НАЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ

Факультет кібербезпеки, комп’ютерної та програмної інженерії

кафедра Комп’ютеризованих систем захисту інформації

ЗВІТ

З ЛАБОРАТОРНОЇ РОБОТИ № 2
З ДИСЦИПЛІНИ « Технології створення та
застосування систем захисту кіберпростору»

Роботу виконав студент:

Кузьменко Є.Р.

група БІ-142м

захищено з оцінкою   _____

Викладач: Мартинюк І.В.

______________________
(підпис)

“__”______ 2022 р.

КИЇВ 2022
 Мета роботи: поглибити теоретичні знання нормативно - правової бази
України.

Завдання:
Знайти матеріали з ДСТУ ISO / IEC TR 13335-3:2003 та ДСТУ ISO / IEC
TR 13335-5:2005, проаналізувати їх, сформулювати їх відмінності і спільність.

ISO (International Organization for Standardization — Міжнародна

Організація з Стандартизації) та ІЕС (International Electrotechnical Commission
— Міжнародна Електротехнічна Комісія) формують спеціалізовану систему
всесвітньої стандартизації. Національні органи стандартизації країн, що є
членами ISO або ІЕС приймають участь у розробленні міжнародних стандартів
через технічні комітети, засновані відповідною організацією для роботи у
певних сферах технічної діяльності. Технічні комітети ISO та ІЕС співпрацюють
у сферах взаємного інтересу. Інші міжнародні організації, урядові та неурядові,
що співпрацюють з ISO та ІЕС, також беруть участь у роботі.
Формування принципів побудови комплексних систем захисту інформації,
дослідженню та використанню сучасних процедур забезпечення основних услуг
безпеки інформації, що засновані на використанні алгоритмів симетричної та
несиметричної криптографії в комунікаційних системах, протоколів
інфраструктури відкритих ключів (ІВК).
ISO/l EC TR 13335 складено з п'яти частин.
Частина 1 описує фундаментальні концепції і моделі, що їх
використовують для описування процесів керування безпекою IT. Цей документ
призначено для адміністраторів, відповідальних за безпеку IT, та за загальну
безпеку в організації.
Частина 2 описує аспекти керування і планування. її призначено для
адміністраторів, до компетенції яких належить взаємодія із системами IT
організації. До них належать адміністратори IT, які відповідальні за
спостереження над процесами розробляння, реалізування, випробовування,
постачання або оперування системами ГГ, та адміністратори, відповідальні за
отримання максимальної користі від використовування систем IT.
Частина 3 описує методи захисту і призначена для використовування
тими, хто залучений до керування протягом усього життєвого циклу проекту,
зокрема під час планування, проектування, реалізування, випробовування,
аналізування або застосовування.
Частина 4 містить настанови щодо вибору засобів захисту та їх супровід
основними моделями й елементами керування безпекою. Вона також показує,
як ці засоби можуть доповнювати техніку безпеки, описану в частині 3, і як
можна використовувати додаткові методи оцінювання під час вибору засобів
захисту.
Частина 5 містить настанови щодо організації взаємозв'язку систем ІТ із
зовнішніми мережами. Вона містить також настанови щодо вибирання і
використовування засобів захисту для убезпечнювання з’єднань і послуг, що
надають з’єднання і додаткові засоби захисту, які застосовують для під'єднаних
систем ІТ.
ДСТУ ISO/IEC TR 13335-3:2003 "Інформаційні технології.
Керівництво з управління безпекою інформаційних технологій. Частина 3.
Методи управління захистом інформаційних технологій"
Метою цього стандарту є надання настанов, а не конкретних рішень щодо
керування інформаційною безпекою. Ті особи в організації, що відповідають за
інформаційну безпеку, повинні бути спроможними адаптувати матеріал цього
стандарту так, щоб задовольнити свої особливі потреби.
Цей стандарт описує основні концепції керування та моделі, найсуттєвіші
для введення в процеси керування безпекою IT. ЦІ концепції і моделі докладно
буде розглянуто й деталізовано в решті частин для забезпечення
найдокладніших Інструкцій. Разом ці частини можна використовувати для
ідентифікування і керування всіма аспектами захисту в IT. Частина 1 необхідна
для повного розуміння решти частин ISO/IEC TR 13335.
Частина 3 описує методи захисту і призначена для використовування
тими, хто залучений до керування протягом усього життєвого циклу проекту,
зокрема під час планування, проектування, реалізування, випробовування,
аналізування або застосовування.
Призначеність ДСТУ ISO/IEC TR 13335 — надати рекомендації, а не
конкретні рішення з керівництва безпекою інформаційних технологій (IT).
Кваліфікація осіб, відповідальних за безпеку IT у межах організацій, повинна
бути достатньою для адаптування матеріалів, поданих у цьому стандарті, до
конкретних потреб організацій.
Технічний комітет, відповідальний за ISO/IEC TR 13335-1:1996, —
ISO/IEC JTC 1.
 Технічний комітет, відповідальний за цей стандарт, — ТК 20
«Інформаційні технології».
До стандарту внесено такі редакційні зміни:
— слова «ця частина ISO/IEC TR 13335» замінено на слова «ця частина
стандарту», а «цей звіт» — на «цей стандарт»;
— до розділу 2 «Нормативні посилання» подано «Національне
пояснення», яке виділено рамкою;
— структурні елементи цього стандарту: «Обкладинку», «Передмову»,
«Зміст», «Національний вступ», «Бібліографічні дані», «Терміни та визначення
понять» — оформлено згідно з вимогами національної стандартизації України.
Міжнародні стандарти розробляють відповідно до правил, наведених у
директивах ISO/IEC, в частині 3.
У галузі інформаційних технологій ISO та ІЕС заснували спільний
технічний комітет — ISO/IEC JTC 1 (Joint Technical Committee 1). Проекти
міжнародних стандартів, ухвалені спільним технічним комітетом, направляють
до національних органів стандартизації для голосування. Опублікування
стандарту як міжнародного потребує затвердження принаймні 75 %
національних органів стандартизації, що беруть участь у голосуванні.
За виняткових обставин, коли технічний комітет зібрав дані іншого роду
ніж ті, що зазвичай публікують як міжнародний стандарт (наприклад, сучасний
стан справ), він може простою більшістю голосів членів, що беруть участь у
голосуванні, вирішити опублікувати ці дані як технічний звіт. Технічний звіт за
своєю природою є інформаційним і не потребує переглядання, доки дані, що він
містить, не перестануть вважатися актуальними або корисними.
Звертається увага на можливість того, що деякі елементи цієї частини
ISO/IEC TR 13335 можуть бути предметом патентних прав. ISO та ІЕС не
відповідають за розпізнавання деяких чи всіх таких патентних прав.
ДСТУ ISO/IEC TR 13335-5:2005 "Інформаційні технології.
Керівництво з управління безпекою інформаційних технологій. Частина 5.
Керівництво з управління мережею безпеки"
Мета цього стандарту — надати настанову з вибору засобів захисту. Ця
настанова застосовна тоді, коли приймають рішення про вибір засобів захисту
інформаційної системи:
— відповідно до типу і характеристик інформаційної системи,
 — відповідно до загального оцінювання загроз та наявних потреб безпеки,
— відповідно до результатів детального аналізування ризиків.
В доповнення до цієї настанови надані перехресні посилання для того,
щоб показати, де вибір засобів захисту може бути підтриманий використанням
загально доступних довідників, що містять засоби захисту.
Цей стандарт також визначає, як можна розробити довідник з базової
безпеки організації (чи частини організації). Детальні засоби захисту мереж
головним чином описані у документах, зазначених у додатках А— Н; на
сьогодні ISO розробляє декілька інших документів з мережної безпеки.
Цей стандарт надає настанову з вибору засобів захисту, беручи до уваги
ділові потреби та проблеми безпеки. Вона описує процес вибору засобів захисту
згідно з ризиками безпеки та специфікою навколишнього середовища. Цей
стандарт показує, як досягнути достатньо високого рівня захисту, як його
підтримувати, застосовуючи базову безпеку. Надається пояснення того, як
підхід, описаний у цій частині ISO/IEC TR 13335, забезпечує методи керування
інформаційною безпекою, викладені в ISO/IEC TR 13335-4.
Міжнародні стандарти розробляють відповідно до правил, наведених у
директивах ISO/IEC, в частині 3.
У галузі інформаційних технологій ISO та ІЕС заснували спільний
технічний комітет — ISO/IEC JTC 1 (Joint Technical Committee 1). Проекти
міжнародних стандартів, ухвалені спільним технічним комітетом, направляють
до національних органів стандартизації для голосування.
За виняткових обставин, коли технічний комітет зібрав дані іншого роду
ніж ті, що зазвичай публікують як міжнародний стандарт (наприклад, сучасний
стан справ), він може простою більшістю голосів членів, що беруть участь у
голосуванні, вирішити опублікувати ці дані як технічний звіт. Технічний звіт за
своєю природою є інформаційним і не потребує переглядання, доки дані, що він
містить, не перестануть вважатися актуальними або корисними.
Звертається увага на можливість того, що деякі елементи цієї частини
ISO/IEC TR 13335 можуть бути предметом патентних прав. ISO та ІЕС не
відповідають за розпізнавання деяких чи всіх таких патентних прав.
Технічний звіт ISO/IEC TR 13335-5 був підготовлений спільним
технічним комітетом ISO/IEC JTC 1, Інформаційні технології, підкомітетом SC
27, Методи захисту ІТ.
Технічний звіт ISO/IEC TR 13335 містить нижченаведені частини під
загальною назвою Інформаційні технології — Настанови з керування безпекою
інформаційних технологій:
Частина 1: Поняття та моделі забезпечення інформаційної безпеки.
Частина 2: Планування та керування інформаційною безпекою.
Частина 3: Методи керування інформаційною безпекою.
Частина 4: Вибір засобів захисту.
Частина 5: Настанови з керування мережною безпекою
Частина 5 містить настанови щодо організації взаємозв'язку систем ІТ із
зовнішніми мережами. Вона містить також настанови щодо вибирання і
використовування засобів захисту для убезпечнювання з’єднань і послуг, що
надають з’єднання і додаткові засоби захисту, які застосовують для під'єднаних
систем ІТ.
До стандарту внесено такі редакційні зміни:
— слова «ця частина ISO/IEC TR 13335», «цей звіт» замінено на «цей
стандарт».
— у розділі «Нормативні посилання» наведено «Національне пояснення»,
виділене в тексті рамкою, де надано переклад назв стандартів українською
мовою;
— структурні елементи цього стандарту: «Титульний аркуш»,
«Передмову», «Національний вступ», «Терміни та визначення понять»,
«Бібліографічні дані» — оформлено згідно з вимогами національної
стандартизації України.
Метою цього технічного звіту (ISO/IEC TR 13335) є надання настанов, а
не готових рішень
з аспектів керування інформаційною безпекою. Особи, відповідальні за
інформаційну безпеку в організації, повинні бути спроможними адаптувати
матеріал цього звіту, щоб задовольнити свої потреби.
Основними цілями цього технічного звіту є:
— визначити і описати поняття, пов’язані з керуванням інформаційною
безпекою,
— визначити відносини між керуванням інформаційною безпекою та
керуванням ІТ взагалі,
 — представити декілька моделей, які можна використовувати для
пояснення інформаційної безпеки, та
— надати загальну настанову з керування інформаційною безпекою.
Багаточастинний стандарт ISO/IEC TR 13335 містить п’ять частин.
Частина 1 описує базові
поняття та моделі, що використовуються для описування інформаційної
безпеки. Цей матеріал призначений для керівників, відповідальних за
інформаційну безпеку, та відповідальних за загальну програму безпеки
організації.
Частина 2 описує аспекти керування та планування. Вона доцільна для
керівників, до компетенції яких належать інформаційні системи організації. До
таких керивників можуть належати:
— керівники IT, обов’язок яких — слідкувати за проектуванням,
реалізацією, тестуванням, закупівлею чи експлуатацією інформаційних систем,
або
— керівники, відповідальні за сфери діяльності, де використовують
інформаційні системи.
Частина 3 описує методи захисту для процесів керування протягом
життєвого циклу проекту, таких як планування, проектування, реалізація,
тестування, придбання чи експлуатація.
Частина 4 описує настанови з вибору засобів захисту, а також, як цьому
можуть сприяти базові моделі та засоби нагляду. Вона також описує, як ці
засоби доповнюють методи захисту, описані в частині 3, і як додаткові методи
оцінювання можна використовувати для вибору засобів захисту.

Висновок
Керування безпекою систем IT — це процес досягнення і забезпечення
необхідних рівнів конфіденційності, цілісності, доступності, обліковості,
достовірності й надійності.
Для повноцінного реалізування функцій керування безпекою в системах
IT захист має бути невід'ємною частиною загального плану керування
організацією. Тому деякі описані в цьому стандарті положення захисту є більш
значущі для керування. Завдання стандарту — зосереджуватись не на
різноманітних схемах керування, а швидше — на конкретних аспектах захисту
та їх зв'язку з керуванням IT у цілому.