Міжнародні стандарти інформаційної безпеки
За навчальною програмою 2018 року
Урок 10
10
(11)
Міжнародні стандарти�інформаційної безпеки
Розділ 2 § 10
Одними з найбільш важливих нормативно-технічних документів, які стимулюють розвиток захищених інформаційних систем, мереж і засобів є документи, що стандартизують вимоги та критерії оцінки безпеки.
Стандарти інформаційної безпеки — це стандарти забезпечення захисту, призначені для взаємодії між виробниками, споживачами і експертами з кваліфікації продуктів інформаційних технологій у процесі створення та експлуатації захищених систем оброблення інформації.
10�(11)
© Вивчаємо інформатику teach-inf.at.ua
Міжнародні стандарти�інформаційної безпеки
Розділ 2 § 10
Стандарт забезпечення захисту звичайно містять опис послідовності оцінок, які необхідно виконати, щоб вважати дану характеристику безпеки підтвердженою з точки зору атестації захисту або множину
характеристик безпеки, які повинна забезпечити система захисту, щоб її можна було використовувати в даному конкретному режимі забезпечення безпеки або у відповідності до загальної стратегії захисту.
10�(11)
© Вивчаємо інформатику teach-inf.at.ua
Міжнародні стандарти�інформаційної безпеки
Розділ 2 § 10
Стандарти інформаційної безпеки викладені в опублікованих матеріалах, вони намагаються захистити кібернетичне середовище користувача чи організації. Це середовище включає в себе:
користувачів
мережі
пристрої
програмне забезпечення
процеси
інформацію в режимі зберігання або транзиту
служби та системи, які можуть бути безпосередньо або опосередковано підключені до мереж
10�(11)
© Вивчаємо інформатику teach-inf.at.ua
Міжнародні стандарти�інформаційної безпеки
Розділ 2 § 10
Основна мета — знизити ризики, включаючи попередження або пом'якшення кібер-атак.
Ці опубліковані матеріали включають:
збірки інструментів
політику
концепції безпеки
гарантії безпеки
керівні принципи
навчання
підходи до управління ризиками
найкращі практики
забезпечення та технології
10�(11)
© Вивчаємо інформатику teach-inf.at.ua
Міжнародні стандарти�інформаційної безпеки
Розділ 2 § 10
Найбільш значними стандартами інформаційної безпеки є (у хронологічному порядку):
Європейські критерії безпеки інформаційних технологій
Федеральні критерії безпеки інформаційних технологій
Канадські критерії безпеки комп'ютерних систем
Загальні критерії безпеки інформаційних технологій
10�(11)
© Вивчаємо інформатику teach-inf.at.ua
Міжнародні стандарти�інформаційної безпеки
Розділ 2 § 10
Стандарти кібербезпеки існували протягом кількох десятиліть, оскільки користувачі та постачальники співпрацювали на багатьох міжнародних форумах для здійснення необхідних можливостей, політики та практики — як правило, вони з'являлися з роботи в Стенфордському консорціумі з досліджень з питань інформаційної безпеки та політики у 1990-х.
Історія
10�(11)
© Вивчаємо інформатику teach-inf.at.ua
Міжнародні стандарти�інформаційної безпеки
Розділ 2 § 10
BS 7799–1: 2005 Британський стандарт BS 7799, перша частина.
BS 7799, частина 1 — Кодекс практики управління інформаційною безпекою (Практичні правила управління інформаційної безпеки) описує 127 механізмів контролю, необхідних для побудови системи управління інформаційною безпекою (СУІБ) організації, визначених на основі кращих прикладів світового досвіду в цій області
10�(11)
© Вивчаємо інформатику teach-inf.at.ua
Міжнародні стандарти�інформаційної безпеки
Розділ 2 § 10
BS 7799–2: 2005 Британський стандарт BS 7799, друга частина стандарту.
BS 7799, частина 2 — Управління інформаційною безпекою — специфікація систем управління інформаційною безпекою. Друга частина стандарту використовується як критерії для проведення офіційної процедури сертифікації СУІБ організації
10�(11)
© Вивчаємо інформатику teach-inf.at.ua
Міжнародні стандарти�інформаційної безпеки
Розділ 2 § 10
BS 7799–3: 2006 Британський стандарт BS 7799, третя частина стандарту.
Новий стандарт в області управління ризиками інформаційної безпеки
ISO/IEC 17799: 2005 «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Міжнародний стандарт, базувався на BS 7799–1: 2005
10�(11)
© Вивчаємо інформатику teach-inf.at.ua
Міжнародні стандарти�інформаційної безпеки
Розділ 2 § 10
ISO/IEC 27000 Словник і визначення
ISO/IEC 27001 «Інформаційні технології — Методи забезпечення безпеки — Системи управління інформаційної безпеки — Вимоги». Міжнародний стандарт, базувався на BS 7799–2: 2005
10�(11)
© Вивчаємо інформатику teach-inf.at.ua
Міжнародні стандарти�інформаційної безпеки
Розділ 2 § 10
Послуги і механізми захисту інформації �(Стандарт ISO 7498, ISO/IEC 10181)
Спеціальні
Загальні
Шифрування
Цифровий підпис
Цілісність даних
Аутентифікація
Заповнення трафіку
Нотарізація
Спеціальні
Мітки безпеки
Виявлення подій
Довірча функціональність
Контроль безпеки
Відновлення безпеки
10�(11)
© Вивчаємо інформатику teach-inf.at.ua
Домашнє завдання
Розділ 2 § 10
Зробити пост у соціальних мережах про міжнародні стандарти інформаційної безпеки
10�(11)
© Вивчаємо інформатику teach-inf.at.ua
Працюємо за комп’ютером
Розділ 2 § 10
Створіть презентацію
“Основні положення міжнародних стандартів інформаційної безпеки”
1. Розмісіть роботу на Google-диску, надайте доступ, для перегляду і редагування учителю і 2 однокласникам.
2. Перегляньте проектну роботу своїх друзів. Додайте коментарі. Порівняйте змістовну частину і оформлення.
3. Оцініть власну роботу і переглянуті роботи.
10�(11)
© Вивчаємо інформатику teach-inf.at.ua