Similar presentations:
57481a233303006452015fefde0074ee
1. МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное
образовательноеучреждение высшего образования
«Санкт – Петербургский государственный университет телекоммуникаций
им. проф. М.А. Бонч-Бруевича»
СТАНДАРТИЗАЦИЯ, СЕРТИФИКАЦИЯ И
ТЕХНИЧЕСКОЕ ДОКУМЕНТОВЕДЕНИЕ
Преподаватель Рожков А.И.
Санкт-Петербург 2026
2.
ТЕМА 2. Основы сертификацииНормативно-правовые документы и стандарты в области
защиты информации и информационной безопасности
I
II
Международные правовые и нормативные акты
Отечественное
обеспечения ИБ процессов переработки информации
нормативное обеспечение и регулирование в сфере ИБ
III
IV
Система менеджмента ИБ
Сертификация систем обеспечения качества
V
VI
Экологическая сертификация
Сертификация ИКТ и система ИНКОМТЕХСЕРТ
организационное,
правовое
и
3. Международные правовые и нормативные акты обеспечения информационной безопасности процессов переработки информации
IМеждународные правовые и
нормативные акты обеспечения
информационной безопасности
процессов переработки информации
Информационная безопасность (ИБ) —
состояние защищенности информации от
намеренных или случайных воздействий,
обеспечивающее ее конфиденциальность,
целостность и доступность.
4.
Законодательные меры по защите ИБЗаконодательные меры по защите процессов переработки
информации: исполнение существующих или введении новых законов,
регулирующих
юридическую
ответственность
должностных
лиц
(пользователей и обслуживающего технического персонала) за утечку,
потерю или модификацию доверенной им информации, подлежащей защите,
а также за попытку преднамеренного несанкционированного доступа к
аппаратуре и информации.
Цель
законодательных
мер:
предупреждение
и
сдерживание
потенциальных нарушителей.
5.
Международные стандарты ИБМеждународные инициативы:
• TCSEC ("Оранжевая книга", США, 1983): 7
уровней безопасности (A1-D) для оценки
систем.
• "Радужная серия" (США, 1980-90-е):
Комплекс стандартов по безопасности.
• GREEN BOOK (ФРГ): Комплексный подход к
доступности,
целостности
и
конфиденциальности.
• ITSEC
("Белая
книга",
ЕС,
1990):
Европейский стандарт с оценкой по
эффективности (E1-E6) и функциональности.
6.
Европейские критерии ITSECITSEC "Критерии оценки защищенности информационных
технологий": 6 ключевых элементов
1. Цели и функции ИБ.
2. Спецификация функций безопасности:
Идентификация и аутентификация (например, Kerberos);
Управление доступом;
Подотчетность (протоколирование);
Аудит;
Повторное использование объектов (восстановление данных);
Целостность и точность данных.
Надежность обслуживания.
7.
Европейские критерии ITSECITSEC "Критерии оценки защищенности информационных
технологий": 6 ключевых элементов
3. Конфиденциальность информации.
4. Целостность информации.
5. Доступность информации.
6. Описание механизмов безопасности (Firewall, криптография и
др.).
8. Отечественное организационное, правовое и нормативное обеспечение и регулирование в сфере информационной безопасности
IIОтечественное организационное,
правовое и нормативное обеспечение
и регулирование в сфере
информационной безопасности
В РФ законодательно закреплены
понятия
«информационная
безопасность»
и
«защита
информационной безопасности».
На основании этого предусмотрены
законодательные
акты,
устанавливающие: кто отвечает за
сохранность информации, как она
должна храниться и распространяться,
как ее собирать и обрабатывать.
9.
Иерархия нормативно-правовых актов РФ вобласти ИБ
1
•Конституция РФ
2
•Международные договоры РФ
3
•Федеральные законы
4
•Указы Президента РФ
5
•Постановления Правительства РФ
6
•Акты федеральных органов власти (ФСТЭК, ФСБ, Роскомнадзор)
7
•Акты субъектов РФ
10.
Нормативно-методические документы РФНормативно-методические документы:
• Доктрина информационной безопасности РФ;
• Руководящие документы ФСТЭК;
• Приказы ФСБ;
• Стандарты
(международные,
рекомендации).
национальные
ГОСТ
Р,
11.
Контролирующие органы РФГосударственные контролирующие органы:
• Совет Безопасности РФ;
• ФСТЭК — техническая защита информации;
• ФСБ — криптографическая защита, контрразведка;
• Роскомнадзор — надзор в сфере связи и ИТ;
• МВД (киберполиция) — борьба с киберпреступностью;
• Роскомнадзор - Федеральная служба по надзору в сфере связи,
информационных технологий и массовых коммуникаций.
12. Система менеджмента информационной безопасности
IIIСистема менеджмента
информационной безопасности
СМИБ — часть общей
системы
управления
организацией,
созданная
для
обеспечения
конфиденциальности,
целостности и доступности
информации на основе
анализа рисков.
13.
Система менеджмента информационнойбезопасности (СМИБ)
Реализуется через модель PDCA (Деминга):
• Plan (Планирование): Оценка рисков, выбор мер.
• Do (Внедрение): Реализация мер.
• Check (Проверка): Мониторинг и аудит эффективности.
• Act (Улучшение): Корректирующие и предупреждающие действия.
Базируется на стандарте ГОСТ Р ИСО/МЭК 27001.
14.
Ключевые элементы и рабочая группа СМИБОсновные элементы СМИБ:
• Защита от НСД, аутентификация и
авторизация.
Рабочая группа по созданию СМИБ
включает:
• Высшее руководство.
• Защита каналов передачи данных.
• Представители
подразделений.
• Управление инцидентами ИБ.
• Специалисты по ИБ.
• Обеспечение
бизнеса.
• Внешние
консультанты
необходимости).
непрерывности
• Внутренний и внешний аудит.
бизнес-
(при
15.
Ключевые понятия ИБКонфиденциальность
•обеспечение
доступа
к
авторизованным пользователям.
информации
только
Целостность
•обеспечение достоверности и полноты информации и
методов её обработки.
Доступность
•обеспечение доступа к информации и связанным с ней
активам
авторизованных
пользователей
по
мере
необходимости.
16. Сертификация систем обеспечения качества
IVСертификация систем обеспечения
качества
Качество — способность
удовлетворять потребности.
продукта/услуги
Система менеджмента качества (СМК) —
система для достижения целей в области качества.
Основа: Стандарты серии ISO 9000.
Преимущества сертификации СМК:
• Внутренние:
Оптимизация
снижение издержек, контроль.
процессов,
• Внешние: Репутация, конкурентоспособность,
доступ к новым рынкам.
17. Экологическая сертификация
VЭкологическая сертификация
Экологическая
сертификация
подтверждение соответствия объекта (продукта,
услуги, процесса) установленным экологическим
требованиям.
Цель: Обеспечение экологически безопасной
деятельности в РФ.
Объекты
экологической
сертификации:
отдельные готовые продукты, предоставляемые
услуги или процессы производства, эксплуатации,
транспортировки,
хранения,
реализации
и
утилизации.
18.
Виды экологических сертификатовМеждународный (знак ЕС): Право маркировки для рынка ЕС.
Российский (добровольный): Действует на территории РФ.
Евростандарт (обязательный для автотранспорта): Подтверждение
экологического класса (Евро-4/5/6).
Согласно позиции ООН, эффективным инструментом развития наиболее
актуальных трендов для современного бизнеса служит экологическая
маркировка I типа по жизненному циклу (ISO 14024/ГОСТ Р ИСО 14024).
Экологическая маркировка:
• типа I - собственно экологическая маркировка,
• типа II - экологическая самодекларация,
• типа III - экологическая декларация.
19.
Экологическая сертификация в РФРоссийская система, признанная на международном уровне: В
г.Санкт-Петербурге некоммерческим партнерством «Экологический союз»
была разработана система добровольной экологической сертификации
«Листок жизни».
20.
Экологическая сертификация в РФПриоритетное направление работы Экологического союза —
развитие экологической маркировки I типа (ISO 14024) «Листок жизни».
21. Сертификация информационно-коммуникационных технологий и система ИНКОМТЕХСЕРТ
VIСертификация информационнокоммуникационных технологий и
система ИНКОМТЕХСЕРТ
Система "ИНКОМТЕХСЕРТ" (зарегистрирована в
2004 г.) — система добровольной сертификации в
области
информационно-коммуникационных
технологий, прежде всего в сфере образования.
Руководящий орган: Московский государственный
технологический университет "Станкин".
Центральный орган Системы "ИНКОМТЕХСЕРТ":
Отраслевой специализированный ресурсный центр
регистрации,
стандартизации
и
сертификации
информационных ресурсов системы образования
(ОСРЦ-ИР/МГТУ "Станкин").
22.
Сертификация ИКТ и система ИНКОМТЕХСЕРТОбласть
аккредитации:
Образовательные ИТ-среды, ПО, средства
защиты, системы менеджмента качества
образовательных учреждений.
Основные задачи:
• Подтверждение
соответствия
продукции, услуг и СМК требованиям
стандартов.
• Повышение
качества
образовательных ИКТ (электронные
учебники, курсы, АИС и др.).
• Развитие методик испытаний.
23.
Контрольные вопросы1. Дайте определение информационной безопасности и перечислите
законодательные меры по ее обеспечению в РФ.
2. Почему серия стандартов ИБ получила название "Радужной"?
3. Что такое ITSEC, что они в себя включают?
4. Назовите основные виды нормативно-правовых актов РФ в области ИБ.
5. Какие государственные органы РФ осуществляют контроль в сфере ИБ и
какие у них функции?
6. Что такое СМИБ и какую модель циклического управления она
использует?
7. Какие преимущества у сертификации СМК?
8. В чем цель экологической сертификации?
9. Цели системы сертификации "ИНКОМТЕХСЕРТ"?