Анализ международных, национальных и отраслевых стандартов информационной безопасности

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА

Федеральное государственное бюджетное  образовательное учреждение высшего  профессионального образования

«Уральский государственный университет  путей сообщения»

(ФГБОУ ВПО УрГУПС)

 

 

 

 

 

Кафедра ИТ и ЗИ

КУРСОВАЯ РАБОТА

На тему «Анализ международных, национальных и отраслевых стандартов информационной безопасности»

по дисциплине

«Комплексные  системы защиты информации»

 

 

Выполнил:

Кутовой В.Д.

 

                                                                                                   Проверил:

доцент

Зырянова  Т.Ю.

 

 

 

 

 

 

 

 

 

 

2013 г.

Введение	3
1. Номер и полное наименование	4
2. Страна происхождения и организации разработчики	4
3. История развития	4
4. Назначение стандарта	5
5. Область применения	6
6. Термины и определения	8
7. Структура	11
8. Характерные особенности	12
9. Методики оценки показателей обеспечения ИБ	13
10. Сертификация на соответствие стандарту	14
Заключение	17
Список используемых информационных источников	18

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ВВЕДЕНИЕ.

 

         Хороший специалист в области информационной безопасности (ИБ) обязан обладать знаниями о соответствующих стандартах и спецификациях в области защиты информации. Причины этого следующие. Основная причина состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и/или Руководящим документам Гостехкомиссии России) закреплена законодательно. Но возможно более важными причинами являются то что сами сведения содержащиеся в стандартах обладают немалой ценностью. Во-первых, стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами. Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов. С практической точки зрения, количество стандартов и спецификаций (международных, национальных, отраслевых и т.п.) в области информационной безопасности бесконечно. В данной работе рассматривается только один стандарт.

Цель –  составление наиболее полного каталога стандартов в области ИБ с их кратким  анализом.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Номер и полное название

 

             ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. Information technology. Security techniques. Security assessment of operational systems. 

 

2. Страна происхождения и организации разработчики 

 

         Первоначально стандарт был разработан  Международной организацией по стандартизации (ИСО).

     В Российской федерации стандарт  прошел три стадии:

2.1 Подготовлен -  Федеральным  государственным учреждением "Государственный  научно-исследовательский испытательный  институт проблем технической  защиты информации Федеральной  службы по техническому и экспортному  контролю" (ФГУ "ГНИИИ ПТЗИ  ФСТЭК России"), Обществом с  ограниченной ответственностью "Центр  безопасности информации" (ООО  "ЦБИ") на основе собственного  аутентичного перевода стандарта. 
      

2.2  Внесен - Управлением технического  регулирования и стандартизации  Федерального агентства по техническому  регулированию и метрологии 
      

2.3 УТВЕРЖДЕН  И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 525-ст. 

3. История развития стандарта

          В середине октября 2002 г. на пленарном собрании Подкомитета 27 "Методы и средства обеспечения безопасности" (SC27) совместного Технического комитета 1 "Информационная технология" (JTC1) Международной организации по стандартизации (ISO) было выдвинуто предложение разработать новый стандарт для оценки безопасности автоматизированных систем. Данная инициатива получила поддержку членов подкомитета, в результате появился технический доклад "Security assessment of operational systems". В настоящем обзоре рассматривается вторая редакция проекта технического доклада (2nd Proposed Draft Technical Report, PDTR), опубликованная 17 декабря 2004 г.

          В центральном секретариате ISO проекту  был присвоен номер 19791, а статус  разрабатываемого документа определен  как "Технический доклад типа 2". Это означает, что со временем (хотя и не в ближайшем будущем)  текст доклада может быть утвержден  в качестве международного стандарта. 

           В России ГОСТ Р ИСО/МЭК ТО 19791-2008, утвержден приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 525-ст.

 

 

4. Назначение стандарта.

 

           Настоящий стандарт содержит  дополнительные правила (процедуры)  к международным стандартам ИСО/МЭК  15408-1, ИСО/МЭК 15408-2, ИСО/МЭК 15408-3 (далее  - стандарты серии ИСО/МЭК 15408) в интересах оценки (оценивания) безопасности автоматизированных  систем. Требования, установленные  в стандартах серии ИСО/МЭК  15408, обеспечивают задание и определение  функциональных возможностей безопасности  продуктов и систем, входящих  в состав информационных технологий. Однако стандарты серии ИСО/МЭК  15408 не рассматривают некоторые  критические (важные) аспекты безопасности  автоматизированной системы, которые  должны быть четко специфицированы  для их эффективного оценивания. 
      
             Настоящий стандарт содержит дополнительные критерии оценки и рекомендации по оценке аспектов безопасности, связанных как с информационными технологиями, так и с применением их в автоматизированных системах. Настоящий стандарт, прежде всего предназначен для тех, кто связан с разработкой, интеграцией, развертыванием и управлением безопасностью автоматизированных систем, а также для организаций, оказывающих услуги по оценке, пытающихся применить требования стандартов серии ИСО/МЭК 15408 к подобным системам. Настоящий стандарт будет также необходим органам, осуществляющим оценку соответствия, ответственным за утверждение и подтверждение правильности действий организаций, оказывающих услуги по оценке. Заказчики оценки безопасности и другие стороны, заинтересованные в безопасности автоматизированных систем, будут дополнительными пользователями сведений общего характера в области безопасности информации. 
      
                 Относительно определения и использования термина "система" существуют фундаментальные проблемы. В стандартах серии ИСО/МЭК 15408, целью которых является оценка продуктов информационных технологий, термин "система" используется для учета только аспектов информационных технологий конкретной системы. Определение термина "автоматизированная система", используемого в настоящем стандарте, включает в себя совокупность персонала, процедур и процессов, интегрированных с функциями и механизмами информационных технологий, применяемых совместно, чтобы установить приемлемый уровень остаточного риска в установленной среде функционирования автоматизированной системы.

 

 

5. Область применения

 

            Настоящий стандарт содержит  рекомендации и критерии оценки  безопасности автоматизированных  систем (АС), а также обеспечивает  расширение области применения  стандартов серии ИСО/МЭК 15408, включая ряд критических аспектов, касающихся оценки среды эксплуатации  объекта оценки и декомпозиции  составных АС на домены безопасности, которые должны оцениваться отдельно. 
     

5.1 Устанавливает: 
      a. определение и модель АС;

в. описание расширений концепции оценки безопасности с помощью  стандартов серии ИСО/МЭК 15408, необходимых для оценки АС; 
с. методологию и процесс выполнения оценки безопасности АС; 
d. дополнительные критерии оценки безопасности, охватывающие те аспекты АС, которые не были охвачены критериями оценки безопасности в стандартах серии ИСО/МЭК 15408.

5.2  Дает возможность включать  продукты безопасности,

оцененные в соответствии с требованиями стандартов серии ИСО/МЭК 15408, в автоматизированные системы и проводить оценку как  единого целого с использованием настоящего стандарта.

 

3. Стандарт ограничивается оценкой безопасности автоматизированных систем и не распространяется на другие формы оценки систем. Настоящий стандарт не определяет методы и средства идентификации, оценки и принятия эксплуатационного риска.

 

 

 

 

 

 

6. Термины и определения 

          

              В настоящем стандарте применены  следующие термины с соответствующими определениями:                         
     

6.1 компонент (component): Поддающаяся идентификации отдельная часть (элемент) автоматизированной системы, которая реализует часть функциональных возможностей системы. 
     

6.2 внешняя автоматизированная система (external operational system): Отдельная автоматизированная система, которая имеет связи с автоматизированной системой, являющейся объектом оценки. 
    

6.3 управленческие меры безопасности (management controls): Меры безопасности информационной системы, направленные на менеджмент рисков и менеджмент информационной безопасности информационных систем. 
               

4. организационные меры безопасности (operational controls): Меры безопасности информационной системы, которые, главным образом, реализуются и выполняются операторами, а не системами. 
        
5. автоматизированная система (operational system): Информационная система, включая элементы, не связанные с информационной технологией, рассматриваемые с учетом условий ее эксплуатации. 
        
6. остаточный риск (residual risk): Риск, который остается после обработки рисков.  
        
7. риск (risk): Потенциальная возможность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей активов или группы активов организаций. 
   Примечание - Риск измеряется в терминах сочетания вероятности события и его последствий.

 

     

8.  анализ рисков (risk analysis): Cистемный подход к определению величины риска.  
             
9. оценка рисков (risk assessment): Процесс, включающий в себя идентификацию рисков, анализ рисков и оценивание рисков.

 

     

10.  менеджмент рисков (risk management): Весь процесс идентификации, контроля и управления или минимизации подозрительных (неопределенных) событий, которые могут оказать негативное воздействие на ресурсы системы. 
            Примечание - Адаптированный термин из ИСО/МЭК 13335-1. Менеджмент рисков обычно включает в себя анализ рисков, обработку рисков, принятие рисков, распространение информации о рисках (обмен или предоставление в совместное пользование информации о рисках между лицом, принимающим решение, и другими заинтересованными лицами). 
              
11. обработка рисков (risk treatment): Процесс выбора и реализации мер обеспечения безопасности (security controls) для изменения рисков. 
            Примечание - Адаптированный термин из ИСО/МЭК 13335-1. 
              
12. меры обеспечения безопасности (security controls): Управленческие, организационные и технические меры обеспечения безопасности, применяемые в информационной системе для защиты и доступности системы и ее информации. 
    

1. Данное определение распространяется также на меры обеспечения безопасности, связанные с обеспечением подотчетности, аутентичности, неотказуемости, приватности и надежности, которые иногда рассматриваются отдельно от конфиденциальности, целостности и доступности. 
        
2. Меры безопасности - меры защиты и контрмеры. 
   

13. домен безопасности (security domain): Часть автоматизированной системы, которая реализует одни и те же политики безопасности. 
         
14. подсистема (subsystem): Один или более компонентов автоматизированной системы, которые допускают их выполнение отдельно от остальной системы. 
         
15. система как объект оценки (system target of evaluation): Автоматизированная система, которая эксплуатируется в соответствии с рекомендациями по эксплуатации, включая технические и организационные меры обеспечения безопасности, и является предметом оценки. 
           Примечание - Организционные меры обеспечения безопасности образуют часть эксплуатационной среды. Они не оцениваются по критериям оценки в соответствии со стандартами серии ИСО/МЭК 15408. 
         
16. технические меры безопасности (technical controls): Меры безопасности информационной системы, которые реализуются и выполняются самой информационной системой через механизмы, содержащиеся в аппаратных, программных или программно-аппаратных компонентах системы. 
            
17. верификация (verification): Процессы оценки, используемые для подтверждения того, что меры обеспечения безопасности для автоматизированной системы реализованы корректно, и их применение является эффективным. 
         
18. уязвимость (vulnerability): Недостатки или слабости в проекте или реализации информационной системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднамеренно использованы для оказания неблагоприятного воздействия на активы организации или ее функционирование.