Стандарт Р ИСО/МЭК 15408 («Общие критерии»)

Loading...

From the course by National Research University Higher School of Economics

Менеджмент информационной безопасности

11 ratings

National Research University Higher School of Economics

Менеджмент информационной безопасности

11 ratings

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

From the lesson

Основные стандарты в области информационной безопасности

Добро пожаловать на шестую неделю курса! Данный модуль является завершающим в рамках курса по изучению менеджмента информационной безопасности, но Вы всегда можете продолжить освоение материала самостоятельно. А мы, в свою очередь, будем рады любым вопросам и предложениям. После окончания этой недели Вы сможете: перечислить основные стандарты РФ в области защиты информации; назвать закрепленные в государственных стандартах РФ алгоритмы криптографической защиты информации; сформулировать основные принципы оценки безопасности информационной системы на основе «Общих критериев»; осуществить проверку соответствия уровня безопасности автоматизированной системы и/или межсетевого экрана требованиям руководящих документов уполномоченного органа РФ. Надеемся, что материал оказался для Вас познавательным. Всего наилучшего!

Категории стандартов Российской Федерации8:43

Основные действующие стандарты РФ в области информационной безопасности3:49

Группа стандартов Р ИСО/МЭК 270007:09

Стандарты в области криптографической защиты информации3:34

Стандарт Р ИСО/МЭК 15408 («Общие критерии»)4:57

Общая модель оценки безопасности информационных технологий5:23

Функциональные компоненты безопасности4:56

Компоненты доверия к безопасности6:27

Руководящие документы уполномоченных органов (регуляторов) Российской Федерации8:14

Meet the Instructors

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Далее

отдельно рассмотрим состоящий из трех частей стандарт Р ИСО/МЭК 15408,

являющийся адаптацией документа «Общие критерии».

Данный государственный стандарт называется полностью «Информационная технология.

Методы и средства обеспечения безопасности.

Критерии оценки безопасности информационных технологий».

Его первая часть содержит введение и описание общей модели оценки безопасности

информационных технологий, вторая часть — так называемые функциональные компоненты

безопасности, и третья часть — компоненты доверия к безопасности.

В общей модели указано, как использовать эти функциональные и компоненты доверия

к безопасности, как они взаимосвязаны между собой, и соответственно,

как на основе изучения этих компонентов делается вывод о том,

насколько защищена та или иная информационная система или

информационная технология от различных угроз информационной безопасности.

Данный государственный стандарт является утвержденной в Российской Федерации в

качестве государственного стандарта версией документа «Общие критерии оценки

защищенности информационных технологий», известного также, как «Общие критерии».

Данный документ объединяет и развивает наиболее отработанные подходы

к оценке безопасности информационных систем.

На нашей прошлой лекции мы с вами говорили о такой технологии, как системы

обнаружения атак, а еще лекцией ранее — о политике безопасности организаций.

И на этих двух этапах мы, в общем-то, завершили

строительство системы информационной безопасности объекта информатизации.

А вот эти государственные стандарты — я имею в виду состоящий

из трех частей 15408 — они дают инструмент для того, чтобы оценить,

насколько хороший результат у нас получился, насколько поставленная исходная

задача — защита от актуальных угроз информационной безопасности — выполнена.

О том, как конкретно это будет проводиться, мы далее поговорим подробнее,

отдельно рассмотрев каждую из этих трех частей.

Но пока уточним, для чего, собственно, предназначен данный стандарт.

Его основная задача заключается в обеспечении сопоставимости результатов

независимых оценок безопасности.

Дело в том, что жизненный цикл тех или иных объектов информатизации, средств

обеспечения информационной безопасности предполагает участие различных лиц,

ну например, таких, как производители средств информационной безопасности, тех,

кто разрабатывает проект объекта информатизации и выбирает,

какие средства защиты информации будут в нем использоваться,

конкретные пользователи, администраторы, руководство организации,

которая представляет данный объект информатизации.

У каждого из этих лиц, как правило, есть свое представление о том,

какая должна быть система, чтобы она была надежной.

При проектировании принимаются решения о том,

какие требования к безопасности должны быть выдвинуты,

как они должны соблюдаться, что для этого должно быть использовано.

Производители средств защиты информации знают функциональные требования

к своим объектам продукции, к своим изделиям, но просто конкретного

надежного изделия не достаточно, требуется его правильно эксплуатировать.

А вот вопрос о том, как он правильно эксплуатируется,

тот или иной механизм защиты информации или то или иное

устройство — это уже вопрос, который относится к

администраторам системы безопасности и даже конечным пользователям.

Вот для того, чтобы все эти лица имели бы возможность сопоставлять результаты

своих оценок безопасности планируемого или уже существующего объекта информатизации,

и служит данный государственный стандарт.

Методика оценивания, которая в нем предлагается,

направлена на достижение определенного уровня уверенности в том, что

функциональные возможности безопасности продуктов информационных технологий,

а также предпринятые меры доверия соответствуют предъявляемым требованиям.

То есть сначала устанавливается некий уровень, который требуется достичь,

далее перечисляется перечень средств, которые для этого были использованы,

а далее экспертным образом проводится оценивание того,

действительно ли эти средства корректно применяются и действительно ли заданный

уровень безопасности информации достигнут.

Первая часть данного стандарта содержит общую модель оценивания, вопросы выработки

требований безопасности, интерпретации и использования результатов оценки.

Во второй и третьей частях содержатся описания соответственно функциональных

и компонентов доверия безопасности.

[МУЗЫКА]

[МУЗЫКА]

Explore our Catalog

Join for free and get personalized recommendations, updates and offers.

Coursera provides universal access to the world’s best education, partnering with top universities and organizations to offer courses online.

© 2018 Coursera Inc. All rights reserved.

Download on the App Store

Get it on Google Play