Руководящие документы уполномоченных органов (регуляторов) Российской Федерации

Loading...

Do curso por National Research University Higher School of Economics

Менеджмент информационной безопасности

8 ratings

National Research University Higher School of Economics

Менеджмент информационной безопасности

8 ratings

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

Na lição

Основные стандарты в области информационной безопасности

Добро пожаловать на шестую неделю курса! Данный модуль является завершающим в рамках курса по изучению менеджмента информационной безопасности, но Вы всегда можете продолжить освоение материала самостоятельно. А мы, в свою очередь, будем рады любым вопросам и предложениям. После окончания этой недели Вы сможете: перечислить основные стандарты РФ в области защиты информации; назвать закрепленные в государственных стандартах РФ алгоритмы криптографической защиты информации; сформулировать основные принципы оценки безопасности информационной системы на основе «Общих критериев»; осуществить проверку соответствия уровня безопасности автоматизированной системы и/или межсетевого экрана требованиям руководящих документов уполномоченного органа РФ. Надеемся, что материал оказался для Вас познавательным. Всего наилучшего!

Категории стандартов Российской Федерации8:43

Основные действующие стандарты РФ в области информационной безопасности3:49

Группа стандартов Р ИСО/МЭК 270007:09

Стандарты в области криптографической защиты информации3:34

Стандарт Р ИСО/МЭК 15408 («Общие критерии»)4:57

Общая модель оценки безопасности информационных технологий5:23

Функциональные компоненты безопасности4:56

Компоненты доверия к безопасности6:27

Руководящие документы уполномоченных органов (регуляторов) Российской Федерации8:14

Conheça os instrutores

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Ещё одну категорию документов,

фактически являющихся стандартами, хотя и не имеющих статуса государственных

стандартов, составляют руководящие документы уполномоченных органов или,

иными словами, регуляторов Российской Федерации.

Они, хотя и не являются ГОСТами,

часто являются техническими спецификациями или, как правило, оценочными стандартами,

вводя различные классификации, методики оценивания защищённости тех или иных

объектов информатизации или отдельных компонент системы защиты информации.

Уполномоченными органами в сфере защиты информации в Российской Федерации

являются следующие органы: Роскомнадзор — по вопросам соблюдения требований

законодательства (например, в сфере обработки персональных данных),

Федеральная служба безопасности Российской Федерации является уполномоченным

органом по вопросам защиты информации криптографическими методами,

а уже известная нам в рамках настоящего курса Федеральная служба по

техническому и экспортному контролю в России — по вопросам защиты информации

некриптографическими методами.

Для примера рассмотрим руководящие документы Федеральной службы технического

и экспортного контроля, а именно два руководящих документа данной службы.

Руководящий документ.

Автоматизированные системы.

Защита от несанкционированного доступа к информации.

Классификация автоматизированных систем и требования по защите информации.

Данный документ предлагает классификацию автоматизированных систем

по уровню их защиты от несанкционированного доступа.

И руководящий документ.

Средства вычислительной техники.

Межсетевые экраны.

Защита от несанкционированного доступа к информации.

Показатели защищённости от несанкционированного доступа к информации.

А этот документ в свою очередь предлагает классификацию межсетевых

экранов также по уровню обеспечиваемой ими защиты информации от

несанкционированного доступа.

Также стоит обратить внимание, что эти документы связаны между собой и во втором

документе даётся прямое соответствие между этими двумя классификациями,

то есть указывается межсетевые экрана какого класса защиты должны быть

использованы для каких автоматизированных систем в зависимости от их класса.

Рассмотрим эти документы подробнее.

В первом руководящем документе приводится девять классов, входящих в три группы,

защищённости автоматизированных систем от несанкционированного доступа к информации.

В третью группу входят автоматизированные системы, в которых имеется всего

один пользователь, который при этом имеет доступ ко всей информации,

размещённой на носителях одного уровня конфиденциальности.

Примером такой автоматизированной системы может быть,

например, компьютер пользователя, который использует единственную учётную запись,

обладающую правами администратора, и таким образом имеет всю

полноту доступа ко всей информации, в этом компьютере представленной.

Вторая группа автоматизированных систем включает системы, в которых

пользователи имеют одинаковые права доступа ко всей информации, обрабатываемый

или хранящейся при этом на носителях различного уровня конфиденциальности.

Здесь пользователи равноправные,

но есть различные уровни конфиденциальности информации.

В данной группе, как и в предыдущей, содержатся два класса.

В предыдущей были, соответственно, 3Б и 3А, а во второй — 2Б и 2А.

Наконец, первая группа включает автоматизированные системы,

в которых одновременно обрабатывается или хранится информация разных уровней

конфиденциальности, и не все пользователи имеют право доступа ко всей информации

автоматизированной системы.

Здесь выделяется уже пять классов от 1Д до 1А.

Это, разумеется, самая многочисленная категория автоматизированных систем и,

конкретно, это автоматизированные системы многопользовательские,

в которых есть много неравноправных пользователей,

и информация при этом также имеет различные уровни доступа.

По сути, те системы разграничения доступа, про которые мы говорили,

относятся к именно этой категории, именно к этой групп автоматизированных систем.

Классы защищённости 1А, 2А и 3А — это классы защищённости, которые требуется

использовать для автоматизированных систем, которые обрабатывают сведения,

составляющие государственную тайну до сведений с грифом «Особой важности»,

то есть до самого высшего грифа государственной тайны.

Класс защищённости 1Б разрешается использовать для обработки

сведений с грифом вплоть до «Совершенно секретно», и, наконец,

класс 1В — для сведений с грифом «Секретно» или не имеющих грифа вовсе.

Классы же защищённости более низкие — 1Г и 1Д,

а также 2Б и 3Б — предполагаются к использованию для автоматизированных

систем, которые обрабатывают сведения, не составляющие государственную тайну.

Классы 1Г, 2Б и 3Г — это сопоставимые классы

из разных групп автоматизированных систем и в автоматизированных системах,

соответствующих данным классам защищённости, допускается обрабатывать

сведения, составляющие конфиденциальную информацию, например, служебную тайну.

И, наконец, наименее строгие по требованиям к

защищённости классы — это классы 1Г, 1Д, 2Б и 3Б.

Системы, соответствующие им, разрешается использовать для обработки данных,

содержащих персональные данные и коммерческую тайну.

Второй руководящий документ данной федеральной службы предлагает

классификацию межсетевых экранов на классы защищённости.

Самый низкий класс защищённости — пятый, он применяется для безопасного

взаимодействия автоматизированной системы класса 1Д с внешней средой,

четвёртый — для класса 1Г, третий — для класса 1В, второй — 1Б, и первый — для 1А.

То есть пять классов автоматизированных систем многопользовательских

взаимно-однозначно сопоставлены классом защищённости межсетевых экранов.

Что касается систем с менее строгими требованиями в двух других группах

автоматизированных систем — это классы 3Б и 2Б — для них предполагается использовать

межсетевой экран классом защищённости не ниже пятого, то есть такой, у которого в

принципе соблюдается минимальный набор требований по защищённости.

Что касается других автоматизированных систем третьей и второй групп,

то для них класс защищённости экрана зависит от важности информации,

которая в них обрабатывается.

При обработке информации с грифом «Секретно» требуется обеспечить не ниже,

чем третий класс защищённости межсетевого экрана.

Если речь идёт о информации, содержащей гриф «Совершенно секретно»,

уже требования повышаются до второго класса.

И, наконец, при обработке информации,

содержащей государственную тайну с грифом «Особой важности»,

следует обеспечить не ниже, чем первый класс защищённости межсетевых экранов.

Наш курс подходит к концу.

Я надеюсь, что полученный в рамках его знания вы сможете применить на

практике в повседневной жизни, в своей профессиональной деятельности, повысить

свой уровень квалификации на том или ином месте работы, показать начальству,

что вы разбираетесь в защите информации, и во многом более выгодно преподать

себя на различных собеседованиях, показав ещё одну сферу своей компетентности.

Несмотря на то, что наш курс подходит к концу,

я всегда рад продолжить с вами коммуникацию.

Пожалуйста, оставляйте свои вопросы на форуме, пишите мне на почту.

Я буду рад ответить на любые вопросы, связанные с углублениями ваших знаний,

уточнениями каких-то моментов и, возможно,

рекомендациями по применению их на практике.

Большое спасибо за внимание!

[МУЗЫКА]

[МУЗЫКА]

Explore nosso catálogo

Registre-se gratuitamente e obtenha recomendações, atualizações e ofertas personalizadas.

O Coursera proporciona acesso universal à melhor educação do mundo fazendo parcerias com as melhores universidades e organizações para oferecer cursos on-line.

© 2018 Coursera Inc. Todos os direitos reservados.

Baixar na App Store

Baixar no Google Play