Глава 3. Стандарты информационной безопасности

Реализация монитора обращений называется ядром безопасности. Ядро безопасности — это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность. Границу доверенной вычислительной базы называют периметром безо пасности. Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными.

То, что находится внутри владений, считается доверенным, а то, что вне, — нет. Произвольное управление доступом — это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо обычно владелец объекта может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.

Безопасность повторного использования должна гарантироваться для областей оперативной памяти в частности, для буферов с образами экрана, расшифрованными паролями и т. Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта — степень конфиденциальности содержащейся в нем информации. Уровни секретности образуют упорядоченное множество, а списки категорий — неупорядоченное.

Назначение последних — описать предметную область, к которой относятся данные. Принудительное или мандатное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта.

Смысл сформулированного правила понятен — читать можно только то, что положено. Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов даже системных администраторов. После того, как зафиксированы метки безопасности субъектов объектов, оказываются зафиксированными и права доступа. Если понимать политику безопасности узко, то есть как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики.

Цель подотчетности - в каждый момент времени знать, кто работает в системе и что делает. Средства подотчетности делятся на три категории:. Обычный способ идентификации — ввод имени пользователя при входе в систему. Стандартное средство проверки подлинности аутентификации пользователя - пароль. Доверенный путь связывает пользователя непосредственно с доверенной вычислительной базой, минуя другие, потенциально опасные компоненты ИС.

Цель предоставления доверенного пути — дать пользователю возможность убедиться в подлинности обслуживающей его системы. Анализ регистрационной информации аудит имеет дело с действиями событиями , так или иначе затрагивающими безопасность системы. Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным.

Гарантированность — это мера уверенности с которой можно утверждать, что для проведения в жизнь сформулированной политики безопасности выбран подходящий набор средств, и что каждое из этих средств правильно исполняет отведенную ему роль. Операционная гарантированность относится к архитектурным и реализационным аспектам системы, в то время как технологическая — к методам построения и сопровождения.

Операционная гарантированность включает в себя проверку следующих элементов:. Операционная гарантированность — это способ убедиться в том, что архитектура системы и ее реализация действительно реализуют избранную политику безопасности. Технологическая гарантированность охватывает весь жизненный цикл системы, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения.

Оформление документации является необходимым условием для подтверждения гарантии надежности системы и одновременно — инструмент проведения политики безопасности. Без документации люди не будут знать, какой политике следовать и что для этого нужно делать. Согласно "Оранжевой книге", в комплект документации надежной системы должны входить следующие тома:. Разумеется, на практике требуется еще по крайней мере одна книга — письменное изложение политики безопасности данной организации. Руководство пользователя по средствам безопасности предназначено для обычных, непривилегированных людей.

Оно должно содержать сведения о механизмах безопасности и способах их использования. Руководство должно давать ответы по крайней мере на следующие вопросы:. Как входить в систему? Как вводить имя и пароль? Как часто это нужно делать? Как выбирать новый пароль? Как защищать файлы и другую информацию? Как задавать права доступа к файлам? Из каких соображений это нужно делать? Как импортировать и экспортировать информацию, не нарушая правил безопасности?

Как уживаться с системными ограничениями? Почему эти ограничения необходимы? Какой стиль работы сделает ограничения необременительными? Руководство администратора по средствам безопасности предназначено и для системного администратора, и для администратора безопасности. Положения этого стандарта на добровольной основе применяет множество компаний в десятках стран мира. Сертификация системы управления информационной безопасностью на соответствие стандарту BS позволяет убедиться владельцам информационных ресурсов, партнерам в том, что подсистема информационной безопасности построена правильно и функционирует эффективно.

История стандарта BS Прародитель международных стандартов управления информационной безопасностью — британский BS — уже давно вышел за национальные рамки.

Первая его часть, BS , была разработана в г. В начале г. Не секрет, что большинство бизнес-процессов современной организации обеспечиваются исключительно одной или несколькими информационными системами.

Providing the security of networks telecommunications. Требования к средствам высоконадежной биометрической аутентификации. Requirements to the means of high-reliability biometric authentication. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации. Требования к формированию синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации.

Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Testing for stability to intentional power electromagnetic influence. Паспорт организации связи по информационной безопасности.

Information security of the public communications network providing system. Passport of the organization communications of information security. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний. Facilities for measuring side electromagnetic radiation and pickup parameters. Technical requirements and test methods. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов.

Protection of information technology and automated systems against security threats posed by use of covert channels. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Recommendations on protecting information, information technology and automated systems against covert channel attacks.

Обеспечение информационной безопасности в организации. Information security provision in organizations. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа.

Conformance testing of technical information processing facilities to unauthorized access protection requirements. ГОСТ Системы обработки информации. Процессы формирования и проверки электронной цифровой подписи. Formation and verification processes of [electronic] digital signature.

Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям.

Вы можете следить за отзывами через RSS 2. Вы можете оставить отзыв , или трекбек со своего сайта. Средства информационной поддержки жизненного цикла продукции.

Благодаря стандартам информационной безопасности: Преимущества использования стандартов ИБ разными группами ИТ-сообщества. Согласно Федеральному закону №ФЗ «О техническом регулировании», целями стандартизации являются: повышение уровня безопасности. Стандарты информационной безопасности — Содержание 1 Международные стандарты 2 Государственные (национальные) стандарты РФ 3 Руководящие документы 4 См. также 5 Внешние ссылки Международные стандарты BS Стандарты информационной безопасности в РФ разрабатываются в рамках Гостехкомиссии РФ. Второстепенные термины. Гостехкомиссия и ее роль в обеспечении информационной безопасности в РФ. Документы по оценке защищенности автоматизированных систем в РФ. Структурная схема терминов. Гостехкомиссия и ее роль в обеспечении информационной безопасности в РФ.

Стандарты информационной безопасности — Википедия

Большая часть документации, требуемая по ISO , уже могла быть разработана, и могла использоваться в рамках ISO Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO или ISO , то предпочтительно обеспечивать выполнение требования стандарта ISO в рамках уже существующих систем.

Изменения коснулись как структуры стандарта, так и требований. На русский язык данная версия стандарта еще не переведена, но английский вариант текстового содержания нового стандарта таков:. В приложении "А" количество требований контролей уменьшилось со до Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом.

Процесс сертификации состоит из трех стадий:. Процедура сертификации системы менеджмента по любому из международных стандартов или их комбинации подразделяется на 4 этапа:. Перейти к навигации Главная Контакты Контакты. Поиск только в текущем разделе. Персональные инструменты Вход Регистрация. Киберугрозы и кибертерроризм Сертификация и аттестация Защита от инсайдеров и утечки информации Сетевая безопасность Безопасность беспроводных сетей Антивирусная защита Защита от спама Защита персональных данных Управление непрерывностью бизнеса Безопасность электронных платежей Безопасность баз данных Криптография Стеганография Компьютерный юмор Безопасность операционных систем Обучение и сертификация специалистов в области безопасности Аутсорсинг безопасности Аутентификация, Авторизация, IDM, Свободный софт Средства для оценки рисков Средства мониторинга действий пользователей Антивирусы Межсетевые экраны Сетевые сканеры безопасности Антиспам фильтры Шифровальщики и все прочее Info Стандарты информационной безопасности.

В курсе рассматриваются наиболее важные из них, знание которых необходимо всем или почти всем разработчикам и оценщикам защитных средств, многим сетевым и системным администраторам, руководителям соответствующих подразделений, пользователям.

Отбор проводился таким образом, чтобы охватить различные аспекты информационной безопасности, разные виды и конфигурации информационных систем, предоставить полезные сведения для самых разнообразных групп целевой аудитории. Часть стандартов и спецификаций была рассмотрена в курсе "Основы информационной безопасности" и в монографии автора "Информационная безопасность - практический подход"; в данном курсе о них приводятся лишь краткие сведения.

CSPP , GSS-API , SPD , аутентификация , безопасность , группа реагирования , защита данных , защита данных пользователя , изделие ит , интерфейсы , компоненты , конфиденциальность , криптографический модуль , оранжевая книга , открытые ключи , политика , политики безопасности , протоколы , профиль защиты , серверы , сервисы , спецификации , стандарты , требования доверия , шифрование.

Предварительные курсы Основы информационной безопасности. Обзор наиболее важных стандартов и спецификаций в области информационной безопасности Выделяются наиболее важные стандарты и спецификации. Приводятся краткие сведения о стандартах, не являющихся предметом данного курса. Аннотируются спецификации, детально рассматриваемые в последующей части курса. Основные идеи Рассматривается история создания "Общих критериев", описывается их текущий статус, анализируются основные идеи.

Функциональные требования безопасности Детально рассматриваются семейства функциональных требований безопасности, представленные в "Общих критериях". Анализируются достоинства и недостатки принятого в них подхода.

Требования доверия безопасности Детально рассматриваются семейства требований и оценочные уровни доверия безопасности, представленные в "Общих критериях". Профили защиты, разработанные на основе "Общих критериев". Общие требования к сервисам безопасности Определяется роль профилей защиты, описывается их структура. Выделяются общие требования к сервисам безопасности.

ISO/IEC — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по  ‎Цель и назначение · ‎Краткая история · ‎Последняя версия. Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартов и. Введение в COBIT: Как родилась эта статья? Занятый подготовкой учебного курса по аудиту безопасности информационных систем, автор не смог.

Найдено :

Случайные запросы