Файл: Стандарты и сертификаты информационной безопасности Специальность 6В06104 "Системы информационной безопасности".docx
Добавлен: 04.02.2024
Просмотров: 48
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Некоммерческое акционерное общество
Алматинский университет энергетики и связи имени Гумарбека Даукеева
Институт информационных технологий
Кафедра Информационных систем и кибербезопасность
Расчетно-графическая работа №2
Дисциплина: Стандартизация и сертификация средств информационной безопасности
Тема: «Стандарты и сертификаты информационной безопасности»
Специальность: 6В06104– “Системы информационной безопасности”
Выполнил: Кабидуллов.Е.Т.
Группа: СИБ-20-3
Приняла: ректор. Адилгажинова С.
_______ ________________ «____» ________________2022г.
(оценка) (подпись) (дата)
Алматы 2022
Содержание
Введение 3
Определение информационной безопасности и основные принципы ее обеспечения 4
Угрозы, связанные с нарушением информационной безопасности, и классификация угроз 4
Роль стандартов и спецификаций. Наиболее важные стандарты и спецификации в области информационной безопасности 5
Краткие сведения о стандартах и спецификациях, не являющихся предметом данного курса. 6
Краткие аннотации подробно рассматриваемых в курсе стандартов и спецификаций 7
История создания и текущий статус "Общих критериев"
Основные понятия и идеи "Общих критериев" 7
Основные понятия и идеи "Общей методологии оценки безопасности информационных технологий" 8
Сертификат 9
Заключение 10
Ссылки на литературу 11
Введение
В данном курсе представлены две лекции, которые посвящены теме "Стандарты информационной безопасности". Первая лекция "Стандарты информационной безопасности" представляет собой введение в мир компьютерных сетей. В ходе этой лекции мы узнаем, что такое компьютерная сеть, какие задачи решаются при ее создании, какие протоколы используются для передачи данных и как работает сетевое оборудование. Вторая лекция "Модель OSI" посвящена стандарту модели OSI (Open Systems Interconnection). В ходе этой лекции мы рассмотрим основные уровни модели OSI, их функциональность и роль в передаче данных в компьютерной сети. Также мы узнаем, какие протоколы используются на каждом уровне модели OSI и каким образом происходит взаимодействие между ними. Обе лекции позволят вам получить фундаментальные знания в области компьютерных сетей,
которые пригодятся как начинающим, так и опытным специалистам в данной области.
Определение информационной безопасности и основные принципы ее обеспечения.
Информационная безопасность (ИБ) - это состояние защищенности информационных систем, данных и процессов от нежелательного доступа, использования, раскрытия, изменения, уничтожения, прекращения или искажения информации.
Основные принципы обеспечения информационной безопасности включают:
Конфиденциальность - обеспечение защиты информации от несанкционированного доступа и раскрытия. Таким образом, только те, кому это разрешено, имеют право получать доступ к конфиденциальной информации.
Целостность - обеспечение защиты информации от несанкционированного изменения. Информация должна быть такой, какой ее создал отправитель, и не должна быть изменена никем, кто не имеет на это права.
Доступность - обеспечение доступности информации для тех, кому это разрешено, и защита от ее неправомерного уничтожения или блокировки. Информация должна быть доступна в нужное время для тех, кто имеет на это право, чтобы она могла быть использована для достижения своих целей.
Аутентификация - процесс проверки подлинности пользователя, системы или процесса, который запрашивает доступ к информации. Это может быть достигнуто, например, с помощью пароля, ключа или биометрических данных.
Авторизация - процесс предоставления прав на доступ к определенной информации или ресурсам после успешной аутентификации. Надежность - обеспечение работоспособности системы и защиты от сбоев и отказов в работе.
Неотказуемость - обеспечение возможности доказать факт совершения определенных действий в информационной системе. Все эти принципы являются основой для разработки стратегии и реализации мер по обеспечению информационной безопасности.
Угрозы, связанные с нарушением информационной безопасности, и классификация угроз.
Угрозы информационной безопасности - это события или действия, направленные на нарушение конфиденциальности, целостности или доступности информации. Угрозы могут происходить из различных источников, включая злонамеренных пользователей, компьютерные вирусы и другие вредоносные программы, несанкционированный доступ к информации и т.д.
Классификация угроз может основываться на различных критериях, но наиболее распространенными являются следующие:
По источнику угрозы: Внутренние угрозы, которые исходят от сотрудников или других уполномоченных лиц внутри организации. Внешние угрозы, которые исходят от внешних лиц или организаций, таких как злоумышленники, хакеры или конкуренты.
По виду угрозы: Угрозы конфиденциальности, которые направлены на защиту информации от несанкционированного доступа. Угрозы целостности, которые направлены на защиту информации от несанкционированных изменений. Угрозы доступности, которые направлены на защиту информации от нарушения доступа к ней.
По методу атаки: Атаки на сетевую инфраструктуру, такие как отказ в обслуживании (DDoS), внедрение вредоносного кода и т.д. Атаки на приложения, такие как SQL-инъекции, кросс-сайтовый скриптинг и т.д. Социальная инженерия, такая как фишинг, фарминг, смс-мошенничество и т.д.
Понимание угроз и их классификация являются важными шагами в разработке эффективной стратегии информационной безопасности.
Роль стандартов и спецификаций. Наиболее важные стандарты и спецификации в области информационной безопасности
В этом разделе было отмечено, что для специалистов в области информационной безопасности (ИБ) важно знание соответствующих стандартов и спецификаций. Это связано с тем, что некоторые стандарты и спецификации закреплены законодательно, а также они содержат апробированные, высококачественные решения и методологии, разработанные квалифицированными специалистами.
Были названы наиболее важные стандарты и спецификации в области ИБ, среди которых:
Стандарт ISO/IEC 27001 - устанавливает требования к системам управления информационной безопасностью (СУИБ).
Стандарт ISO/IEC 27002 - предоставляет рекомендации и практические рекомендации по обеспечению безопасности информации.
Стандарт ISO/IEC 15408 - определяет критерии оценки безопасности информационных технологий.
Стандарты криптографической защиты информации (ГОСТы и другие) - определяют требования к криптографическим методам и алгоритмам, используемым для защиты информации. Руководящие документы Гостехкомиссии России - содержат требования к информационной безопасности в различных областях, например, в области криптографической защиты, защиты персональных данных и др.
Стандарты PCI DSS - устанавливают требования к безопасности платежных карт и транзакций. Стандарты NIST (National Institute of Standards and Technology) - определяют рекомендации по обеспечению безопасности информации и кибербезопасности для государственных учреждений США.
Краткие сведения о стандартах и спецификациях, не являющихся предметом данного курса.
В разделе "Краткие сведения о стандартах и спецификациях, не являющихся предметом данного курса" в лекции, на которую вы ссылаетесь, приводятся краткие упоминания о ряде стандартов и спецификаций, которые не будут рассматриваться в рамках данного курса по информационной безопасности.
Среди них: Стандарт ISO/IEC 27001 "Информационная технология. Методы обеспечения информационной безопасности. Системы менеджмента информационной безопасности. Требования";
Стандарт ISO/IEC 27002 "Информационная технология. Методы обеспечения информационной безопасности. Кодексы практических рекомендаций";
Стандарты серии ISO/IEC 15408 "Информационная технология. Оценка соответствия. Критерии оценки безопасности информационных технологий";
Стандарты серии ISO/IEC 13335 "Информационная технология. Методы управления безопасностью информации". Эти стандарты и спецификации являются важными для обеспечения информационной безопасности, но не являются предметом данного курса.
Краткие аннотации подробно рассматриваемых в курсе стандартов и спецификаций
В разделе "Краткие аннотации подробно рассматриваемых в курсе стандартов и спецификаций" содержится информация об основных стандартах и спецификациях, которые будут рассматриваться в данном курсе. Краткие описания включают следующее:
Стандарт ISO/IEC 27001 - стандарт, устанавливающий требования к системам управления информационной безопасностью (ИБ), включая установление политики безопасности, управление рисками и т.д.
Стандарт ISO/IEC 27002 - стандарт, который содержит рекомендации по управлению информационной безопасностью на основе системы управления информационной безопасностью (СУИБ).
ISO/IEC 15408 и 15446 - стандарты, регулирующие процесс сертификации информационных технологий на соответствие критериям безопасности.
Стандарты FIPS (Federal Information Processing Standards) - стандарты, разработанные для обеспечения безопасности информации в государственных организациях США.
Стандарты PCI DSS (Payment Card Industry Data Security Standard) - стандарты, которые устанавливают требования к защите данных, связанных с кредитными картами. Спецификация OAuth 2.0 - протокол авторизации, который позволяет пользователям предоставлять доступ к своим данным в сторонних приложениях без передачи логинов и паролей.
Стандарты SSL/TLS - протоколы шифрования, используемые для обеспечения безопасности соединений в Интернете.
Стандарты AES (Advanced Encryption Standard) - алгоритмы шифрования, используемые для защиты информации.
Стандарты SHA (Secure Hash Algorithm) - алгоритмы хеширования, используемые для обеспечения целостности данных. Все эти стандарты и спецификации являются важными инструментами в обеспечении информационной безопасности и будут более подробно рассмотрены в курсе.
История создания и текущий статус "Общих критериев"
"Общие критерии" (Common Criteria, CC) - это международный стандарт, определяющий требования к функциональной безопасности и безопасности информации в продуктах и системах, использующих информационные технологии.
В этом разделе курса, вероятно, рассматривалась история создания стандарта "Общие критерии". Он был разработан в конце 1990-х годов в рамках совместной работы Национальных институтов стандартов (National Institute of Standards and Technology, NIST) США, Центра криптографической защиты информации (Central Security Service, CSS) США, Германского института по стандартизации (Deutsches Institut für Normung, DIN) и Комитета стандартизации в области информационных технологий (European Committee for Standardization, CEN).
С тех пор стандарт "Общие критерии" претерпел множество изменений и дополнений, а также был адаптирован к международным требованиям и стандартам безопасности информации, включая ISO/IEC 15408.
"Общие критерии" имеют широкое применение в мире ИБ, в том числе для оценки и сертификации информационных систем и продуктов, а также для создания стандартов безопасности. Они также являются ключевым компонентом процесса оценки и сертификации продуктов и систем в рамках ряда других стандартов, таких как FIPS 140-2, PCI DSS, HIPAA и других.
Основные понятия и идеи "Общих критериев"
В разделе "Основные понятия и идеи 'Общих критериев'" были рассмотрены основные понятия и идеи этого стандарта. В частности, было отмечено, что "Общие критерии" - это международный стандарт, разработанный с целью создания единой методологии оценки безопасности информационных технологий.