Стандартизация подходов к обеспечению информационной безопасности

Специалистам в области ИБ сегодня практически невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько веских причин. Формальная причина состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и Руководящим документам Федеральной службы по техническому и экспортному контролю) закреплена законодательно. Убедительны и содержательные причины. Во-первых, стандарты и спецификации — одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ и ИС. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными компаниями в области разработки ПО и безопасности программных средств. Во-вторых, и те и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в интернет-сообществе это средство работает весьма эффективно.

На верхнем уровне можно выделить две существенно отличающиеся друг от друга группы стандартов и спецификаций:

  • 1) оценочные стандарты, предназначенные для оценки и классификации ИС и средств защиты по требованиям безопасности;
  • 2) спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.

Эти группы дополняют друг друга. Оценочные стандарты описывают важнейшие с точки зрения ИБ понятия и аспекты ИС, играя роль организационных и архитектурных спецификаций. Специализированные стандарты и спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.

Из числа оценочных необходимо выделить стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем» и его интерпретацию для сетевых конфигураций, «Гармонизированные критерии Европейских стран», международный стандарт «Критерии оценки безопасности информационных технологий» и, конечно, Руководящие документы Федеральной службы по техническому и экспортному контролю. К этой же группе относится и Федеральный стандарт США «Требования безопасности для криптографических модулей», регламентирующий конкретный, но очень важный и сложный аспект информационной безопасности.

Технические спецификации, применимые к современным распределенным ИС, создаются главным образом «Тематической группой по технологии Интернет» (Internet Engineering Task Force — IETF) и ее подразделением — рабочей группой по безопасности. Ядром технических спецификаций служат документы по безопасности на IP-уровне (IPsec). Кроме этого, анализируется защита на транспортном уровне (Transport Layer Security — TLS), а также на уровне приложений (спецификации GSS-API, Kerberos). Интернет-сообщество уделяет должное внимание административному и процедурному уровням безопасности, создав серию руководств и рекомендаций: «Руководство по информационной безопасности предприятия», «Как выбирать поставщика Интернет-услуг», «Как реагировать на нарушения информационной безопасности» и др.

В вопросах сетевой безопасности невозможно обойтись без спец- ификаций Х.800 «Архитектура безопасности для взаимодействия открытых систем», Х.500 «Служба директорий: обзор концепций, моделей и сервисов» и Х.509 «Служба директорий: каркасы сертификатов открытых ключей и атрибутов».

Критерии оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408— 1999 «Общие критерии оценки безопасности информационных технологий» («The Common Criteria for Information Technology Security Evalua-tion»), принятом в 1999 г. «Общие критерии» («ОК») определяют функциональные требования безопасности (Security Functional Requirements) и требования к адекватности реализации функций безопасности (Security Assurance Requirements).

«Общие критерии» содержат два основных вида требований безопасности:

  • 1) функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
  • 2) требования доверия, соответствующие пассивному аспекту; они предъявляются к технологии и процессу разработки и эксплуатации.

Требования безопасности формулируются, и их выполнение проверяется для определенного объекта оценки — аппаратно-программного продукта или ИС. Безопасность в «ОК» рассматривается не статично, а в соответствии с жизненным циклом объекта оценки. Кроме того, обследуемый объект предстает не изолированно, а в «среде безопасности», характеризующейся определенными уязвимостями и угрозами. «Общие критерии» целесообразно использовать для оценки уровня защищенности с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций. Хотя применимость «ОК» ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Британский стандарт BS 7799 «Управление информационной безопасностью. Практические правила» без сколько-нибудь существенных изменений воспроизведен в международном стандарте ISO/IEC 17799—2005 «Практические правила управления информационной безопасностью» («Code of practice for Information security management»). В этом стандарте обобщены правила по управлению ИБ, они могут быть использоваться в качестве критериев оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Практические правила разбиты на 10 разделов.

  • 1. Политика безопасности.
  • 2. Организация защиты.
  • 3. Классификация ресурсов и их контроль.
  • 4. Безопасность персонала.
  • 5. Физическая безопасность.
  • 6. Администрирование компьютерных систем и сетей.
  • 7. Управление доступом.
  • 8. Разработка и сопровождение информационных систем.
  • 9. Планирование бесперебойной работы организации.
  • 10. Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов организационного уровня, реализуемых в настоящее время в государственных и коммерческих организациях во многих странах.

Ключевые средства контроля (механизмы управления ИБ), предлагаемые в ISO 17799—2005, считаются особенно важными. При использовании некоторых из средств контроля, например шифрования, могут потребоваться советы специалистов по безопасности и оценка рисков. Для обеспечения защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799—2005. Процедура аудита безопасности ИС по стандарту ISO 17799 включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту также является анализ и управление рисками.

В 2005 г. на основе версии ISO 17799—2000 был разработан стандарт информационной безопасности ISO/IEC 27002—2005 «Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности» (Information technology. Security techniques. Code of practice for information security management). В стандарте описаны лучшие практики по управлению информационной безопасностью, которая определяется в стандарте как «сохранение конфиденциальности (уверенности в том, что информация доступна только тем, кто уполномочен иметь такой доступ), целостности (гарантии точности и полноты информации, а также методов ее обработки) и доступности (гарантии того, что уполномоченные пользователи имеют доступ к информации и связанным с ней ресурсам)».

Текущая версия стандарта сохранила структуру предыдущей версии и несколько расширила ее. Стандарт состоит из следующих основных разделов.

  • 1. Политика безопасности (Security policy).
  • 2. Организация информационной безопасности (Organization of Information Security).
  • 3. Управление ресурсами (Asset management).
  • 4. Безопасность персонала (Human resources security).
  • 5. Физическая безопасность и безопасность окружения (Physical and environmental security).
  • 6. Управление коммуникациями и операциями (Communications and operations management).
  • 7. Управление доступом (Access control).
  • 8. Приобретение, разработка и поддержка систем (Information systems acquisition, development and maintenance).
  • 9. Управление инцидентами информационной безопасности (Information security incident management).

Ю.Управление бесперебойной работой организации (Business continuity management).

11. Соответствие нормативным требованиям (Compliance).

В настоящее время стал доступным стандарт ISO/IEC 27005— 2008 (BS 7799-3:2006) «Руководство по менеджменту рисков информационной безопасности».

В список российских стандартов в области информационной безопасности, основанных на соответствующих международных стандартах, входят:

  • • ГОСТ Р 50922—2006 «Защита информации. Основные термины и определения»;
  • • ГОСТ Р 51188—98 «Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство»;
  • • ГОСТ Р 51275—2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;
  • • ГОСТ Р ИСО/МЭК 15408-1—2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;
  • • ГОСТ Р ИСО/МЭК 15408-2—2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
  • • ГОСТ Р ИСО/МЭК 15408-3—2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности»;
  • • ГОСТ Р 50.1.053—2008 «Информационные технологии. Основные термины и определения в области технической защиты информации»;
  • • ГОСТ Р ИСО/МЭК 15408—2008 «Информационная технология. Методы и средства обеспечения безопасности. Общие критерии оценки безопасности информационных технологий». В стандарте определены инструменты и методика оценки безопасности информационных продуктов и систем. Он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности, благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения этого стандарта — защита информации от НСД, модификации или утечки и другие способы защиты, реализуемые аппаратными и программными средствами;
  • • ГОСТ Р ИСО/МЭК 17799—2005 «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005;
  • • ГОСТ Р ИСО/МЭК 27001—2006 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005;
  • • ГОСТ Р 51898—2002 «Аспекты безопасности. Правила включения в стандарты».

На нижнем уровне разработаны в разных странах сотни отраслевых стандартов, нормативных документов и спецификаций по обеспечению И Б, которые применяются национальными компаниями при разработке программных средств, ИС и обеспечении качества и безопасности их функционирования.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >