2. Лекция: "Общие критерии", часть Основные идеи 8

1. Лекция: Обзор наиболее важных стандартов и спецификаций в области информационной безопасности 3

Роль стандартов и спецификаций. Наиболее важные стандарты и спецификации в области информационной безопасности 3

Краткие сведения о стандартах и спецификациях, не являющихся предметом данного курса. 5

Краткие аннотации подробно рассматриваемых в курсе стандартов и спецификаций 6

2. Лекция: "Общие критерии", часть 1. Основные идеи 8

История создания и текущий статус "Общих критериев" 8

Основные понятия и идеи "Общих критериев" 10

Основные понятия и идеи "Общей методологии оценки безопасности информационных технологий" 12

3. Лекция: "Общие критерии", часть 2. Функциональные требования безопасности 17

Классификация функциональных требований безопасности 17

Классы функциональных требований, описывающие элементарные сервисы безопасности 18

Классы функциональных требований, описывающие производные сервисы безопасности 20

Защита данных пользователя 21

Защита функций безопасности объекта оценки 23

Классы функциональных требований, играющие инфраструктурную роль 25

4. Лекция: "Общие критерии", часть 3. Требования доверия безопасности 26

Основные понятия и классификация требований доверия безопасности 26

Оценка профилей защиты и заданий по безопасности 28

Требования доверия к этапу разработки 29

Требования к этапу получения, представления и анализа результатов разработки 31

Требования к поставке и эксплуатации, поддержка доверия 33

Оценочные уровни доверия безопасности 35

5. Лекция: Профили защиты, разработанные на основе "Общих критериев". Часть 1. Общие требования к сервисам безопасности 36

Общие положения 36

Общие предположения безопасности 38

Общие угрозы безопасности 39

Общие элементы политики и цели безопасности 39

Общие функциональные требования 40

Общие требования доверия безопасности 44

6. Лекция: Профили защиты, разработанные на основе "Общих критериев". Часть 2. Частные требования к сервисам безопасности 44

Биометрическая идентификация и аутентификация 44

Требования к произвольному (дискреционному) управлению доступом 46

Требования к принудительному (мандатному) управлению доступом 47

Ролевое управление доступом 48

Межсетевое экранирование 49

Системы активного аудита 50

Анонимизаторы 53

Анализ защищенности 59

7. Лекция: Профили защиты, разработанные на основе "Общих критериев". Часть 3. Частные требования к комбинациям и приложениям сервисов безопасности 60

Операционные системы 60

Виртуальные частные сети 64

Виртуальные локальные сети 65

Смарт-карты 65

Некоторые выводы 67

8. Лекция: Рекомендации семейства X.500 68

Основные понятия и идеи рекомендаций семейства X.500 68

Каркас сертификатов открытых ключей 70

Каркас сертификатов атрибутов 72

Простая и сильная аутентификация 73

9. Лекция: Спецификации Internet-сообщества IPsec 74

Архитектура средств безопасности IP-уровня 74

Контексты безопасности и управление ключами 75

Протокольные контексты и политика безопасности 78

Обеспечение аутентичности IP-пакетов 81

Обеспечение конфиденциальности сетевого трафика 82

10. Лекция: Спецификация Internet-сообщества TLS 83

Основные идеи и понятия протокола TLS 83

Протокол передачи записей 84

Протокол установления соединений и ассоциированные протоколы 87

Применение протокола HTTP над TLS 90

11. Лекция: Спецификация Internet-сообщества "Обобщенный прикладной программный интерфейс службы безопасности" 90

Введение 90

Основные понятия 91

Функции для работы с удостоверениями 93

Создание и уничтожение контекстов безопасности 94

Защита сообщений 95

Логика работы пользователей интерфейса безопасности 96

Представление некоторых объектов интерфейса безопасности в среде языка C 98

12. Лекция: Спецификация Internet-сообщества "Руководство по информационной безопасности предприятия" 99

Основные понятия 99

Проблемы, с которыми может столкнуться организация 100

Основы предлагаемого подхода 101

Общие принципы выработки официальной политики предприятия в области информационной безопасности 102

Анализ рисков, идентификация активов и угроз 102

Регламентация использования ресурсов 103

Реагирование на нарушения политики безопасности (административный уровень) 105

Подход к выработке процедур для предупреждения нарушений безопасности 107

Выбор регуляторов для практичной защиты 107

Ресурсы для предупреждения нарушений безопасности 109

Реагирование на нарушения безопасности (процедурный уровень) 110

13. Лекция: Спецификация Internet-сообщества "Как реагировать на нарушения информационной безопасности" 112

Основные понятия 112

Взаимодействие между группой реагирования, опекаемым сообществом и другими группами 113

Порядок публикации правил и процедур деятельности групп реагирования 114

Описание правил группы реагирования 115

Описание услуг группы реагирования 119

14. Лекция: Спецификация Internet-сообщества "Как выбирать поставщика Интернет-услуг" 122

Общие положения 122

Роль поставщика Internet-услуг в реагировании на нарушения безопасности 122

Меры по защите Internet-сообщества 123

Маршрутизация, фильтрация и ограничение вещания 126

Защита системной инфраструктуры 127

Размещение Web-серверов 128

Возможные вопросы к поставщику Internet-услуг 130

15. Лекция: Британский стандарт BS 7799 132

Обзор стандарта BS 7799 132

Регуляторы безопасности и реализуемые ими цели. Часть 1. Регуляторы общего характера 133

Регуляторы безопасности и реализуемые ими цели. Часть 2. Регуляторы технического характера 135

Регуляторы безопасности и реализуемые ими цели. Часть 3. Разработка и сопровождение, управление бесперебойной работой, контроль соответствия 137

Четырехфазная модель процесса управления информационной безопасностью 139

16. Лекция: Федеральный стандарт США FIPS 140-2 "Требования безопасности для криптографических модулей" 141

Основные понятия и идеи стандарта FIPS 140-2 141

Требования безопасности. Часть 1. Спецификация, порты и интерфейсы, роли, сервисы и аутентификация 143

Требования безопасности. Часть 2. Модель в виде конечного автомата, физическая безопасность 145

Требования безопасности. Часть 3. Эксплуатационное окружение, управление криптографическими ключами 146

Требования безопасности. Часть 4. Самотестирование, доверие проектированию, сдерживание прочих атак, другие рекомендации. 147

17. Лекция: Заключение 149

Основные идеи курса 149

Общие критерии" и профили защиты на их основе 150

Спецификации Internet-сообщества для программно-технического уровня ИБ 152

Спецификации Internet-сообщества для административного и процедурного уровней ИБ 154

Литература 156

101. Web-сервер с материалами по "Общим критериям" http://www.niap-ccevs.org/cc-scheme/ 161