Стандарт Р ИСО/МЭК 15408 («Общие критерии»)

Loading...

From the course by National Research University Higher School of Economics

Менеджмент информационной безопасности

8 оценки

National Research University Higher School of Economics

Менеджмент информационной безопасности

8 оценки

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

From the lesson

Основные стандарты в области информационной безопасности

Добро пожаловать на шестую неделю курса! Данный модуль является завершающим в рамках курса по изучению менеджмента информационной безопасности, но Вы всегда можете продолжить освоение материала самостоятельно. А мы, в свою очередь, будем рады любым вопросам и предложениям. После окончания этой недели Вы сможете: перечислить основные стандарты РФ в области защиты информации; назвать закрепленные в государственных стандартах РФ алгоритмы криптографической защиты информации; сформулировать основные принципы оценки безопасности информационной системы на основе «Общих критериев»; осуществить проверку соответствия уровня безопасности автоматизированной системы и/или межсетевого экрана требованиям руководящих документов уполномоченного органа РФ. Надеемся, что материал оказался для Вас познавательным. Всего наилучшего!

Категории стандартов Российской Федерации8:43

Основные действующие стандарты РФ в области информационной безопасности3:49

Группа стандартов Р ИСО/МЭК 270007:09

Стандарты в области криптографической защиты информации3:34

Стандарт Р ИСО/МЭК 15408 («Общие критерии»)4:57

Общая модель оценки безопасности информационных технологий5:23

Функциональные компоненты безопасности4:56

Компоненты доверия к безопасности6:27

Руководящие документы уполномоченных органов (регуляторов) Российской Федерации8:14

Meet the Instructors

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Далее

отдельно рассмотрим состоящий из трех частей стандарт Р ИСО/МЭК 15408,

являющийся адаптацией документа «Общие критерии».

Данный государственный стандарт называется полностью «Информационная технология.

Методы и средства обеспечения безопасности.

Критерии оценки безопасности информационных технологий».

Его первая часть содержит введение и описание общей модели оценки безопасности

информационных технологий, вторая часть — так называемые функциональные компоненты

безопасности, и третья часть — компоненты доверия к безопасности.

В общей модели указано, как использовать эти функциональные и компоненты доверия

к безопасности, как они взаимосвязаны между собой, и соответственно,

как на основе изучения этих компонентов делается вывод о том,

насколько защищена та или иная информационная система или

информационная технология от различных угроз информационной безопасности.

Данный государственный стандарт является утвержденной в Российской Федерации в

качестве государственного стандарта версией документа «Общие критерии оценки

защищенности информационных технологий», известного также, как «Общие критерии».

Данный документ объединяет и развивает наиболее отработанные подходы

к оценке безопасности информационных систем.

На нашей прошлой лекции мы с вами говорили о такой технологии, как системы

обнаружения атак, а еще лекцией ранее — о политике безопасности организаций.

И на этих двух этапах мы, в общем-то, завершили

строительство системы информационной безопасности объекта информатизации.

А вот эти государственные стандарты — я имею в виду состоящий

из трех частей 15408 — они дают инструмент для того, чтобы оценить,

насколько хороший результат у нас получился, насколько поставленная исходная

задача — защита от актуальных угроз информационной безопасности — выполнена.

О том, как конкретно это будет проводиться, мы далее поговорим подробнее,

отдельно рассмотрев каждую из этих трех частей.

Но пока уточним, для чего, собственно, предназначен данный стандарт.

Его основная задача заключается в обеспечении сопоставимости результатов

независимых оценок безопасности.

Дело в том, что жизненный цикл тех или иных объектов информатизации, средств

обеспечения информационной безопасности предполагает участие различных лиц,

ну например, таких, как производители средств информационной безопасности, тех,

кто разрабатывает проект объекта информатизации и выбирает,

какие средства защиты информации будут в нем использоваться,

конкретные пользователи, администраторы, руководство организации,

которая представляет данный объект информатизации.

У каждого из этих лиц, как правило, есть свое представление о том,

какая должна быть система, чтобы она была надежной.

При проектировании принимаются решения о том,

какие требования к безопасности должны быть выдвинуты,

как они должны соблюдаться, что для этого должно быть использовано.

Производители средств защиты информации знают функциональные требования

к своим объектам продукции, к своим изделиям, но просто конкретного

надежного изделия не достаточно, требуется его правильно эксплуатировать.

А вот вопрос о том, как он правильно эксплуатируется,

тот или иной механизм защиты информации или то или иное

устройство — это уже вопрос, который относится к

администраторам системы безопасности и даже конечным пользователям.

Вот для того, чтобы все эти лица имели бы возможность сопоставлять результаты

своих оценок безопасности планируемого или уже существующего объекта информатизации,

и служит данный государственный стандарт.

Методика оценивания, которая в нем предлагается,

направлена на достижение определенного уровня уверенности в том, что

функциональные возможности безопасности продуктов информационных технологий,

а также предпринятые меры доверия соответствуют предъявляемым требованиям.

То есть сначала устанавливается некий уровень, который требуется достичь,

далее перечисляется перечень средств, которые для этого были использованы,

а далее экспертным образом проводится оценивание того,

действительно ли эти средства корректно применяются и действительно ли заданный

уровень безопасности информации достигнут.

Первая часть данного стандарта содержит общую модель оценивания, вопросы выработки

требований безопасности, интерпретации и использования результатов оценки.

Во второй и третьей частях содержатся описания соответственно функциональных

и компонентов доверия безопасности.

[МУЗЫКА]

[МУЗЫКА]

Ознакомьтесь с нашим каталогом

Присоединяйтесь бесплатно и получайте персонализированные рекомендации, обновления и предложения.

Coursera делает лучшее в мире образование доступным каждому, предлагая онлайн-курсы от ведущих университетов и организаций.

© Coursera Inc., 2018 Все права защищены.

Загрузить из App Store

Загрузить в Google Play