Проект "ИТ-Защита"

Белорусский национальный технический университет

Под информационной безопасностью предприятия понимается состояние предприятия в системе его  производственных  и хозяйственных связей с точки зрения его способности к саморазвитию и устойчивости  бизнес-процессов в условиях конкурентной среды,  несущей  угрозы  нарушения  целостности,  конфиденциальности  и  доступности  его  информационных  активов.

Далее...

Стандарт ISO/IEC 15408

Основные понятия

Мы возвращаемся к теме оценочных стандартов, приступая к рассмотрению самого полного и современного среди них - "Критериев оценки безопасности информационных технологий" (издан 1 декабря 1999 года). Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран, он вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба.

По историческим причинам данный стандарт часто называют "Общими критериями" (или даже ОК). Мы также будем использовать это сокращение.

Далее...

При оценке безопасности ассиметричных криптографических протоколов, обычно предполагается, что противник имеет полное описание протокола и алгоритмов в него входящих, владеет публичными ключами, а секретным является только закрытый ключ. Кроме того, противник может перехватить некоторые данные, которыми обмениваются легитимные участники, и может даже осуществлять некоторый контроль над природой этих данных (например, путем выбора сообщений для подписи, если целью является  компрометация секретного ключа, используемого при создании цифровой подписи) [1]. Как правило, криптографические протоколы остаются полностью устойчивыми с математической точки зрения, даже с учетом всех указанных допущений.

Далее...

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ

ФЕДЕРАЦИИ

СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ

КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

(СТР-К)

СОДЕРЖАНИЕ

1. Термины, определения и сокращения

2. Общие положения

3. Организация работ по защите информации

4. Требования и рекомендации по защите речевой информации

Далее...

Обзор и анализ предлагаемого проекта технического доклада ISO/IEC PDTR 19791

Владимир Галатенко (доктор физ.-мат. наук, зав. сектором автоматизации программирования НИИ системных исследований РАН)


СОДЕРЖАНИЕ:

Обзор проекта технического доклада ISO/IEC PDTR 19791

Введение

Международные стандарты, на которые опирается проект

Основные понятия, включенные в проект

Модель автоматизированной системы

Формирование режима безопасности

Безопасность в жизненном цикле автоматизированной системы

Доверие к безопасности автоматизированной системы

Проведение оценки безопасности автоматизированной системы

Функциональные требования безопасности для автоматизированных систем

Требования доверия к безопасности для автоматизированных систем

Системные профили защиты и задания по безопасности

Заключение

Далее...

Семейство Международных стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается под эгидой ISO/IEC JTC 1/SC 27. Это семейство включает в себя стандарты, определяющие требования к системам управления информационной безопасностью (СУИБ), управление рисками, метрики и измерения, а также руководство по внедрению. Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее. Ключевую роль в этом семействе занимает стандарт ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования (BS 7799-2:2005). Ранее в работе [1] нами было определено место СУИБ в общей системе менеджмента предприятия. С точки зрения процессов управления СУИБ входит в общую систему менеджмента организации и предоставляет дополнительные механизмы управления в части обеспечения защиты критичной информации. Для соотнесения требований стандартов управления качеством производства и информационной безопасностью современного предприятия проведём сравнительный анализ требований стандартов ISO/IEC 27001:2005 и ISO 9001. В табл.1 дается сравнение содержания стандартов BS 7799 и ISO 9001.

Далее...

Незащищенность корпоративной сетевой инфраструктуры от атак в сети Интернет может привести к тяжелым  для  электронного бизнеса последствиям, особенно если вы работаете на рынке электронных услуг. Раз уж вы (или ваш провайдер), обеспечиваете безопасность  Web-инфраструктуры, то и защита внутренних ресурсов (информационных активов)  тоже находится в вашей компетенции, и именно вы отвечаете за конфиденциальность и целостность данных ваших клиентов. И хотя доступность и немедленное исполнение транзакций  выглядят очень привлекательными, случившаяся  по неосторожности или преднамеренно утечка информации о ваших заказчиках или их активах может навредить не только вашей репутации и партнерским отношениям, но  и всему вашему бизнесу.

Далее...