我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:516棋牌游戏 > 防御纵深 >

信息安全管理(第二章 信息安全管理标准与法律法规)

归档日期:07-25       文本归类:防御纵深      文章编辑:爱尚语录

  LOGOLOGO 信息安全风险评估标准(ISRAC) 我国信息系统等级保护标准信息安全管理体系(ISMS)标准 LOGOISRAC 本节对国内外信息安全风险评估标准进 行研究,将风险评估标准划分为技术标 准和管理标准,从不同角度系统地对 ISRAC的起源与发展过程进行分析。重 点讨论了CC标准的发展过程,并比较发 展过程中各标准的特点;在管理标准中 ,重点介绍ISO17799、ISO27001标准 的发展过程,讨论这些标准的特点及相 互关系;最后总结了当前安全评估标准 中存在的问题。 LOGO 国外的技术标准: 美国国防部的TCSEC:1967年美国国防部(DoD)针对计算机使用环境中的安全策略进 行研究。1972年,J.P.Anderson提出了引用监 控机、引用验证机制和安全核等根本思想,揭 示安全规则的严格模型化的重要性,并提出了 独立的安全评价方法问题。之后,D.E.Bell和adula提出了著名Bell LaPadula模型,该模型在Multics系统中得到了成功实现,至今 仍是实施保密性强制访问控制的基础。 风险评估技术标准 LOGO 风险评估技术标准 1983年美国国防部首次公布了《可信计算机系统 评估准则》(TCSEC)以用于对操作系统的评 估,是IT历史上的第一个安全评估标准。 1985 年公布了第二版。TCSEC所列举的安全评估准 则主要是针对美国政府的安全要求,着重点是基 于大型计算机系统的机密文档处理方面的安全要 求。后来,DoD又发布了可信数据库解释 (TDI)、可信网络解释(TNI)等一系列与 TCSEC相关的说明和指南,由于这些文档发行 时封面均为不同的颜色,因此又被称为―彩虹计 LOGO风险评估技术标准 欧共体委员会的ITSEC:1988年德国信息安全局推出的计算机安全评价标准。1989年英国的 贸易工业部和国防部联合开发了计算机安全评 价标准。1990年,欧共体委员会(CEC)首度 公布了由英国、德国、法国和荷兰提出的《信 息技术安全性评估准则》(ITSEC)安全评估 标准,其目的是成为国家认证机构进行认证活 动的基准,还有更重要的一点就是国家之间评 估结果的互认。 LOGO 风险评估技术标准 加拿大系统安全中心的CTCPEC:1992年4月,加拿大发布《加拿大可信计算机产品评估准则》 (CTCPEC)的草案,它是在TCSEC和 ITSEC基础上的进一步发展,而且它实现结构 化安全功能的方法也影响了后来的国际标准。 日本电子工业发展协会的JCSEC-FR:1992年8月,日本电子工业发展协会(JEIDA)公布了 《日本计算机安全评估准则-功能要求》 (JCSEC-FR)。该文件与ITSEC的功能部分 结合得非常紧密,描述也较为详细。 LOGO 风险评估技术标准 美国NIST的FC-ITS:为了尽快达到满足非军事领域需要的目标,尤其是商业IT应用需要的目的, 美国开发出TCSEC的替代标准,最初的文件就是 由国家标准技术研究所(NIST)发布的《多用户 操作系统的最小安全需求》(MSFR)。1992年 12月,美国NIST和国家安全局(NSA)联合发布 一个TCSEC的替代标准《信息技术安全联邦准则 》(FC-ITS)的草案1.0 。但因其有很多缺陷,最终也未能取代TCSEC。 LOGO 风险评估技术标准 通用准则CC(ISO/IEC 15408-1999):1996年 ,六国七方(英国、加拿大、法国、德国、荷兰 、NSA和NIST)公布了《信息技术安全性评估通 用准则》(Common Criterion,简称CC),该标 准是北美和欧盟联合开发的统一国际互认的安全 标准,是在欧美各国自行推出的评估标准及具体 实践的基础上,通过相互间的总结和互补发展起 来的。1998年,六国七方又公布了CC的2.0版。 LOGO 风险评估技术标准 我国的风险评估技术标准: GB17859-1999《计算机信息系统安全保护 等级划分则》:1999年9月由公安部主持制 定、国家质量技术监督局发布,它是建立信 息系统安全等级保护、实施安全等级管理的 重要基础性标准。该标准的制定参照了美国 的TCSEC及TNI,有三个主要目的:一是为 计算机信息系统安全法规的制定和执法部门 的监督检查提供依据;二是为安全产品的研 制提供技术支持;三是为安全系统的建设和 管理提供技术指导。 LOGO风险评估技术标准 GB/T18336-2001《信息技术安全性评估准 则》:我国自1996年CC 1.0版发布后,相关 标准制订部门就一直进行跟踪研究,密切关 注着它的发展情况,并尝试将CC标准与信息 安全实践相结合。2001年3月,我国国家质 量技术监督局正式颁布了等同采用CC的国家 标准GB/T 18336-2001《信息技术安全性评 估准则》 LOGO风险评估管理标准 ISO/IEC 17799《信息技术信息安全管理实用规则》 BS7799标准最初是由英国贸工部(DTI)立项的,是业界、政府和商业机构共同倡导的,旨在开发一 套可供开发、实施和测量有效安全管理惯例并提供 贸易伙伴间信任的通用框架。 我国在ISO/IEC17799:2000的基础上,于2005 年颁布了国家标准GB/T 19716:2005《信息技术 信息安全管理实用规则》(修改采用ISO/IEC 17799:2000) LOGO 风险评估管理标准 ISO/IEC 27001《信息安全管理体系要求》 1998年,BSI公布BS7799-2; 2002年推出了新版本的BS7799-2:2002;2004年ISO启动了以BS7799-2:2002为基础 的ISMS国际标准的制定工作。 最终于2005年发布ISO/IEC27001:2005,它 是建立ISMS的一套规范,其中详细说明了建立、 实施和维护信息安全管理体系的要求,可用来 指导相关人员去应用ISO 17799,其最终目的 在于建立适合组织需要的ISMS。 LOGO 标准间的比较分析 技术标准的比较分析 最初的TCSEC是针对孤立计算机系统提出的,起初为军用标准,只应用在对操作系统的评估上。 欧洲的ITSEC与TCSEC一样,均是不涉及开放 系统的安全标准,仅针对产品的安全保证要求来 划分等级并进行评测,且均为静态模型,仅能反 映静态的安全状况,但适用于军队、政府与商用。 CC虽源于TCSEC,但CC全面考虑了与信息技术安全性有关的各种因素,CC不仅考虑信息的 保密性、完整性和可用性要求,同时也考虑了信 息的可控性、可用性及责任可追查性。其适用范 围也包括军队、政府以及商业等部门。 LOGO 标准间的比较分析 CC与早期的评估标准相比,主要具有四大特征:(1)CC符合PDR模型;(2)CC评估 准则是面向整个信息产品生存期的;(3)CC 评估准则不仅考虑了保密性,而且还考虑了完 整性和可用性多方面的安全特性;(4)CC评 估准则有与之配套的安全评估方法CEM (Common Evaluation Methodology)。 但是,CC没有包括对物理安全、行政管理措施、密码机制等重要方面的评估,但仍然未能 完全体现动态的安全技术要求。 LOGO 标准间的比较分析 技术标准与管理标准之间的比较分析 CC是一个技术标准,旨在支持对产品和系统中IT安全特征的规范性与技术性的评估。 与技术标准CC相比,ISO17799是一个管理标准, 它处理的是与已安装的IT系统相关的非技术问题, 这些问题与诸如安全方针、组织及人员、物理环境、 通信与访问控制、信息系统开发、业务连续性等安 全管理内容相关。 ISO27001《信息安全管理体系要求》,是结合 ISO 17799的安全管理要求,规定建立ISMS时的 PDCA过程模型,有利于组织对信息系统的安全管 理;而它本身和CC没有直接的关系。 LOGO 标准间的比较分析 评估标准之间的对应关系 简单的比较CC、TCSEC、ITSEC标准之间的对应关系 CC标准 TCSEC标准 ITSEC标准 E0EAL1 EAL2C1 E1 EAL3 C2 E2 EAL4 B1 E3 EAL5 B2 E4 EAL6 B3 E5 EAL7 A1 E6 LOGO 我国信息系统等级保护标准 概述 国家有关信息系统安全的等级保护的法律与法规包 《中华人民共和国计算机信息系统安全保护条例》国务院总理[1994]第147号令 《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]第27号文件 《关于信息安全等级保护工作的实施意见》公通字[2004]第66号文件 《国家信息安全等级保护管理办法》及其配套管理规范性文件 LOGO 我国信息系统等级保护标准 国家有关信息系统安全的等级保护的标准包括: 《计算机信息系统安全保护等级划分准则GB/T 17859-1999》 《信息安全技术信息系统通用安全技术要求GB/T 20271-2006》 《信息安全技术信息系统安全等级保护定级指 南GB/T 22240—2008》 《信息安全技术信息系统安全等级保护基本要 求GB/T 22239—2008》 《信息安全技术信息系统安全管理要求 GB/T20269-2006》 LOGO 我国信息系统等级保护标准 计算机信息系统安全保护等级划分准则 原则上划分了五个保护等级: 第四级:结构化保护级;(对应B2级) 第五级:访问验证保护级;(对应B3级)LOGO 我国信息系统等级保护标准 信息系统安全管理要求 信息安全等级保护从与信息系统安全相关的 物理层面、网络层面、系统层面、应用层面和管 理层面对信息和信息系统实施分等级安全保护。 标准《信息安全技术 信息系统安全管理要求 GB/T20269-2006》对信息和信息系统的安全保 护提出了分等级安全管理的要求,阐述了安全管 理要素及其强度,并将管理要求落实到信息安全 等级保护所规定的五个等级上,有利于对安全管 理的实施、评估和检查。 LOGO 我国信息系统等级保护标准 信息系统通用安全技术要求 《信息安全技术信息系统通用安全技术要求GB/T 20271-2006》主要从信息系统安全保护等 级划分的角度,说明为实现GB17859-1999中每 一个安全保护等级的安全功能要求应采取的安全 技术措施,以及各安全保护等级的安全功能在具 体实现上的差异。 GB/T20271-2006适用于按等级化要求进行的安 全信息系统的设计和实现,对按等级化要求进行 的信息系统安全的测试和管理可参照使用。 LOGO 我国信息系统等级保护标准 信息系统安全保护定级指南 信息系统.安全保护等级划分: 第一级,信息系统受到破坏后,会对公民、法人和其他组织 的合法权益造成损害,但不损害国家安全、社会秩序和公共 利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织 的合法权益产生严重损害,或者对社会秩序和公共利益造成 损害,但不损害国家安全 第三级,信息系统受到破坏后,会对社会秩序和公共利益造 成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造 成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重 损害。 LOGO 信息安全管理体系(ISMS)标准 概述 信息安全管理体系(ISMS,Information Security Management System)正如其名称所表述的含义, 就是关于信息安全的管理体系。其定义例如: ISO/IEC 27001:2005《信息安全管理体系 要求》 是整个管理体系的一部分。它是基于业务风险方法 ,来建立、实施、运行、监视、评审、保持和改进 信息安全的。 注:管理体系包括组织结构、方针策略、规划活 动、职责、实践、程序、过程和资源 LOGO 信息安全管理体系(ISMS)标准 图2.1标准的发展历程 LOGO 信息安全管理体系(ISMS)标准 ISMS国际标准化组织 ISO/IEC JTC1/SC27成立后设有三个工作组: WG3:信息系统、部件和产品相关的安全评估准则工作组 LOGO 信息安全管理体系(ISMS)标准 ISMS国际标准化组织 在2006年5月8日至17日西班牙马德里举行的 SC27第32届工作组会议和第18届全体会议上,通过 了2005年11月在马来西亚会议上提出的调整SC27组 织结构的提案,将原来的三个工作组调整为现在五 个工作组 WG3:信息系统、部件和产品相关的安全评估准则工作组 WG5:身份管理与隐私保护技术工作组LOGO 信息安全管理体系(ISMS)标准 ISMS标准的类型 根据ISO GUIDE 72:2001(Guidelines managementsystem standards 管理体系标准合理性和制定导则) 和ISO/IEC的相关导则,ISO/IEC JTC1/SC27/WG1将 ISMS标准分为4类: VocabularyStandard A类-词汇标准 RequirementsStandard B类-要求标准 GuidelinesStandard C类-指南标准 RelatedStandard D类-相关标准 LOGO 信息安全管理体系(ISMS)标准 ISMS国际标准化组织 在2006年5月8日至17日西班牙马德里举行的 SC27第32届工作组会议和第18届全体会议上,通 过了2005年11月在马来西亚会议上提出的调整 SC27组织结构的提案,将原来的三个工作组调整为 现在五个工作组 WG3:信息系统、部件和产品相关的安全评估准则工作组 WG5:身份管理与隐私保护技术工作组LOGO 信息安全管理体系(ISMS)标准 ISMS国际标准化组织 A类-词汇标准:主要提供标准族中所有标准所涉及的基础信息,包括通用术语、基本原则等内容。 B类-要求标准:主要提供管理体系的相关规范,它能够使一个组织证明其满足内部和外部要求的能 C类-指南标准:此类标准目的是为一个组织实施要求标准提供相关的指南。 D类-相关标准:此类标准严格说不是管理体系标准族中的标准,他们主要提供关于特定方面或相关 支持技术的进一步的指导,此类标准一般独立开发, 与要求类标准和指南类标准无明显的关联。 LOGO 信息安全管理体系(ISMS)标准 ISMS认证 关于ISMS认证的标准ISO/IEC27001目前是唯一的。我们讨论的ISMS不仅仅包括体系本身, 而且还包括ISMS的认证。 ISO/IEC27001:2005标准是设计用于认证目 的。它可帮助组织建立和维护ISMS。 ISMS的认证在某种程度上来说是ISMS不可或缺的一部分,是ISMS应用活动的自然延伸和结 LOGO信息安全管理体系(ISMS)标准 我国的信息安全标准化技术委员会 为了加强信息安全标准化工作的组织协调力度,国家标准化管理委员会批准成立全国信息安全 标准化技术委员会(简称―信息安全标委会‖,委 该技术委员会的成立标志着我国信息安全标准化工作,步入了“归口管理、协调发展”的新 时期,是我国在信息安全的专业领域内,从事 信息安全标准化工作的技术工作组织。 LOGO 信息安全管理体系(ISMS)标准 美国的ISMS标准 美国电气电工工程师协会(IEEE)LOGO ISO/IEC27000系列标准 ISO/IEC 27000系列共包括10个标准,此标准在国际 上也处于研究与制订过程中。截至2008年4月10日, ISO/IEC JTC1/SC27/WG1正在制定中的标准包括7 个,分别是: ISO/IEC27000信息安全管理体系基础和术语 ISO/IEC27001信息安全管理体系 要求 ISO/IEC27002信息安全管理实用规则 ISO/IEC27003信息安全管理体系实施指南 ISO/IEC27004信息安全管理测量 ISO/IEC27005信息安全风险管理 ISO/IEC27006信息安全体系认证机构的认可要求 LOGO ISO/IEC27000 我国信息安全法律法规体系 目前我国现行法律法规及规章中,与信息安 全有关的已有近百部,它们涉及网络与信息系统 安全、信息内容安全、信息安全系统与产品、保 密及密码管理、计算机病毒与危害性程序防治、 金融等特定领域的信息安全、信息安全犯罪制裁 等多个领域,在文件形式上,有法律、有关法律 问题的决定、司法解释及相关文件、行政法规、 法规性文件、部门规章及相关文件、地方性法规 与地方政府规章及相关文件多个层次,初步形成 了我国信息安全的法律体系。 LOGO ISO/IEC27000 通过对目前我国现行信息安全相关法律法规的 整理分析,我们可以初步概括出目前我国信息 安全法律体系的主要特点: 与信息安全相关的司法和行政管理体系迅速完善 目前法律规定中法律少而规章等偏多,缺乏信息安全的基本法。 与信息安全相关的其他法律有待完善LOGO ISO/IEC27000 信息安全法律法规的法律地位 信息安全立法的必要性和紧迫性(1)没有信息安全就没有完全意义上的国家安 (2)国家对信息资源的支配和控制能力,将决定国家的主权和命运。 (3)对信息的强有力的控制是打赢未来信息战 的保证。 (4)信息安全保障能力是21世纪综合国力、经 济竞争力和生成发展能力的重要组成部分。 LOGO ISO/IEC27000 信息安全法律规范的作用(1)指引作用:是指法律作为一种行为规范,为人 们提供了某种行为模式,指引人们可以这样行为,必 须这样行为或不得这样行为。 (2)评价作用:是指法律具有判断、衡量他人行为 是否合法或违法以及违法性质和程序的作用。 (3)预测作用:是指当事人可以根据法律预先估计 到他们相互将如何行为以及某行为在法律上的后果。 (4)教育作用:是指通过法律的实施对一般人今后 的行为所产生的影响。 (5)强制作用:是指法律对违法行为具有制裁、惩 罚的作用。 LOGO ISO/IEC27000 信息安全法律法规的基本原则 风险管理的原则LOGO ISO/IEC27000 信息系统安全相关法律法规谁主管谁负责的原则 政府信息安全法律个人隐私信息安全法律 商业组织信息安全法律 LOGO ISO/IEC27000 英国信息安全法律法规英国于1996年9月23日由互联网络服务提供商 协会(ISPA)执委会、伦敦互联网络交换中心、 互联网络安全基金会等部门提出并实施三R规则, 分别代表“分级认定、检举揭发和承担责任”。 法国信息安全法律法规在法国,1992年通过、1994年生效的新刑法典 设专章“侵犯资料自动处理系统罪”对计算机 犯罪作了规定。 LOGO ISO/IEC27000 德国信息安全法律法规1997年8月1日,德国《多媒体法》正式颁布实施。 该法案适用于一切私人利用信号、图像、声音等数据 而提供的通过电信传输的电子信息和通讯服务(电 信服务)。而本法不适用于: (1)电信服务部门和根据1996年7月25日施行的电 信法第3条由电信部门提供的业务。 (2)按照国家广播协定第2条规定的无线电广播( 不涉及新闻发的有关规定)。 LOGO ISO/IEC27000 日本信息安全法律法规序号 法律名称 说明 管制机构 《刑法》1987年增加互联网相关内容 法务省、警察厅 《禁止非法链接法》1999年法律第128号,针对盗用他人密码 等非法链接行为 总务省、经济产业 省、警察厅 《电子签名法》2000年法律第102号,规范了新生的电子 签名事务 总务省、法务省、 经济产业省 《特定电子商务法》2000年法律第126号,针对电子商务业务 经济产业省 《电子合同法》2001年法律第95号,根据《民法》制定的 消费者执行电子合同的法律规定 经济产业省 《网络服务商责任法》2001年法律第137号,明确业务提供商责 《反垃圾邮件法》2002年法律第26号,针对垃圾邮件的规定 总务省 《色情网站管制法》2003年法律第83号,禁止18岁以下青少年 卖淫行为的管制 警察厅 《个人信息保护法》2003年法律第119号,个人信息的有用性 和保护个人的权利、利益 内阁官方、总务省 10 《促进内容创作、保护及 应用法》 2004年法律第81号,促进内容的创作、保 护和应用 内阁官方 LOGO ISO/IEC27000 国内信息安全法律法规1.《中华人民共和国刑法》 2.《全国人大常务委员会关于维护互联网安全 的决定》 《中华人民共和国电子签名法》4.《中华人民共和国计算机信息系统安全保护 条例》 5.《信息网络传播权保护条例》 LOGO ISO/IEC27000 互联网安全管理相关法律法规 处罚条款LOGO 本章主要对信息安全相关的标准以及信息安全 法律法规进行研究,其内容包括国内外的信息安 全风险评估标准、我国的信息系统等级保护相关 标准、信息安全管理体系(ISMS )标准、 ISO/IEC27000系列标准等。通过分析这些标准的 特点、相互间的关系,强化风险评估的实施效果 ,推动我国信息系统等级保护的推广应用。此外 ,介绍了一些国内外的信息安全法律法规以及互 联网安全管理的法律法规,通过学习本节内容教 育引导学生在今后的信息活动过程中应该注意的 问题,自觉遵守网络道德规范和相关的法律法规

本文链接:http://sendasgift.com/fangyuzongshen/218.html