Стандартизація підходів до забезпечення інформаційної безпеки

Фахівцям у галузі ІБ сьогодні практично неможливо обійтися без знань відповідних стандартів і специфікацій. На те є кілька вагомих причин. Формальна причина полягає в тому, що необхідність проходження деяким стандартам (наприклад, криптографічним і Керівним документам Федеральної служби з технічного та експортного контролю) закріплена законодавчо. Переконливі і змістовні причини. По-перше, стандарти і специфікації - одна з форм накопичення знань, передусім про процедурному і програмно-технічному рівнях ІБ і ІВ. У них зафіксовані апробовані, високоякісні рішення та методології, розроблені найбільш кваліфікованими компаніями в області розробки ПЗ та безпеки програмних засобів. По-друге, і ті й інші є основним засобом забезпечення взаємної сумісності апаратно-програмних систем та їх компонентів, причому в інтернет-співтоваристві цей засіб працює досить ефективно.

На верхньому рівні можна виділити дві істотно відмінні одна від одної групи стандартів і специфікацій:

  • 1) оціночні стандарти, призначені для оцінки і класифікації ІС і засобів захисту за вимогами безпеки;
  • 2) специфікації, що регламентують різні аспекти реалізації та використання засобів і методів захисту.

Ці групи доповнюють один одного. Оціночні стандарти описують найважливіші з погляду ІБ поняття і аспекти ІС, граючи роль організаційних і архітектурних специфікацій. Спеціалізовані стандарти і специфікації визначають, як саме будувати ІС продиктованої архітектури і виконувати організаційні вимоги.

З числа оціночних необхідно виділити стандарт Міністерства оборони CШA "Критерії оцінки довірених комп'ютерних систем" і його інтерпретацію для мережевих конфігурацій, "Гармонізовані критерії Європейських країн", міжнародний стандарт "Критерії оцінки безпеки інформаційних технологій" і, звичайно, Керівні документи Федеральної служби з технічного та експортному контролю. До цієї ж групи відноситься і Федеральний стандарт США "Вимоги безпеки для криптографічних модулів", що регламентує конкретний, але дуже важливий і складний аспект інформаційної безпеки.

Технічні специфікації, застосовні до сучасних розподіленим ІС, створюються головним чином "Тематичної групою за технологією Інтернет" (Internet Engineering Task Force - IETF) і її підрозділом - робочою групою з безпеки. Ядром технічних специфікацій служать документи з безпеки на IP-рівні (IPsec). Крім цього, аналізується захист на транспортному рівні (Transport Layer Security - TLS), а також на рівні додатків (специфікації GSS-API, Kerberos). Інтернет-спільнота приділяє належну увагу адміністративному і процедурного рівням безпеки, створивши серію інструкцій та рекомендацій: "Керівництво з інформаційної безпеки підприємства", "Як вибирати постачальника Інтернет-послуг", "Як реагувати на порушення інформаційної безпеки" та ін.

У питаннях мережевої безпеки неможливо обійтися без специфікацій Х.800 "Архітектура безпеки для взаємодії відкритих систем", Х.500 "Служба директорій: огляд концепцій, моделей і сервісів" і Х.509 "Служба директорій: каркаси сертифікатів відкритих ключів та атрибутів".

Критерії оцінки механізмів безпеки програмно-технічного рівня представлені в міжнародному стандарті ISO 15408- 1999 "Загальні критерії оцінки безпеки інформаційних технологій" ("The Common Criteria for Information Technology Security Evalua-tion"), прийнятому в 1999 р "Загальні критерії" (" ОК ") визначають функціональні вимоги безпеки (Security Functional Requirements) та вимоги до адекватності реалізації функцій безпеки (Security Assurance Requirements).

"Загальні критерії" містять два основних види вимог безпеки:

  • 1) функціональні, відповідні активному аспекту захисту, пропоновані до функцій (сервісів) безпеки і реалізують їх механізмам;
  • 2) вимоги довіри, відповідні пасивному аспекту; вони пред'являються до технології та процесу розробки та експлуатації.

Вимоги безпеки формулюються, і їх виконання перевіряється для певного об'єкта оцінки - апаратно-програмного продукту або ІС. Безпека в "ОК" розглядається не статично, а відповідно з життєвим циклом об'єкта оцінки. Крім того, обстежуваний об'єкт постає не ізольовано, а в "середовищі безпеки", яка характеризується певними уязвимостями і погрозами. "Загальні критерії" доцільно використовувати для оцінки рівня захищеності з погляду повноти реалізованих в ній функцій безпеки і надійності реалізації цих функцій. Хоча придатність "ОК" обмежується механізмами безпеки програмно-технічного рівня, в них міститься певний набір вимог до механізмів безпеки організаційного рівня і вимог з фізичного захисту, які безпосередньо пов'язані з описуваними функціями безпеки.

Британський стандарт BS 7799 "Управління інформаційною безпекою. Практичні правила" без скільки-небудь істотних змін відтворений в міжнародному стандарті ISO / IEC 17799-2005 "Практичні правила управління інформаційною безпекою" ("Code of practice for Information security management"). У цьому стандарті узагальнені правила але управлінню І Б, вони можуть бути використовуватися в якості критеріїв оцінки механізмів безпеки організаційного рівня, включаючи адміністративні, процедурні та фізичні заходи захисту. Практичні правила розбиті на 10 розділів.

  • 1. Політика безпеки.
  • 2. Організація захисту.
  • 3. Класифікація ресурсів та їх контроль.
  • 4. Безпека персоналу.
  • 5. Фізична безпека.
  • 6. Адміністрування комп'ютерних систем і мереж.
  • 7. Управління доступом.
  • 8. Розробка і супровід інформаційних систем.
  • 9. Планування безперебійної роботи організації.
  • 10. Контроль виконання вимог політики безпеки.

У цих розділах міститься опис механізмів організаційного рівня, що реалізуються в даний час в державних і комерційних організаціях у багатьох країнах.

Ключові засоби контролю (механізми управління ІБ), пропоновані в ISO 17799-2005, вважаються особливо важливими. При використанні деяких з засобів контролю, наприклад шифрування, можуть знадобитися поради фахівців з безпеки та оцінка ризиків. Для забезпечення захисту особливо цінних ресурсів або надання протидії особливо серйозним загрозам безпеки в ряді випадків можуть знадобитися більш сильні засоби контролю, які виходять за рамки ISO 17799-2005. Процедура аудиту безпеки ІС за стандартом ISO 17799 включає в себе перевірку наявності перерахованих ключових засобів контролю, оцінку повноти та правильності їх реалізації, а також аналіз їх адекватності ризикам, існуючим в даному середовищі функціонування. Складовою частиною робіт з аудиту також є аналіз та управління ризиками.

У 2005 р на основі версії ISO 17799-2000 був розроблений стандарт інформаційної безпеки ISO / IEC 27002-2005 "Інформаційні технології. Технології безпеки. Практичні правила менеджменту інформаційної безпеки" (Information technology. Security techniques. Code of practice for information security management) . У стандарті описані кращі практики з управління інформаційною безпекою, яка визначається в стандарті як "збереження конфіденційності (впевненості в тому, що інформація доступна тільки тим, хто уповноважений мати такий доступ), цілісності (гарантії точності і повноти інформації, а також методів її обробки) і доступності (гарантії того, що уповноважені користувачі мають доступ до інформації і пов'язаним з нею ресурсів) ".

Поточна версія стандарту зберегла структуру попередньої версії і дещо розширила її. Стандарт складається з наступних основних розділів.

  • 1. Політика безпеки (Security policy).
  • 2. Організація інформаційної безпеки (Organization of Information Security).
  • 3. Управління ресурсами (Asset management).
  • 4. Безпека персоналу (Human resources security).
  • 5. Фізична безпека і безпека оточення (Physical and environmental security).
  • 6. Управління комунікаціями та операціями (Communications and operations management).
  • 7. Управління доступом (Access control).
  • 8. Придбання, розробка та підтримка систем (Information systems acquisition, development and maintenance).
  • 9. Управління інцидентами інформаційної безпеки (Information security incident management).
  • 10. Управління безперебійною роботою організації (Business continuity management).
  • 11. Відповідність нормативним вимогам (Compliance).

В даний час став доступним стандарт ISO / IEC 27005- 2008 (BS 7799-3: 2006) "Керівництво по менеджменту ризиків інформаційної безпеки".

У список російських стандартів у галузі інформаційної безпеки, заснованих на відповідних міжнародних стандартах, входять:

  • o ГОСТ Р 50922-2006 "Захист інформації. Основні терміни та визначення";
  • o ГОСТ Р 51188-98 "Захист інформації. Випробування програмних засобів на наявність комп'ютерних вірусів. Типове керівництво";
  • o ГОСТ Р 51275-2006 "Захист інформації. Об'єкт інформатизації. Фактори, що впливають на інформацію. Загальні положення";
  • o ГОСТ ISO / IEC 15408-1-2008 "Інформаційна технологія. Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 1. Вступ і загальна модель";
  • o ГОСТ ISO / IEC 15408-2-2008 "Інформаційна технологія. Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 2. Функціональні вимоги безпеки";
  • o ГОСТ ISO / IEC 15408-3-2008 "Інформаційна технологія. Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 3. Вимоги довіри до безпеки";
  • o ГОСТ Р 50.1.053-2008 "Інформаційні технології. Основні терміни та визначення в галузі технічного захисту інформації";
  • o ГОСТ ISO / IEC 15408-2008 "Інформаційна технологія. Методи і засоби забезпечення безпеки. Загальні критерії оцінки безпеки інформаційних технологій". У стандарті визначені інструменти та методика оцінки безпеки інформаційних продуктів і систем. Він містить перелік вимог, за якими можна порівнювати результати незалежних оцінок безпеки, завдяки чому споживач приймає рішення про безпеку продуктів. Сфера докладання цього стандарту - захист інформації від НСД, модифікації або витоку і інші способи захисту, реалізовані апаратними та програмними засобами;
  • o ГОСТ ISO / IEC 17799-2005 "Інформаційні технології. Практичні правила управління інформаційною безпекою". Пряме застосування міжнародного стандарту з доповненням - ISO / IEC 17799: 2005;
  • o ГОСТ ISO / IEC 27001-2006 "Інформаційні технології. Методи безпеки. Система управління безпекою інформації. Вимоги". Пряме застосування міжнародного стандарту - ISO / IFX 27001: 2005;
  • o ГОСТ Р 51898-2002 "Аспекти безпеки. Правила включення в стандарти".

На нижньому рівні розроблені в різних країнах сотні галузевих стандартів, нормативних документів і специфікацій щодо забезпечення ІБ, які застосовуються національними компаніями при розробці програмних засобів, ІС та забезпеченні якості та безпеки їх функціонування.

 
< Попер   ЗМІСТ   Наст >