Проект "ИТ-Защита"

Создание комплексной системы управления информационной безопасностью

СОДЕРЖАНИЕ

ISO/IEC 27001 и система управления информационной безопасностью
Этапы создания СУИБ
Принятие решения о создании СУИБ
Подготовка к созданию СУИБ
Анализ рисков
Разработка политик и процедур СУИБ
Внедрение СУИБ в эксплуатацию
Заключение

Далее...

Профили защиты на основе "Общих критериев"

СОДЕРЖАНИЕ

Аннотация

Введение
Общие требования к сервисам безопасности
Общие предположения безопасности
Общие угрозы безопасности
Общие элементы политики безопасности
Общие цели безопасности для объекта оценки
Общие цели безопасности для среды
Общие функциональные требования
Общие требования доверия безопасности
Специфические требования к сервисам безопасности
Управление доступом
Межсетевые экраны
Системы активного аудита
Анонимизаторы
Выпуск и управление сертификатами
Анализ защищенности
Специфические требования к комбинациям и приложениям сервисов безопасности
Операционные системы
Системы управления базами данных
Виртуальные частные сети
Виртуальные локальные сети
Смарт-карты

В статье анализируются профили защиты и их проекты, построенные на основе международного стандарта ISO/IEC 15408, описывающие сервисы безопасности, их комбинации и приложения. Выделяются общие требования, которые могут войти в состав функционального пакета, применимого ко всем сервисам, упрощающего разработку и понимание профилей для конкретных сервисов. Анализ профилей защиты позволяет оценить сильные и слабые стороны "Общих критериев", наметить возможные направления новых исследований.

Далее...

Информационная безопасность: экономические аспекты

СОДЕРЖАНИЕ

Введение

Методика оценки совокупной стоимости владения для подсистемы ИБ

Возможности методики

Основные положения методики

Границы применимости методики

Пример оценки затрат на ИБ

Разработка методик оценки затрат на ИБ

Технология оценки затрат на ИБ

Как идентифицировать затраты на безопасность?

Как определить затраты на ИБ?

Внедрение системы учета затрат на ИБ

Заключение

Далее...

Пакет проектов профилей защиты, разработанный на основе методологии национального стандарта ИСО/МЭК 15408-2002 в целях регламентации требований защиты к наиболее широко используемым изделиям информационных технологий

Перейти к пакету профилей защиты

ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ
ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ ОТ НСД К ИНФОРМАЦИИ

1. Общие положения
2. Требования к показателям защищенности
3. Оценка класса защищенности СВТ (сертификация СВТ)

Настоящий руководящий документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Далее...

Smart Card Security User Group Smart Card Protection Profile
(SCSUG-SCPP)

Security requirements based on the ISO Standard 15408, the "Common Criteria". It is a product of the efforts of the Smart Card Security User Group (SCSUG), a working group formed specifically to represent the security needs of the user community. The members of the SCSUG at the time of this revision included:
• American Express
• Europay International
• JCB Co Ltd
• MasterCard International
• Mondex International
• Visa International
• National Institute of Standards and Technology (United States of America)
• National Security Agency (United States of America)
Ray-McGovern Technical Consultants, Inc. assisted in the preparation of this protection profile. Addresses and Points of Contact are listed in Annex E.

Скачать в формате .pdf

BS 7799-2:2006 Information security management. Specification with guidance for use.

This standard specifies the requirements for establishing, implementing, operating, monitoring, reviewing, maintaining and improving a documented ISMS within the context of the organization’s overall business risks. It specifies requirements for the implementation of security controls customized to the needs of individual organizations or parts thereof.
The ISMS is designed to ensure adequate and proportionate security controls that adequately protect information assets and give confidence to customers and other interested parties. This can be translated into maintaining and improving competitive edge, cash flow, profitability, legal compliance and commercial image.

Далее...