Стандарты информационной безопасности


         

Стандарты информационной безопасности

Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько причин.
Формальная состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и/или Руководящим документам Гостехкомиссии России) закреплена законодательно. Однако наиболее убедительны содержательные причины. Во-первых, стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами. Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в Internet-сообществе это средство действительно работает, и весьма эффективно.

Роль стандартов и спецификаций
С практической точки зрения, количество стандартов и спецификаций (международных, национальных, отраслевых и т.п.) в области информационной безопасности бесконечно. В курсе рассматриваются наиболее важные из них, знание которых необходимо всем или почти всем разработчикам и оценщикам защитных средств, многим сетевым и системным администраторам, руководителям соответствующих подразделений, пользователям.

Роль стандартов и спецификаций
Роль стандартов и спецификаций - 2
Роль стандартов и спецификаций - 3
Краткие сведения о стандартах и спецификациях
Краткие сведения о стандартах и спецификациях - 2
Краткие сведения о стандартах и спецификациях - 3

История создания и текущий статус "Общих критериев"
В 1990 году Рабочая группа 3 Подкомитета 27 Первого совместного технического комитета (JTC1/SC27/WG3) Международной организации по стандартизации (ISO) приступила к разработке "Критериев оценки безопасности информационных технологий" (Evaluation Criteria for IT Security, ECITS). Несколько позже, в 1993 году, правительственные организации шести североамериканских и европейских стран - Канады, США, Великобритании, Германии, Нидерландов и Франции - занялись составлением так называемых "Общих критериев оценки безопасности информационных технологий" (Common Criteria for IT Security Evaluation).

История и текущий статус "Общих критериев"
История и текущий статус "Общих критериев" - 2
История и текущий статус "Общих критериев" - 3
История и текущий статус "Общих критериев" - 4
Основные понятия и идеи "Общих критериев"
Основные понятия и идеи "Общих критериев" - 2
Основные понятия и идеи "Общих критериев" - 3
Основные понятия и идеи "Общей методологии"
Основные понятия и идеи "Общей методологии" - 2
Основные понятия и идеи "Общей методологии" - 3

Классификация функциональных требований безопасности
Аналогия между библиотекой функциональных требований безопасности и библиотекой программных модулей является в данном случае довольно полной. Функциональные компоненты могут быть не до конца конкретизированы, поэтому фактические параметры подставляются не в самих "Общих критериях", а в определенных профилях защиты, заданиях по безопасности и функциональных пакетах. (Правда, в ГОСТ Р ИСО/МЭК 15408-2002 параметризация не очень удачно названа "назначением".) В качестве параметров могут выступать весьма сложные сущности, такие, например, как политика безопасности (ПБ).

Классификация функциональных требований
Классификация функциональных требований - 2
Классы функциональных требований
Классы функциональных требований - 2
Классы функциональных требований - 3
Классы функциональных требований - 4
Производные сервисы безопасности
Производные сервисы безопасности - 2
Защита данных пользователя
Защита данных пользователя - 2

Основные понятия и классификация требований доверия безопасности
Требования доверия безопасности охватывают весь жизненный цикл изделий ИТ и предполагают выполнение следующих действий: оцениваются задания по безопасности (ЗБ) и профили защиты (ПЗ), ставшие источниками требований безопасности;анализируются различные представления проекта объекта оценки и соответствие между ними, а также соответствие каждого из них требованиям безопасности;проверяются процессы и процедуры безопасности, их применение;анализируется документация;верифицируются представленные доказательства;анализируются тесты и их результаты;анализируются уязвимости объекта оценки;проводится независимое тестирование, в том числе тестовые "взломы" (называемые далее тестированием проникновения).

Классификация требований доверия
Классификация требований доверия - 2
Оценка профилей защиты
Оценка профилей защиты - 2
Требования доверия к этапу разработки
Требования доверия к этапу разработки - 2
Требования доверия к этапу разработки - 3
Требования доверия к этапу разработки - 4
Требования доверия к этапу разработки - 5
Требования к этапу анализа результатов разработки

Общие предположения безопасности
Мы приступаем к анализу профилей защиты и их проектов, построенных на основе "Общих критериев" и описывающих сервисы безопасности, их комбинации и приложения. В первой части выделяются общие требования, которые могут войти в состав применимого ко всем сервисам функционального пакета, упрощающего разработку и понимание профилей для конкретных сервисов. Анализ профилей защиты позволяет оценить сильные и слабые стороны "Общих критериев", наметить возможные направления новых исследований.

Общие положения
Общие положения - 2
Общие предположения безопасности
Общие угрозы безопасности
Общие элементы политики и цели безопасности
Общие элементы политики и цели безопасности - 2
Общие функциональные требования
Общие функциональные требования - 2
Общие функциональные требования - 3
Общие функциональные требования - 4

Биометрическая идентификация и аутентификация
Системы биометрической идентификации и аутентификации, общие сведения о которых можно найти в курсе "Основы информационной безопасности", весьма актуальны и интересны с точки зрения оценки их безопасности. В данном разделе рассматривается профиль защиты [30], разработанный специалистами Министерства обороны США для оценки коммерческих продуктов, применяемых в среде со средними требованиями к безопасности. Наиболее интересная (и самая большая по объему) часть в этом профиле - описание угроз, которым подвержены системы биометрической идентификации и аутентификации, что наводит на определенные размышления.

Ролевое управление доступом
Межсетевое экранирование
Межсетевое экранирование - 2
Межсетевое экранирование - 3
Системы активного аудита
Системы активного аудита - 2
Системы активного аудита - 3
Системы активного аудита - 4
Системы активного аудита - 5
Анонимизаторы

Операционные системы
Операционные системы (ОС) - классический объект оценки по требованиям безопасности еще со времен "Оранжевой книги". Более того, до сих пор остается весьма распространенным мнение о том, что это важнейшее, едва ли не единственное защитное средство. С современных позиций ОС можно рассматривать как комбинацию сервисов идентификации и аутентификации, управления доступом и протоколирования/аудита. Кроме того, операционные системы обеспечивают базовые, инфраструктурные свойства безопасности, в том числе разделение доменов и посредничество при обращениях.

Операционные системы
Операционные системы - 2
Операционные системы - 3
Операционные системы - 4
Операционные системы - 5
Операционные системы - 6
Системы управления базами данных
Системы управления базами данных - 2
Виртуальные частные сети
Виртуальные частные сети - 2

Основные понятия и идеи рекомендаций семейства X.500
екомендации семейства X.500 описывают службу директорий. Среди возможностей, предоставляемых этой службой, обычно выделяют дружественное именование (обращение к объектам по именам, удобным с точки зрения человека) и отображение имен в адреса (динамическое связывание объекта и его расположения - необходимое условие поддержки "самоконфигурируемости" сетевых систем).

Основные понятия семейства X.500
Основные понятия семейства X.500 - 2
Каркас сертификатов открытых ключей
Каркас сертификатов открытых ключей - 2
Каркас сертификатов открытых ключей - 3
Каркас сертификатов атрибутов
Каркас сертификатов атрибутов - 2
Простая и сильная аутентификация

Архитектура средств безопасности IP-уровня
Стандартизованными механизмами IP-безопасности могут (и должны)пользоваться протоколы более высоких уровней и, в частности, управляющие протоколы, протоколы конфигурирования и маршрутизации. Средства безопасности для IP описываются семейством спецификаций IPsec, разработанных рабочей группой IP Security. Протоколы IPsec обеспечивают управление доступом , целостность вне соединения, аутентификацию источника данных, защиту от воспроизведения, конфиденциальность и частичную защиту от анализа трафика.

Архитектура средств безопасности IP-уровня
Архитектура средств безопасности IP-уровня - 2
Контексты безопасности и управление ключами
Контексты безопасности и управление ключами - 2
Контексты безопасности и управление ключами - 3
Протокольные контексты безопасность
Протокольные контексты безопасность - 2
Протокольные контексты безопасность - 3
Протокольные контексты безопасность - 4
Протокольные контексты безопасность - 5

Основные идеи и понятия протокола TLS
TLS имеет двухуровневую организацию. На первом (нижнем) уровне, опирающемся на надежный транспортный сервис, каковой предоставляет, например, TCP, располагается протокол передачи записей (TLS Record Protocol), на втором (верхнем) - протокол установления соединений (TLS Handshake Protocol). Строго говоря, протокол безопасности транспортного уровня располагается между транспортным и прикладным уровнями. Его можно отнести к сеансовому уровню эталонной модели ISO/OSI.

Основные идеи и понятия протокола TLS
Протокол передачи записей
Протокол передачи записей - 2
Протокол передачи записей - 3
Протокол установления соединений
Протокол установления соединений - 2
Протокол установления соединений - 3
Применение протокола HTTP над TLS

Функции для работы с удостоверениями
Обобщенный прикладной программный интерфейс службы безопасности (Generic Security Service Application Program Interface - GSS-API, см. [67], [85]) предназначен для защиты коммуникаций между компонентами программных систем, построенных в архитектуре клиент/сервер. Он предоставляет услуги по взаимной аутентификации осуществляющих контакт партнеров и по контролю целостности и обеспечению конфиденциальности пересылаемых сообщений.

Основные понятия
Основные понятия - 2
Основные понятия - 3
Основные понятия - 4
Функции для работы с удостоверениями
Создание и уничтожение контекстов
Создание и уничтожение контекстов - 2
Защита сообщений
Логика работы интерфейса безопасности
Представление некоторых объектов интерфейса

Проблемы, с которыми может столкнуться организация
Данное Руководство призвано помочь организациям, имеющим выход в Internet, сформировать политику безопасности и разработать соответствующие процедуры. В нем перечисляются вопросы и факторы, которые следует предварительно проанализировать, даются некоторые рекомендации, обсуждается ряд смежных тем. Руководство содержит лишь основные элементы, необходимые для выработки политики и процедур безопасности. Чтобы получить эффективный набор защитных средств, ответственным лицам придется принять немало решений, заключить многочисленные соглашения, и лишь после этого довести политику безопасности до сотрудников и приступить к ее реализации.

Анализ рисков, идентификация активов и угроз
Регламентация использования ресурсов
Регламентация использования ресурсов - 2
Регламентация использования ресурсов - 3
Реагирование на нарушения безопасности
Реагирование на нарушения безопасности - 2
Подход к выработке процедур для предупреждения
Выбор регуляторов для практичной защиты
Выбор регуляторов для практичной защиты - 2
Ресурсы для предупреждения нарушений

Взаимодействие между группой реагирования, опекаемым сообществом и другими группами
Цель интересующей нас спецификации - сформулировать ожидания Internet-сообщества по отношению к группам реагирования на нарушения информационной безопасности (Computer Security Incident Response Teams, CSIRTs). Потребители имеют законное право (и необходимость) досконально понимать правила и процедуры работы "своей" группы реагирования.

Взаимодействие между группой реагирования
Порядок публикации правил и процедур
Порядок публикации правил и процедур - 2
Описание правил группы реагирования
Описание правил группы реагирования - 2
Описание правил группы реагирования - 3
Описание правил группы реагирования - 4
Описание правил группы реагирования - 5
Описание правил группы реагирования - 6
Описание правил группы реагирования - 7

Роль поставщика Internet-услуг в реагировании на нарушения безопасности
"Дополнение к Руководству" призвано помочь в выработке политики и процедур безопасности в организациях, информационные системы которых подключены к Internet, а также служить для потребителей контрольным перечнем при обсуждении вопросов информационной безопасности с поставщиками Internet-услуг. В данном документе выделено три типа потребителей: потребители коммуникационных услуг; потребители услуг по размещению ресурсов; потребители, разместившиеся там же, где и поставщики услуг.

Меры по защите Internet-сообщества
Меры по защите Internet-сообщества - 2
Меры по защите Internet-сообщества - 3
Меры по защите Internet-сообщества - 4
Маршрутизация, фильтрация и вещание
Маршрутизация, фильтрация и вещание - 2
Защита системной инфраструктуры
Защита системной инфраструктуры - 2
Размещение Web-серверов
Размещение Web-серверов - 2

Обзор стандарта BS 7799
Первая часть стандарта, по-русски именуемая "Управление информационной безопасностью". Практические правила", содержит систематический, весьма полный, универсальный перечень регуляторов безопасности, полезный для организации практически любого размера, структуры и сферы деятельности. Она предназначена для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание внутренней системы информационной безопасности.

Обзор стандарта BS 7799
Обзор стандарта BS 7799 - 2
Регуляторы общего характера
Регуляторы общего характера - 2
Регуляторы технического характера
Регуляторы технического характера - 2
Регуляторы технического характера - 3
Регуляторы безопасности и реализуемые
Регуляторы безопасности и реализуемые - 2
Регуляторы безопасности и реализуемые - 3

Основные понятия и идеи стандарта FIPS 140-2
В стандарте FIPS 140-2 рассматриваются криптографические модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной, т. е. речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. Наличие подобного модуля - необходимое условие обеспечения защищенности сколько-нибудь развитой информационной системы, однако, чтобы выполнять предназначенную ему роль, сам модуль также нуждается в защите, как собственными средствами, так и средствами окружения (например, операционной системы).

Основные понятия и идеи стандарта FIPS 140-2
Основные понятия и идеи стандарта FIPS 140-2 - 2
Основные понятия и идеи стандарта FIPS 140-2 - 3
Основные понятия и идеи стандарта FIPS 140-2 - 4
Спецификация, порты и интерфейсы, роли
Спецификация, порты и интерфейсы, роли - 2
Спецификация, порты и интерфейсы, роли - 3
Модель в виде конечного автомата
Модель в виде конечного автомата - 2
Эксплуатационное окружение, управление ключами

Общие критерии и профили защиты на их основе
Знание стандартов и спецификаций важно для специалистов в области информационной безопасности по целому ряду причин, главная из которых состоит в том, что стандарты и спецификации - одна из форм накопления знаний, в первую очередь о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

Общие критерии" и профили защиты на их основе
Общие критерии" и профили защиты на их основе - 2
Общие критерии" и профили защиты на их основе - 3
Общие критерии" и профили защиты на их основе - 4
Спецификации Internet-сообщества
Спецификации Internet-сообщества - 2
Спецификации Internet-сообщества - 3
Спецификации для административного уровня ИБ

Шпионские штучки

Люди прятались сами и прятали свое имущество задолго до начала письменной истории человечества, однако написано на эту тему очень мало. Большую часть литературы об укрытиях и тайниках принес с собой культурный взрыв двадцатого века, но книг на эту тему появилось совсем немного и в основном за рубежом. А прежде их и вовсе не было.
Почему? Отчасти потому, что в прошлом большинство людей было неграмотно. Другая же причина — секретность. Многие способы укрывания и потайные места хранились в глубокой, непроницаемой тайне, по крайней мере, так думали те, кто их изобретал
Исторические события воплощаются в сказки, легенды и мифы. Кто из нас не помнит потайную дверцу в каморке папы Карло, которая была замаскирована куском старого холста.
В Британии существует множество легенд о потайных ходах и тайниках. Хотя многие из них, как показали исследования, не имеют реальной основы, до наших дней все-таки дошли и настоящие тайники. Их история восходит к эпохе преследований католиков в Британии. Дело в том, что в случае поимки католическим священникам грозила смертная казнь. Это были «веселые» елизаветинские времена, когда в лондонском Тауэре стояла дыба, на которой жертвы мучились иногда но нескольку дней, прежде чем умереть

Немного о психологии
Способы получения информации

Теоретические основы энерго- и ресурсосбережения в химических технологиях

Сборник задач по теоретическим основам энерго- и ресурсосбережения в химических технологиях

Продолжение


Централизованные организации - перейти
Стоимость основных производственных фондов - перейти
Потребности общества и экономика - перейти
Экономические законы - перейти
Экономическая теория как наука - перейти
Экономическая теория как наука - перейти
Принципы экономической науки - перейти
Некоторые экономические теории - перейти
Абби Л - Аяла Ф - перейти
Бабель И - Бялецкий Я - перейти
Вагнер К - Вюрмсер А - перейти
Габбер Х - Гянджеви Н - перейти
Дабове С - Дюрренматт Ф - перейти
Еврипид - Есих М - перейти
Жак К - Жюбер Э - перейти