МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение

высшего образования
«СЕВЕРО-КАВКАЗСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»

Институт цифрового развития

Кафедра компьютерной безопасности

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ № 3

АНАЛИЗ СТАНДАРТОВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ.
по дисциплине
«Методы и стандарты оценки защищенности информационных
систем»

Выполнил студент группы ИНБ-22-1 Ковтун А.С.

(учебная группа)

Принял старший преподаватель кафедры КБ Чайка Е. А.

должность, звание, ученая степень

Лабораторная работа
«__»_______2022 г.
выполнена (подпись студента)

«Зачтено» «__»_______2022 г. (подпись

руководителя)
 Ставрополь 2022

Цель работы:
Ознакомиться со стандартом, получить навыки его использования при
организации информационной безопасности.
Порядок выполнения:
1. Найти в открытых источниках текст ГОСТ Р ИСО/МЭК 17799-2005
«Информационная технология. ПРАКТИЧЕСКИЕ ПРАВИЛА
УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ISO/IEC
17799:2000» (сокращенно ГОСТ Р ИСО/МЭК 17799)
2. Дать его краткую характеристику (включить в отчет).
3. Определить и описать взаимосвязь ГОСТ Р ИСО/МЭК 17799-2005
со стандартами ГОСТ Р ИСО/МЭК 27001-2006, ГОСТ Р ИСО/МЭК 27002-
2012
4. В соответствие со своим вариантом дать характеристику
анализируемому направлению обеспечения ИБ (Вариант 7 - Контроль
доступа).
5. Сформировать требования, позволяющие проводить по ним
проверку выполнения на основании трех выше указанных стандарта, оценить
их важность в предлагаемой вами форме.
6. Разработайте процедуру внедрения механизмов, реализующих
сформированные вами требования.
7. Разработайте подход к проверке выполнения требований,
предложенных
Выполнение:
ГОСТ Р ИСО/МЭК 17799-2005
Настоящий стандарт устанавливает рекомендации по управлению
информационной безопасностью лицам, ответственным за планирование,
реализацию или поддержку решений безопасности в организации. Он
предназначен для обеспечения общих основ для разработки стандартов
безопасности и выбора практических мероприятий по управлению
безопасностью в организации, а также в интересах обеспечения доверия в
деловых отношениях между организациями. Рекомендации настоящего
стандарта следует выбирать и использовать в соответствии с действующим
законодательством.
Международный стандарт ISO/IEC 17799:2005 был переименован в
ISO/IEC 27002:2005 «Информационные технологии. Методы обеспечения
безопасности. Практические правила управления информационной
безопасностью» (Information technology. Security techniques. Code of practice
for information security management).

Рисунок 1 - Хронология развития стандарта ISO/IEC 27001

В настоящее время серия 27xxx содержит более 30 стандартов по

различным направлениям системы менеджмента информационной
безопасности (СМИБ), начиная с уровня стратегического управления и
контроля СМИБ и заканчивая техническими рекомендациями по
применению отдельных программно-технических и организационных мер
защиты информации. Все эти стандарты можно разделить на несколько
групп (Рисунок 2).

Рисунок 2 - Группировка стандартов серии 27xxx

 Базовые стандарты ISO/IEC 27001 и ISO/IEC 27002 со временем были
дополнены следующими документами:

- стандартом ISO/IEC 27000, описывающим терминологию и

общий подход всей серии стандартов;
- стандартом ISO/IEC 27003 с указаниями по порядку внедрения
СМИБ;
- стандартами по отдельным процессам СМИБ: измерению
эффективности, риск-менеджменту, аудиту;
- стандартами по направлениям стратегического управления ИБ и
экономике СМИБ;
- стандартами по особенностям СМИБ в специфических областях
деятельности: телекоммуникационных услугах, финансовых операциях,
обработке персональных данных в облачных сервисах, топливно-
энергетическом комплексе, сообществах информационного обмена,
организациях здравоохранения;
- детальными требованиями к мерам защиты информации, в том
числе по управлению инцидентами, сетевой безопасности;
- руководствами по интеграции СМИБ с системами ИТ-
менеджмента (ISO 20000) и системами обеспечения непрерывности
деятельности (в том числе ISO 22301);
- руководством по обеспечению кибербезопасности в соответствии
с общим подходом и практиками СМИБ;
- стандартами ISO/IEC 27006 и ISO/IEC 27021, описывающим
требования к экспертам и аудиторам СМИБ.
Стандарты серии постепенно переводятся на русский язык и издаются
в национальной системе стандартизации ГОСТ, находящейся в ведении
Росстандарта России. По состоянию на 2018 год переведены и изданы
стандарты с индексами ГОСТ Р ИСО/МЭК 27000, 27001, 27002, 27003,
27004, 27005, 27006, 27007, 27011, 27013, 27031, 27033, 27034 и 27037.
Стандарты серии ISO/IEC 27xxx и ГОСТ Р ИСО/МЭК 27xxx в совокупности
образуют целостную систему знаний и лучших практик в сфере обеспечения
информационной безопасности в организациях любого масштаба и области
деятельности.

Выполнение индивидуального задания (Вариант 7):

Контроль доступа - это процесс определения того, позволяют ли
полномочия заявителя получить ему доступ к сервису, предоставляемому
целевым компонентом. В данном контексте понятие доступа шире, чем
просто получение некоторых данных. Доступ может относиться к любому
сервису, предоставляемому целевым компонентом (например, удаление
данных, выполнение вычислений, передача информации).
Модель контроля иллюстрирует, каким образом осуществляется
контроль доступа к действию с важным объектом. Модель включает четыре
компонента: заявителя, контролера, цель и политику контроля (Рисунок 1).

Рисунок 1 - Модель контроля

Заявитель обладает сертификатом атрибутов, содержащим атрибуты

полномочий. У цели есть атрибуты важности, которые могут содержаться в
грифе секретности, сертификате атрибутов или в локальной базе данных.
Описанный здесь метод позволяет контролеру, который может быть
владельцем цели или независимым уполномоченным лицом, осуществлять
контроль доступа заявителя к цели в соответствии с политикой контроля, а в
ряде случаев - с учетом переменных или компонентов среды (например,
местного времени).
Полномочия заявителя обычно инкапсулированы в его сертификате
атрибутов. Сертификат атрибутов может быть предъявлен контролеру при
запросе услуги (активная стратегия), или передан посредством каких-либо
других средств, например через каталог (пассивная стратегия). Необходимо
обеспечивать целостность и аутентичность политики контроля, и для этой
цели она иногда может фиксироваться вместе с полномочиями заявителя в
сертификате атрибутов. Однако обычно политика контроля объявляется
отдельно.
Заявитель может быть объектом, идентифицируемым посредством
сертификата открытого ключа, либо исполняемым объектом,
идентифицируемым посредством справочника.
Использование ролей может значительно упростить
администрирование информационной безопасности. Кроме того, может
потребоваться введение административных ограничений. Например,
достаточно широко используется ограничение авторизации по принципу
разделения обязанностей.
Базовыми элементами управления контролем доступа являются
принципалы, роли, разрешения, операции и объекты. Управление контролем
доступа включает в себя следующие аспекты:
- определение ролей и ограничений ролей;
- назначение роли пользователю;
- назначение разрешений роли;
- задание ограничений для активизации ролей, назначенных
пользователю.
На основе гармонизации моделей ролей, определенных в 4.5 (ГОСТ Р
ИСО/ТС 22600-2-2009) и приложении А, и усовершенствованных моделей
контроля доступа, например стандартного ролевого управления доступом
Национального института стандартов США, была разработана
адаптированная схема ролевого контроля доступа, представленная на
рисунке 2.

Рисунок 2 - Схема ролевого контроля доступа

Согласно схеме ролевого контроля доступа (РКД) разрешения доступа

присваиваются функциональной роли, которая назначается принципалу на
время конкретного сеанса доступа. Функциональная роль может быть
определена набором структурных ролей, назначенных тому же самому
принципалу.
Каждый из компонентов модели определяется следующими
составляющими:
- множеством наборов базовых элементов;
- множеством отношений РКД, связывающих эти наборы
элементов (содержащим подмножества декартовых произведений,
соответствующие допустимым назначениям);
- множеством функций отображения, которые возвращают
экземпляры членов одного набора элементов в зависимости от заданного
экземпляра из другого набора элементов.

Контрольный вопрос:
1. Дайте краткую характеристику Международному стандарту ISO
17799- 2005
 Настоящий стандарт устанавливает рекомендации по управлению
информационной безопасностью лицам, ответственным за планирование,
реализацию или поддержку решений безопасности в организации. Он
предназначен для обеспечения общих основ для разработки стандартов
безопасности и выбора практических мероприятий по управлению
безопасностью в организации, а также в интересах обеспечения доверия в
деловых отношениях между организациями. Рекомендации настоящего
стандарта следует выбирать и использовать в соответствии с действующим
законодательством.

Вывод: в данной лабораторной работе успешно проведена оценка

национальных и зарубежных стандартов в области ИБ, в индивидуальном
задании благодаря имеющемуся опыту дана характеристика и выработаны
требования и решения для анализируемого направлению обеспечения ИБ
(Контроль доступа).