Проект "ИТ-Защита"

"Оценка безопасности автоматизированных систем"

Обзор и анализ предлагаемого проекта технического доклада ISO/IEC PDTR 19791

Владимир Галатенко (доктор физ.-мат. наук, зав. сектором автоматизации программирования НИИ системных исследований РАН)


СОДЕРЖАНИЕ

Обзор проекта технического доклада ISO/IEC PDTR 19791
Введение
Международные стандарты, на которые опирается проект
Основные понятия, включенные в проект
Модель автоматизированной системы
Формирование режима безопасности
Безопасность в жизненном цикле автоматизированной системы
Доверие к безопасности автоматизированной системы
Проведение оценки безопасности автоматизированной системы
Функциональные требования безопасности для автоматизированных систем
Требования доверия к безопасности для автоматизированных систем
Системные профили защиты и задания по безопасности
Заключение
Анализ проекта технического доклада ISO/IEC PDTR 19791
О концептуальном базисе оценочных стандартов информационной безопасности
Проведение оценки
Внутренние недостатки предлагаемого проекта технического доклада
Возможные расширения набора требований безопасности
Заключение

Обзор проекта технического доклада ISO/IEC PDTR 19791

Далее...

Создание комплексной системы управления информационной безопасностью

СОДЕРЖАНИЕ

ISO/IEC 27001 и система управления информационной безопасностью
Этапы создания СУИБ
Принятие решения о создании СУИБ
Подготовка к созданию СУИБ
Анализ рисков
Разработка политик и процедур СУИБ
Внедрение СУИБ в эксплуатацию
Заключение

Далее...

Профили защиты на основе "Общих критериев"

СОДЕРЖАНИЕ

Аннотация

Введение
Общие требования к сервисам безопасности
Общие предположения безопасности
Общие угрозы безопасности
Общие элементы политики безопасности
Общие цели безопасности для объекта оценки
Общие цели безопасности для среды
Общие функциональные требования
Общие требования доверия безопасности
Специфические требования к сервисам безопасности
Управление доступом
Межсетевые экраны
Системы активного аудита
Анонимизаторы
Выпуск и управление сертификатами
Анализ защищенности
Специфические требования к комбинациям и приложениям сервисов безопасности
Операционные системы
Системы управления базами данных
Виртуальные частные сети
Виртуальные локальные сети
Смарт-карты

В статье анализируются профили защиты и их проекты, построенные на основе международного стандарта ISO/IEC 15408, описывающие сервисы безопасности, их комбинации и приложения. Выделяются общие требования, которые могут войти в состав функционального пакета, применимого ко всем сервисам, упрощающего разработку и понимание профилей для конкретных сервисов. Анализ профилей защиты позволяет оценить сильные и слабые стороны "Общих критериев", наметить возможные направления новых исследований.

Далее...

Информационная безопасность: экономические аспекты

СОДЕРЖАНИЕ

Введение

Методика оценки совокупной стоимости владения для подсистемы ИБ

Возможности методики

Основные положения методики

Границы применимости методики

Пример оценки затрат на ИБ

Разработка методик оценки затрат на ИБ

Технология оценки затрат на ИБ

Как идентифицировать затраты на безопасность?

Как определить затраты на ИБ?

Внедрение системы учета затрат на ИБ

Заключение

Далее...

Пакет проектов профилей защиты, разработанный на основе методологии национального стандарта ИСО/МЭК 15408-2002 в целях регламентации требований защиты к наиболее широко используемым изделиям информационных технологий

Перейти к пакету профилей защиты

ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ
ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ ОТ НСД К ИНФОРМАЦИИ

1. Общие положения
2. Требования к показателям защищенности
3. Оценка класса защищенности СВТ (сертификация СВТ)

Настоящий руководящий документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Далее...

Smart Card Security User Group Smart Card Protection Profile
(SCSUG-SCPP)

Security requirements based on the ISO Standard 15408, the "Common Criteria". It is a product of the efforts of the Smart Card Security User Group (SCSUG), a working group formed specifically to represent the security needs of the user community. The members of the SCSUG at the time of this revision included:
• American Express
• Europay International
• JCB Co Ltd
• MasterCard International
• Mondex International
• Visa International
• National Institute of Standards and Technology (United States of America)
• National Security Agency (United States of America)
Ray-McGovern Technical Consultants, Inc. assisted in the preparation of this protection profile. Addresses and Points of Contact are listed in Annex E.

Скачать в формате .pdf