- •Стандартизация
- •Стандартизация в области информационной безопасности
- •Основные международные стандарты в области информационной безопасности План лекции
- •Международные критерии оценки безопасности информационных технологий зарубежных стран План лекции
- •1. Предпосылки создания международных стандартов иб
- •1.1. Общие вопросы
- •1.2. Состояние международной нормативно-методической базы
- •1.3. Назначение и цели международной стандартизации
- •1.4. Международная организация по стандартизации, isо
- •1.5. Основные международные стандарты информационной безопасности
- •2. Критерии оценки доверенных компьютерных систем («Оранжевая книга»)
- •2.1.Основные сведения
- •2.2 Основные требования и средства
- •2.2.1. Политики
- •2.2.2. Ответственность
- •2.2.3. Гарантии
- •2.2.4. Документирование
- •Руководство пользователя по средствам безопасности
- •Руководство администратора по средствам безопасности
- •Тестовая документация
- •Описание архитектуры
- •3. Основные понятия
- •3.1. Безопасная система
- •3.2. Доверенная система
- •3.5.1. Идентификация и учёт
- •3.5.2. Предоставление доверенного пути
- •3.5.3. Регистрация и учёт
- •3.5.4. Анализ регистрационной информации (Аудит)
- •3.7. . Монитор обращений
- •3.8. Ядро безопасности
- •3.9. Периметр безопасности
- •4.Механизмы реализации безопасности
- •4.1. Произвольное управление доступом
- •4.2. Безопасность повторного использования объектов
- •4.3. Метки безопасности
- •4.4. Принудительное управление доступом
- •5.1. Разделы безопасности
- •5.2. Классы безопасности
- •6. Краткая классификация
- •Международные критерии оценки безопасности информационных технологий зарубежных стран План лекции
- •1. Гармонизированные критерии европейских стран
- •2. Германский стандарт bsi
- •2.1. Структура германского стандарта bsi.
- •3. Британский стандарт bs 7799
- •4. Международный стандарт isо/iес 15408 "Критерии оценки безопасности информационных технологий" «Общие критерии»
- •Критерии оценки доверенных компьютерных систем (тсsес)
- •Европейские критерии (iтsес)
- •Канадские критерии безопасности компьютерных систем (стсрес)
- •Общие критерии оценки безопасности информационных технологий
- •Стандарты безопасности в Интернете
1.2. Состояние международной нормативно-методической базы
С целью систематизации анализа текущего состояния международной нормативно-методической базы в области безопасности ИТ необходимо использовать некоторую классификацию направлений стандартизации.
В общем случае, можно выделить следующие направления:
Общие принципы управления информационной безопасностью.
Модели безопасности ИТ.
Методы и механизмы безопасности ИТ (такие, как, например: методы аутентификации, управления ключами и т.п.).
Криптографические алгоритмы.
Методы оценки безопасности информационных систем.
Безопасность EDI-технологий.
Безопасность межсетевых взаимодействий (межсетевые экраны).
Сертификация и аттестация объектов стандартизации.
1.3. Назначение и цели международной стандартизации
Стандартом называется документ, в котором устанавливаются характеристики продукции, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.
Международный стандарт - стандарт, принятый международной организацией. На практике под международными стандартами часто подразумевают также региональные стандарты и стандарты, разработанные научно-техническими обществами и принятые в качестве норм различными странами мира.
Международная стандартизация - стандартизация, участие в которой открыто для соответствующих органов всех стран.
Основное назначение международных стандартов - это создание на международном уровне единой методической основы для разработки новых и совершенствование действующих систем качества и их сертификации.
Научно-техническое сотрудничество в области стандартизации направле-но на гармонизацию национальной системы стандартизации с международной, региональными и прогрессивными национальными системами стандартизации.
В развитии международной стандартизации заинтересованы как индустриально развитые страны, так и страны развивающиеся, создающие собственную национальную экономику.
Международные стандарты не имеют статуса обязательных для всех стран-участниц. Любая страна мира вправе применять или не применять их. Решение вопроса о применении международного стандарта ИСО связано в основном со степенью участия страны в международном разделении труда и состоянием ее внешней торговли. ИСО является головной международной организацией в области стандартизации.
1.4. Международная организация по стандартизации, isо
Международная организация по стандартизации, ISО (International Оrganization for Standartization, ISO) - международная организация, занимающаяся выпуском стандартов.
Международная организация ISО начала функционировать 23 февраля 1947 г. как добровольная, неправительственная организация. Она была учреждена на основе достигнутого на совещании в Лондоне в 1946 г. соглашения между представителями 25-ти индустриально развитых стран о создании организации, обладающей полномочиями координировать на международном уровне разработку различных промышленных стандартов и осуществлять процедуру принятия их в качестве международных стандартов.
При создании организации и выборе ее названия учитывалась необходимость того, чтобы аббревиатура наименования звучала одинаково на всех языках. Для этого было решено использовать греческое слово isos - равный, вот почему на всех языках мира Международная организация по стандартизации имеет краткое название ISО (ИСО).
Сфера деятельности ISO касается стандартизации во всех областях, кроме электротехники и электроники, относящихся к компетенции Международной электротехнической комиссии (МЭК). Некоторые виды работ выполняются совместными усилиями этих организаций. Кроме стандартизации ISO занимается и проблемами сертификации.
Цель ISO — содействие развитию стандартизации в мировом масштабе для облегчения международного товарообмена и взаимопомощи, а также для расширения сотрудничества в области интеллектуальной, научной, технической и экономической деятельности.