- •Стандартизация
- •Стандартизация в области информационной безопасности
- •Основные международные стандарты в области информационной безопасности План лекции
- •Международные критерии оценки безопасности информационных технологий зарубежных стран План лекции
- •1. Предпосылки создания международных стандартов иб
- •1.1. Общие вопросы
- •1.2. Состояние международной нормативно-методической базы
- •1.3. Назначение и цели международной стандартизации
- •1.4. Международная организация по стандартизации, isо
- •1.5. Основные международные стандарты информационной безопасности
- •2. Критерии оценки доверенных компьютерных систем («Оранжевая книга»)
- •2.1.Основные сведения
- •2.2 Основные требования и средства
- •2.2.1. Политики
- •2.2.2. Ответственность
- •2.2.3. Гарантии
- •2.2.4. Документирование
- •Руководство пользователя по средствам безопасности
- •Руководство администратора по средствам безопасности
- •Тестовая документация
- •Описание архитектуры
- •3. Основные понятия
- •3.1. Безопасная система
- •3.2. Доверенная система
- •3.5.1. Идентификация и учёт
- •3.5.2. Предоставление доверенного пути
- •3.5.3. Регистрация и учёт
- •3.5.4. Анализ регистрационной информации (Аудит)
- •3.7. . Монитор обращений
- •3.8. Ядро безопасности
- •3.9. Периметр безопасности
- •4.Механизмы реализации безопасности
- •4.1. Произвольное управление доступом
- •4.2. Безопасность повторного использования объектов
- •4.3. Метки безопасности
- •4.4. Принудительное управление доступом
- •5.1. Разделы безопасности
- •5.2. Классы безопасности
- •6. Краткая классификация
- •Международные критерии оценки безопасности информационных технологий зарубежных стран План лекции
- •1. Гармонизированные критерии европейских стран
- •2. Германский стандарт bsi
- •2.1. Структура германского стандарта bsi.
- •3. Британский стандарт bs 7799
- •4. Международный стандарт isо/iес 15408 "Критерии оценки безопасности информационных технологий" «Общие критерии»
- •Критерии оценки доверенных компьютерных систем (тсsес)
- •Европейские критерии (iтsес)
- •Канадские критерии безопасности компьютерных систем (стсрес)
- •Общие критерии оценки безопасности информационных технологий
- •Стандарты безопасности в Интернете
`Л.8 БИС, БИСиС, ИБАС
Стандартизация
Стандартизация — деятельность по разработке, опубликованию и применению стандартов, а также деятельность по установлению норм, правил и характеристик в целях обеспечения:
безопасности продукции, работ и услуг для окружающей среды, жизни, здоровья и имущества, технической и информационной совместимости, а также взаимозаменяемости продукции;
качества продукции, работ и услуг в соответствии с уровнем развития науки, техники и технологии;
норм единства измерений;
экономии всех видов ресурсов;
безопасности хозяйственных объектов с учётом риска возникновения природных и техногенных катастроф и других чрезвычайных ситуаций; обороноспособности и мобилизационной готовности страны.
Стандартизация направлена на достижение оптимальной степени упорядочения в определенной области посредством установления положений для всеобщего и многократного применения в отношении реально существующих или потенциальных задач
Целями стандартизации являются:
повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учётом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;
обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);
содействие соблюдению требований технических регламентов;
создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.
Стандартизация осуществляется в соответствии с принципами:
добровольного применения документов в области стандартизации;
максимального учёта при разработке стандартов законных интересов заинтересованных лиц;
применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения;
недопустимости создания препятствий производству и обращению продукции, выполнению работ и оказанию услуг в большей степени, чем это минимально необходимо для выполнения целей стандартизации;
недопустимости установления таких стандартов, которые противоречат техническим регламентам;
обеспечения условий для единообразного применения стандартов.
В технике стандартизация ведет к снижению себестоимости продукции, поскольку:
позволяет экономить время и средства за счет применения уже разработанных типовых ситуаций и объектов;
повышает надежность изделия или результатов расчетов, поскольку применяемые технические решения уже неоднократно проверены на практике;
упрощает ремонт и обслуживание изделий, так как стандартные узлы и детали — взаимозаменяемые (при условии, что сборка осуществлялась без пригоночных операций).
Стандартизация может быть малоэффективной в случаях, когда основной целью разработки изделия является достижение очень высоких функциональных характеристик, которые возможны при значениях основных параметров, не соответствующих стандартным.
Стандартизацию проводят органы стандартизации, наделенные законным правом руководить разработкой и утверждать нормативные документы и другие правила, придавая им статус стандартов. В России компетентными органами в области стандартизации являются Госстандарт России и ГосСтрой.
Основополагающим нормативным документом по стандартизации ГОССТАНДАРТа России установлена: «Государственная система стандартизации» (ГСС).
Комплекс стандартов ГСС РФ (ГОСТ Р1.0, ГОСТ Р1.1, ГОСТ Р1.2 и др.) представляют собой систему взаимосвязанных правил и положений, определяющих цели и задачи стандартизации, организацию и методику проведения работ по стандартизации во всех производственных отраслях России. ГСС устанавливает порядок разработки, оформления, согласования, утверждения, издания, обращения стандартов разных уровней стандартизации и других нормативных документов, а также контроля над их внедрением и соблюдением