Обзор деятельности подкомитета ИСО / МЭК СТК1 / ПК27 «Безопасность информационных технологий» (МОСКВА, октябрь 2011)

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ПК 27 Безопасность информационных технологий ПК 27 Безопасность информационных технологий Официальное определение сферы деятельности Разработка стандартов защиты информации и информационно - телекоммуникационных технологий ( ИКТ ), а именно, стандартизация методов, технологий и руководств в области информационной безопасности во всех ее аспектах, включая защиту персональных данных, в том числе стандартизация : методологии определения требований безопасности ; менеджмента информационной и ИКТ безопасности, в частности, систем менеджемента информационной безопасности ( СМИБ ), контрольных мероприятий и сервисов безопасности ; криптографических и других методов, средств и механизмов защиты информации, предназначенных, помимо прочего, для защиты доступности, целостности и конфиденциальности информации ; нормативной документации по менеджменту информационной и ИКТ безопасности, в том числе терминов и определений, руководств, включая процедуры регистрации компонентов безопасности ; аспектов безопасности управления идентификацией, биометрии и обработки персональной информации ; требований оценки соответствия, аккредитации и аудита в области информационной безопасности ; критериев и методологии оценки безопасности информационных технологий. ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.2

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.3 ПК 27 Безопасность информационных технологий ПК 27 Безопасность информационных технологий Участники подкомитета ПК27 (63 страны) Канада США Участники-учредители подкомитета (18 в 1990 году) Бразилия Китай Япония Бельгия Дания Финляндия Франция Германия Италия Голландия Норвегия Испания Швеция Швейцария Англия СССР Новые полные участники – по годам (всего: 29) Ирландия Словакия Корея Австралия РоссияПольша Малайзия Чехия Украина Индия Ю.А.Р. Австрия Кения Сингапур Люксембург Н.Зеландия Шри Ланка Уругвай Кипр Казахстан Венесуэла Алжир Румыния Морокко Кот-дИвуар Эстония О.А.Е. Словения Таиланд Наблюдатели (всего: 17): Босния, Белоруссия, Индонезия, Сальвадор, Гана, Коста- Рика, Португалия, Аргентина, Сербия, Исландия, Гон-Конг, Литва, Венгрия, Саудовская Аравия, Израиль, Свазиленд, Турция

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.4 ПК 27 Безопасность информационных технологий ПК 27 Безопасность информационных технологий Структура подкомитета SC27 РГ 5 Идентификация и защита персональных данных Руководитель K.Rannenberg (Германия) РГ 4 Средства и сервисы информационной безопасности Руководитель M.-C. Kang (Сингапур) РГ 3 Критерии оценки информационной безопасности Руководитель M. Bañón (Испания) РГ 2 Криптография и другие механизмы защиты информации Руководитель T. Chikazawa (Япония) РГ 1 Менеджмент информа- ционной безопасности Руководитель T. Humphreys (Англия) ISO/IEC JTC 1/SC 27 «Безопасность ИТ» Председатель - W. Fumy (Германия) Вице-предс. - M. De Soete (Бельгия) SC 27 Секретариат - DIN Ms. K. Passia (Германия)

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.5 ISO СМИБ – Рекомендации по созданию ПК 27/РГ 1 Рабочая группа 1 ПК 27/РГ 1 Рабочая группа 1 Менеджмент информационной безопасности ISO СМИБ -- Требования ISO СМИБ – Измерения М ISO СМИБ -- Управление рисками ISO СМИБ – Основные понятия и терминология ISO (бывший 17799) СМИБ – Наилучшие практики ISO Требования по аккредитации ISO СМИБ – Рекомендации по аудиту Создание и поддержка Аудит и аккредитация Отраслевые требования и рекомендации ISO СМИБ -- Требования для отрасли телекоммуникаций ISO СМИБ – Электронное правительство ISO СМИБ – Межотраслевое взаимодействие ISO Руководство по совместному применению ISMS и ITSM ISO СМИБ – Руководство для аудиторов ISO СМИБ – Финансы и страхование

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.6 Cryptographic Protocols Message AuthenticationDigital Signatures Encryption & Modes of Operation Parameter Generation ПК 27/РГ 2 Рабочая группа 2 ПК 27/РГ 2 Рабочая группа 2 Криптография и другие механизмы защиты информации Аутенти- фикация участников (ISO 9798) Управл. ключами ( ISO 11770) Алгоритмы шифрования (ISO 18033) Режимы использов. алгоритма шифрования (ISO 10116) Хэш- функции (ISO 10118) Коды аутенти- фикации сообщений (ISO 9797) ЭЦП с возможн. восстановл. сообщ. (ISO 9796) Неотказу- емость (ISO 13888) ЭЦП с имито- вставкой (ISO 14888) Системы проверочн. символов (ISO 7064) Криптография на эллиптическ. кривых (ISO 15946) Метки времени (ISO 18014) Генераторы случайных чисел (ISO 18031) Генераторы простых чисел (ISO 18032) Аутентифи- цированное шифрование (ISO 19772) Защита биометрич. образцов (NP 24745)

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.7 ПК 27/РГ 3 Рабочая группа 3 ПК 27/РГ 3 Рабочая группа 3 Критерии оценки информационной безопасности Критерии оценки безопасности ИТ (Общие критерии) (IS 15408) Методология проведения оценки (CEM) (IS 18045) Рекомендации по разработке профилей защиты и заданий по безопасности (TR 15446) Процедуры регистр. профилей защиты (IS 15292) Повышение доверия к безопасным системам: основные принципы (TR 15443) Оценка безопасности организационного окружения (TR 19791) Оценка безопасности биометрии (FDIS 19792) Верификация крипто- графическ. протоколов (WD 29128) ИБС – Модель зрелости (IS 21827) Инжиниринг безопасных систем [ИБС] Обнаружение и учет уязвимостей (WD 29147) Требования по тестированию криптомодулей (IS 24759) Требования безопасности для криптомодулей (IS 19790)

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.8 Безотказность ИКТ для обеспечения непрерывности бизнеса (WD 27031) Кибер-безопасность (WD 27032)Безопасность сетей (CD , WD /3/4)Безопасность приложений (WD ) Информационные объекты управления доступом (TR 15816) Безопасность аутсорсинга (NP) Сервисы безопасности третьей доверенной стороны (TR 14516; 15945) Метки времени (TR 29149) Управление инцидентами информационной безопасности (27035) Восстановление ИКТ после катастрофы (24762) Идентификация, сбор, накопление и сохранение цифровых доказательств (NP) Неизвестные или вновь возникающие проблемы безопасности Известные проблемы безопасности Бреши и компромиссы безопасности ПК 27/РГ 4 Рабочая группа 4 ПК 27/РГ 4 Рабочая группа 4 Средства и сервисы безопасности

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.9 ПК 27/РГ 5 Рабочая группа 5 ПК 27/РГ 5 Рабочая группа 5. Идентификация и защита персональных данных Каркасные и архитектурные документы Основные положения управления идентификацией (ISO 24760) Основные положения защиты персональных данных (ISO 29100) Референс-архитектура защиты персональных данных (ISO 29101) Основные положения управления доступом (ISO 29146) Концептуальные положения защиты Защита биометрических образцов (ISO/IEC 24745, WD) Требования условной анонимности с возможностью раскрытия – модель аутентификации и авторизации на базе групповых подписей Руководства по содержанию и оценке Аутентификационный контекст для биометрики (ISO/IEC 24761, FDIS) Надежность аутентификации объектов (ISO/IEC 29115, WD) Модель зрелости для защиты персональных данных (NWIP)

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.10 Сотрудничество с другими органами по стандартизации и международными организациями SC37 финансы биометрия Смарт - карты программная и системная инженерия информационная безопасность защита в ЧС медицина TC204 SC7 Visa MasterCard TC215 транспорт ISACA аудит телекоммуникации

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.11 ИСО/МЭК СТК1/ПК 27 «Безопасность информационных технологий» ИСО/МЭК СТК1/ПК 27 «Безопасность информационных технологий» В Российской Федерации официально внедрено 10 международных стандартов по тематике СТК1/ПК27 За 20 лет существования Подкомитета СТК1/ПК27: всего разработано и опубликовано более 160 международных стандартов из них более 100 являются действующими По линии РГ2 СТК1/ПК27 специалистами российского ТК26 разработан международный стандарт Дополнение к ISO :2006 Алгоритм цифровой подписи на эллиптических кривых, опубликованный в 2010 году

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.12 Российская Федерация (в качестве правопреемника СССР) является действующим членом СТК1/ПК27 с 1994г. До этого момента специалис- листы Радиопрома участвовали в работе ТК97/ПК20 «Криптография» Всего эксперты РФ приняли участие в 57 заседаниях СТК1/ПК27. На следующем слайде представлена таблица, отражающая реальное участие делегации РФ в пленарных и рабочих заседаниях СТК1/ПК27 (желтым цветом выделены заседания с участием РФ) В мае 2007г силами ТК22/ПК127 организовано проведение заседания ИСО/МЭК СТК1/ПК27 в РФ. Заседание с участием более 136 делегатов из 37 стран проводилось на борту теплохода, идущего по маршруту «Москва – Санкт-Петербург». Иллюстрирующие это заседание материалы приведены на последующих 3-х слайдах данной презентации. Участие РФ в работе подкомитета ИСО/МЭК СТК1/ПК27 «Безопасность информационных технологий»

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.13 СТК1/ПК27 «Безопасность информационных технологий» СТК1/ПК27 «Безопасность информационных технологий» Участие экспертов РФ в заседаниях подкомитета ISO/IEC JTC1/SC27 (по годам / количеству делегатов)

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 Ю.Тимофеев - Обзор деятельности ISO/IEC JTC1/SC27 - Москва, Октябрь стр.14 34th ISO/IEC JTC1/SC27 PLENARY AND WGS MEETINGS RUSSIA, MAY 2007

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.15 ТК22/ПК127 «Безопасность информационных технологий» ТК22/ПК127 «Безопасность информационных технологий» Пленарное заседание ISO/IEC JTC1/SC27 в Российской Федерации, май 2007 г

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.16 ТК22/ПК127 «Безопасность информационных технологий» ТК22/ПК127 «Безопасность информационных технологий» Пленарное заседание ISO/IEC JTC1/SC27 в Российской Федерации, май 2007 г

11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.17 Дополнительную информацию о работе ISO/IEC JTC1/SC27 можно найти в документе « SD 11: Information and ICT Security Standards – An invitation to the past, present, and future work of SC27» В документе содержится высокоуровневый обзор всей деятельности SC27, включая перечень изданных стандартов, проектов, исторических фактов Приведен ряд статей, опубликованных в журналах ИСО ISO Focus, ISO Journal and ISO Management System. PDF-документ доступен бесплатно, Version 2.0, September 2008 (100 pages) Данная презентация подготовлена зам.председателя ТК22 Тимофеевым Ю.А. на основе презентации председателя ИСО/МЭК СТК1/ ПК27 Вальтера Фуми ( Walter Fumy )