Стандартизация подходов к обеспечению информационной безопасности

Специалистам в области ИБ сегодня практически невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько веских причин. Формальная причина состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и Руководящим документам Федеральной службы по техническому и экспортному контролю) закреплена законодательно. Убедительны и содержательные причины. Во-первых, стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ и ИС. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными компаниями в области разработки ПО и безопасности программных средств. Во-вторых, и те и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в интернет-сообществе это средство работает весьма эффективно.

На верхнем уровне можно выделить две существенно отличающиеся друг от друга группы стандартов и спецификаций:

  • 1) оценочные стандарты, предназначенные для оценки и классификации ИС и средств защиты по требованиям безопасности;
  • 2) спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.

Эти группы дополняют друг друга. Оценочные стандарты описывают важнейшие с точки зрения ИБ понятия и аспекты ИС, играя роль организационных и архитектурных спецификаций. Специализированные стандарты и спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.

Из числа оценочных необходимо выделить стандарт Министерства обороны CШA "Критерии оценки доверенных компьютерных систем" и его интерпретацию для сетевых конфигураций, "Гармонизированные критерии Европейских стран", международный стандарт "Критерии оценки безопасности информационных технологий" и, конечно, Руководящие документы Федеральной службы по техническому и экспортному контролю. К этой же группе относится и Федеральный стандарт США "Требования безопасности для криптографических модулей", регламентирующий конкретный, но очень важный и сложный аспект информационной безопасности.

Технические спецификации, применимые к современным распределенным ИС, создаются главным образом "Тематической группой по технологии Интернет" (Internet Engineering Task Force - IETF) и ее подразделением - рабочей группой по безопасности. Ядром технических спецификаций служат документы по безопасности на IP-уровне (IPsec). Кроме этого, анализируется защита на транспортном уровне (Transport Layer Security - TLS), а также на уровне приложений (спецификации GSS-API, Kerberos). Интернет-сообщество уделяет должное внимание административному и процедурному уровням безопасности, создав серию руководств и рекомендаций: "Руководство по информационной безопасности предприятия", "Как выбирать поставщика Интернет-услуг", "Как реагировать на нарушения информационной безопасности" и др.

В вопросах сетевой безопасности невозможно обойтись без спецификаций Х.800 "Архитектура безопасности для взаимодействия открытых систем", Х.500 "Служба директорий: обзор концепций, моделей и сервисов" и Х.509 "Служба директорий: каркасы сертификатов открытых ключей и атрибутов".

Критерии оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408- 1999 "Общие критерии оценки безопасности информационных технологий" ("The Common Criteria for Information Technology Security Evalua-tion"), принятом в 1999 г. "Общие критерии" ("ОК") определяют функциональные требования безопасности (Security Functional Requirements) и требования к адекватности реализации функций безопасности (Security Assurance Requirements).

"Общие критерии" содержат два основных вида требований безопасности:

  • 1) функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
  • 2) требования доверия, соответствующие пассивному аспекту; они предъявляются к технологии и процессу разработки и эксплуатации.

Требования безопасности формулируются, и их выполнение проверяется для определенного объекта оценки - аппаратно-программного продукта или ИС. Безопасность в "ОК" рассматривается не статично, а в соответствии с жизненным циклом объекта оценки. Кроме того, обследуемый объект предстает не изолированно, а в "среде безопасности", характеризующейся определенными уязвимостями и угрозами. "Общие критерии" целесообразно использовать для оценки уровня защищенности с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций. Хотя применимость "ОК" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Британский стандарт BS 7799 "Управление информационной безопасностью. Практические правила" без сколько-нибудь существенных изменений воспроизведен в международном стандарте ISO/IEC 17799-2005 "Практические правила управления информационной безопасностью" ("Code of practice for Information security management"). В этом стандарте обобщены правила но управлению И Б, они могут быть использоваться в качестве критериев оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Практические правила разбиты на 10 разделов.

  • 1. Политика безопасности.
  • 2. Организация защиты.
  • 3. Классификация ресурсов и их контроль.
  • 4. Безопасность персонала.
  • 5. Физическая безопасность.
  • 6. Администрирование компьютерных систем и сетей.
  • 7. Управление доступом.
  • 8. Разработка и сопровождение информационных систем.
  • 9. Планирование бесперебойной работы организации.
  • 10. Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов организационного уровня, реализуемых в настоящее время в государственных и коммерческих организациях во многих странах.

Ключевые средства контроля (механизмы управления ИБ), предлагаемые в ISO 17799-2005, считаются особенно важными. При использовании некоторых из средств контроля, например шифрования, могут потребоваться советы специалистов по безопасности и оценка рисков. Для обеспечения защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799-2005. Процедура аудита безопасности ИС по стандарту ISO 17799 включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту также является анализ и управление рисками.

В 2005 г. на основе версии ISO 17799-2000 был разработан стандарт информационной безопасности ISO/IEC 27002-2005 "Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности" (Information technology. Security techniques. Code of practice for information security management). В стандарте описаны лучшие практики по управлению информационной безопасностью, которая определяется в стандарте как "сохранение конфиденциальности (уверенности в том, что информация доступна только тем, кто уполномочен иметь такой доступ), целостности (гарантии точности и полноты информации, а также методов ее обработки) и доступности (гарантии того, что уполномоченные пользователи имеют доступ к информации и связанным с ней ресурсам)".

Текущая версия стандарта сохранила структуру предыдущей версии и несколько расширила ее. Стандарт состоит из следующих основных разделов.

  • 1. Политика безопасности (Security policy).
  • 2. Организация информационной безопасности (Organization of Information Security).
  • 3. Управление ресурсами (Asset management).
  • 4. Безопасность персонала (Human resources security).
  • 5. Физическая безопасность и безопасность окружения (Physical and environmental security).
  • 6. Управление коммуникациями и операциями (Communications and operations management).
  • 7. Управление доступом (Access control).
  • 8. Приобретение, разработка и поддержка систем (Information systems acquisition, development and maintenance).
  • 9. Управление инцидентами информационной безопасности (Information security incident management).
  • 10. Управление бесперебойной работой организации (Business continuity management).
  • 11. Соответствие нормативным требованиям (Compliance).

В настоящее время стал доступным стандарт ISO/IEC 27005- 2008 (BS 7799-3:2006) "Руководство по менеджменту рисков информационной безопасности".

В список российских стандартов в области информационной безопасности, основанных на соответствующих международных стандартах, входят:

  • o ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения";
  • o ГОСТ Р 51188-98 "Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство";
  • o ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения";
  • o ГОСТ Р ИСО/МЭК 15408-1-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель";
  • o ГОСТ Р ИСО/МЭК 15408-2-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности";
  • o ГОСТ Р ИСО/МЭК 15408-3-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности";
  • o ГОСТ Р 50.1.053-2008 "Информационные технологии. Основные термины и определения в области технической защиты информации";
  • o ГОСТ Р ИСО/МЭК 15408-2008 "Информационная технология. Методы и средства обеспечения безопасности. Общие критерии оценки безопасности информационных технологий". В стандарте определены инструменты и методика оценки безопасности информационных продуктов и систем. Он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности, благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения этого стандарта - защита информации от НСД, модификации или утечки и другие способы защиты, реализуемые аппаратными и программными средствами;
  • o ГОСТ Р ИСО/МЭК 17799-2005 "Информационные технологии. Практические правила управления информационной безопасностью". Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005;
  • o ГОСТ Р ИСО/МЭК 27001-2006 "Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования". Прямое применение международного стандарта - ISO/IFX 27001:2005;
  • o ГОСТ Р 51898-2002 "Аспекты безопасности. Правила включения в стандарты".

На нижнем уровне разработаны в разных странах сотни отраслевых стандартов, нормативных документов и спецификаций по обеспечению ИБ, которые применяются национальными компаниями при разработке программных средств, ИС и обеспечении качества и безопасности их функционирования.

 
< Пред   СОДЕРЖАНИЕ     След >