Развитие стандартизации в области ИБ Конференция CNews Обеспечение

Зарегистрируйтесь, чтобы просмотреть полный документ!

Развитие стандартизации в области ИБ Конференция CNews «Обеспечение информационной безопасности бизнеса и госструктур» 28 Мая 2009 Павперов Владислав Старший консультант отдела бизнес-консультирования КПМГ © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о. Гернси) от 1994 г. , член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. 1

Стандартизация ИБ – предпосылки, цели и задачи Стандартизация - деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг. Быстрое развитие информационных технологий ПРЕДПОСЫЛКИ Проникновение компьютеризации и информатизации во все, включая стратегические, сферы деятельности Возникновение угроз ИБ с позиции ИТ Регламентировать требования по ИБ ЦЕЛИ Обеспечить возможность объективной оценки соответствия Создать основу для взаимной совместимости и взаимодействия систем Наработка апробированных, качественных, передовых решений ЗАДАЧИ Согласование и документирование стандартов Создание регуляторной основы, законодательной базы, систем и критериев оценки и сертификации © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о. Гернси) от 1994 г. , член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. 2

Стандарты ИБ – классификационные и спецификации Классификационные (оценочные) стандарты Оценка информационных систем по требованиям ИБ Требования к организационным моделям и архитектуре Критерии оценки Требования разделены по классам Требования к архитектуре решений Технические спецификации Требования к программной, технической, алгоритмической реализации решений Требования к использованию решений и средств © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о. Гернси) от 1994 г. , член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. 3

Стандартизация ИБ – первые шаги Стандартизация – задача государственная, преследующая в первую очередь защиту национальных интересов Основной акцент – обеспечение конфиденциальности информации DOD Trusted Computer System Evaluation Criteria [TCSEC, DOD 5200. 28] Заложена концептуальная модель ИБ Рассматриваются вопросы Trusted Product Evaluation - A Guide for Vendors [NCSC-TG-002] DOD, NSA, NSCS – всего более 30 публикаций «радужной» серии 19831995 • Управления доступом (различные модели) • Монитор и периметр безопасности • Доверенная среда • Использование криптографии • Каналы утечки • Trusted Network Interpretation [NCSC-TG-005] Политика безопасности • Классификация по требованиям безопасности • Система оценки и сертификации, руководства для вендоров и по оценке вендоров © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о. Гернси) от 1994 г. , член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. 4

Стандартизация ИБ – российская специфика Разработка стандартов - приоритет государственных органов – ФСТЭК (Гостехкомиссия России), ФСБ, Госстандарт Перенимаем международные концепции и подход Создана государственная система сертификации, аттестации, аккредитации Отсутствие (до недавнего времени) публичного обсуждения стандартов и требований Руководящие документы Гостехкомиссии России Государственные стандарты в области ИБ Определены ключевые термины по ИБ Определены ключевые модели, классификация систем (АС) и решений (СВТ) Критерии оценки Рассматриваются вопросы • • Условия эксплуатации (доверенная среда) • Использование криптографии • Специальные нормативные документы Управления доступом (различные модели) Политика безопасности © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о. Гернси) от 1994 г. , член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. 5

Стандартизация ИБ – развитие функциональной модели Гармонизированные критерии Европейских стран Канадские критерии оценки доверенных компьютерных продуктов 1996 г. – Версия 1. 0 1998 г. – Версия 2. 0 Общие критерии оценки безопасности информационных технологий • • • Федеральные критерии безопасности ИТ DOD Trusted Computer System Evaluation Criteria [TCSEC, DOD 5200. 28] 1999 г. – Версия 2. 1 ISO/IEC 15408 -1999 Evaluation Criteria for IT Security Отсутствие изначальных требований к объекту оценки и среде Конфиденциальность, целостность, доступность информации Контекст оценки – среда безопасности • Предпосылки (предположения) безопасности • Анализ угроз безопасности • Анализ положений политики безопасности Определение целей безопасности Требования безопасности – классы, семейства и компоненты • Функциональные – функции и механизмы • Доверия – разработка и эксплуатация Изменения в 2005 (ч. 1) и 2008 (ч. 2 и 3) ГОСТ Р ИСО/МЭК 15408 -2002 "Критерии оценки безопасности информационных технологий" • • Профиль Защиты Задание по Безопасности © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о. Гернси) от 1994 г. , член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. 6

Стандартизация ИБ – насущная проблема бизнеса Аудит Влияние на бизнес § § § Клиенты Повышение роли ИТ Конкуренция Партнеры Финансы и страхование § Внутренний § Внешний § Надзорный (со стороны регуляторов) Requirement: Требования по Information Security обеспечению ИБ Framework Угрозы § § Вредоносное ПО Хакеры Отказ в обслуживании Инсайдеры&утечка данных Законы и регуляторы § Защита персональных данных § Требования регуляторов, SOX, GBLA © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о. Гернси) от 1994 г. , член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. 7

Стандартизация ИБ – практика и управление ИБ Работа инициирована Департаментом торговли и промышленности Великобритании Участие профессионалов из публичного и частного секторов Акцент – практика обеспечения ИБ – организационные и технические меры (контроли) в различных областях Акцент – вопросы управления информационной безопасностью (гармонизирован с ISO 9000) • Подход основан на оценке рисков Создана система аккредитации и сертификации систем управления ИБ 1993 Practice для DPA Выпущен BS 7799 ч. 1 1995 Выпущен BS 7799 ч. 2 2000 Опубликован ISO/IEC 17799 Опубликован BS 7799 -2: 2002 Модель PDCA Деминга • DTI Выпущен Code of Опубликованы ISO/IEC 27001/27002 Развитие стандартов серии ISO 27000 2005 Принят ГОСТ Р ИСО/МЭК 177992005 Принят ГОСТ Р ИСО/МЭК 270012006 © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о. Гернси) от 1994 г. , член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. 8

Стандартизация ИБ – технические спецификации и регуляторные стандарты Технические спецификации Определяют конкретную технологию или ее реализацию – IPSec, TLS, стандарты криптографии, х. 800, х. 500 Зависят от жизненного цикла технологии Как правило отсутствуют критерии оценки Управляются общественными/коммерческими/государственными сообществами - IETF, ISACA, ITSM, ITU-T, EMV, OWASP Проприетарные стандарты – стандарты де-факто Лежат в основе международных стандартов IEEE и ISO (x. 500 – ISO/IEC 9594) Регуляторные стандарты Зависят от международного и национального законодательства Зависят от уровня развития технологических решений и их интеграции и роли в бизнесе и общественной жизни Как правило – оценочные стандарты Наличие систем сертификации, аттестации, аккредитации • • СТО БР ИББС PCI DSS Специальные публикации NIST Специальные нормативные документы ФСТЭК и ФСБ © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о. Гернси) от 1994 г. , член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. 9

Стандартизация ИБ – современные принципы стандартизации Стандарты в области ИБ затрагивают множество областей в государственном управлении, бизнесе и общественной жизни Публичность и обсуждаемость Ориентация на передовые технологии и прогресс Привлечение профессионалов из государственного, частного и общественного секторов Экономическая целесообразность Масштабируемость Учет требований законодательства и отраслевой специфики Непротиворечивость и учет предыдущих стандартов © КПМГ Лимитед, компания, зарегистрированная в соответствии с Законом о компаниях (о. Гернси) от 1994 г. , член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International, зарегистрированную по законодательству Швейцарии. 10

Скачать презентацию Развитие стандартизации в области ИБ Конференция CNews Обеспечение

29fce3d1ca8f0d342cac1ca776becc7d.ppt

Количество слайдов: 10