В курс включены сведения о стандартах и спецификациях, необходимые всем специалистам в области информационной безопасности (ИБ). Рассматриваются международные, национальные и промышленные стандарты, а также спецификации, разработанные в рамках Internet-сообщества.Рекомендовано для студентов высших учебных заведений, обучающихся по специальностям в области информационных технологий.

Рекомендовано УМО в области прикладной информатики.

Лекция 1. Обзор наиболее важных стандартов и спецификаций в области информационной безопасности......13Роль стандартов и спецификаций. Наиболее важные стандарты и спецификации в области информационной безопасности......14Краткие сведения о стандартах и спецификациях, не являющихся предметом данного курса......16Краткие аннотации подробно рассматриваемых в курсе стандартов и спецификаций......19Лекция 2. «Общие критерии. Часть 1. Основные идеи......22История создания и текущий статус «Общих критериев»......22Основные понятия и идеи «Общих критериев»......25Основные понятия и идеи «Общей методологии оценки безопасности информационных технологий»......28Лекция 3. «Общие критерии». Часть 2. Функциональные требования безопасности......36Классификация функциональных требований безопасности......37Классы функциональных требований, описывающие элементарные сервисы безопасности......39Классы функциональных требований, описывающие производные сервисы безопасности......42Защита данных пользователя......43Защита функций безопасности объекта оценки......46Классы функциональных требований, играющие инфраструктурную роль......49Лекция 4. Общие критерии». Часть 3. Требования доверия безопасности......52Основные понятия и классификация требований доверия безопасности......52Оценка профилей защиты и заданий по безопасности......54Требования доверия к этапу разработки......55Требования к этапу получения, представления и анализа результатов разработки......59Требования к поставке и эксплуатации, поддержка доверия......62Оценочные уровни доверия безопасности......64Лекция 5. Профили защиты, разработанные на основе «Общих критериев». Часть 1. Общие требования к сервисам безопасности......68Общие положения......68Общие предположения безопасности......71Общие угрозы безопасности......72Общие элементы политики и цели безопасности......73Общие функциональные требования......75Общие требования доверия безопасности......80Лекция 6. Профили защиты, разработанные на основе «Общих критериев». Часть 2. Частные требования к сервисам безопасности......82Биометрическая идентификация и аутентификация......83Требования к произвольному (дискреционному) управлению доступом......84Требования к принудительному (мандатному) управлению доступом......86Ролевое управление доступом......88Межсетевое экранирование......89Системы активного аудита......91Анонимизаторы......96Выпуск и управление сертификатами......101Анализ защищенности......105Лекция 7. Профили защиты, разработанные на основе «Общих критериев». Часть 3. Частные требования к комбинациям и приложениям сервисов безопасности......107Операционные системы......107Системы управления базами данных......112Виртуальные частные сети......114Виртуальные локальные сети......115Смарт-карты......116Некоторые выводы......119Лекция 8. Рекомендации семейства Х.500......121Основные понятия и идеи рекомендаций семейства Х.500......121Каркас сертификатов открытых ключей......123Каркас сертификатов атрибутов......126Простая и сильная аутентификация......128Лекция 9. Спецификация Internet-сообщества IPsec......130Архитектура средст безопасности IP-уровня......130Контексты безопасности и управление ключами......132Протокольные контексты и политика безопасности......135Обеспечение аутентичности IP-пакетов......140Обеспечение конфиденциальности сетевого трафика......141Лекция 10. Спецификация Internet-сообщества TLS......144Основные идеи и понятия протокола TLS......144Протокол передачи записей......145Протокол установления соединений и ассоциированные протоколы......149Применение протокола HTTP над TLS......153Лекция 11. Спецификация Internet-сообщества «Обобщенный прикладной программный интерфейс службы безопасности»......155Введение......155Основные понятия......156Функции для работы с удостоверениями......159Создание и уничтожение контекстов безопасности......160Защита сообщений......162Логика работы пользователей интерфейса безопасности......164Представление некоторых объектов интерфейса безопасности в среде языка С......164Лекция 12. Спецификация Internet-сообщества «Руководство по информационной безопасности предприятия»......170Основные понятия......170Проблемы, с которыми может столкнуться организация......172Основы предполагаемого подхода......173Общие принципы выработки официальной политики предприятия в области информационной безопасности......174Анализ рисков, идентификация активов и угроз......176Регламентация использования ресурсов......177Реагирование на нарушения политики безопасности (административный уровень)......179Подход к выработке процедур для предупреждения нарушений безопасности......182Выбор регуляторов для практичной защиты......183Ресурсы для предупреждения нарушений безопасности......185Реагирование на нарушения безопасности (процедурный уровень)......186Лекция 13. Спецификация Internet-сообщества «Как реагировать на нарушения информационной безопасности»......189Взаимодействие между группой реагирования, опекаемым сообществом и другими группами......191Порядок публикации правил и процедур деятельности групп реагирования......192Описание правил группы реагирования......195Описание услуг группы реагирования......201Лекция 14. Спецификация Internet-сообщества «Как выбирать поставщика Интернет-услуг»......205Общие положения......205Роль поставщика Internet-услуг в реагировании на нарушения безопасности......206Меры по защите Internet-сообщества......208Маршрутизация, фильтрация и ограничение вещания......211Защита системной инфраструктуры......213Размещение Web-серверов......215Возможные вопросы к поставщику Internet-услуг......218Лекция 15. Британский стандарт BS 7799......220Регуляторы безопасности и реализуемые ими цели......223Часть 1. Регуляторы общего характера......223Часть 2. Регуляторы технического характера......225Часть 3. Разработка и сопровождение, управление бесперебойнойработой, контроль соответствия......227Четырехфазная модель процесса управления информационной безопасностью......230Лекция 16. Федеральный стандарт США FIPS 140-2 «Требования безопасности для криптографических модулей»......233Основные понятия и идеи стандарта FIPS 140-2......233Требования безопасности......237Часть 1. Спецификация, порты и интерфейсы, роли, сервисы и аутенфикация......237Часть 2. Модель в виде конечного автомата, физическая безопасность......239Часть 3. Эксплуатационное окружение, управление криптографическими ключами......241Часть 4. Самотестирование, доверие проектированию, сдерживание прочих атак, другие рекомендации......242Лекция 17. Заключение......245Основные идеи курса......246«Общие критерии» и профили защиты на их основе......247Спецификация Internet-сообщества для программно-технического уровня ИБ......251Спецификация Internet-сообщества для административного и процедурного уровней ИБ......254