NISP 二级知识点总结——信息安全监管

信息安全法规与政策

信息安全法制建设的意义

• 信息安全法律环境是信息安全保障体系中的必要环节
• 明确信息按的级别原则和基本制度、信息安全事务中各方权利义务
• 明确违法信息安全的行为，并对其行为进行相应的处罚
• 信息安全不再只是技术问题，而更多地是个商业和法律问题
• 信息安全产业的逐渐形成和成熟，需要必要的强制约束与规范

我国信息安全法制建设的发展历程

2017年 网络安全法

立法背景

立法紧迫性

《网络安全法》时间轴

重大意义

网络安全法出台对行业健康发展的意义

• 法案有利于督促企业大力提升对网络安全工作的重视程度
• 为行业企业假期自身的关键信息基础设施保护提供法律知道
• 法案明确了参与网络运营的基础电信企业、互联网企业等网络运营这应当履行的安全责任和义务，为行业安全监管提供法律依据。

网络安全法总体框架

共七章79条，目录如下：
第三章 网络运行安全
第四章 网络信息安全
第五章 监测预警与应急处理

重要术语

网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
广义网络的概念，涵盖当前以及未来可能出现的所有非单机、以各种形态和模式联网的信息系统网络。
网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。
网络安全的范围确定为“网络运行安全”和“网络信息安全”
**网络运营者，**是指网络的所有者、管理者和网络 服务提供者。

• 不局限于网络服务的提供者，还涵盖不提供公共服务，但联网的如工业控制系统的所有这控制者等。

**网络数据，**是指通过网络收集、存储、传输、处理和产生的各种电子数据。
**个人信息，**是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

条例讲解

重点关注信息

个人信息保护

网络安全法数据安全有关规定小结

我国信息安全法律分类

其它法律法规

信息保护相关法律

保护国家秘密相关法律

《保护国家秘密法》、《刑法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等

保护商业秘密相关法律

《反不正当竞争法》、《合同法》、《护照法》、《劳动法》、《刑事诉讼法》、《民事诉讼法》

保护个人信息相关法律

《宪法》、《居民身份证法》、《护照法》、《民法通则》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》

国家秘密

主旨

商业秘密

法规

行业规定

我国信息安全保障工作总体文件

关于风险管理

等级保护

信息安全标准

标准

为了在一定范围内获取最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件

标准化（GB/T 20000.1-2002）

为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款活动

国际标准

由国际标准化组织或国际标准组织通过并公开发布的标准

国家标准

由国家标准机构通过并公开发布的标准

国际标准化组织（ISO）

其成员资格向每个国家有关国家机构开放的标准化组织

国家标准机构

在国家层面上承认的，由资格成为相应的国际化和区域组织的国家成员标准机构（中国国家标准化管理委员会）

作用

• 标准是进行贸易的基本条件 —— 国际贸易
• 国际贸易标准能够提高企业的经济效益
• 标准能够提高国民经济效益
• 标准既能打破技术壁垒，也能成为新的技术壁垒

标准化的特点

标准化的对象是共同的、可重复的事务

• 不是孤立的一件事，一个事务

标准化的动态性

• 随着科技的进步和社会的发展而不断变化的发展

标准化的相对性

• 原有的标准随着社会发展的环境变化需要更新

标准化的效益

• 通过应用体现经济和社会效益

原则

• 简化
• 统一
• 协调
• 优化

我国国家标准的代码

• 按标准层次分
  • 强制国家标准（GB）
  • 推荐性国家标准（GB/T）
  • 国家标准化指导性技术文件

国际主要的信息安全标准化组织

• 国际标准化组织（ISO）
  • International Organization for Standardization 成立于1947年，是最大的非政府性标准化专门机构
• 国际电工委员会（IEC）
  • International Electrotechnical Commission 成立于1906年，是成立最早的国际标准化机构Internet
• 工程任务组（IETF）
  • InternetEngineering Task Force 成立于1986年，以RFC文件形式发布标准规范
• ISO/IEC JTC1 SC27
  • ISO和IEC联合技术委员会——信息安全标准化的分技术委员会

国际电信联盟（ITU）及国际电信联盟远程通信标准化组织（ITU—T）

ISO/IEC JTC1 SC27

美国标准化组织

• ANSI
  • 美国国家标准协会（American National Standards Institute） 分技术委员会T4负责IT安全技术标准化工作，对口JTC1的SC27X9 制定金融业务标准、X12制定商业交易标准（EDI）
• NIST
  • 美国国家标准与技术研究院（National Institute of Standards and Technology） 负责联邦政府非密敏感信息
• FIPS IEEE
  • 美国电气和电子工程师协会（Institute of Electrical and Electronics Engineers） P1363

其它国家

• ECMA
  • 欧洲计算机制造联合会（European Computer Manufacturers Association） 由主流厂商组成研究信息和通讯技术方面的标准并发布有关技术报告
• ETSI
  • 欧洲电信标准协会（European Telecommunications Standards Institute，） 非赢利性的电信标准化组织
• ASTAP
  • 亚太地区电信标准化机构（Asia-Pacific Telecommunity Standardization Program） 该组织和ETSI与ITU、ISO和IEC等标准化组织协调合作，推动全世界的标准化活动

我国标准化组织

中国国家标准化管理委员会
是我国最高级别的国家标准机构
全国信息安全标准化技术委员会（TC260）
1984年，成立数据加密技术分委员，后来改为信息技术安全分技术委员会
2002年4月，为加强信息安全标准的协调工作，国家标准委决定成立全国信息安全标准化技术委员会（信安标委，TC260），由国家标准委直接领导，对口ISO／IEC JTC1 SC27
国家标准化管理委员会高新函［2004］1号文决定：自2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标委会组织申报；在国家标准制定过程中，标准工作组或主要起草单位要与信息安全标委会积极合作，并由信息安全标委会完成国家标准送审、报批工作

信息安全等级保护标准体系

定级指南

测评要求 – GB/T 28448-2012

国际体系结构

管理标准

GB／T 22080—2008《信息安全管理体系 要求》

• idt ISO/IEC 27001:2005
• 为建立、实施、运行、监视、评审、保持和改进ISMS进行了规范

GB／Z 24364—2009《信息安全风险管理指南》

• 规范信息安全风险管理的内容和过程
• 为信息系统生命周期不同阶段的信息安全风险管理提供指导

GB／T 20282—2006《信息安全技术信息系统安全工程管理要求》

• 对信息系统安全工程中所涉及到的需求方、实施方与第三方工程实施的指导，各方可以此为依据建立安全工程管理体系
• 按照GB 17859—1999划分的五个安全保护等级，规定了信息系统安全工程管理的不同要求
  GB／T18336《信息技术安全技术信息技术安全性评估准则》

分三部分
GB/T18336.1-2008

• 《第1部分：简介和一般模型》ISO/IEC 15408-1:2009
• 定义了IT安全性评估的一般概念和原理，并提出了评估的一般模型

GB／T18336.2—2008《第2部分：安全功能要求》

• ISO/IEC 15408-2:2008
• 规定了一系列功能组件族和类，作为表达评估对象（TOE）功能要求的标准方法

GB／T18336.3—2008《第3部分：安全保证要求》

• ISO/IEC 15408-3:2008
• 规定了一系列保证组件族和类，作为表达TOE保证要求的标准方法
• 定义了保护轮廓（PP）和安全目标（ST）的评估准则，提出了评估保证级别（Evaluation AssuranceLevel,EAL)

《信息技术安全性评估准则》

发展

• 国际标准化组织统一现有多种准则的努力结果
• 1999年正式成为国际标准ISO/IEC 15408

特点

• 定义了“保护轮廓”和“安全目标”
• 将评估过程分“功能”和“保证”两部分
• 基于风险管理理论，对安全模型、安全概念和安全功能进行了全面系统描绘，强化了保证评估

优点

• 通用的表达方式，便于理解
• 是目前最全面的评价准则
• 一种评估方法，其评估结果国际互认

评估对象（TOE）

• Target 偶发Evaluation
• 评估对象（即被评估的产品或系统）
• 用于安全评估的信息技术产品，系统或子系统（如防火墙、计算机网络、密码模块），包括相关的管理员指南、用户指南、设计方案等文档

保护轮廓（PP）
Protection Profile

• 为了满足安全目标而提出的一整套相对应的功能和保证需求
• 是满足用户需要的、与实现无关的安全需求
• PP与某个具体的TOE无关，它定义的是用户对这类TOE的安全需求主要内容：需保护的对象；确定安全环境；TOE的安全目的；IT安全要求；基本原理

在标准体系中PP相当于产品标准— 如：
《包过滤防火墙安全技术要求》
安全目标（ST）
Security Target

• 针对具体TOE而言，是某一款产品对某一PP要求的具体实现
• 包括该TOE的安全要求和用于满足安全要求的特定安全功能和保证

措施

• ST包括的技术要求和保证措施可以直接引用该TOE所属产品或系统类的PP
• ST相当于产品和系统的实现方案

评估保证级（EAL）
Evaluation Assurance Level

• 定义了划分TOE保证等级的预定义的评估尺度
• 一个保证等级（EAL）是评估保证要求的一个基线集合—保证包每一评估保证级定义一套一致的保证要求，合起来构成一个预定义CC保证级尺度
• 定义了7个递增的评估保证等级（EAL1～EAL7）