Проект "ИТ-Защита"

Обзор и анализ предлагаемого проекта технического доклада ISO/IEC PDTR 19791

Владимир Галатенко (доктор физ.-мат. наук, зав. сектором автоматизации программирования НИИ системных исследований РАН)


СОДЕРЖАНИЕ:

Обзор проекта технического доклада ISO/IEC PDTR 19791

Введение

Международные стандарты, на которые опирается проект

Основные понятия, включенные в проект

Модель автоматизированной системы

Формирование режима безопасности

Безопасность в жизненном цикле автоматизированной системы

Доверие к безопасности автоматизированной системы

Проведение оценки безопасности автоматизированной системы

Функциональные требования безопасности для автоматизированных систем

Требования доверия к безопасности для автоматизированных систем

Системные профили защиты и задания по безопасности

Заключение

Далее...

Семейство Международных стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается под эгидой ISO/IEC JTC 1/SC 27. Это семейство включает в себя стандарты, определяющие требования к системам управления информационной безопасностью (СУИБ), управление рисками, метрики и измерения, а также руководство по внедрению. Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее. Ключевую роль в этом семействе занимает стандарт ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования (BS 7799-2:2005). Ранее в работе [1] нами было определено место СУИБ в общей системе менеджмента предприятия. С точки зрения процессов управления СУИБ входит в общую систему менеджмента организации и предоставляет дополнительные механизмы управления в части обеспечения защиты критичной информации. Для соотнесения требований стандартов управления качеством производства и информационной безопасностью современного предприятия проведём сравнительный анализ требований стандартов ISO/IEC 27001:2005 и ISO 9001. В табл.1 дается сравнение содержания стандартов BS 7799 и ISO 9001.

Далее...

Незащищенность корпоративной сетевой инфраструктуры от атак в сети Интернет может привести к тяжелым  для  электронного бизнеса последствиям, особенно если вы работаете на рынке электронных услуг. Раз уж вы (или ваш провайдер), обеспечиваете безопасность  Web-инфраструктуры, то и защита внутренних ресурсов (информационных активов)  тоже находится в вашей компетенции, и именно вы отвечаете за конфиденциальность и целостность данных ваших клиентов. И хотя доступность и немедленное исполнение транзакций  выглядят очень привлекательными, случившаяся  по неосторожности или преднамеренно утечка информации о ваших заказчиках или их активах может навредить не только вашей репутации и партнерским отношениям, но  и всему вашему бизнесу.

Далее...

Марк Кобзарь (ООО "Центр безопасности информации")
Алексей Сидак (ООО "Центр безопасности информации")


СОДЕРЖАНИЕ:

История вопроса

Существующие версии Общей методологии оценки безопасности информационных технологий

Процесс оценки

Общая модель оценки

Особенности выполнения количественных оценок

Правила формирования заключения по результатам оценки

Оформление результатов оценки

Применение Общей методологии оценки безопасности информационных технологий в России

Перспективы развития Общей методологии оценки безопасности информационных технологий

Литература

Далее...

Вы стоите перед выбором, кому доверить решение возникших проблем и сложностей в области обеспечения информационной безопасности Вашей корпоративной сети и ее ресурсов? Вы считаете, что компания Cisco Systems известна только своими сетевыми решениями и технологиями? Вы не знаете, какие решения предлагает компания Cisco в области защиты информации? Вы не знаете, где расположить средства защиты? Вы не знаете, как реагировать на обнаруженные атаки и несанкционированные действия? Вы не знаете, имеют ли продукты компании Cisco сертификаты по требованиям информационной безопасности? Вы не знаете, какому партнеру компании Cisco доверить решение стоящих перед Вами задач?

Далее...

Создание системы электронных конкурсных торгов предполагает адекватную техническую реализацию правовых отношений между заказчиками и поставщиками товаров и услуг. При традиционном документообороте принимаемые сторонами обязательства и предоставляемые ими сведения подтверждаются завизированными бумажными документами. Однако ряд необходимых условий, например, конфиденциальность поданной в запечатанном конверте заявки, либо неотказуемость от неё к моменту подведения итогов конкурса, технически обеспечиваются исключительно добросовестностью организатора конкурса.
При переходе к электронному документообороту техническая реализация этих специфических моментов правовых отношений, помимо прочих, должна гарантировать выполнение (или по крайней мере существенно затруднить нарушение) сторонами предусмотренных условий.
Техническая реализация этих специфичных условий основана на использовании инфраструктуры открытого ключа (PKI).

Далее...

Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.
Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее.

Далее...