Общая модель оценки безопасности информационных технологий

Loading...

En provenance du cours de National Research University Higher School of Economics

Менеджмент информационной безопасности

8 notes

National Research University Higher School of Economics

Менеджмент информационной безопасности

8 notes

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

À partir de la leçon

Основные стандарты в области информационной безопасности

Добро пожаловать на шестую неделю курса! Данный модуль является завершающим в рамках курса по изучению менеджмента информационной безопасности, но Вы всегда можете продолжить освоение материала самостоятельно. А мы, в свою очередь, будем рады любым вопросам и предложениям. После окончания этой недели Вы сможете: перечислить основные стандарты РФ в области защиты информации; назвать закрепленные в государственных стандартах РФ алгоритмы криптографической защиты информации; сформулировать основные принципы оценки безопасности информационной системы на основе «Общих критериев»; осуществить проверку соответствия уровня безопасности автоматизированной системы и/или межсетевого экрана требованиям руководящих документов уполномоченного органа РФ. Надеемся, что материал оказался для Вас познавательным. Всего наилучшего!

Категории стандартов Российской Федерации8:43

Основные действующие стандарты РФ в области информационной безопасности3:49

Группа стандартов Р ИСО/МЭК 270007:09

Стандарты в области криптографической защиты информации3:34

Стандарт Р ИСО/МЭК 15408 («Общие критерии»)4:57

Общая модель оценки безопасности информационных технологий5:23

Функциональные компоненты безопасности4:56

Компоненты доверия к безопасности6:27

Руководящие документы уполномоченных органов (регуляторов) Российской Федерации8:14

Rencontrer les enseignants

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] В первой части государственного

стандарта, являющегося адаптацией документа под названием «Общие критерии»,

содержатся общая модель оценки безопасности информационных технологий,

и давайте ее поподробнее рассмотрим.

Прежде всего дадим определение понятия объекта оценки.

Под ним в данном документе подразумевается совокупность программного,

программно-аппаратного или аппаратного обеспечения, возможно,

сопровождаемого руководствами.

Это формальное определение, которое содержится в данном документе,

но смысл его заключается в том, что объект оценки — это тот объект, который

действительно является совокупностью программного, программно-аппаратного или

аппаратного обеспечения, защищенность которого и требуется оценить.

Поэтому он и называется объектом оценки.

Именно вокруг него и строится вся процедура оценивания.

Продуктом в данном документе считается совокупность средств

информационных технологий, предоставляющая определенные функциональные

возможности и предназначенная для непосредственного использования или

включения в различные системы.

А система, в свою очередь, — это специфическое воплощение информационных

технологий с конкретным назначением и условиями эксплуатации.

То есть продукт — это компонент системы, а система — это более широкое понятие.

Объект оценивания может являться и продуктом,

то есть какой-то конкретной программой или устройством, так и системой, например,

информационной системой, уровень защищенности которой требуется оценить.

Основные принципы оценки безопасности в данной модели состоят в том,

что следует сформулировать угрозы безопасности, как мы это делали в начале

нашего курса, и положения политики безопасности организации,

о чем мы также не так давно говорили, а достаточность

предложенных мер безопасности следует отдельно продемонстрировать.

Основная концепция данной модели заключается в том,

что обеспечение доверия основывается на оценке,

то есть активном исследовании продукта информационных технологий,

который должен соответствовать определенным критериям безопасности.

Для типовых объектов оценивания общие критерии предусматривают разработку

типовых совокупностей требований безопасности, называемых профилями защиты.

Для проектируемого же объекта оценки за выработкой требований следует

разработка краткой спецификации, входящей в задание по безопасности.

Как вспомогательный элемент,

упрощающий создание профиля защиты и задания по безопасности, могут применяться

функциональные пакеты — неоднократно используемые совокупности компонентов,

объединенных для достижения установленных целей безопасности.

Иными словами, для того, чтобы начать оценивание,

требуется определить, какой уровень безопасности должен быть достигнут,

то есть по сути сформулировать задание по безопасности.

После того, как задание по безопасности сформулировано,

следует оценить, насколько данный уровень безопасности может быть достигнут

на основе параметров исследуемого объекта, то есть объекта оценки.

Для того, чтобы такую оценку провести,

вводятся понятия функциональных требований и требований доверия.

Под функциональными требованиями безопасности (или сокращенно ФТБ)

подразумеваются требования безопасности, которые определяют,

по которым объект оценки управляет использованием и доступом к своим ресурсам

и таким образом к информации и сервисам, им контролируемым.

То есть это вся совокупность средств защиты информации,

о которых мы говорили в нашем курсе, принципы использования этих

средств защиты информации в объекте оценки и то, каким образом в

итоге этот объект оценки управляет доступом к хранящейся в нем информации.

А требования доверия, в свою очередь,

определяют уровень надежности проведенного исследования объекта оценки,

угроз безопасности и положений политики безопасности.

Неоднократно упоминалось, что самого факта наличия того или иного средства защиты

информации недостаточно для обеспечения достаточного уровня защиты информации.

Требуется этот объект правильно использовать.

Если...

Требуется это средство правильным образом использовать.

Вот требования доверия как раз направлены на выявление того,

насколько корректно определены угрозы,

насколько правильно используются выбранные меры защиты информации, и соответственно,

насколько корректно политика безопасности отражает необходимые действия в

рамках объекта оценки для того, чтобы противостоять выявленным угрозам.

Требования безопасности образуют следующую иерархию.

Прежде всего они делятся на классы, это наиболее общая категория требований.

В каждом классе содержится семейства, и в пределах класса они различаются по

строгости требований и другим характеристикам.

В семейства входят наборы компонентов.

Это минимальные наборы требований, фигурирующих, как единая целая сущность.

И наконец, сами компоненты могут делиться на элементы.

Мельче элемента уже сущности нет, элемент — это неделимое требование.

[МУЗЫКА] [МУЗЫКА]

[МУЗЫКА]

Explorer notre catalogue

Rejoignez-nous gratuitement et obtenez des recommendations, des mises à jour et des offres personnalisées.

Coursera propose un accès universel à la meilleure formation au monde, en partenariat avec des universités et des organisations du plus haut niveau, pour proposer des cours en ligne.

© 2018 Coursera Inc. Tous droits réservés.

Télécharger dans l'App Store

Disponible sur Google Play