《信息系统安全管理理论及应用-教学ppt课件 -信息系统安全管理理论及应用-1-4-第3章信息安全管理相关标准及.ppt》由会员分享,可在线阅读,更多相关《信息系统安全管理理论及应用-教学ppt课件 -信息系统安全管理理论及应用-1-4-第3章信息安全管理相关标准及.ppt(25页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、在线教务辅导网:在线教务辅导网:http:/教材其余课件及动画素材请查阅在线教务辅导网教材其余课件及动画素材请查阅在线教务辅导网QQ:349134187 或者直接输入下面地址:或者直接输入下面地址:http:/信息安全管理相关标准及法律法规主要内容信息安全管理标准及发展 信息安全标准与法律法规 存在的问题第三章信息安全管理标准及发展 信息安全标准与法律法规 存在的问题标准组织国际组织ISO和IEC成立联合技术委员会,即ISO/IEC JTC1,负责信息技术领域的标准化工作。其中的子委员会27(ISO/IEC JTC1 SC27)专门负责IT安全技术领域的标准化工作,主要负责通用信息技术安全标准
2、ISO/TC 68,主要负责研究行业应用信息安全标准国际电信联盟(ITU)所属的SG17组,主要负责研究通信系统安全标准。Internet工程任务组,其主要任务是负责互联网相关技术规范的研发和制定。标准组织(续)国家组织美国国家标准和技术委员会(NIST),负责为美国政府和商业机构提供信息安全管理相关的标准规范,NIST的一系列FIPS标准和NIST 特别出版物800系列(NIST SP 800系列)成为了指导美国信息安全管理建设的主要标准 英国标准协会(BSI),英国负责信息安全管理标准的机构 全国信息技术安全标准化技术委员会(CITS),在国家标准化管理委员会和信息产业部的共同领导下负责全
3、国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作 公安部、国家安全部、国家保密局、国家密码管理委员会,研究与信息安全的行业标准 信息安全管理相关标准ISO 13335ISO 27000系列NIST SP 800系列ISO 13335之历史ISO/IEC TR 13335,被称作“IT安全管理指南”(Guidelines for the Management of IT Security,GMITS),是由ISO/IEC JTC1制定的技术报告,由5个部分组成。ISO/IEC TR 13335-1:1996 IT 安全的概念和模型ISO/IEC TR 13335-2:1997 管理
4、和规划IT 安全 ISO/IEC TR 13335-3:1998 IT 安全管理技术 ISO/IEC TR 13335-4:2000 防护措施的选择 ISO/IEC TR 13335-5:2001 网络安全管理指南 ISO/IEC TR 13335组成部分 代号 名称 内容简介 ISO/IEC TR 13335-1:1996 Concepts and models for IT Security IT安全概念与模型。这部分包含了对IT安全和安全管理中一些基本概念和模型的解释。ISO/IECTR 13335-2:1997 Managing and planning IT Security IT安
5、全管理和计划。这部分建议性地介绍了IT安全管理和计划的方式和要点。ISO/IECTR 13335-3:1998 Techniques for the management of IT Security IT安全管理技术。这部分描述了风险管理技术、IT安全计划的开发、实施和测试,还包括策略审查、事件分析、IT安全教育等后续内容。ISO/IECTR 13335-4:2000 Selection of safeguards 安全措施的选择。这部分描述了针对一个组织特定环境和安全需求可以选择的安全措施,不仅仅是技术性措施。ISO/IECTR 13335-5:2001 Management guidan
6、ce on network security 网络安全管理指南。这部分提供了关于网络和通信安全管理的指导性内容。该指南为识别和分析建立网络安全需求时需要考虑的通信相关因素提供支持,也包括对可能的安全措施方面的简要介绍。ISO 13335之现状改版后,被称作“信息和通信技术安全管理”(Management of Information and Communications Technology Security,MICTS),包括2个部分ISO/IEC 13335-1:2004,信息技术 安全技术 信息和通信技术安全管理(MICTS)第1 部分:信息和通信技术安全管理的概念和模型,已发布,取代原
7、来的ISO/IEC TR 13335-1和2部分。ISO/IEC 13335-2 信息技术 安全技术 信息和通信技术安全管理 第2 部分:信息安全风险管理,已发布,但编号变更为ISO/IEC 27005:2008发布,取代原来的ISO/IEC TR 13335-3和4部分ISO 27000系列发展历史标准现状标准介绍BS7799标准最早是由英国工贸部在1992年立项、英国标准化协会(BSI)组织的相关专家共同开发制定的针对信息安全管理的标准。1995年,BS7799标准的第一个版本正式发布。BS7799BS7799-1BS7799-21997年,BS7799标准第一次改版,并分成指南和规范两部
8、分。在1998年、1999年第两次修订之后出版BS7799-1:1998和BS7799-2:1999。ISO17799ISO270012000年4月,将BS7799-1:1999提交ISO,同年10月获得通过成为ISO/IEC17799:2000版。2005年对ISO/IEC17799:2000版进行了修订,于6月15日发布了ISO/IEC17799:2005版。1999年修订BS7799-2:1999,同年BS7799-2:2000发布。2002年对BS7799-2:2000进行了修订发布了BS7799-2:2002版。ISO于2005年10月15采用BS7799-2:2002版本成为国际标
9、准-ISO/IEC27001:2005版。ISO27001/ISO27002 发展历史ISO270022007年变更ISO/IEC17799:2005的编号为ISO/IEC27002:2005(注:内容未作变更)ISO 27000系列标准介绍(1)ISO 27000Information security management systems-Overview and vocabulary(信息安全管理概述与术语),主要用于阐述ISMS的基本原理和词汇,目前是FCD(final committee draft)版本,预计2009年发布。(2)ISO 27001Information secur
10、ity management systems-Requirements(信息安全管理体系要求),主要提出ISMS的基本要求,于2005年10月15日正式发布。(3)ISO 27002Code of practice for information security management(信息安全管理实施细则),主要阐述ISMS的实施细则,于2005年6月15日正式发布。(4)ISO 27003Information security management systems implementation guidance(信息安全管理系统实施指南),目前还在开发中。(5)ISO 27004Info
11、rmation security management measurements(信息安全管理度量),阐述信息安全管理的过程度量和控制度量,目前是FCD(final committee draft)版本。(6)ISO 27005Information security risk management(信息安全风险管理),主要阐述风险评估和风险处置,参考了BS 7799-3:2006和ISO/IEC TR 13335-3:1998,于2008年6月发布。(7)ISO 27006Requirements for bodies providing audit and certification of
12、 information security management systems(信息安全管理认可认证),于2007年2月发布。ISO/IEC 27001和27002ISO/IEC27001:2005明确提出信息安全管理体系及其安全控制要求,是27000系列标准的总纲ISO/IEC 27002:2005对应安全控制要求给出通用的控制措施,为27001中规定的安全控制要求的具体实施提供指南 ISO/IEC27001和27002已被我国所采纳引进,成为我国编号分别为GB/T 22080-2008、GB/T 22081-2008的国家标准ISO/IEC 27001该标准规定了一个组织建立、实施、运行
13、、监视、评审、保持、改进信息安全管理体系的要求;它基于风险管理的思想,旨在通过持续改进的过程(PDCA模型)使组织达到有效的信息安全。该标准使用了和ISO 9001、ISO 14001相关的管理体系过程模型,是一个用于认证和审核的标准。该标准与ISO/IEC 27002共同使用,一个组织在按照该标准实施ISMS的过程中,应首先选择ISO/IEC 27002中推荐的控制措施。ISO/IEC 27002倾向于作为参考文档使用,是实施ISO/IEC 27001的支撑标准包含了11个控制类,39项控制目标,133项控制措施汇集了信息安全的最好的实际经验不可以用作评估和认证信息安全管理模型PDCAPla
14、n(策划)、Do(执行)、Check(检查)、Action(措施)持续改进管理模式的管理思想 11个控制类(1)信息安全方针(Security Policy)(2)信息安全组织(Organization of Information Security)(3)资产管理(Asset Management)(4)人力资源安全(Human resources security)(5)物理和环境安全(Physical and environmental security)(6)通信和操作管理(Communications and operations management)(7)访问控制(Access
15、control)(8)系统采购、开发和维护(Information systems acquisition,development and maintenance)(9)信息安全事故管理(Information security incident management)(10)业务连续性管理(Business continuity management)(11)符合性(Compliance)NIST SP 800系列 美国国家标准技术协会(National Institute of Standards and Technology,NIST)发布的Special Publication 800
16、文档是一系列针对信息安全技术和管理领域的实践参考指南,其中有多篇是有关信息安全管理的,包括:SP 800-12:计算机安全介绍(An Introduction to Computer Security:The NIST Handbook)SP 800-30:IT系统风险管理指南(Risk Management Guide for Information Technology Systems)SP 800-26:IT系统安全自我评估指南(Security Self-Assessment Guide for Information Technology Systems)SP 800-37:联邦信息
17、系统认证认可指南(Guide for the Security Certification and Accreditation of Federal Information Systems)SP 800-53:联邦信息系统推荐安全控制(Recommended Security Controls for Federal Information Systems)SP 800-53A:联邦信息系统中安全控制的评估指南(Guide for Assessing the Security Controls in Federal Information Systems)这些文件可以作为实施ISMS 过程中一
18、些关键任务的指导和参照(例如风险评估、应急计划等),是对27000系列标准很好的补充和细化。第三章信息安全管理标准及发展 信息安全标准与法律法规 存在的问题信息安全标准信息安全标准从构成上讲可以分为基础性标准、物理安全标准、系统与网络标准、应用与工程标准以及管理标准,其中:基础性标准:是整个信息安全标准体系的基础,为其他技术标准提供支撑,其下又可分为信息安全术语、信息安全体系结构、信息安全框架、信息安全模型、安全技术等;相应的标准有TCP/IP安全体系结构、开放系统安全框架、网络安全模型、分组密码算法、IT入侵检测框架等。物理安全标准:提供物理安全方面的规范和指导,其下又可分为物理环境和保障、
19、安全产品、介质安全等;相应的标准有计算机场地通用规范、包过滤防火墙、媒体安全等。系统与网络标准:可分为软/硬件应用平台安全、网络安全、安全协议、安全信息交换语法规则、业务应用平台等;相应的标准有IT网络安全、安全数据交换协议、密钥管理协议等。应用与工程标准:可分为安全工程和服务、人员资质、行业应用;相应的标准有系统安全工程能力成熟模型、金融的交易和业务安全等。管理标准:包括信息技术安全管理和信息安全管理等的基础标准之外,还可包括认证和评估的标准,如信息技术安全性评估准则、应用与工程标准等 信息安全法律法规美国已确立的部分信息安全法律法规:信息自由法、个人隐私法、反腐败行径法、伪造访问设备和计算
20、机欺骗滥用法、电子通信隐私法、计算机欺骗滥用法、计算机安全法和电讯法等 我国已确立的部分信息安全法律法规:互联网信息服务管理办法、维护互联网安全的决定、中华人民共和国计算机信息系统安全保护条例、计算机病毒防治管理办法、中华人民共和国保守国家秘密法 第三章信息安全管理标准及发展 信息安全标准与法律法规 存在的问题存在的问题针对信息安全标准,主要存在如下问题:在标准的制定上缺少整体规划,存在着应急性和盲目性。标准的制定与实施之间存在一定的矛盾。我国目前在信息安全标准的实施与安全教育上存在脱节现象。针对信息安全法律法规,主要存在如下问题:立法滞后、层次低,尚未形成完整的法律体系。缺乏系统性和完整性。如何改善(1)国家首先制定政府部门信息安全标准总体框架,在总体框架的指导下,定义每个标准的适用范围和具体要求,并科学地将它们分配到专业对口且具有相当实力的专业部门进行编制,避免重复投资和盲目跟进。(2)政府部门在制定信息安全标准时,根据政府部门的实际需求来确定标准的范围和内容,并根据“提出需求需求分析编制标准实践检验”的顺序来制定信息安全标准。(3)对信息安全标准的制定,更多的聘请独立的、技术性专家来开展信息安全标准制定和评审工作。(4)信息安全法律法规的制定注重体系性、开放性、兼容性和操作性。