- •III. Учебные материалы (учебники, учебные пособия или конспекты лекций) Структура информационных ресурсов. Основные законодательные акты.
- •2.1 Структура информационных ресурсов. Правовые нормы
- •2.1.1 Основные законодательные акты
- •2.1.2 Указы президента рф
- •2.1.3 Постановления правительства
- •2.1.4 Межведомственные документы Гостехкомиссии России.
- •2.2 Основные моменты законодательства рф в сфере информационных технологий.
- •2.3 Iso/iec tr 13335 Информационные технологии. Руководство по управлению безопасностью ит. (Information technology -- Guidelines for the management of it Security)
- •2.3.1 Iso/iec tr 13335-1:1996 Концепция и модели обеспечения безопасности информационных технологий.
- •2.3.2 Iso/iec tr 13335-2:1997. Планирование и управление безопасностью информационных технологий.
- •2.3.3 Iso/iec tr 13335-3:1998. Техника управления безопасностью ит.
- •2.3.4 Iso/iec tr 13335-4:2000. Выбор средств обеспечения безопасности.
- •2.3.5 Iso/iec tr 13335-5:2001. Безопасность внешних связей.
- •2.4 Iso/iec 15408: 1999. Информационная технология - Методы и средства защиты информации - Критерии оценки безопасности ит. Security techniques -- Evaluation criteria for it security
- •2.4.1 Часть 1. Представление и общая модель
- •2.4.1.1 Концепция общих критериев
- •2.4.1.2 Целевая направленность ок
- •2.4.2 Часть 2. Функциональные требования безопасности. Функциональные требования ок
- •2.4.3 Часть 3. Требования гарантии безопасности
- •2.4.3.1 Требования гарантии ок
- •2.5 Iso/iec 17799:2000 Информационные технологии – Код практики для управления информационной безопасностью. Information technology -- Code of practice for information security management
- •2.6 Таксономия требований и критериев “Оранжевой книги”
- •2.6.1 Политика безопасности
- •2.6.2 Аудит
- •2.6.3 Корректность
- •2.6.4 Таксономия критериев безопасности
- •2.6.5 Классы безопасности компьютерных систем
- •2.7 Руководящие документы Гостехкомиссии России.
- •2.7.1 Основные положения.
- •2.7.2 Таксономия критериев и требований безопасности.
- •2.7.2.1 Показатели защищенности свт от нсд.
- •2.7.2.2 Требования к защищенности автоматизированных систем.
- •2.7.2.3 Классы защищенности автоматизированных систем.
- •Компоненты системы безопасности.
2.3 Iso/iec tr 13335 Информационные технологии. Руководство по управлению безопасностью ит. (Information technology -- Guidelines for the management of it Security)
ISO 13335 отражает широкий комплекс методологических задач, которые необходимо решать при проектировании систем обеспечения безопасности любых ИС. В его пяти частях внимание сосредоточено на основных принципах и методах проектирования равнопрочных систем защиты ИС от угроз различных видов. Это руководство достаточно полно систематизирует основные методы и процессы подготовки проекта защиты для последующей разработки конкретной комплексной системы обеспечения безопасности функционирования ИС. Изложение базируется на понятии риска от угроз любых негативных воздействий на ИС.
В первой части стандарта описаны функции средств защиты и необходимые действия по их реализации, модели уязвимости и принципы взаимодействия средств защиты. При проектировании систем защиты рекомендуется учитывать: необходимые функции защиты; угрозы; уязвимость; негативные воздействия; риски; защитные меры; ресурсы (аппаратные, информационные, программные, людские) и их ограниченность.
В остальных частях стандарта предложены и развиваются концепция и модель управления и планирования построения системы защиты, взаимодействие компонентов которой упрощенно представлено на схеме.
В стандарте выделены функциональные компоненты и средства обеспечения безопасности, а также принципы их взаимодействия. Процессы управления защитой должны включать: управление изменениями и конфигурацией; анализ и управление риском; прослеживаемость функций; регистрацию, обработку и мониторинг инцидентов. Приводятся общие требования к оценке результатов обеспечения безопасности, а также возможные варианты организации работы специалистов для комплексного обеспечения безопасности ИС. Систематизированы политика и техника планирования, выбора, построения и использования средств обеспечения безопасности для ограничения допустимого риска при различных схемах взаимодействия и средствах защиты. Рекомендуются различные подходы и стратегии при создании систем защиты и поддержке их последующего развития. Содержание частей стандарта детализирует общие концепции и достаточно точно определяется их названиями. Изложенную в стандарте модель планирования обеспечения безопасности целесообразно конкретизировать и использовать как фрагмент системного проекта ИС.
2.3.1 Iso/iec tr 13335-1:1996 Концепция и модели обеспечения безопасности информационных технологий.
Часть 1 ISO/IEC TR 13335 представляет основные концепции управления и модели, существенные для введения в управление информационной безопасностью. Эти понятия и модели далее обсуждаются и развиваются в остальных частях, чтобы обеспечить более подробное руководство. Вместе эти части могут использоваться, чтобы помочь определять и управлять всеми аспектами информационной безопасности. 1 Часть необходима для полного понимания последующих частей ISO/IEC TR 13335.
2.3.2 Iso/iec tr 13335-2:1997. Планирование и управление безопасностью информационных технологий.
Основные направления этой части ISO/IEC TR 13335 - это объекты, существенные для управления информационной безопасностью и отношения между этими объектами. Эти руководящие принципы полезны для определения и управления всеми аспектами информационной безопасности. Хорошее знакомство с понятиями и моделями, введенными в Части 1, существенно для полного понимания этой части.
Часть вторая рассматривает аспекты управления и планирования, включая:
Определение целей, стратегий и политик ИТ-безопасности;
Определение организационных требований к ИТ-безопасности;
Управление рисками ИТ-безопасности;
Планирование реализации адекватных мер ИТ-безопасности;
Разработку программы осведомления о безопасности;
Планирование дополнительных программ мониторинга, про верки и поддержания служб безопасности;
Разработку планов действий в экстренных ситуациях.