МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение

высшего образования
«СЕВЕРО-КАВКАЗСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»

Институт цифрового развития

Кафедра компьютерной безопасности

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ № 2

ОСНОВЫ РАБОТЫ С РОССИЙСКИМИ И МЕЖДУНАРОДНЫМИ
СТАНДАРТАМИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ.
по дисциплине
«Методы и стандарты оценки защищенности информационных
систем»

Выполнил студент группы ИНБ-22-1 Ковтун А.С.

(учебная группа)

Принял старший преподаватель кафедры КБ Чайка Е. А.

должность, звание, ученая степень

Лабораторная работа
«__»_______2022 г.
выполнена (подпись студента)

«Зачтено» «__»_______2022 г. (подпись

руководителя)
 Ставрополь 2022

Цель работы:
Получение навыков работы с национальными российскими и
международными стандартами в области обеспечения информационной
безопасности.
Выполнение индивидуального задания (Вариант 7):
Выполнить поиск разделов в нормативных источниках в соответствии
со своим вариантом по журналу (Реализация механизмов идентификации и
аутентификации). Результаты поиска свести в таблицу и вставить в отчет.
Выполнение:
Таблица 1 - Разделы нормативных документов, регламентирующие
механизмы идентификации и аутентификации
Нормативный Описание раздела
документ
ГОСТ Р 58833- Настоящий стандарт устанавливает единообразную организацию
2020 Защита процессов идентификации и аутентификации в средствах защиты
информации. информации, в том числе реализующих криптографическую защиту,
Идентификация и средствах вычислительной техники и автоматизированных
аутентификация.
(информационных) системах, а также определяет общие правила
Общие положения
применения методов идентификации и аутентификации,
обеспечивающих необходимую уверенность в результатах.
Положения настоящего стандарта не исключают применение
криптографических и биометрических методов (алгоритмов) при
идентификации и аутентификации, но не устанавливают требования
по их реализации. Настоящий стандарт определяет состав участников
и основное содержание процессов идентификации и аутентификации,
рекомендуемое к реализации при разработке, внедрении и
совершенствовании правил, механизмов и технологий управления
доступом. Положения настоящего стандарта могут использоваться
при управлении доступом к информационным ресурсам,
вычислительным ресурсам средств вычислительной техники,
ресурсам автоматизированных (информационных) систем, средствам
вычислительной техники и автоматизированным (информационным)
системам в целом.
ГОСТ Р 70262.1- Настоящий стандарт устанавливает единообразную организацию
2022 Защита процесса идентификации субъектов и объектов доступа в средствах
информации. защиты информации, средствах вычислительной техники и
Идентификация и автоматизированных (информационных) системах, а также
аутентификация.
определяет общие правила идентификации, обеспечивающие
Уровни доверия
идентификации
необходимую уверенность в ее результатах. Настоящий стандарт
определяет состав участников и основное содержание процесса
 идентификации, рекомендуемые к реализации при разработке,
внедрении и совершенствовании правил, механизмов и технологий
управления доступом. Положения настоящего стандарта могут
использоваться при управлении доступом к информационным
ресурсам, вычислительным ресурсам средств вычислительной
техники, ресурсам автоматизированных (информационных) систем,
средствам вычислительной техники и автоматизированным
(информационным) системам в целом. Положения настоящего
стандарта применяются совместно с документами по стандартизации,
регламентирующими вопросы идентификации и аутентификации.
Настоящий стандарт предназначен для применения путем включения
нормативных ссылок на него в соответствии с действующим
законодательством и (или) прямого использования устанавливаемых
в нем положений.
ISO/IEC 29151:2017 Стандарт определяет цели для мер и средств контроля и управления,
Информационные используемых для защиты персональных данных, устанавливает
технологии – необходимые меры и средства и даёт рекомендации по их
Методы реализации. В нем также показано, как сочетание такого рода мер
обеспечения может обеспечить соответствие требованиям, выявленным в ходе
безопасности – Свод
проведенной организацией оценки рисков и возможных последствий,
практики по защите
персональных связанных с персональными данными.
данных
ISO/IEC TS Настоящий стандарт содержит рекомендации по подтверждению
29003:2018 идентичности субъектов (физических лиц), определяет уровни
Информационные подтверждения их идентификационных данных, а также требования
технологии. Методы для достижения этих уровней. Положения настоящего стандарта
и средства
могут быть использованы при разработке и эксплуатации систем
обеспечения
безопасности.
управления идентификационными данными и применяются
Подтверждение совместно с документами по стандартизации, регламентирующими
идентичности вопросы идентификации.
ISO/IEC 24760- Настоящий стандарт определяет практические приемы управления
3:2016 идентичностью. Эти приемы охватывают обеспечение доверия к
Информационные структуре управления идентичностью, включающей в себя
технологии. Методы управление доступом к идентификационным данным и другим
и средства ресурсам на основе идентификационных данных, политикам доступа,
обеспечения
сторонам взаимодействия и способам обмена идентификационными
безопасности.
Структура данными, а также управлению целями, которые должны быть
менеджмента реализованы при создании и поддержке системы управления
идентификационных идентификационными данными.
данных.
ISO/IEC 29115:2013 Настоящий стандарт обеспечивает основу для управления гарантией
Информационные аутентификации объекта в заданном контексте. В частности:
технологии. - определяет четыре уровня гарантии аутентификации объекта;
Техника - определяет критерии и рекомендации для достижения каждого из
безопасности. Схема
четырех уровней обеспечения аутентификации объекта;
обеспечения
идентификации
- предоставляет руководство по соотнесению других схем
объекта обеспечения аутентификации;
- предоставляет руководство по обмену результатами
аутентификации;
- предоставляет руководство по элементам управления, которые
следует использовать для смягчения угроз аутентификации.
 Контрольный вопрос:
1. Перечислите положения СТО БР ИББС-1.0-2010 Стандарт Банка
России.
Настоящий стандарт распространяется на организации банковской
системы Российской Федерации (далее - организации БС РФ) и
устанавливает положения по обеспечению ИБ в организациях БС РФ.
Настоящий стандарт рекомендован для применения путем включения
ссылок на него и (или) прямого использования устанавливаемых в нем
положений во внутренних нормативных и методических документах
организаций БС РФ, а также в договорах.
Положения настоящего стандарта применяются на добровольной
основе, если только в отношении отдельных положений обязательность их
применения не установлена законодательством РФ, иными нормативными
правовыми актами, в том числе нормативными актами Банка России.
Обязательность применения настоящего стандарта может быть
установлена договорами, заключенными организациями БС РФ, или
решением организации БС РФ. В этих случаях требования настоящего
стандарта, содержащие положения долженствования, применяются на
обязательной основе, а рекомендации применяются по решению
организации БС РФ.
Содержание стандарта:
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
 5. Исходная концептуальная схема (парадигма) обеспечения
информационной безопасности организаций банковской системы Российской
Федерации
6. Модели угроз и нарушителей информационной безопасности
организаций банковской системы Российской Федерации
7. Система информационной безопасности организаций банковской
системы Российской Федерации
8. Система менеджмента информационной безопасности
организаций банковской системы Российской Федерации
9. Проверка и оценка информационной безопасности организаций
банковской системы Российской Федерации

Вывод: в данной лабораторной работе произведен успешный поиск

разделов в нормативных источниках, посвященный реализации механизмов
идентификации и аутентификации. Результаты поиска сведены в таблицу и
вставлены в отчет.