Основные действующие стандарты РФ в области информационной безопасности

Loading...

Из курса от партнера National Research University Higher School of Economics

Менеджмент информационной безопасности

11 оценок

National Research University Higher School of Economics

Менеджмент информационной безопасности

11 оценок

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

Из урока

Основные стандарты в области информационной безопасности

Добро пожаловать на шестую неделю курса! Данный модуль является завершающим в рамках курса по изучению менеджмента информационной безопасности, но Вы всегда можете продолжить освоение материала самостоятельно. А мы, в свою очередь, будем рады любым вопросам и предложениям. После окончания этой недели Вы сможете: перечислить основные стандарты РФ в области защиты информации; назвать закрепленные в государственных стандартах РФ алгоритмы криптографической защиты информации; сформулировать основные принципы оценки безопасности информационной системы на основе «Общих критериев»; осуществить проверку соответствия уровня безопасности автоматизированной системы и/или межсетевого экрана требованиям руководящих документов уполномоченного органа РФ. Надеемся, что материал оказался для Вас познавательным. Всего наилучшего!

Категории стандартов Российской Федерации8:43

Основные действующие стандарты РФ в области информационной безопасности3:49

Группа стандартов Р ИСО/МЭК 270007:09

Стандарты в области криптографической защиты информации3:34

Стандарт Р ИСО/МЭК 15408 («Общие критерии»)4:57

Общая модель оценки безопасности информационных технологий5:23

Функциональные компоненты безопасности4:56

Компоненты доверия к безопасности6:27

Руководящие документы уполномоченных органов (регуляторов) Российской Федерации8:14

Познакомьтесь с преподавателями

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

Рассмотрим теперь основные

действующие стандарты Российской Федерации в области

информационной безопасности по состоянию на 2017 год, его 2-й уже квартал.

Прежде всего рассмотрим два стандарта за номером 13335, 1-я и 5-я части.

Они являются действующими.

Прочие части либо не были изданы, либо не являются уже действующими.

Это стандарты категории Р ИСО/МЭК, то есть стандарты,

созданные на основе некоего международного стандарта.

Такая нумерация частей для стандартов подобной категории может еще объясняться

тем, что различные части мирового стандарта переводятся в разное время,

по мере необходимости в ООН внедрении таких стандартов в Российской Федерации,

а при этом нумерация частей сохраняется, то есть нету ничего удивительного в том,

что сначала принимается, допустим, вторая часть, потом пятая,

потом первая, четвертая, а третьей пока еще вовсе нет.

Это означает лишь процесс перевода и адаптации мировых стандартов под

требование Российской Федерации.

Первая их этих двух частей называется «Информационная технология.

Методы и средства обеспечения безопасности.

Часть 1: Концепция и модели менеджмента безопасности

информационных и телекоммуникационных технологий».

Этот государственный стандарт известен нам как основание для построение

политики безопасности, именно по этому стандарту мы ее строили.

Данный стандарт является действующим.

Пятая часть того же стандарта называется точно так же в своей основной части,

а конкретно пятая часть называется руководство по менеджменту

безопасности сети.

Эти две части стандарта относятся к менеджменту безопасности информационных

технологий.

Еще один государственный стандарт,

который мы рассмотрим — это государственный стандарт Р ИСО/МЭК 15408.

Он состоит из трех частей и называется «Информационная технология.

Методы и средства обеспечения безопасности.

Критерии оценки безопасности информационных технологий».

Он также относится к категории стандартов,

созданных на основе мировых стандартов, и он является, по сути,

адаптацией документа, известного как «Общие критерии».

Именно этому стандарту мы уделим максимальное внимание в нашей

сегодняшней лекции — целых три части будут посвящены каждой из

частей данного государственного стандарта.

Данный стандарт создан для оценки, как следует из его названия,

безопасности информационных технологий.

О том, как такая оценка производится, какие сущности при этом используются,

как они взаимосвязаны, мы поговорим обязательно подробно.

Отдельного внимания заслуживает и группа государственных стандартов

Российской Федерации категории ИСО/МЭК, то есть подготовленных

на основании оригинального документа мировых стандартов серии 27000.

Мировая серия стандартов ISO 27000 — это стандарты,

посвященные менеджменту информационной безопасности.

Так, стандарт 27001 вводит основные требования к системам менеджмента

информационной безопасности — нам этот стандарт уже известен,

мы брали из него основные определения, относящиеся к защите информации.

Стандарт 27002 содержит свод норм и правил менеджмента

информационной безопасности и так далее.

Помимо перечисленных стандартов стоит отдельно упомянуть

стандарты на криптографические средства защиты информации,

им также будет посвящена отдельная часть в нашей сегодняшней лекции.

[МУЗЫКА]

[МУЗЫКА]

Ознакомьтесь с нашим каталогом

Присоединяйтесь бесплатно и получайте персонализированные рекомендации, обновления и предложения.

Coursera делает лучшее в мире образование доступным каждому, предлагая онлайн-курсы от ведущих университетов и организаций.

© Coursera Inc., 2018 Все права защищены.

Загрузить из App Store

Загрузить в Google Play