1. РОЛЬ СТАНДАРТОВ И СПЕЦИФИКАЦИЙ. НАИБОЛЕЕ ВАЖНЫЕ СТАНДАРТЫ И СПЕЦИФИКАЦИИ В ОБЛАСТИ
2. ОБЩИЕ ПОНЯТИЯ О ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
1.15M
Category: informaticsinformatics

Обзор наиболее важных стандартов и спецификаций в области информационной безопасности

1.

Кандидат технических наук
Профессор военной академии наук
ВИНОГРАДОВ АНДРЕЙ ВАДИМОВИЧ
доцент кафедры МИБ
8-926-764-01-08
WhatsApp: 8-926-764-01-08
Telegram: @KTNIPI
MAX: 8-926-764-01-08
vavka8989@mail.ru

2.

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ЛИНГВИСТИЧЕСКИЙ УНИВЕРСИТЕТ
Кафедра международной информационной безопасности
ЛЕКЦИЯ
Обзор наиболее важных стандартов и спецификаций в области
информационной безопасности
Кандидат технических наук Виноградов Андрей Вадимович
доцент кафедры
Москва
2025

3.

3
Учебные вопросы:
1. РОЛЬ СТАНДАРТОВ И СПЕЦИФИКАЦИЙ. НАИБОЛЕЕ
ВАЖНЫЕ СТАНДАРТЫ И СПЕЦИФИКАЦИИ В ОБЛАСТИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
2. ОБЩИЕ ПОНЯТИЯ О ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
3. КЛАССИФИКАЦИЯ УГРОЗ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ
Литература:
1. Шкарина Т.Ю., Репина И.Б., Набокова А.А. и др. Международные
принципы стандартизации: Учебное пособие. 2017г.
2. Белоусов А.И. Основы кибербезопасности. Стандарты, концепции,
методы и средства обеспечения: учебное пособие. – М.: Изд.
ТЕХНОСФЕРА, МОСКВА 2021.

4. 1. РОЛЬ СТАНДАРТОВ И СПЕЦИФИКАЦИЙ. НАИБОЛЕЕ ВАЖНЫЕ СТАНДАРТЫ И СПЕЦИФИКАЦИИ В ОБЛАСТИ

4
1. РОЛЬ СТАНДАРТОВ И СПЕЦИФИКАЦИЙ. НАИБОЛЕЕ
ВАЖНЫЕ СТАНДАРТЫ И СПЕЦИФИКАЦИИ В
ОБЛАСТИ

5.

ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ
5
•стандарт - документ, в котором в целях добровольного
многократного использования устанавливаются характеристики
продукции, правила осуществления и характеристики процессов
производства, эксплуатации, хранения, перевозки, реализации и
утилизации, выполнения работ или оказания услуг. Стандарт также
может содержать требования к терминологии, символике, упаковке,
маркировке или этикеткам и правилам их нанесения;
•стандартизация - деятельность по установлению правил и
характеристик в целях их добровольного многократного
использования, направленная на достижение упорядоченности в
сферах производства и обращения продукции и повышение
конкурентоспособности продукции, работ или услуг.
Отмеченная роль стандартов зафиксирована в основных понятиях
закона РФ "О техническом регулировании" от 27 декабря 2002
года под номером 184-ФЗ (принят Государственной Думой 15
декабря 2002 года)

6.

КЛАССИФИКАЦИЯ СТАНДАРТОВ
ОЦЕНОЧНЫЕ
СТАНДАРТЫ,
предназначенные
для оценки и
классификации и
нформационных
систем и средств
защиты по
требованиям
безопасности.
6
СПЕЦИФИКАЦИИ,
регламентирующие
различные аспекты
реализации и
использования средств
и методов защиты.

7. 2. ОБЩИЕ ПОНЯТИЯ О ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ

7
2. ОБЩИЕ ПОНЯТИЯ О ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ

8.

ОБЩИЕ ПОНЯТИЯ О ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
Информация
– это сведения об окружающем мире и протекающих в нем процессах, воспринимаемые
человеком или специальным устройством(«Словарь русского языка» С.И. Ожегов )
– любые данные, представленные в электронной форме, написанные на бумаге, высказанные
на совещании или находящиеся на любом другом носителе, используемые финансовым
учреждением для принятия решений, перемещения денежных средств, установления ставок,
предоставления ссуд, обработки операций и т.п., включая компоненты программного
обеспечения системы обработки (Международный стандарт ISO/IEC 2382:2015
Информационные технологии (ИТ). Словарь)
– сведения (сообщения, данные) независимо от формы их представления. (ФЗ «Об
информации, информационных технологиях и о защите информации» от 27.07.2006 N 149ФЗ)

9.

ОБЛАДАТЕЛИ И НОСИТЕЛИ ИНФОРМАЦИИ
Обладатель информации - лицо, самостоятельно создавшее информацию либо
получившее на основании закона или договора право разрешать или ограничивать доступ к
информации, определяемой по каким-либо признакам.
Носители информации – материальные объекты, в том числе физические поля, в
которых сведения ограниченного доступа, находят свое отображение в виде символов,
образов, сигналов, технических решений и процессов.
Носители защищаемой информации:
документы;
изделия (предметы);
вещества и материалы;
электромагнитные, тепловые, радиационные и другие излучения;
гидроакустические, сейсмические и другие физические поля, представляющие
особые виды материи;
сам объект с его видовыми характеристиками и т.п.

10.

ВИДЫ ИНФОРМАЦИИ
К общедоступной информации относятся общеизвестные сведения и иная информация,
доступ к которой не ограничен
Примером может служить информация о состоянии окружающей среды, о деятельности органов
государственной власти и органов местного самоуправления, документы накапливаемые в
открытых фондах библиотек и архивов. Так же в эту категорию можно отнести нормативные
правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, правовое
положение организаций и полномочия государственных органов, органов местного
самоуправления.
информация
информация
ограниченногодоступа
доступа
ограниченного
государственная
тайна
государственная
тайна
коммерческая
коммерческая
тайна
тайна
общедоступная
общедоступная
конфиденциальная
конфиденциальная
служебная
служебная
тайна
тайна
персональные
персональные
данные
данные
профессиональная
профессиональная
тайна
тайна
Государственной тайна – защищаемые государством сведения в области его военной,
внешнеполитической, экономической, разведывательной, контрразведывательной и оперативнорозыскной деятельности, распространение которых может нанести ущерб безопасности РФ.
Конфиденциальная информация – документированная информация, правовой режим
которой установлен специальными нормами действующего законодательства в области
государственной, коммерческой, промышленной и другой общественной деятельности.

11.

ОБЩИЕ ПОНЯТИЯ О ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
допуск к информации – процедура оформления права граждан
на доступ к информации определенного вида, а предприятий,
учреждений и организаций – на проведение работ с
использованием такой информации;
доступ к информации – санкционированное полномочным
должностным лицом ознакомление персонала предприятия и иных
лиц с информацией определенного вида и ее носителями.

12.

Информационная безопасность и защита информации
Информационная безопасность – это защищенность информации и
поддерживающей ее инфраструктуры от случайных или преднамеренных
воздействий естественного или искусственного характера, которые могут нанести
ущерб владельцам или пользователям информации.
Защита информации (ГОСТ 350922-96) – это деятельность, направленная на
предотвращение утечки защищаемой информации, несанкционированных и
непреднамеренных воздействий на защищаемую информацию.
Защита информации согласно закону «Об информации, информационных
технологиях и о защите информации» представляет собой принятие правовых,
организационных и технических мер, направленных на:
обеспечение защиты информации от неправомерного доступа, уничтожения,
модифицирования,
блокирования,
копирования,
предоставления,
распространения, а также от иных неправомерных действий в отношении такой
информации;
соблюдение конфиденциальности информации ограниченного доступа;
реализацию права на доступ к информации.

13.

ОСНОВНЫЕ СОСТАВЛЯЮЩИЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Конфиденциальность – гарантия доступности конкретной
информации только тому кругу лиц, для которого она предназначена.
Доступность – это гарантия получения требуемой информации или
информационной услуги пользователем за определенное время.
Целостность – гарантия того, что информация сейчас существует в
ее исходном виде, то есть при ее хранении или передаче не было
произведено несанкционированных изменений.

14.

ИНФОРМАЦИОННЫЕ ПРЕСТУПЛЕНИЯ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Согласно статистическим данным, за последний год число
преступлений в сфере информационно-телекоммуникационных
технологий увеличилось с 65 949 до 90 587. Их доля от числа всех
зарегистрированных в России преступных деяний составляет 4,4% это почти каждое 20 преступление.
По данным Генпрокуратуры, самыми популярными киберпреступлениями являются
неправомерный доступ к компьютерной информации (ст. 272 УК РФ),
распространение вредоносных компьютерных программ (ст. 273 УК РФ), а также
мошеннические действия, совершенные с использованием электронных средств
платежа (ст. 159.3 УК РФ).

15.

КЛАССИФИКАЦИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
угроза безопасности информации –
совокупность условий и факторов, создающих потенциальную или реально
существующую опасность, в результате которой возможны утечка информации,
неправомерное модифицирование (искажение, подмена), уничтожение информации
или неправомерное блокирование доступа к ней
угрозы
конфиденциальности
информации
угрозы целостности
информации
утечка информации
неправомерное воздействие на информацию
угрозы доступности
информации

16.

ФОРМЫ УТЕЧКИ ИНФОРМАЦИИ
утечка информации
разглашение информации
(сведений)
несанкционированный доступ к
информации (НСД)
перехват информации (утечка
по техническим каналам)
хищение носителя и нформации
преднамеренное разглашение
непреднамеренное разглашение
физический доступ
программно-аппаратный доступ
программный доступ
перехват информации, обрабатываемой ТС
перехват разговоров, ведущихся в помещениях
перехват информации, передаваемой
по каналам связи

17.

Угроза (действие) - это возможная опасность (потенциальная или реально
существующая) совершения какого-либо деяния (действия или бездействия),
направленного против объекта защиты (информационных ресурсов), наносящего ущерб
собственнику, владельцу или пользователю, проявляющегося в опасности искажения и
потери информации.
Фактор (уязвимость) - это присущие объекту информатизации причины, приводящие
к нарушению безопасности информации на конкретном объекте и обусловленные
недостатками процесса функционирования объекта информатизации, свойствами
архитектуры автоматизированной системы, протоколами обмена и интерфейсами,
применяемыми программным обеспечением и аппаратной платформой, условиями
эксплуатации.
Последствия (атака) - это возможные последствия реализации угрозы (возможные
действия) при взаимодействии источника угрозы через имеющиеся факторы
(уязвимости).

18.

МОДЕЛЬ УГРОЗ И МОДЕЛЬ НАРУШИТЕЛЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Модель
угроз
безопасности
информации
физическое,
математическое, описательное представление свойств или характеристик
угроз безопасности информации (ГОСТ Р 50922-2006. Защита информации.
Основные термины и определения).
Нарушитель – Физическое лицо или логический объект, случайно или
преднамеренно совершивший действие, следствием которого является
нарушение информационной безопасности организации. (ГОСТ Р 531142008)
Модель нарушителя – совокупность предположений о возможностях
нарушителя, которые он может использовать для разработки и проведения
атак, а также об ограничениях на эти возможности.
Методика определения актуальных угроз безопасности персональных данных при
их обработке в информационных системах персональных данных, утвержденная
заместителем директора Федеральной службы по техническому и экспортному
контролю Российской Федерации (ФСТЭК России) 14 февраля 2008 г;
Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных, утвержденная заместителем
директора ФСТЭК России 15 февраля 2008 г;
Методические рекомендации по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке в информационных системах
персональных данных с использованием средств автоматизации, утверждены
руководством 8 Центра ФСБ России 21 февраля 2008 года №149/54-144.

19.

КОМПЛЕКСНЫЙ АНАЛИЗ УГРОЗ

20.

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ЛИНГВИСТИЧЕСКИЙ УНИВЕРСИТЕТ
Кафедра международной информационной безопасности
СТАНДАРТИЗАЦИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСТНОСТИ. НАЦИОНАЛЬНЫЕ И
МЕЖДУНАРОДНЫЕ СИСТЕМЫ
СТАНДАРТИЗАЦИИ
Задание на самостоятельную работу:
ПОДГОТОВКА К СЕМИНАРСКОМУ ЗАНЯТИЮ

21.

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ЛИНГВИСТИЧЕСКИЙ УНИВЕРСИТЕТ
Кафедра международной информационной безопасности
СТАНДАРТИЗАЦИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСТНОСТИ. НАЦИОНАЛЬНЫЕ И
МЕЖДУНАРОДНЫЕ СИСТЕМЫ
СТАНДАРТИЗАЦИИ
ЛЕКЦИЯ
Обзор наиболее важных стандартов и спецификаций в области
информационной безопасности
Кандидат технических наук Виноградов Андрей Вадимович,
доцент кафедры
Москва
2025
English     Русский Rules