搜索
信息安全等级保护标准体系概述目录•信息安全等级保护标准体系•信息安全等级保护工作使用的主要标准•管理办法•实施指南•定级指南•基本要求•测评要求目录•信息安全等级保护标准体系•信息安全等级保护工作使用的主要标准•管理办法•实施指南•定级指南•基本要求•测评要求等级保护标准体系多年来,在有关部门支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系。汇集成《信息安全等级保护标准汇编》供有关单位、部门使用。在安全建设整改工作中的作用等级保护有关标准等级保护标准体系•信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成,整个标准体系可以从多个角度分析•从基本分类角度看•基础类标准•技术类标准•管理类标准•从对象角度看•基础标准•系统标准•产品标准•安全服务标准•安全事件标准等等级保护标准体系•从等级保护生命周期看•通用/基础标准•系统定级用标准•安全建设用标准•等级测评用标准•运行维护用标准等等级保护主要工作一是:定级备案二是:建设整改三是:等级测评四是:监督检查等级保护工作中用到的主要标准(一)基础1、《计算机信息系统安全保护等级划分准则》GB17859-19992、《信息系统安全等级保护实施指南》GB/T25058-2010(二)系统定级环节3、《信息系统安全保护等级定级指南》GB/T22240-2008(三)建设整改环节4、《信息系统安全等级保护基本要求》GB/T22239-2008(四)等级测评环节5、《信息系统安全等级保护测评要求》(国标报批稿)6、《信息系统安全等级保护测评过程指南》(国标报批稿)小结-等级保护主要政策和标准•《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》)•《计算机信息安全保护等级划分准则》(GB17859-1999,简称《划分准则》)•《信息系统安全等级保护实施指南》GB/T25058-2010(简称《实施指南》)•《信息系统安全保护等级定级指南》(GB/T22240-2008,简称《定级指南》)•《信息系统安全等级保护基本要求》(GB/T22239-2008,简称《基本要求》)•《信息系统安全等级保护测评要求》(简称《测评要求》)•《信息系统安全等级保护测评过程指南》(简称《测评过程指南》)目录•信息安全等级保护制度要干什么•信息安全等级保护工作使用的主要标准•管理办法•实施指南•定级指南•基本要求•测评要求具体做法等级确定与备案自查与等级测评等级保护运行与管理基本要求,实施指南、安全产品标准定级指南、实施指南监督管理要求、基本要求、测评要求基本要求,定级指南、实施指南,设计规范、测评要求安全规划与设计安全建设与实现监督管理要求实施指南标准定位和关系•管理办法(43文件)(总要求)•实施指南(GB/T25058-2010)•定级指南(GB/T22240-2008)•基本要求(GB/T22239-2008)•测评要求•建设指南目录•信息安全等级保护制度要干什么•信息安全等级保护工作使用的主要标准•管理办法•实施指南•定级指南•基本要求•测评要求管理办法•《管理办法》第八条:•信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。管理办法•《管理办法》第九条:•信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。管理办法•《管理办法》第十条:•信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。管理办法•《管理办法》第十二条:•在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照……等技术标准同步建设符合该等级要求的信息安全设施。管理办法•《管理办法》第十三条:•运营、使用单位应当参照《信息安全技术信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。管理办法•《管理办法》第十四条:•信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。目录•信息安全等级保护制度要干什么•信息安全等级保护工作使用的主要标准•管理办法•实施指南•定级指南•基本要求•测评要求实施指南介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动,通过对过程和活动的介绍,使大家了解对信息系统实施等级保护的流程方法,以及不同的角色在不同阶段的作用等。实施指南等级变更局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止实施指南的主要思路以信息系统安全等级保护建设为主要线索,定义信息系统等级保护实施的主要阶段和过程对每个阶段介绍和描述主要的过程和实施活动对每个活动说明实施主体、主要活动内容和输入输出等实施指南标准的结构•正文由9个章节1个附录构成•1.范围•2.规范性引用文件•3术语定义•4.等级保护实施概述•5.信息系统定级•6.总体安全规划•7.安全设计/实施•8.安全运行维护•9.信息系统终止•附录A主要过程及其输出实施指南中的主要概念•阶段•过程•主要活动•子活动•活动输入•活动输出实施指南特点•阶段•过程•活动•子活动例如:•信息系统定级•信息系统分析•系统识别和描绘•识别信息系统的基本信息•识别信息系统的管理框架•…•信息系统划分系统定级阶段-实施流程主要输入主要输出过程系统立项文档系统建设文档系统管理文档信息系统分析系统总体描述文件系统详细描述文件安全保护等级确定系统总体描述文件系统详细描述文件系统安全保护等级定级建议书目录•信息安全等级保护制度要干什么•信息安全等级保护工作使用的主要标准•管理办法•实施指南•定级指南•基本要求•测评要求定级指南•安全保护等级等级的确定是不依赖于安全保护措施的,具有一定的“客观性”,即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级,而非由“后天”的安全保护措施决定。定级指南标准的结构•正文由6个章节构成•1.范围•2.规范性引用文件•3.术语定义•4.定级原理•5.定级方法•6.级别变更定级指南-定级原理•五个等级的定义•第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。•第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。•第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。•第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。•第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。定级指南-定级原理受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定级指南-定级方法•确定定级对象;•确定业务信息安全受到破坏时所侵害的客体;•综合评定业务信息安全被破坏对客体的侵害程度;•得到业务信息安全等级;•确定系统服务安全受到破坏时所侵害的客体;•综合评定系统服务安全被破坏对客体的侵害程度;•得到系统服务安全等级;•由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。可能的系统级别•第一级S1A1G1•第二级S1A2G2,S2A2G2,S2A1G2•第三级S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3•第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4目录•信息安全等级保护制度要干什么•信息安全等级保护工作使用的主要标准•管理办法•实施指南•定级指南•基本要求•测评要求37标准背景•03年,27号文件进一步明确信息安全等级保护制度•04年,66号文件要求“尽快制定、完善法律法规和标准体系”•编制历程•04年10月,接受公安部的标准编制任务•05年6月,完成初稿,广泛征求安全领域专家和行业用户意见;•05年10月,征求意见稿第一稿,国信办、安标委评审•05年11月,征求意见稿第三稿•06年6月,试点工作•07年04月,征求意见稿第四稿,安标委专家评审•07年05月,形成报批稿•08年6月19日,正式发布,08年11月1日正式实施。38标准定位•GB17859-1999的细化和发展•吸收安全机制并扩展到不同层面•增加安全管理方面的内容•借鉴PDR、CMM、17799•关注可操作性•最佳实践•当前技术的发展•机制要求(目标/要求)信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则(GB17859)信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息系统安全等级保护建设整改网络基础安全技术要求网络和终端设备隔离部件技术要求安全定级基线要求状态分析方法指导信息系统安全等级保护实施指南等级保护有关标准在安全建设整改工作中的作用3940与其他标准的关系•GB17859-1999是基础性标准,《基本要求》17859基础上的进一步细化和扩展。•《定级指南》确定出系统等级以及业务信息安全性等级和业务服务保证性等级后,需要按照相应等级,根据《基本要求》选择相应等级的安全保护要求进行系统建设实施。•《测评要求》是依据《基本要求》检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力。41标准适用范围•用户范围•信息系统的主管部门及运营使用单位•测评机构•安全服务机构(系统集成商,软件开发商)•信息安全监管职能部门•适用环节•需求分析•方案设计、系统建设与验收•运行维护、等级测评、自查标准的编制思路•门槛合理对每个级别的信息系统安全要求设置合理,按照基本要求建设后,确实达到期望的安全保护能力•内容完整综合技术、管理各个方面的要求,安全要求内容考虑全面、完整,覆盖信息系统生命周期•便于使用安全要求分类方式合理,便于安全保护、检测评估、监督检查实施各方的灵活使用4243描述模型不同级别信息系统不同级别安全威胁不同级别能力目标不同级别基本要求系统重要程度不同应对44基本安全保护能力对抗能力和恢复能力共同构成了信息系统的安全保护能力。安全保护能力主要表现为信息系统应对威胁的能力,称为对抗能力,但当信息系统无法阻挡威胁对自身的破坏时,信息系统的恢复能力使系统在一定时间内恢复到原有状态,从而降低负面影响。45能力目标第一级安全保护能力应具有能够对抗来自个人的、拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短、系统局部范围等)、以及其他相当危害程度的威胁所造成的关键资源损害,并在威胁发生后,能够恢复部分功能。46能力目标第二级安全保护能力应具有能够对抗来自小型组织的(如自发的三两人组成的黑客组织)、拥有少