Технічний Університет Молдови
Кафедра SOE
РЕФЕРАТ
по предмету інформаційна безпека
на тему:
Стандарти в інформаційної безпеки
Виконав: студент гр. SOE-093
Ликов Валентин
Кишинів 2010
Зміст
1. Міжнародна електротехнічна комісія
2. Організація ISO
3. Критерії визначення безпеки комп'ютерних систем
3.1 Структура Книги
3.2 Механізми реалізації безпеки
3.3 Розділи і класи
4. Міжнародний стандарт управління інформаційною безпекою ISO 17799
4.1 Критерії оцінки захищеності інформаційних систем
4.2 Критерії проведення аудиту безпеки інформаційних систем
4.3 Міжнародний стандарт безпеки інформаційних систем ISO 17799
4.4 ISO 17799 в країнах СНД
4.5 Переваги, одержувані компанією після проходження сертифікації по ISO 17799
4.6 Практика проходження аудиту та отримання сертифікату ISO 17799
4.7 Програмні засоби створення та перевірки політики безпеки на відповідність вимогам ISO 17799
5. Стандарти безпеки в Інтернеті
1. Міжнародна електротехнічна комісія
Міжнародна електротехнічна комісія (International Electrotechnical Commission, IEC) - міжнародна некомерційна організація по стандартизації в галузі електричних, електронних і суміжних технологій. Деякі із стандартів МЕК розробляються спільно з Міжнародною організацією по стандартизації (ISO).
МЕК складена з представників національних служб стандартів. МЕК була заснована в 1906 році і в даний час до її складу входять більше 76 країн. Спочатку комісія розташовувалася в Лондоні, з 1948 року по даний час штаб-квартира знаходиться в Женеві, Швейцарія. В даний час має регіональні центри в Південно-східній Азії (Сінгапур), Латинській Америці (Сан-Пауло, Бразилія) і Північній Америці (Бостон, США).
МЕК сприяла розвитку та поширенню стандартів для одиниць виміру, особливо гауса, герца, і Вебера. Також МЕК запропонувала систему стандартів, яка в кінцевому рахунку стала одиницями СІ. У 1938 році був виданий міжнародний словник з метою об'єднати електричну термінологію. Ці зусилля тривають і Міжнародний електротехнічний словник залишається важливою роботою в електричних і електронних галузях промисловості.
Стандарти МЕК мають номери в діапазоні 60 000 - 79 999, і їх назви мають вид типу МЕК 60411 Графічні символи. Номери старих стандартів МЕК були перетворені в 1997 році шляхом додавання числа 60 000, наприклад, стандарт МЕК 27 отримав номер МЕК 60027. Стандарти, розвинені спільно з Міжнародною організацією по стандартизації, мають назви виду ISO/IEC 7498-1:1994 Open Systems Interconnection: Basic Reference Model.
2. Організація ISO
Міжнародна організація по стандартизації , ІСО ( International Organization for Standardization , ISO ) - міжнародна організація, займається випуском стандартів.
Міжнародна організація по стандартизації створена в 1946 двадцятьма п'ятьма національними організаціями по стандартизації. Фактично її робота почалася з 1947. СРСР був одним із засновників організації, постійним членом керівних органів, двічі представник Держстандарту обирався головою організації. Росія стала членом ІСО як правонаступник СРСР. 23 Вересень 2005 Росія увійшла до Ради ІСО.
При створенні організації та виборі її назви враховувалася необхідність того, щоб абревіатура найменування звучала однаково на всіх мовах. Для цього було вирішено використовувати грецьке слово О№ПѓОїП‚ - Рівний, ось чому на всіх мовах світу Міжнародна організація по стандартизації має коротку назву В«исоВ».
Сфера діяльності ІСО стосується стандартизації у всіх областях, крім електротехніки та електроніки, що відносяться до компетенції Міжнародної електротехнічної комісії (МЕК, IEC). Деякі види робіт виконуються спільними зусиллями цих організацій. Крім стандартизації ІСО займається проблемами сертифікації.
ІСО визначає свої завдання наступним чином: сприяння розвитку стандартизації та суміжних видів діяльності у світі з метою забезпечення міжнародного обміну товарами і послугами, а також розвитку співпраці в інтелектуальній, науково-технічної та економічної областях.
Організаційно в ISO входять керівні та робочі органи. Керівні органи: Генеральна асамблея (вищий орган), Рада, Технічне керівне бюро. Робочі органи - технічні Комітети (ТК), підкомітети, технічні консультативні групи (ТКГ).
Генеральна асамблея
Генеральна асамблея - це зібрання посадових осіб і делегатів, призначених комітетами-членами. Кожний комітет-член має право представити не більше трьох делегатів, але їх можуть супроводжувати спостерігачі. Члени-кореспонденти і члени-абоненти беруть участь як спостерігачі.
3. Критерії визначення безпеки комп'ютерних систем
3.1 Структура Книги
Спочатку вводяться основні поняття, що заклали основу словника інформаційної безпеки на десятиліття вперед.
Безпечна система ( Secure system ) - це система, яка забезпечує управління доступом до інформації, таким чином, що тільки авторизовані особи або процеси, що діють від їх імені, отримують право роботи з інформацією.
Довірена система (Trusted system) - під довіреної системою в стандарті розуміється система, що використовує апаратні і програмні засоби для забезпечення одночасної обробки інформації різного категорії секретності групою користувачів без порушення прав доступу.
Політика безпеки ( Security policy ) - це набір законів, правил , процедур і норм поведінки, що визначають, як організація обробляє, захищає і поширює інформацію. Причому, політика безпеки відноситься до активних методам захисту, оскільки враховує аналіз можливих загроз і вибір адекватних заходів протидії.
Рівень гарантованості ( Assurance ) - передбачає міру довіри, яка може бути надана архітектурі та реалізації інформаційної системи, і показує, наскільки коректні механізми, що відповідають за реалізацію політики безпеки (Пасивний аспект захисту).
Підзвітність ( Audit ) - Довірена система повинна фіксувати всі події (Вести протокол), пов'язані із забезпеченням безпеки інформаційної системи.
Довірена обчислювальна база ( Trusted Computer Base ) - це сукупність захисних механізмів інформаційної системи (як програмні, так і апаратні), що реалізують політику безпеки.
Монітор звернень ( Reference Monitor ) - контроль за виконанням суб'єктами ( користувачами) певних операцій над об'єктами, шляхом перевірки допустимості звернення (Даного користувача) до програм і даних дозволеному набору дій.
Обов'язкові якості для монітора звернень:
1. Ізольованість (неотслежіваемость роботи).
2. Повнота (неможливість обійти).
3. Верифіковані (можливість аналізу і тестування).
Ядро безпеки ( Security kernel ) - конкретна реалізація монітора звернень, володіє гарантованою незмінністю.
Периметр безпеки ( Security Perimeter ) -це межа довіреної обчислювальної бази .
Канал витоків/таємний канал - паразитичний канал зв'язку, що виникає в будь-якому каналі зв'язку, що дозволяє обійти контроль доступу до інформації. Гол. метод боротьби - зменшення їх пропускної спроможності (bandwidth).
3.2 Механізми реалізації безпеки
Довільне керування доступом
...
