Функциональные компоненты безопасности

Loading...

En provenance du cours de National Research University Higher School of Economics

Менеджмент информационной безопасности

11 notes

National Research University Higher School of Economics

Менеджмент информационной безопасности

11 notes

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

À partir de la leçon

Основные стандарты в области информационной безопасности

Добро пожаловать на шестую неделю курса! Данный модуль является завершающим в рамках курса по изучению менеджмента информационной безопасности, но Вы всегда можете продолжить освоение материала самостоятельно. А мы, в свою очередь, будем рады любым вопросам и предложениям. После окончания этой недели Вы сможете: перечислить основные стандарты РФ в области защиты информации; назвать закрепленные в государственных стандартах РФ алгоритмы криптографической защиты информации; сформулировать основные принципы оценки безопасности информационной системы на основе «Общих критериев»; осуществить проверку соответствия уровня безопасности автоматизированной системы и/или межсетевого экрана требованиям руководящих документов уполномоченного органа РФ. Надеемся, что материал оказался для Вас познавательным. Всего наилучшего!

Категории стандартов Российской Федерации8:43

Основные действующие стандарты РФ в области информационной безопасности3:49

Группа стандартов Р ИСО/МЭК 270007:09

Стандарты в области криптографической защиты информации3:34

Стандарт Р ИСО/МЭК 15408 («Общие критерии»)4:57

Общая модель оценки безопасности информационных технологий5:23

Функциональные компоненты безопасности4:56

Компоненты доверия к безопасности6:27

Руководящие документы уполномоченных органов (регуляторов) Российской Федерации8:14

Rencontrer les enseignants

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Вторая часть данного

стандарта перечисляет и описывает функциональные компоненты безопасности.

Давайте рассмотрим подробнее и их.

Функциональные требования безопасности подразделяются на классы.

Каждый класс, в свою очередь,

содержит атрибуты класса и одно или несколько семейств.

Каждое семейство, в свою очередь, содержит атрибуты семейства и один или несколько

компонентов, а компонент содержит атрибуты компонента и один или несколько элементов.

Таким образом формируется иерархия функциональных требований безопасности.

Функциональные требования безопасности, или функциональные компоненты.

В названии данной части стандарта они называются функциональными компонентами,

а далее по тексту стандарта — функциональными требованиями.

Так вот, функциональные требования безопасности делятся на следующие классы.

Первый класс — аудит безопасности — содержит шесть семейств и относится к

вопросам исследования безопасности,

оценки надежности выбранных мер защиты информации.

Следующий класс относится к связи и к обеспечению связи между различными

компонентами информационной системы.

Криптографической поддержке посвящены два семейства функциональных требований.

Целых 13 семейств функциональных компонентов безопасности относятся к

вопросам защиты данных пользователя.

Это одно из наиболее многочисленных семейств функциональных компонентов

безопасности.

Идентификация и аутентификация и подсистема идентификации и аутентификации

представлены шестью семействами функциональных требований безопасности.

Другие классы функциональных требований безопасности содержат требования,

относящиеся к вопросам приватности — это четыре семейства.

14 семейств посвящены вопросам защиты функций безопасности объекта.

Здесь следует сказать о том, что такое ФБО, или функции безопасности объекта.

Под ними подразумевается совокупность всех мер защиты

информации в объекте оценивания, то есть, по сути,

подсистема безопасности информации, входящая в состав объекта оценивания.

Еще три семейства отвечают за использование ресурсов,

шесть семейств функциональных компонентов безопасности посвящены доступу к объекту

оценивания, и еще два семейства описывают вопросы доверенного маршрута или канала.

Таким образом, функциональные компоненты безопасности являются описаниями

различных мер защиты информации и организации управления информацией

в объекте оценивания, которые и влияют на то, насколько объект оценивания

управляет доступом к своим ресурсам и к хранящейся в нем информации.

На основе того, какие из функциональных компонентов безопасности присутствуют и

какие конкретно проявления и какие конкретные формы имеют те меры

защиты информации, которые реализованы в объекте оценивания,

таким образом, на основе того, какое множество функциональных

требований безопасности соблюдено или какие функциональные компоненты

безопасности присутствуют в объекте оценки, делается вывод о том,

насколько конкретный объект оценки соответствует заданию по безопасности.

Для того чтобы оценить, какое задание по безопасности требуется для достижения того

или иного уровня безопасности, как раз и вводится понятие профиля безопасности и,

собственно, формируются эти задания безопасности.

То есть на этапе изучения функциональных требований безопасности

принимается решение о том, достаточен ли их набор для того,

чтобы обеспечить заранее заданный уровень безопасности,

и на этом этапе дается ответ на вопрос, достаточен ли он или нет.

Кроме того, на этом же этапе и на предварительном этапе перед изучением

функциональных компонент безопасности может оцениваться принципиальная

возможность достижения заданного уровня безопасности на основе изучения

окружающей среды и условий функционирования объекта оценки.

Далее, после того как, допустим,

объект оценки удовлетворительно прошел проверку

на наличие требуемого минимального набора функциональных компонент

безопасности для достижения заданного уровня, следует ответить на вопрос,

доверяют ли эксперты тому, что данный уровень безопасности

действительно достижим и действительно достигается в данном объекте оценки.

Для этого используются требования доверия, или компоненты доверия.

[МУЗЫКА]

[МУЗЫКА]

Explorer notre catalogue

Rejoignez-nous gratuitement et obtenez des recommendations, des mises à jour et des offres personnalisées.

Coursera propose un accès universel à la meilleure formation au monde, en partenariat avec des universités et des organisations du plus haut niveau, pour proposer des cours en ligne.

© 2018 Coursera Inc. Tous droits réservés.

Télécharger dans l'App Store

Disponible sur Google Play