信息安全法律法规15-2016

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

信息安全法律和法规(第15讲)北京信息科技大学刘凯liukai@bistu.edu.cn课程安排总课时:32课时第一章信息安全法概述4学时第二章纯正的计算机犯罪4学时第三章不纯正的计算机犯罪4学时第四章电子证据及计算机取证4学时第五章与信息安全相关的热点问题12学时第六章计算机安全与道德规范2学时第七章计算机犯罪对策2学时biti_statute@yahoo.com.cn口令:12345678教材及参考书教材:《信息安全法教程》第二版麦永浩袁翔珠著武汉大学出版社2010.6参考书:《信息安全法研究》马民虎主编陕西人民出版社2004.11《网络法学》张楚主编高等教育出版2003.5《法律基础》教育部社科司组编高等教育出版社2003.7第七章计算机安全等级保护北京信息科技大学刘凯liukai@bistu.edu.cn主要内容概述我国计算机等级保护的主要内容我国计算机安全保护等级标准解读《信息安全等级保护管理办法》第一节我国计算机安全等级保护等保和重要性等保的相关法律1994年,《保护条例》中提出2001年,《划分准则》(GB17859-1999)开始执行2003年,《意见》提出加紧等保制度的建设2004年,《实施意见》重申等保的意义并部署操作办法2006年,《管理办法》规定了主要部门的职能第一节我国计算机安全等级保护主要内容1.对信息系统按业务安全应用域和区实行分级保护:第一级级为自主保护级、第二级为指导保护级、第三级为监督保护级、第四级为强制保护级、第五级为专控保护级2.对系统中使用的信息安全产品实行按分级许可管理3.对等级系统的安全服务资质分级许可管理4.对信息系统中发生的信息安全事件分等级响应、处置第二节我国计算机安全保护等级标准国外等级保护的发展历程1985年,美国国防部公布《可信计算机评估标准》(TCSEC)1990年,英、德、法、荷提出《信息技术安全评估标准》(ITSEC)1991年,六国七方开始制定《通用安全评估准则》(CC)计划,1996年1月公布CC1.0版;1998年公布CC2.0版,1999年ISO接受CC为国际标准ISO/IEC15408第二节我国计算机安全保护等级标准我国等保的标准体系及相互关系基础性标准构建过程控制标准测评过程控制标准运行过程控制标准基本思想以信息安全五个属性为基本内容,从5个层面,按5个等级的不同要求,要别对三个过程,实现对不同信息类别按不同要求进行分等级安全保护的总体目标。第二节我国计算机安全保护等级标准划分准则第1级,系统自主保护级第2级,系统审计保护级第3级,安全标记保护级第4级,结构化保护级第5级,访问验证保护级第三节解读《信息安全等级保护管理办法》1.总则公安机关负责信息安全等级保护工作的监督、检查、指导国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导涉及其它职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理国信办及地方信息化领导小组办事机构负责等级保护工作的部门间的协调第三节解读《信息安全等级保护管理办法》2.等级划分与保护信息系统的等级保护分为以下五级;第一级,不损害国家安全、社会秩序和公共利益第二级,不损害国家安全第三级,社会秩序和公共利益受严重损害,或国家安全受到损害第四级,社会秩序和公共利益受特别严重损害,或国家安全受到严重损害第五级,对国家安全造成特别严重损害第三节解读《信息安全等级保护管理办法》3.等级保护的实施与管理信息系统建设过程中,应参照有关标准信息系统建设完成后,按要求定期进行测评,三级系统至少每年一次;四级至少每半年一次;第五级系统应依据特殊安全需求进行安全测评。二级以上系统应到所在地市级以上公安机关备案公安机关应当对第三级、第四级系统进行定期检查对第五级系统,应当由国家指定的专门部门进行检查对三级以上安全产品,和等保测评机构进行规定第三节解读《信息安全等级保护管理办法》涉密系统的分级保护管理依据等保的基本要求,按国家保密部门有关涉密系统分级保护的管理规定和技术标准;非涉密系统不得处理国家秘密信息涉密系统按处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级涉密系统建设需要具有涉密集成资质的单位承担对应于秘密、机密和绝密,其保护水平总体上不低于等保的第三级、第四级、第五级的水平。涉密系统的安全产品原则上应当选择国产品第三节解读《信息安全等级保护管理办法》等保的密码管理国家密码管理部门对信息安全等级保护的密码实行分类分级管理。必须采用经密码办批准的密码产品;不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。测评机构需由国家密码管理局认可,其它任何部门、单位和个人不得对密码进行评测和监控第三节解读《信息安全等级保护管理办法》法律责任三级以上信息系统运营、使用单位违反本法规定,需要进行相关处理,造成严重损害的,由相关部门依据有关法律、法规给以处理。信息安全监管部门及其工作人员在履行监管职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。附则180日内确定等保级别;新建系统在设计阶段确定级别第八章技术法规和技术标准北京信息科技大学刘凯liukai@bistu.edu.cn主要内容概述网络与信息安全标准研究现状信息安全管理标准信息安全评估标准信息安全服务资质评估准则信息安全测评认证标准信息安全产品评估标准概述信息安全标准的基础性、规范性作用保证信息安全产品和系统的一致性、可靠性、可控性信息安全标准体系主要包括基础标准:术语、体系结构、模型和框架等技术标准:各类安全技术标准管理标准:系统安全管理、等级保护、工程、评估和运行等方面测评标准:评估基础、产品评估、系统评估我国2002年成立信息安全标委,TC260,CISTC)第一节网络与信息安全标准研究现状信息安全标准组织简介国际ISO/IEOJTC1所属SC27(安全技术分委会)IEC(国际电工委员会)ITU(国际电信联盟)IETF(互联网工作任务组)国内CITS(信息技术安全标准化技术委员会)CCSA(中国通信标准化协会)下辖的网络与信息安全技术工作委员会第2节信息安全管理标准发展1995BS7799-11998BS7799-22000.12ISO177992005.10~ISO27001~27005基于风险管理的思想,指导组织建立信息安全管理体系ISMS。ISMS系统化:安全风险评估、预防控制为主程序化:强调全过程和动态控制文化化:遵守国家有关法律法规和其他合同方要求第2节信息安全管理标准主要内容第一部分:10大管理要项;36个执行目标;127个控制方法第10要项:法律符合性.信息系统的设计、操作和使用均需符合法规(刑法、民法、知识产权法等)。第二部分:ISO/IEC27001:2005用于认证目的,可以帮助组织建立和维护ISMS适用于所有类型的组织要求组织通过风险评估的方法,建立、实施、运行、监视、评审、保持和改进其ISMS基于“PDCA”过程模型,进行管理和控制第三节信息安全评估标准1985TCSEC机密性1991年ITSEC机密性、完整性、可用性1996年CC(1999年ISO15408,GB18336)安全功能、安全保障1996年ISO13335保密性、完整性、可用性、审计性、认证性、可靠性以风险为核心的安全模型1999年GB17895-1999(等级保护)第四节信息安全服务资质评估标准适用范围有关概念信息安全服务信息安全服务提供者信息安全服务资质等级信息安全工程过程能力级别信息安全服务评估组织信息安全服务类型安全工程、安全测试和监控、安全相关施工、安全咨询和教育、方案试验、其它服务第四节信息安全服务资质评估标准提供信息安全服务的基本资格要求提供信息安全服务的基本能力要求组织与管理要求技术能力要求人员构成与素质要求设备、实施与环境要求等等信息安全工程过程及能力级别信息安全工程是一组与信息安全相关的工程过程的集合,至少包括11个基本过程;能力级别可以反映组织的成熟程度,可以划分5个级别信息安全服务资质等级划分第五节信息安全测评认证标准测评认证工作体系三个层次:信息安全认证管理委员会、信息安全测评认证中心、测评分支机构信息安全测评认证中心第六节信息安全产品评估标准信息安全产品广义:具备安全功能的产品狭义:具有安全功能的专用产品2005年以来的国家标准见书p232小结1、实施等保的意义?等保标准体系的理解2、《信息安全等级保护管理办法》的主要内容3、信息安全标准●——重要知识点附录1十大重要标准计算机信息系统安全等级保护划分准则(GB17859-1999)(基础类标准)信息系统安全等级保护实施指南(GB/T25058-2010)(基础类标准)信息系统安全保护等级定级指南(GB/T22240-2008)(应用类定级标准)信息系统安全等级保护基本要求(GB/T22239-2008)(应用类建设标准)信息系统通用安全技术要求(GB/T20271-2006)(应用类建设标准)信息系统等级保护安全设计技术要求(GB/T25070-2010)(应用类建设标准)信息系统安全等级保护测评要求(GB/T28448-2012)(应用类测评标准)信息系统安全等级保护测评过程指南(GB/T28449-2012)(应用类测评标准)信息系统安全管理要求(GB/T20269-2006)(应用类管理标准)信息系统安全工程管理要求(GB/T20282-2006)(应用类管理标准)附录2其它相关标准GB/T21052-2007信息安全技术信息系统物理安全技术要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统安全技术要求GB/T20984-2007信息安全技术信息安全风险评估规范GB/T20285-2007信息安全技术信息安全事件管理指南GB/Z20986-2007信息安全技术信息安全事件分类分级指南GB/T20988-2007信息安全技术信息系统灾难恢复规范返回

1 / 31
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功