Опубликован: 03.09.2003 | Доступ: свободный | Студентов: 8694 / 2417 | Оценка: 4.21 / 3.93 | Длительность: 20:03:00
ISBN: 978-5-9556-0053-6
Лекция 17:

Заключение

< Лекция 16 || Лекция 17: 1234
Аннотация: Подводится итог курса, кратко суммируются полученные знания.
Ключевые слова: стандарт, спецификация, накопление и использование знаний, процедурный уровень ИБ, программно-технический уровень ИБ, требования безопасности, общие критерии, профиль защиты, Internet-сообщество, административный уровень ИБ, профилактические меры, меры реагирования, служба директорий, цифровой сертификат, проект ОК, методология оценки, предположения безопасности, угроза, оценка требований, функциональные требования, требования доверия, изделие ИТ, сервис безопасности, комбинация сервисов безопасности, приложения сервисов безопасности, идентификация, аутентификация, определение атрибутов пользователя, связывание пользователь-субъект, управление доступом, аудит безопасности, управление криптографическими ключами, криптографические операции, защита остаточной информации, надежное восстановление, посредничество при обращениях, разделение доменов, доверенный канал, доверенный маршрут, функциональная спецификация, проект верхнего уровня, стойкость функции безопасности, уязвимость, управление конфигурацией, экранирование, активный аудит, анализ защищенности, анонимизатор, управление сертификатами, архитектурные требования, многоаспектная информационная безопасность, субъект информационных отношений, классификационная схема, квота, CSPP, криптографический модуль, собственная защищенность, функциональный пакет, GSS-API, транспортный уровень, эталонная семиуровневая модель, избирательная конфиденциальность, неотказуемость, конфиденциальность трафика, целостность с восстановлением, сетевой уровень, целостность вне соединения, аутентификация источника данных, защита от воспроизведения, анализ трафика, протокол аутентифицирующего заголовка, протокол инкапсулирующей защиты содержимого, туннельный режим, транспортный режим, контекст безопасности, управляющий контекст, протокольный контекст, база данных политики безопасности, база данных протокольных контекстов безопасности, правила политики безопасности, протокол безопасности транспортного уровня, пассивное прослушивание сети, активное прослушивание сети, подделка сообщений, протокол передачи записей, протокол установления соединений, имитовставка, нелегальный посредник, потоковое шифрование, блочное шифрование, шифрование открытым ключом, компьютерная криптография, алгоритмический аспект, интерфейсный аспект, защита коммуникаций, удостоверение, токен безопасности, механизм безопасности, поставщик Internet-услуг, процедура безопасности, риск, ущерб, реагирование на нарушение ИБ, ликвидация нарушения, группа реагирования, опекаемое сообщество, доклад о нарушении

Основные идеи курса

Знание стандартов и спецификаций важно для специалистов в области информационной безопасности по целому ряду причин, главная из которых состоит в том, что стандарты и спецификации - одна из форм накопления знаний, в первую очередь о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

В статье 12 закона РФ "О техническом регулировании" определен принцип применения международного стандарта как основы разработки национального стандарта. Это означает, что знание международных стандартов требуется для понимания направлений развития отечественной нормативной базы, что, в свою очередь, важно для выработки стратегии построения и совершенствования информационных систем.

Количество стандартов и спецификаций в области ИБ велико. В курсе рассмотрены наиболее существенные из них, изучение которых необходимо всем или почти всем разработчикам, оценщикам, администраторам, руководителям, пользователям.

В курсе выделены две группы стандартов и спецификаций:

  • оценочные стандарты, направленные на оценивание и классификацию информационных систем и средств защиты по требованиям безопасности ;
  • спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.

Обе группы дополняют друг друга. Оценочные стандарты выделяют важнейшие понятия и аспекты ИС, играя роль организационных и архитектурных спецификаций. Другие спецификации определяют, как строить ИС предписанной архитектуры и выполнять организационные требования.

Из числа рассмотренных в курсе оценочных стандартов необходимо выделить международный стандарт "Критерии оценки безопасности информационных технологий" (точнее, его первоисточник - " Общие критерии ") и разработанные на его основе профили защиты . Это - основа современной системы сертификации по требованиям безопасности, системы, к которой стремится присоединиться и Россия.

Основным источником технических спецификаций, применимых к современным распределенным ИС, является Internet-сообщество, уделяющее внимание не только программно-техническому, но также административному и процедурному уровням информационной безопасности. Комплексность подхода Internet-сообщества к проблемам ИБ проявляется и в том, что в спецификациях рассматриваются как профилактические меры, направленные на предупреждение нарушений ИБ, так и меры реагирования на нарушения. Вероятно, среди многих международных стандартов, затрагивающих вопросы сетевой безопасности, наиболее часто цитируется документ X.509 "Служба директорий: каркасы сертификатов открытых ключей и атрибутов". Этот стандарт важен и как образец тщательной проработки и продуманного развития простой, но весьма глубокой идеи - идеи цифрового сертификата, способного хранить атрибуты произвольной природы.

Очень ценно, когда стандарт не просто что-то требует, но предлагает образцы, помогающие выполнить те или иные требования. К числу таких конструктивных стандартов принадлежит BS 7799 (ISO/IEC 17799), дающий возможность справиться с проблемами административного и процедурного уровней информационной безопасности.

< Лекция 16 || Лекция 17: 1234
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Марина Марченкова
Марина Марченкова
Максим Жуков
Максим Жуков
Россия, г. Москва
Μаксим Εфремов
Μаксим Εфремов
Россия