слайды стб.34.101-лекции-новые

Тема лекции: «Нормативная база. Стандарты СТБ 34.101.**»

Лектор - Мария Константиновна Андрухович,

инженер I категории испытательной лаборатории

Центра испытаний средств защиты

информации и аттестации информационных объектов

УП «Научно-исследовательский институт технической защиты информации»

Виды ТНПА:

Технические регламенты (ТР) Технические кодексы (ТКП) Стандарты (международные - ИСО, МЭК,

межгосударственные - ГОСТ, государственные - СТБ, DIN, ГОСТ Р, предприятия - СТП)

Технические условия (ТУ РБ)

Сайт БелГИСС, где можно посмотреть новинки и разработки: belgiss.org.by

Виды стандартов СТБ ИСО, СТБ ГОСТ Р – идентичный

международному, межгосударственному СТБ (ИСО), СТБ (ГОСТ Р) –

модифицированный с национальными дополнениями

СТБ (разработан на основе ИСО) – гармонизированный

Наименование стандартовСТБ 34.101.1-2004 (ИСО/МЭК 15408-1:99)

Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

СТБ 34.101.2-2004 (ИСО/МЭК 15408-2:1999) Информационные технологи и безопасность. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

СТБ 34.101.3-2004 (ИСО/МЭК 15408-3:1999) Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть3. Гарантийные требования безопасности

из СТБ 34.101.1 Содержание процесса оценки

Внесение в регистр

Окончательные результаты

оценки

Схема оценки

Заключение о пригодности.

Выдача сертификата

Оценка

Критерии оценки

Методология оценки

Целевое назначение стандартовОбозна чение

Заказчики Разработчики Эксперты

СТБ 34.101.1

Общие сведения о ста-ндартах и общая мо-дель. Содержание про-филя защиты (ПЗ) и за-дания по обеспечению безопасности (ЗБ)

Общие сведения о стан-дартах и база для разра-ботки требований и фо-рмулирования специфи-каций объекта оценки (ОО)

Общие сведения о стандартах и общая модель.

Содержание ПЗ и ЗБ

СТБ 34.101.2

Руководство для фор-мулирования функцио-нальных требований безопасности (ФТБ)

База для интерпретации ФТБ и функциональ-ных спецификаций ОО

Формулирование кри-терия оценки для оп-ределения эффектив-ности включения средств безопасности объект

СТБ 34.101.3

Руководство для опре-деления требуемого уровня гарантий

База для интерпретации гарантийных требова-ний (ГТБ) и определе-ния гарантийных спецификаций ОО

Формулирование кри-терия для определе-ния уровня гарантий ОО, а также для оцен-ки ПЗ и объекта ИТ

Концептуальные понятия безопасности и их взаимосвязь

хотят минимизировать

оценивают

предпринимают

хотят злоупотреблять

для

реализуют

чтобы уменьшить

которые могут иметь

которые могут быть уменьшены

могут знать

активы

для

ведущие к

Владельцы

контрмеры

уязвимости

риск

Нарушители

угрозы

хотят снизить

которые используют

которые повышают

Концептуальные понятия оценки эффективности

мер безопасности и их взаимосвязь

дает основание

для

дают

Средства гарантии

требуют

для

минимизируют

что

активов

давая

подтверждения

Оценка

гарантии

Владельцы

контрмеры

риск

Модель разработки объекта

Анализ соответствия и проверка целостности

Уточнения в процессе проектирования и

реализации

Исходный код/

схемы аппаратуры

Высоко-уровневое

проектирова-ние

Функциональ-ные специфи-

кации

Реализация

Требования безопасности

Модель процесса оценки объекта

Требования безопасности

Методология оценки

Обратная связь

Ввести объект в эксплуата-цию, запус-

тить ОО в работу

Разработать объект

Заключение об объекте Оценить

объект

Результаты оценки

Критерии оценки

Схема оценки

Схема формирования требований и спецификаций

для разработки профиля защиты и задания по обеспечению безопасности

Формулирование требований безопасности

Формулирование спецификаций безопасности объекта

Определение среды безопасности

Формулирование задач безопасности

Организация и структуры требований

Профиль защиты Возможный источник

требований для ПЗ

Задание по обеспечению безопасности Возможный

источник требований для ЗБ

Пакеты Постоянный набор фун-кциональных или гара-нтийных требований

Дополнительные требования безопасности, не входящие в

стандарт

Классa

Семейство i

Семейство k

Каталоги требований безопасности

Компонент

Компонент

Компонент

…

Семейство j Компонент

Компонент

Компонент

… Компонент

Компонент

Компонент

…

Классb

Использование требований безопасности

Требования безопасности

Каталог профилей защиты

Каталог пакетов

Составление пакета

Составление профиля защиты

Составление задания по

обеспечению безопасности

Схема использования результатов

оценки

Каталоги сертифика-

тов

Оценка профиля защиты

Результаты оценки

профиля защиты

Профиль защиты,

прошедший оценку

Результаты оцен-ки задания по обеспечению безопасности

Результаты оценки

объекта ИТ

Объект ИТ, прошедший

оценку

Каталоги профилей защиты

Оценка задания по

обеспечению безопасности

Оценка объекта ИТ

Использование результатов оценки

безопасности объекта

Сертифици-рованный продукт

(альтернативные варианты)

(не обязательно) (не обязательно)

Аттестованная система Аттестация

системы

Требования безопасности

Критерии аттестации

системы

Разра-ботать и оценить объект

Регистр профилей защиты

Каталог сертифициро-

ванных продуктов

Внести продукт в каталог

Результаты оценки

из СТБ 34.101.2-2004

Структура функционального класса

Функциональныйкласс

Имя класса

Введение в описаниекласса

Функциональные

семейства

из СТБ 34.101.2-2004

Структура функционального семейства

Функциональноесемейство Имя

семейства

Назначениесемейства

Компоненты

Уровникомпонентов

Аудит

Управление

Наименование стандартовСТБ П 34.101.5-2003 «Информационные

технологии и безопасность. Общая методология испытаний продуктов и систем информационных технологий на соответствие уровням гарантии»

СТБ П 34.101.6-2003 «Информационные технологии и безопасность. Задание по обеспечению безопасности. Разработка, обоснование, оценка»

СТБ П 34.101.7-2003 «Информационные технологии и безопасность. Профиль защиты. Разработка, обоснование, оценка»

Структура задания по безопасности

СТБ П 34.101.6

-2003Задачибезопасности

Среда безопасностиобъекта

Введение вописание ЗБ

Задание по обеспечениюбезопасности

Описание объекта

Идентификация ЗБ

Обзор ЗБ

Задачи безопасности для объекта

Требованиябезопасности ИТ

Требования безопасностидля объекта

Угрозы

Политика безопасности организации

Предположения

Задачи безопасности для среды

Требования безопасностидля среды

ОбоснованиеОбоснование задач безопасности

Обоснование требований безопасности

Гарантийныетребованиябезопасности

Функциональныетребованиябезопасности

Соответствие критериям

Требования соот-ветствия ПЗ

Общая специфика-ция объекта

Меры гарантии

Ссылка на ПЗ

Уточнение ПЗ

Дополнение ПЗ

Обоснование общей спецификации

Обоснование соответствия ПЗ

Комплекс средств обеспечения безопасности ОО

Структура профиля защиты

СТБ П

34.101.7

-2003

Требования безопасности для среды

Введение в описание ПЗ

ПРОФИЛЬ ЗАЩИТЫ

Описание объекта

Идентификация ПЗ

Обзор ПЗ

Задачи безопасности

Среда безопас-ности объекта

Задачи безопасности для объекта

Требования бе-зопасности ИТ

Требования безопаснос-ти для объекта

Обоснование

Замечания по применению ПЗ

Угрозы

Политика безопасности организации

Предположения

Задачи безопасности для среды

Обоснование задач безопасности

Обоснование требований безопасности

Гарантийные тре-бования безопас-ности объекта

Функциональные требования безо-пасности объекта

Опыт применения нормативной базы при разработке защиты информации в автоматизированных информационных системах

Области применения стандартов ИСО/МЭК 15408 и ИСО/МЭК 17799

Другие стандарты группы СТБ 34.101.**

СТБ 34.101.8-2006 «Информационные технологии. Методы и средства безопасности. Программные средства защиты от воздействия вредоносных программ и антивирусные программные средства. Общие требования»

СТБ 34.101.9-2004 «Информационные технологии. Требования к защите информации от несанкционированного доступа, устанавливаемые в техническом задании на создание автоматизированной системы»

СТБ 34.101.10-2004 «Информационные технологии. Средства защиты информации от несанкционированного доступа в автоматизированных системах. Общие требования»

Другие стандарты группы СТБ 34.101.**

СТБ П 34.101.11-2004 «Информационные технологии. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Профиль защиты операционной системы сервера для использования в доверенной зоне корпоративной сети»

СТБ П 34.101.12-2004 «Информационные технологии. Методы и средства безопасности. Программные средства защиты от воздействия вредоносных программ и антивирусные программные средства. Оценка качества»

СТБ П 34.101.13-2004 «Информационные технологии. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Профиль защиты операционной системы сервера для использования в демилитаризованной зоне корпоративной сети»

Другие стандарты группы СТБ 34.101.**

СТБ П 34.101.14-2004 «Информационные технологии. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Профиль защиты программных средств маршрутизатора для использования в демилитаризованной зоне корпоративной сети»

СТБ П 34.101.15-2004 «Информационные технологии. Методы и средства безопасности. Программные средства защиты от воздействия вредоносных программ и антивирусные программные средства. Типовая программа и методика испытаний»

Другие стандарты группы СТБ 34.101.**

СТБ П 34.101.16-2004 «Информационные технологии. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Профиль защиты программных средств коммутатора для использования в доверенной зоне корпоративной сети»

СТБ П 34.101.17-2006 «Информационные технологии. Синтаксис запроса на получение сертификата»

СТБ П 34.101.18-2006 «Информационные технологии. Синтаксис обмена персональной информацией»

СТБ П 34.101.19-2006 «Информационные технологии. Форматы сертификатов и списков отозванных сертификатов инфраструктуры открытых ключей»

Другие стандарты группы СТБ 34.101.**

СТБ П 34.101.20-2006 «Информационные технологии. Синтаксис криптографи-ческой информации для токенов»

СТБ П 34.101.21-2006 «Информационные технологии. Интерфейс обмена информацией с аппаратно-программным носителем криптографической информации (токеном)»

СТБ П 34.101.22-2006 «Информационные технологии. Криптография на основе алгоритма RSA»

Где купить стандарты ?

1) БелГИСС, 1 этаж, с 8.30 до 17.00220113, г. Минск, ул. Мележа, 3

тел. 262 91 72

2) БелГИМ, 4 этаж, с 8.15 до 17.00220053, г. Минск,

Старовиленский тракт, 93,

тел. 233 65 76

УП «Научно-исследовательский институт технической защиты информации»

220088, г. Минск, ул. Первомайская, 26, к.2info@niitzi.by Тел. 294 00 11, 294 22 54, 294 01 71, факс 285 31 86

Директор – Чурко Олег Васильевич, тел. 294 16 84

Центр испытаний средств защиты информации и аттестации информационных объектов

Зам. начальника Центра испытаний - Мельник Александр Филиппович тел. 294 30 85

Начальник испытательной лаборатории - Кондрахин Олег Юрьевич

Инженер I категории испытательной лаборатории - Андрухович Мария Константиновна