Обзор деятельности подкомитета ИСО / МЭК СТК1 / ПК27 «Безопасность информационных технологий» (МОСКВА, октябрь 2011) - презентация

1 Обзор деятельности подкомитета ИСО / МЭК СТК1 / ПК27 «Безопасность информационных технологий» (МОСКВА, октябрь 2011)

2 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ПК 27 Безопасность информационных технологий ПК 27 Безопасность информационных технологий Официальное определение сферы деятельности Разработка стандартов защиты информации и информационно - телекоммуникационных технологий ( ИКТ ), а именно, стандартизация методов, технологий и руководств в области информационной безопасности во всех ее аспектах, включая защиту персональных данных, в том числе стандартизация : методологии определения требований безопасности ; менеджмента информационной и ИКТ безопасности, в частности, систем менеджемента информационной безопасности ( СМИБ ), контрольных мероприятий и сервисов безопасности ; криптографических и других методов, средств и механизмов защиты информации, предназначенных, помимо прочего, для защиты доступности, целостности и конфиденциальности информации ; нормативной документации по менеджменту информационной и ИКТ безопасности, в том числе терминов и определений, руководств, включая процедуры регистрации компонентов безопасности ; аспектов безопасности управления идентификацией, биометрии и обработки персональной информации ; требований оценки соответствия, аккредитации и аудита в области информационной безопасности ; критериев и методологии оценки безопасности информационных технологий. ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.2

3 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.3 ПК 27 Безопасность информационных технологий ПК 27 Безопасность информационных технологий Участники подкомитета ПК27 (63 страны) Канада США Участники-учредители подкомитета (18 в 1990 году) Бразилия Китай Япония Бельгия Дания Финляндия Франция Германия Италия Голландия Норвегия Испания Швеция Швейцария Англия СССР Новые полные участники – по годам (всего: 29) Ирландия Словакия Корея Австралия РоссияПольша Малайзия Чехия Украина Индия Ю.А.Р. Австрия Кения Сингапур Люксембург Н.Зеландия Шри Ланка Уругвай Кипр Казахстан Венесуэла Алжир Румыния Морокко Кот-дИвуар Эстония О.А.Е. Словения Таиланд Наблюдатели (всего: 17): Босния, Белоруссия, Индонезия, Сальвадор, Гана, Коста- Рика, Португалия, Аргентина, Сербия, Исландия, Гон-Конг, Литва, Венгрия, Саудовская Аравия, Израиль, Свазиленд, Турция

4 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.4 ПК 27 Безопасность информационных технологий ПК 27 Безопасность информационных технологий Структура подкомитета SC27 РГ 5 Идентификация и защита персональных данных Руководитель K.Rannenberg (Германия) РГ 4 Средства и сервисы информационной безопасности Руководитель M.-C. Kang (Сингапур) РГ 3 Критерии оценки информационной безопасности Руководитель M. Bañón (Испания) РГ 2 Криптография и другие механизмы защиты информации Руководитель T. Chikazawa (Япония) РГ 1 Менеджмент информа- ционной безопасности Руководитель T. Humphreys (Англия) ISO/IEC JTC 1/SC 27 «Безопасность ИТ» Председатель - W. Fumy (Германия) Вице-предс. - M. De Soete (Бельгия) SC 27 Секретариат - DIN Ms. K. Passia (Германия)

5 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.5 ISO СМИБ – Рекомендации по созданию ПК 27/РГ 1 Рабочая группа 1 ПК 27/РГ 1 Рабочая группа 1 Менеджмент информационной безопасности ISO СМИБ -- Требования ISO СМИБ – Измерения М ISO СМИБ -- Управление рисками ISO СМИБ – Основные понятия и терминология ISO (бывший 17799) СМИБ – Наилучшие практики ISO Требования по аккредитации ISO СМИБ – Рекомендации по аудиту Создание и поддержка Аудит и аккредитация Отраслевые требования и рекомендации ISO СМИБ -- Требования для отрасли телекоммуникаций ISO СМИБ – Электронное правительство ISO СМИБ – Межотраслевое взаимодействие ISO Руководство по совместному применению ISMS и ITSM ISO СМИБ – Руководство для аудиторов ISO СМИБ – Финансы и страхование

6 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.6 Cryptographic Protocols Message AuthenticationDigital Signatures Encryption & Modes of Operation Parameter Generation ПК 27/РГ 2 Рабочая группа 2 ПК 27/РГ 2 Рабочая группа 2 Криптография и другие механизмы защиты информации Аутенти- фикация участников (ISO 9798) Управл. ключами ( ISO 11770) Алгоритмы шифрования (ISO 18033) Режимы использов. алгоритма шифрования (ISO 10116) Хэш- функции (ISO 10118) Коды аутенти- фикации сообщений (ISO 9797) ЭЦП с возможн. восстановл. сообщ. (ISO 9796) Неотказу- емость (ISO 13888) ЭЦП с имито- вставкой (ISO 14888) Системы проверочн. символов (ISO 7064) Криптография на эллиптическ. кривых (ISO 15946) Метки времени (ISO 18014) Генераторы случайных чисел (ISO 18031) Генераторы простых чисел (ISO 18032) Аутентифи- цированное шифрование (ISO 19772) Защита биометрич. образцов (NP 24745)

7 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.7 ПК 27/РГ 3 Рабочая группа 3 ПК 27/РГ 3 Рабочая группа 3 Критерии оценки информационной безопасности Критерии оценки безопасности ИТ (Общие критерии) (IS 15408) Методология проведения оценки (CEM) (IS 18045) Рекомендации по разработке профилей защиты и заданий по безопасности (TR 15446) Процедуры регистр. профилей защиты (IS 15292) Повышение доверия к безопасным системам: основные принципы (TR 15443) Оценка безопасности организационного окружения (TR 19791) Оценка безопасности биометрии (FDIS 19792) Верификация крипто- графическ. протоколов (WD 29128) ИБС – Модель зрелости (IS 21827) Инжиниринг безопасных систем [ИБС] Обнаружение и учет уязвимостей (WD 29147) Требования по тестированию криптомодулей (IS 24759) Требования безопасности для криптомодулей (IS 19790)

8 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.8 Безотказность ИКТ для обеспечения непрерывности бизнеса (WD 27031) Кибер-безопасность (WD 27032)Безопасность сетей (CD , WD /3/4)Безопасность приложений (WD ) Информационные объекты управления доступом (TR 15816) Безопасность аутсорсинга (NP) Сервисы безопасности третьей доверенной стороны (TR 14516; 15945) Метки времени (TR 29149) Управление инцидентами информационной безопасности (27035) Восстановление ИКТ после катастрофы (24762) Идентификация, сбор, накопление и сохранение цифровых доказательств (NP) Неизвестные или вновь возникающие проблемы безопасности Известные проблемы безопасности Бреши и компромиссы безопасности ПК 27/РГ 4 Рабочая группа 4 ПК 27/РГ 4 Рабочая группа 4 Средства и сервисы безопасности

9 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.9 ПК 27/РГ 5 Рабочая группа 5 ПК 27/РГ 5 Рабочая группа 5. Идентификация и защита персональных данных Каркасные и архитектурные документы Основные положения управления идентификацией (ISO 24760) Основные положения защиты персональных данных (ISO 29100) Референс-архитектура защиты персональных данных (ISO 29101) Основные положения управления доступом (ISO 29146) Концептуальные положения защиты Защита биометрических образцов (ISO/IEC 24745, WD) Требования условной анонимности с возможностью раскрытия – модель аутентификации и авторизации на базе групповых подписей Руководства по содержанию и оценке Аутентификационный контекст для биометрики (ISO/IEC 24761, FDIS) Надежность аутентификации объектов (ISO/IEC 29115, WD) Модель зрелости для защиты персональных данных (NWIP)

10 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.10 Сотрудничество с другими органами по стандартизации и международными организациями SC37 финансы биометрия Смарт - карты программная и системная инженерия информационная безопасность защита в ЧС медицина TC204 SC7 Visa MasterCard TC215 транспорт ISACA аудит телекоммуникации

11 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.11 ИСО/МЭК СТК1/ПК 27 «Безопасность информационных технологий» ИСО/МЭК СТК1/ПК 27 «Безопасность информационных технологий» В Российской Федерации официально внедрено 10 международных стандартов по тематике СТК1/ПК27 За 20 лет существования Подкомитета СТК1/ПК27: всего разработано и опубликовано более 160 международных стандартов из них более 100 являются действующими По линии РГ2 СТК1/ПК27 специалистами российского ТК26 разработан международный стандарт Дополнение к ISO :2006 Алгоритм цифровой подписи на эллиптических кривых, опубликованный в 2010 году

12 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.12 Российская Федерация (в качестве правопреемника СССР) является действующим членом СТК1/ПК27 с 1994г. До этого момента специалис- листы Радиопрома участвовали в работе ТК97/ПК20 «Криптография» Всего эксперты РФ приняли участие в 57 заседаниях СТК1/ПК27. На следующем слайде представлена таблица, отражающая реальное участие делегации РФ в пленарных и рабочих заседаниях СТК1/ПК27 (желтым цветом выделены заседания с участием РФ) В мае 2007г силами ТК22/ПК127 организовано проведение заседания ИСО/МЭК СТК1/ПК27 в РФ. Заседание с участием более 136 делегатов из 37 стран проводилось на борту теплохода, идущего по маршруту «Москва – Санкт-Петербург». Иллюстрирующие это заседание материалы приведены на последующих 3-х слайдах данной презентации. Участие РФ в работе подкомитета ИСО/МЭК СТК1/ПК27 «Безопасность информационных технологий»

13 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.13 СТК1/ПК27 «Безопасность информационных технологий» СТК1/ПК27 «Безопасность информационных технологий» Участие экспертов РФ в заседаниях подкомитета ISO/IEC JTC1/SC27 (по годам / количеству делегатов)

14 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 Ю.Тимофеев - Обзор деятельности ISO/IEC JTC1/SC27 - Москва, Октябрь стр.14 34th ISO/IEC JTC1/SC27 PLENARY AND WGS MEETINGS RUSSIA, MAY 2007

15 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.15 ТК22/ПК127 «Безопасность информационных технологий» ТК22/ПК127 «Безопасность информационных технологий» Пленарное заседание ISO/IEC JTC1/SC27 в Российской Федерации, май 2007 г

16 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.16 ТК22/ПК127 «Безопасность информационных технологий» ТК22/ПК127 «Безопасность информационных технологий» Пленарное заседание ISO/IEC JTC1/SC27 в Российской Федерации, май 2007 г

17 11,5512,258,407,707,356,6511,5512,25 6,65 6,30 5,60 1,75 1,40 3,15 7,00 7,70 ИСО/МЭК СТК1/ПК27 Ю.Тимофеев - Обзор деятельности ИСО/МЭК СТК1/ПК27 - Москва, Октябрь стр.17 Дополнительную информацию о работе ISO/IEC JTC1/SC27 можно найти в документе « SD 11: Information and ICT Security Standards – An invitation to the past, present, and future work of SC27» В документе содержится высокоуровневый обзор всей деятельности SC27, включая перечень изданных стандартов, проектов, исторических фактов Приведен ряд статей, опубликованных в журналах ИСО ISO Focus, ISO Journal and ISO Management System. PDF-документ доступен бесплатно, Version 2.0, September 2008 (100 pages) Данная презентация подготовлена зам.председателя ТК22 Тимофеевым Ю.А. на основе презентации председателя ИСО/МЭК СТК1/ ПК27 Вальтера Фуми ( Walter Fumy )