивающий координацию и взаимодействие в области гос безопасности.

5 января 1992 - создана техническая комиссия при президенте РФ. ФСТЭК подчиняется напрямую президенту РФ. Подведомство МИнобороны.

ФСТЭК - федеральный орган, который участвует в решении следующих вопросов:

●обеспечение безопасности (некриптографическими методами) информации в системах инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере

●противодействие иностранной технической разведке на территории РФ

●обеспечение ЗИ (некриптографическими методами), содержащей сведения о гос. тайне, предотвращение ее утечки по техническим каналам

●ЗИ при разработке, эксплуатации, производстве и утилизации неинформационных излучающих комплексов, систем и устройств;

●осуществление экспортного контроля

36.КЛЮЧЕВЫЕ ОСОБЕННОСТИ СЕРТИФИКАЦИИ

Виды Сертификации:

●сертификация ФСБ ( для проверки ПО, использующего криптографическую защиту; требования к сертификации непубличные)

●сертификация ФСТЭК ( предназначена для сертификации ЗИ некриптографическими методами)

Сертификация: вопросы, касаемые сертификации, отражены в ГОСТ Р ИСО\МЭК 1700:2005

ОСОБЕННОСТИ:

1.Сертификация проверки на соответствие заданным требованиям:

●технической регламентации

●сводов правил

●положений стандартов

●условий договора

●других требований, определенных в нормативных…….

Область сертификации и ее результат однозначно определен конкретными нормативными документами, а не требованиями или рекомендациями на повышение качества или защищенности вообще.

2.В случае положительного результата процесс сертификации заканчивается выдачей официального письменно оформленного документа, который называется сертификатом соответствия.

Сертифицированная продукция подлежит маркировке знаком соответствия системе сертификации.

3.Сертификация является деятельностью третьей стороны, т.е. должна обеспечиваться независимость оценки соответствия, максимально исключая любые формы сговора. 4.Сертификация может быть добровольной и обязательной.

Сертификация средств ЗИ по требованиям ИБ является обязательной, поскольку действуют несколько систем сертификации.

5.Системы сертификации определяют свои правила и процедуры.

Системы сертификации: МО, СВР, ФСБ, ФСТЭК, добровольные сертификации СЗИ. Сертификация СЗИ по требованиям ИБ представляет собой независимое подтверждение соответствия требованиям нормативных документов с учетом федеральных органов в рамках их компетенции.

37. КЛЮЧЕВЫЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ

К ПО, которое используется для ключевых систем, предъявляются особые требования к ЗИ. Виды ключевых систем:

●ИС органов гос. власти, организаций управления и правоохранительных структур

●ИС финансово-кредитной и экономической сферы

●Информационно-телекоммуникационные системы специального назначения

●сети связи правоохранительных структур

●сети связи общего пользования на участках, не имеющих резервных или альтернативных

видов связи

АСУ энергоснабжения; АСУ наземного и воздушного транспорта

АСУ добычи и транспортировки нефти и газа АСУ экологически опасного производства АСУ водоснабжения АСУ предупреждения и ликвидации ЧС

Географические и информационные системы

Вэтих системах обрабатывается, накапливается, хранится, передается информация, связанная с деятельностью государства.

Эта информация определяет надежность и безопасность важных элементов государства. Для таких систем обязательна сертификация.

Всоответствии с требованиями законодательства РФ должны соответствовать специальным требованиям технические средства, предназначенные для обработки информации, в том числе и программно-технические средства.

Средства ЗИ - основная часть ИС.

Российская система сертификации отличается от систем зарубежных стран в лучшую сторону. Каждая копия ПО, претендующая на сертификат, проверяется на соответствие.

За рубежом такого нет ( только оригинал).

ПРОЧЕЕ

Область определений и терминов по ОС имеет весьма размытые рамки.

Всфере СЗИ кроме сертификации широко применяются следующие процедуры:

●испытания

●аттестация (аттестационные испытания)

●тестирование

●аудит

●анализ рисков

Испытания - вид деятельности по ОС экспертное определение количественных и качественных характеристик объекта

испытаний как результата воздействия на него при его функционировании и моделировании. Испытания проводятся на основании документа ( программная методика испытаний). Документ разрабатывается в лаборатории.

Результаты испытаний оформляются в виде технического отчета.

Испытания по требованиям ИБ проводятся на этапе внедрения( исключение: периодические испытания).

Различают испытания продукции и систем.

ВГОСТ 16504 представлено 46 видов испытаний продукции ( предварительные, доводочные, периодические, государственные, межведомственные, стендовые, полигонные, аттестационные…) Для АС: ГОСТ 34.603

●предварительные ( автономные, комплексные)

●опытная эксплуатация

●приемочные

Вобласти ИБ требования к виду испытаний устанавливаются уполномоченным государственным регулятором на соответствие ведомственным нормативным документам.

Легитимность обработки информации на ОИ подтверждается путем их аттестации. Основное содержание - аттестационные испытания.

Это комплексная проверка ОИ в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Положительный результат оформляется в виде аттестата соответствия.

Характер и объем проверки зависит от типа ОИ:

●АС

●помещение для ведения конфиденциальных и секретных переговоров

●системы связи отобранные и реализованные вместе с помещением

Существует отличие аттестационных испытаний и сертификации.

Аудит ИБ Аудит - систематический, независимый, документированный процесс объективного оценивания с

целью уставки степени выполнения требований. Отличия аудита от сертификации: