Файл: 4. Правовое регулирование Информационного общества в России 8.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.11.2023
Просмотров: 512
Скачиваний: 3
СОДЕРЖАНИЕ
3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016
4. Правовое регулирование Информационного общества в России
5. Правовое регулирование Информационного общества в Башкортостане
6. Основные положения формирования и развития информационного общества Окинавской Хартии
7. Европейская Конвенция по киберпреступлениям (Будапешт).
8. Конвенция об обеспечении международной информационной безопасности (Россия).
9. Основные НПА регулирующие ИБ в США
10. Оценочные стандарты и технические спецификации
11. "Оранжевая книга" - уровни доверия и классы безопасности
12. Сетевые сервисы безопасности. (Рекомендации X.800).
13. Классы функциональных требований на основе «Общих критериев»
16. «Инициатива всеобъемлющей национальной кибербезопасности» в США
17. «Международная стратегия для киберпространства» США
18. Правовые аспекты защиты ПД в Европе и США
19. Правовые аспекты защиты персональных данных в России
20. «Великая стена» информационной безопасности Китае
22. Правовое регулирование политики информационной безопасности
23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)
24. Система сертификации средств защиты информации по требованиям безопасности информации.
25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)
27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)
29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)
33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).
34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).
36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)
38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)
40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)
42. ФЗ – 63 «Об электронной подписи»
44. Правовое обеспечение сертификации в России
45. Правовое обеспечение лицензирования в России
49. Правовое регулирование защиты конфиденциальной информации в России
50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)
51. Правовое регулирование политики информационной безопасности в организации
53. Отнесение сведений к различным видам конфиденциальной информации
54. Отнесение сведений к коммерческой тайне
55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну
56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей
57. Основания и порядок рассекречивания сведений и их носителей
58. Разрешительная система доступа персонала к конфиденциальной информации
59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска
60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска
62. Основы работы с персоналом организации
63. Методы работы с персоналом
64. Мотивация деятельности персонала
65. Организация охраны предприятия, учреждения
67. Основные задачи государственной системы защиты информации.
68. Институт государственной тайны в РФ.
69. Порядок засекречивания сведений, документов и продукции в РФ.
70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.
72. Организация внутриобъектового и пропускного режима на предприятии.
73. Системы комплексной защиты объекта
74. Лицензирование в системе защиты информации.
75. Сертификация средств защиты информации.
76. Аттестация объектов информатизации в РФ
77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.
78. Методы работы с персоналом, обладающим конфиденциальной информацией.
79. Принципы, методы и средства обеспечения сохранности информации.
80. Построение комплексной системы защиты информации на предприятии.
Скрытые каналы по пропускной способности подразделяют на:
-
канал с низкой пропускной способностью. -
канал с высокой пропускной способностью.
Задача агента злоумышленника: передать информацию ограниченного доступа злоумышленнику либо по команде злоумышленника оказать воздействие на критически важную функцию. Внутренний субъект осуществляет санкционированное взаимодействие с внешним субъектом. Между ними находится инспектор, контролирующий это информационное взаимодействие.
Угрозы безопасности с использованием скрытых каналов, включают в себя:
-
внедрение вредоносных программ и данных; -
подача злоумышленником команд агенту для выполнения; -
утечка криптографических ключей и паролей.
Защита от атак с использованием скрытых каналов включает в себя:
-
анализ рисков для активов организации, включающий в себя выявление ценных активов и оценку возможных последствий реализации атак с использованием скрытых каналов; -
выявление скрытых каналов и оценка их опасности; -
реализация защитных мер по противодействию скрытым каналам; -
организация контроля за противодействием скрытым каналам.
27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)
Стандарт устанавливает основные термины, применяемые при проведении работ по стандартизации в области обеспечения информационной безопасности в организации.
-
Общие понятия: безопасность информации, безопасность информационной технологии, информационная сфера, информационная инфраструктура, объект информатизации, активы организации, ресурс системы обработки информации, информационная система персональных данных, персональные данные, автоматизированная система в защищенном исполнении и т.д. -
Термины, относящиеся к объекту защиты информации: ИБ организации, объект защиты информации, защищаемый процесс, нарушение ИБ организации, чрезвычайная ситуация, риск, оценка риска, политика ИБ, цель ИБ, система документов по ИБ в организации и т.д. -
Термины, относящиеся к угрозам безопасности информации: угроза ИБ, модель угроз, уязвимость, нарушитель ИБ, НСД, сетевая атака, блокирование доступа, атака "отказ в обслуживании", утечка информации, и т.д. -
Термины, относящиеся к менеджменту информационной безопасности организации: менеджмент ИБ организации, менеджмент риска ИБ организации, СМИБ, роль ИБ в организации, служба ИБ организации. -
Термины, относящиеся к контролю и оценке информационной безопасности организации: контроль обеспечения ИБ организации, мониторинг ИБ организации, аудит ИБ организации, свидетельства аудита ИБ организации, аттестация автоматизированной системы в защищенном исполнении, критерий обеспечения ИБ организации, эффективность обеспечения ИБ. -
Термины, относящиеся к средствам обеспечения информационной безопасности организации: обеспечение ИБ организации, мера безопасности, меры обеспечения ИБ, организационные меры обеспечения ИБ, техническое средство обеспечения ИБ, средство обнаружения вторжений, средство защиты от несанкционированного доступа. -
28. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа (ГОСТ Р 53115)
Дата введения 2009-10-01
Стандарт распространяется на технические средства обработки информации и устанавливает методы их испытаний на соответствие требованиям защищенности от несанкционированного доступа в полосе частот от 200 Гц до 37,5 ГГц.
-
Общие условия испытаний-
Конфигурация испытуемого оборудования -
Функционирование испытуемого оборудования
-
-
Методы_измерения_кондуктивных_побочных_электромагнитных_излучений_и_наводок'>Методы измерения кондуктивных побочных электромагнитных излучений и наводок-
Основные положения -
Измерение побочных электромагнитных излучений и наводок на сетевых зажимах -
Пластина заземления -
Установка оборудования -
Измерение побочных электромагнитных излучений и наводок на портах связи -
Регистрация результатов измерений
-
-
Методы измерения излучаемых побочных электромагнитных излучений и наводок-
Основные положения -
Антенна -
Измерительная площадка -
Установка оборудования -
Регистрация результатов измерений -
Измерения в присутствии мощных посторонних сигналов -
Испытание оборудования в местах его установки пользователем
-
Приложение А (обязательное). Испытательные установки для измерений общего несимметричного напряжения и тока побочных электромагнитных излучений и наводок на портах связи
29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)
Дата введения 2014-07-01
Стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки по ИСО/МЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСО/МЭК 15408.
Структура стандарта
-
Раздел 6. Принятые соглашения. Определяет соглашения, используемые в настоящем стандарте. -
Раздел 7. Процесс оценки и соответствующие задачи оценки. Представлен краткий обзор процесса оценки и определены задачи, которые следует выполнить оценщику при проведении оценки. -
Раздел 8. Класс АРЕ: Оценка профиля защиты. Описывает работы, необходимые для получения результата оценки профиля защиты. -
В разделах 9-15 определяются действия по оценке, сгруппированные по классам доверия:-
Раздел 9. Класс ASE: Оценка задания по безопасности -
Раздел 10. Класс ADV: Разработка -
Раздел 11. Класс AGD: Руководства -
Раздел 12. Класс ALC: Поддержка жизненного цикла -
Раздел 13. Класс ATE: Тестирование -
Раздел 14. Класс AVA: Оценка уязвимостей -
Раздел 15. Класс АСО: Композиция
-
-
Приложение А. Общие указания по оценке. Охватывает базовые методы оценки, используемые для предоставления технических свидетельств результатов оценки. -
Приложении В. Оценка уязвимостей (AVA). Приводится пояснение критериев оценки уязвимостей и примеры их применения.
30. Методология оценки безопасности информационных технологий. Критерии оценки безопасности информационных технологий. Функциональные требования безопасности. Требования доверия к безопасности (ГОСТ Р ИСО/МЭК 15408)
Для структуризации пространства требований, в «Общих критериях» введена иерархия класс-семейство-компонент-элемент.
Классы определяют наиболее общую, «предметную» группировку требований.
Семейства в пределах класса различаются по строгости требований.
Компонент – минимальный набор требований, фигурирующий как целое.
Элемент – неделимое требование.
«Общие критерии» позволяют формировать два вида нормативных документов: профиль защиты и задание по безопасности.
Все функциональные требования объединены в группы на основе выполняемой ими роли или обслуживаемой цели безопасности. Всего в «Общих критериях» представлено 11 функциональных классов, 66 семейств, 135 компонентов.
«Общие критерии» включают следующие классы функциональных требований:
-
идентификация и аутентификация; -
защита данных пользователя; -
защита функций безопасности; -
управление безопасностью; -
аудит безопасности; -
доступ к объекту оценки; -
приватность; -
использование ресурсов; -
криптографическая поддержка; -
связь; -
доверенный маршрут/канал.
Требования доверия
Установление доверия безопасности основывается на активном исследовании объекта оценки. Всего в «Общих критериях» 10 классов, 44 семейства, 93 компонента требований доверия безопасности.
Классы требований доверия безопасности:
-
разработка; -
поддержка жизненного цикла; -
тестирование; -
оценка уязвимостей; -
поставка и эксплуатация; -
управление конфигурацией; -
руководство; -
поддержка доверия; -
оценка профиля защиты; -
оценка задания по безопасности.
Применительно к требованиям доверия введены оценочные уровни доверия. Степень доверия возрастает от первого к седьмому уровню. Оценочный уровень доверия 1 применяется, когда угрозы не рассматриваются как серьезные, а оценочный уровень 7 применяется к ситуациям чрезвычайно высокого риска.