Основы стандартизации в области безопасности информационных технологий

Понятие и роль стандартов Исторические аспекты Современная система стандартов БИТ Детализированное рассмотрение наиболее актуальных стандартов

3 ПОНЯТИЕ СТАНДАРТА СТАНДАРТ - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг... СТАНДАРТИЗАЦИЯ - деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг. 4 ФЗ«О техническом регулировании» 184-ФЗ 2002 г. (в ред. ФЗ 45-ФЗ 2005 г)

ФЗ«О техническом регулировании» 184-ФЗ 2002 г. (в ред. ФЗ 45-ФЗ 2005 г) Основные цели реформирования системы технического регулирования: снижение административного и экономического давления на производителей; расширение возможностей производителей за счет устранения соблюдаемых ранее ими избыточных требований и процедур; устранение технических барьеров в торговле; повышение эффективности защиты рынка от опасной продукции;

5 ОСНОВНЫЕ ГРУППЫ СТАНДАРТИЗИРУЮЩИХ ДОКУМЕНТОВ 5 ОЦЕНОЧНЫЕ СТАНДАРТЫ - предназначены для оценки и классификации информационных систем и средств защиты по требованиям безопасности; СПЕЦИФИКАЦИИ (технические регламенты) - регламентируют различные аспекты реализации и использования средств и методов защиты.

ФЗ«О техническом регулировании» 184-ФЗ 2002 г. (в ред. ФЗ 45-ФЗ 2005 г) Технические регламенты (принимаются как ФЗ и являются обязательными) Стандарты: Национальные стандарты (ГОСТы) Стандарты организаций (являются рекомендательными)

ФЗ«О техническом регулировании» 184-ФЗ 2002 г. (в ред. ФЗ 45-ФЗ 2005 г) Роль стандартов: формирование доказательной базы соблюдения технических регламентов повышение конкурентоспособности продукции, работ и услуг

ФЗ«О техническом регулировании» 184-ФЗ 2002 г. (в ред. ФЗ 45-ФЗ 2005 г) Основные цели принятия ТР: защита жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества; охрана окружающей среды, жизни или здоровья животных и растений; предупреждение действий, вводящих в заблуждение приобретателей

9 Почему необходимы знания стандартов и спецификаций 6 Обязательность следования стандартам и спецификациям в ряде случаев закреплена законодательно. В стандартах и спецификациях зафиксированы апробированные, высококачественные решения и методологии. Стандарты и спецификации являются основным средством обеспечения взаимной совместимости аппаратно- программных систем и их компонентов.

10 Кому необходимы знания стандартов и спецификаций 6 Разработчикам средств защиты и защищенных ИС, Системным и сетевым администраторам, Администраторам безопасности, Руководителям соответствующих служб и пользователям

11 ИСТОРИЧЕСКИЕ АСПЕКТЫ Заложен понятийный базис ИБ: безопасная и доверенная системы, политика безопасности, уровень гарантированности, подотчетность, ядро и периметр безопасности. Описаны основные принципы формализации политики безопасности: дискреционное и мандатное управление доступом, безопасность повторного использования объектов. Сформулированы принципы классификации по требованиям безопасности на основе линейной шкалы классов защищенности. Повышение защищенности обеспечивается параллельным усилением требований к политике безопасности и уровню гарантированности. 7 «ОРАНЖЕВАЯ КНИГА» (Trusted Computer System Evaluation Criteria, TCSEC)

12 Безопасная система – управляет доступом к информации так, что только должным образом авторизованные лица или процессы от их имени, получают права читать, записывать, создавать или удалять информацию. Доверенная система – система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа. «ОРАНЖЕВАЯ КНИГА» (Trusted Computer System Evaluation Criteria, TCSEC) ОСНОВНЫЕ ПОНЯТИЯ

13 Политика безопасности: набор законов, правил и норм поведения, определяющих порядок обработки, распространения и защиты информации. В зависимости от этого выбираются механизмы безопасности Уровень гарантированности: мера доверия, оказываемая архитектуре и реализации ИС. Показывает, насколько корректны механизмы, реализующие заданную политику безопасности. «ОРАНЖЕВАЯ КНИГА» (Trusted Computer System Evaluation Criteria, TCSEC) КРИТЕРИИ ОЦЕНКИ СТЕПЕНИ ДОВЕРИЯ

14 Доверенная вычислительная база (Trusted Computer Base, TCB) – совокупность защитных механизмов ИС, отвечающих за проведение в жизнь политики безопасности. Качество ТСВ определяется только реализацией и не зависит от человеческого фактора. Монитор обращений – проверяет каждое обращение пользователя к процессам и данным на предмет согласованности в набором допустимых для него действий. Изолированность – нет возможности отслеживать его работу извне Полнота – нет возможности обратиться к объектам в обход монитора Верифицируемость – возможность обеспечить полноту тестирования. ЯДРО БЕЗОПАСНОСТИ - это конкретная реализация монитора обращений. «ОРАНЖЕВАЯ КНИГА» (Trusted Computer System Evaluation Criteria, TCSEC) СТУКТУРА ДОВЕРЕННОЙ СРЕДЫ

15 Дискреционное (произвольное) управление доступом – обращение именованных субъектов к именованных объектам. Уполномоченный субъект может предоставлять или отбирать права на доступ к объектам. Мандатное управление доступом – доступ к объектам осуществляется на основе сопоставления метки безопасности объекта и уровня доверия к субъекту по некоторому формально заданному правилу. «ОРАНЖЕВАЯ КНИГА» (Trusted Computer System Evaluation Criteria, TCSEC) ИНСТРУМЕНТЫ ОБЕСПЕЧЕНИЯ ДОВЕРЕННОЙ СРЕДЫ

16 Безопасность повторного использования объектов – обеспечить невозможность извлечения конфиден- циальной информации из «мусора» (очистка памяти) Подотчетность – включает идентификацию и аутентификацию, предоставление доверенного пути, ведение журнала регистрации и анализ регистрационной информации. Гарантированность – операционная (архитектура и реализация системы) и технологическая (построение и сопровождение). «ОРАНЖЕВАЯ КНИГА» (Trusted Computer System Evaluation Criteria, TCSEC) ИНСТРУМЕНТЫ ОБЕСПЕЧЕНИЯ ДОВЕРЕННОЙ СРЕДЫ

17 Введено понятие сетевой доверенной вычислительной базы Выделен учет динамичности сетевых конфигураций Выделена криптографическая компонента как механизм обеспечения конфиденциальности и целостности. ИНТЕРПРЕТАЦИЯ «Оранжевой книги» ДЛЯ СЕТЕВЫХ КОНФИГУРАЦИЙ» (Trusted Network Interpretation) ИСТОРИЧЕСКИЕ АСПЕКТЫ

18 Выделены базовые сервисы безопасности для распределенных систем: аутентификация, управление доступом, конфиденциальность данных, целостность данных, неотказуемость. Описаны реализующие данные сервисы механизмы. РЕКОМЕНДАЦИИ Х.800 СЕТЕВЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ ИСТОРИЧЕСКИЕ АСПЕКТЫ

19 Сформулированы обязанности администратора средств безопасности (в контексте выделенных сервисов и механизмов безопасности): администрирование ИС в целом администрирование сервисов безопасности администрирование механизмов безопасности. 26 РЕКОМЕНДАЦИИ Х.800 СЕТЕВЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ

20 Механизмы аутентификации. Пароли, личные карточки, биометрия. Шифрование. Симметричное, асимметричное, необратимое. ЭЦП. Включает два алгоритма: создания подписи и ее проверки. Механизмы управления доступом. базы данных управления доступом, списки доступа аутентификационная информация, «билеты» или иные удостоверения, предъявление которых свидетельствует о наличии прав доступа; метки безопасности, ассоциированные с субъектами и объектами доступа. время, маршрут и длительность запрашиваемого доступа. Механизмы контроля целостности. Различают целостность отдельного сообщения и целостность потока сообщений. РЕКОМЕНДАЦИИ Х.800 Механизмы безопасности

21 Механизмы дополнения трафика. В сочетании со средствами обеспечения конфиденциальности Механизмы управления маршрутизацией. - Маршрутизация статическая или динамическая - Маршрут в зависимости от меток безопасности - Отказ от «опасных» маршрутов. Механизмы нотаризации. Заверение коммуникационных характеристик (целостность, личность, время и т.п.) доверенной третьей стороной. РЕКОМЕНДАЦИИ Х.800 Механизмы безопасности

22 РЕКОМЕНДАЦИИ Х.800. ФУНКЦИИ БЕЗОПАСНОСТИ: РАСПРЕДЕЛЕНИЕ ПО УРОВНЯМ OSI Функции безопасности Аутентификация Управление доступом Конфиденциальность соединения Конфиденциальность вне соединения Избирательная конфиденциальность ++ 6.Конфиденциальность трафика Целостность с восстановлением Целостность без восстановления Избирательная целостность + 10.Целостность вне соединения Неотказуемость +

23 РЕКОМЕНДАЦИИ Х.800 СОПОСТАВЛЕНИЕ ФУНКЦИЙ И МЕХАНИЗМОВ БЕЗОПАСНОСТИ Функции безопасности Шиф рова ние ЭЦПЭЦП Упр. дост упом Цело стнос ть Ауте нтиф ик. Доп. тра фик Упр. Мар шр. Нота риза ция Аутентификация партнеров++ + Аутентификация источника++ Управление доступом+ Конфиденциальность+ + + Избирательная конфиденциальность+ Конфиденциальность трафика+ ++ Целостность соединения+ + Целостность вне соединения++ + Неотказуемость + + +

24 ОБЩИЙ ПРИНЦИП: Обязанности администратора определяются перечнем задействованных механизмов. Типичный перечень: Управление ключами (генерация и распределение ) Управление шифрованием (установка и синхронизация криптографических параметров), в т.ч. механизмами ЭЦП и целостности с использованием криптографии Администрирование управления доступом (распределение паролей, ведение списков доступа и т.п. ) Управление аутентификацией Управление дополнением трафика (правила дополнения сообщений – частота посылки, размер и пр. ) Управление маршрутизацией (выработка доверенных путей) Управление нотаризацией (администрирование служб) РЕКОМЕНДАЦИИ Х.800 Администрирование безопасности

25 ИСТОРИЧЕСКИЕ АСПЕКТЫ Новые акценты: Два направления: продукты и системы ИТ. Отказ от единой линейной шкалы. Требование формулирования цели оценки и проведение анализа, насколько полно она достигается. Приведено описание около десятка примерных классов функциональности для государственных и коммерческих систем. 9 ГАРМОНИЗИРОВАННЫЕ КРИТЕРИИ ЕВРОПЕЙСКИХ СТРАН.

26 ОБЩИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ISO / IEC Разработан на основе национальных стандартов: «Гармонизированные критерии Европейских стран», «Федеральные критерии безопасности информационных технологий» (США) «Канадские критерии оценки доверенных компьютерных продуктов» На сегодняшний день он является самым полным и современным оценочным стандартом ИБ. 14

27 ОБЩИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Объект оценки (ОО)– аппаратно-программный продукт или информационная система с соответствующей документацией. Система - специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации. Продукт - совокупность средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы. 15

28 ОБЩИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ОО рассматривается в контексте среды безопасности. Среда безопасности включает законодательную, административную, процедурную программно-техническую среды. Выделяются следующие аспекты безопасности ОО: предположения безопасности, угрозы безопасности, положения политики безопасности. На основе предположений при учете угроз и положений политики безопасности определяются цели безопасности. 15

29 ОБЩИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Принципиальные особенности 1. Универсальный метастандарт, определяющий инструменты оценки безопасности ИС и порядок их использования; 2. Безопасность рассматривается в соответствии с жизненным циклом объекта оценки в контексте среды безопасности, характеризующейся определенными условиями и угрозами. 3. Для объекта оценки формулируются требования безопасности (функциональные требования и требования доверия) 4. В методологии ОК формируются два базовых вида НМД – профиль защиты (типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса ) – задание по безопасности (совокупность требований к конкретной разработке ) 5. Основа для сопоставления национальных стандартов. 16

год «Руководящие документы Гостехкомиссии России» по защите СВТ и АС от несанкционированного доступа к информации. Концепция защиты СВТ и АС от НСД к информации Термины и определения Показатели защищенности СВТ от НСД Классификация АС по уровню защищенности от НСД Временное положение по разработке защищенных автоматизированных систем и средств защиты информации год Межсетевые экраны. Показатели защищенности от НСД год Специальные требования и рекомендации по защите конфиденциальной информации 2002 год – РД Гостехкомисии России «Критерии оценки безопасности информационных технологий» (перевод версии ISO/IEC 15408:1999) 2004 год – введен ГОСТ Р ИСО/МЭК РАЗВИТИЕ ОТЕЧЕСТВЕННЫХ СТАНДАРТОВ ИБ

31 ОБЩИЕ ПРИНЦИПЫ ЗАЩИТЫ СВТ И АС Разделение на СВТ и АС Модель нарушителя Линейная шкала, аналогичная «Оранжевой книге», для СВТ Классификация АС в зависимости от количества пользователей и режима обработки информации Взаимоувязанные рекомендации по применению классифицированных СВТ для создания АС разного уровня защищенности Определены основные подсистемы обеспечения безопасности. для АС: управления доступом, контроля целостности, регистрации и учета, криптографическая подсистема. Перечислены функции и требования к механизмам их реализации для классифицируемых АС и СВТ 11 РУКОВОДЯЩИЕ ДОКУМЕНТЫ ГОСТЕХКОМИССИИ РОССИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ НСД

Стандартизация ИБ на международном уровне ISO: International Standardization Organization (ИСО: Международная организация по стандартизации) IEC:International Electro-technical Commission (МЭК : Международная электротехническая комиссия) ITU: International Telecommunications Union МСЭ : Международный союз электросвязи IETF: Internet Engineering Task Force (IETF: Комиссия по технологиям Internet) EMV:Europay, MasterCard и Visa International (ЕМВ:Международная организация пластиковых карт) OECD:Organization for Economic Co-operation and Development (ОЭСР:Организация по экономическому сотрудничеству и развитию)

Стандартизация ИБ на международном уровне ECMA:European computer manufacturers association (ЕАПК:Европейская ассоциация производителей компьютеров) ETSI:European Telecommunications Standards Institute (ЕИСТ:Европейский институт стандартизации телекоммуникаций) ECBS:European committee for banking standards (ЕКБС:Европейский комитет по банковским стандартам)

Стандартизация ИБ на международном уровне NIST: National Institute of Standards and Technology (НИСТ: Национальный институт стандартов и технологий США) ANSI:American national standard institute (АНСИ:Американский национальный институт стандартизации) ABA:American bankers association (АВА: Американская банковская ассоциация) BSI:British Standard Institute (БСИ:Британский институт стандартизации)

Стандартизация ИБ на международном уровне ISO: International Standardization Organization (ИСО: Международная организация по стандартизации) создана в 1946 г., содержит около 200 технических комитетов (ТС), свыше15000 стандартов, 156 стран-участниц IEC:International Electro-technical Commission (МЭК : Международная электротехническая комиссия) создана в 1944, содержит более 100 TC ISO/IEC (ИСО/МЭК): Объединенный технический комитет (JTC 1) JTC 1 –разрабатывает стандарты в области ИТ Подкомитет 27 (SC 27) JTC 1 работает в сфере ИБ

Некоторые стандарты, выпущенные SC 27 JTC 1 ISO/IEC ISO/IEC Management of information security ISO/IEC Specification of TTP services to support the application of digital signatures (ITU-T X.843) ISO/IEC Management, implementation and operation of intrusion detection systems (IDS) ISO/IEC Encryption algorithms, with four Parts, including asymmetric, block and stream ciphers ISO/IEC 9798 Entity authentication, with six Parts ISO/IEC – Common Criteria for IT Security Evaluation ISO/IEC – Common Evaluation Methodology ISO/IEC / U.S. NIST FIPS – Security Requirements for Cryptographic Modules

BS Information technology. Code of practice for security management («Информационная технология. Кодекс установившейся практики для управления информационной безопасностью») ГОСТ Р ИСО/МЭК Информационная технология. Практические правила управления информационной безопасностью (Введен ) ISO/IEC 17799:2000 Information technology. Code of practice for security management ISO/IEC 17799:2005 Information technology. Code of practice for security management ISO/IEC 27002:2005 Information technology. Code of practice for security management

ГОСТ Р ИСО/МЭК Информационная технология. Практические правила управления информационной безопасностью Стандарт формирует общую основу как для разработки стандартов безопасности отдельных организаций и эффективных правил по поддержанию этой безопасности, так и для обеспечения конфиденциальности торговых связей между организациями

ГОСТ Р ИСО/МЭК Информационная технология. Практические правила управления информационной безопасностью Введение 1.Область применения 2.Термины и определения 3.Политика безопасности 4.Организационные вопросы безопасности 5.Классификация и управление активами 6.Вопросы безопасности, связанные с персоналом 7.Физическая защита и защита от воздействия окружающей среды 8.Управление передачей данных и операционной деятельностью 9.Контроль доступа 10.Разработка и обслуживание систем 11.Вопросы управления непрерывностью бизнеса 12.Соответствие требованиям законодательства

ГОСТ Р ИСО/МЭК Информационная технология. Практические правила управления информационной безопасностью 9. Контроль доступа (начало): 9.1. Требования бизнеса по обеспечению контроля в отношении логического доступа 9.2. Контроль в отношении доступа пользователей Регистрация пользователей Управление привилегиями Контроль в отношении паролей пользователей Пересмотр прав доступа пользователей 9.3. Обязанности пользователей Использование паролей Оборудование, оставленное пользователями без присмотра 9.4. Контроль сетевого доступа Политика в отношении использования сетевых служб Предопределенный маршрут Аутентификация пользователей в случае внешних соединений Аутентификация узла Защита портов диагностики при удаленном доступе Принцип разделения в сетях Контроль сетевых соединений Управление маршрутизацией сети Безопасность использования сетевых служб

ГОСТ Р ИСО/МЭК Информационная технология. Практические правила управления информационной безопасностью 9. Контроль доступа (окончание): 9.5. Контроль доступа к операционной системе Автоматическая идентификация терминала Процедуры регистрации с терминала Идентификация и аутентификация пользователей Система управления паролями Использование системных утилит Сигнал тревоги для защиты пользователей на случай, когда они могут стать объектом насилия Периоды бездействия терминалов Ограничения подсоединения по времени 9.6. Контроль доступа к приложениям Ограничения доступа к информации Изоляция систем, обрабатывающих важную информацию 9.7. Мониторинг доступа с использованием системы Регистрация событий Мониторинг использования систем Синхронизация часов 9.8. Работа с переносными устройствами в дистанционном режиме Работа с переносными устройствами Работа в дистанционном режиме

BS Information technology. Security techniques. Information security management systems. Requirements («Информационная технология. Методы защиты. Системы менеджмента защиты информации. Требования») ISO/IEC 27001:2005Information technology. Security techniques. Information security management systems. Requirements ГОСТ Р ИСО/МЭК Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования Введен ???????

ГОСТ Р ИСО/МЭК Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования Предисловие Введение 1.Область приложения 2.Нормативные ссылки 3.Термины и определения 4.Системы менеджмента защиты информации 5.Ответственность руководства 6.Внутренние аудиты СМЗИ 7.Анализ СМЗИ со стороны руководства 8.Улучшение СМЗИ Приложение А (обязательное). Цели управления и средства управления Приложение В (информационное). Принципы ОЭСР и этот стандарт Приложение С (информационное). Соответствие между ISO 9001:2000, ISO 14001:2004 и этим стандартом

5 / 23 Новые проекты: семейство стандартов ISO Основные понятия и терминология Требования СУИБ (с апреля 2007) Рекомендации по реализации СУИБ Оценка СУИБ Управление рисками в СУИБ опублик в процессе предлагается

45 ISMS Implementation guide [27003] Information security controls (ex17799) [27002] ISMS Overview & terminology [27000] Information security management measurements [27004] ISMS Risk management [27005] Financial systems requirements [270xx] Telecoms requirements [27011] Transport requirements [270xx] WLA requirements [270xx] Automotive requirements [270xx] Healthcare requirements [270xx/27799] Cryptographic techniques, authentication protocols, biometric techniques, privacy technologies … Disaster recovery, IT networks security, TTP services, IDS, Incident handling, Web applications, identity management, cyber.. Product & system security evaluation & assurance (Common Criteria) Product & system security evaluation & assurance (Common Criteria) Accreditation requirements for ISMS [27006] Information security management system (ISMS) [27001]

ISACA: Ассоциация Аудита и Контроля Информационных Систем Основана в 1969 году. Развивает и продвигает стандарт COBIT – Control Objectives for Information and related Technology (Контрольные ОБъекты для Информационных и смежных Технологий) =Принципы управления и аудита ИТ. CobiT позиционируется как открытый стандарт «де-факто» (вышло четвертое издание)

Стандарт CobiT Состоит из шести частей, ориентированных на разные аудитории: Резюме для руководителя. Описание стандарта для топ-менеджеров организации для принятия ими решения о применимости стандарта в конкретной организации. Описание структуры. Содержит развернутое описание высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом. Объекты контроля. Детальные описания объектов контроля, содержащие расшифровку каждого из объектов. Принципы управления. Отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ-служб. Принципы аудита. Правила проведения ИТ-аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать. Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ. Набор инструментов внедрения стандарта. Практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.

ОТЕЧЕСТВЕННАЯ НОРМАТИВНАЯ БАЗА В ОБЛАСТИ ИБ: СТАНДАРТЫ, РУКОВОДЯЩИЕ ДОКУМЕНТЫ, ПРОФИЛИ, ДРУГИЕ НОРМАТИВНЫЕ ДОКУМЕНТЫ (включая проекты): Защита средств и систем : 28 (ГОСТ, ГОСТ Р); 8 (РД); 40 (СТ. ОТР. ПРИМ.); Управление ИБ : 13 (ПНС-2006/7); Оценка ИБ: 3 (ГОСТ Р); 3 (проекты РД); 6 (проекты профилей)

ГОСТ "ИТ. ЗИ от утечки за счет ПЭМИН при ее обработке СВТ. ОТТ" ГОСТ Р "Конструкции базовые несущие СВТ. Требования по обеспечению ЗИ и ЭМС методом экранирования" ГОСТ Р "ИТ. ЗИ от утечки за счет ПЭМИН при ее обработке СВТ. Методы испытаний" ГОСТ Р "СВТ. Защита от НСД к информации. ОТТ" ГОСТ Р "Защита информации. Основные термины и определения" ГОСТ Р "ЗИ. Испытания программных средств на наличие компьютерных вирусов. Типовые руководства" ГОСТ Р "ЗИ. Объекты информатизации. Факторы, воздействующие на информацию. Общие положения" ГОСТ Р "ЗИ. Порядок создания АС в защищенном исполнении. Общие положения"

ГОСТ Р "ЗИ. АС в защищенном исполнении. Общие требования" ГОСТ "Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования" ГОСТ "ИТ. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи" ГОСТ "ИТ. Криптографическая защита информации. Функция хэширования" ГОСТ Р ИСО Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации ГОСТ Р ИСО Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации