Навігація
Головна
 
Головна arrow Інформатика arrow Інформаційні системи і технології в економіці і управлінні
< Попередня   ЗМІСТ   Наступна >

Стандартизація підходів до забезпечення інформаційної безпеки

Фахівцям у галузі ІБ сьогодні практично неможливо обійтися без знань відповідних стандартів і специфікацій. На те є кілька вагомих причин. Формальна причина полягає в тому, що необхідність проходження деяким стандартам (наприклад, криптографічним і Керівним документам Федеральної служби з технічного та експортного контролю) закріплена законодавчо. Переконливі і змістовні причини. По-перше, стандарти і специфікації - одна з форм накопичення знань, передусім про процедурному і програмно-технічному рівнях ІБ і ІВ. У них зафіксовані апробовані, високоякісні рішення та методології, розроблені найбільш кваліфікованими компаніями в області розробки ПЗ та безпеки програмних засобів. По-друге, і ті й інші є основним засобом забезпечення взаємної сумісності апаратно-програмних систем та їх компонентів, причому в інтернет-співтоваристві цей засіб працює досить ефективно.

На верхньому рівні можна виділити дві істотно відмінні одна від одної групи стандартів і специфікацій:

  • 1) оціночні стандарти, призначені для оцінки і класифікації ІС і засобів захисту за вимогами безпеки;
  • 2) специфікації, що регламентують різні аспекти реалізації та використання засобів і методів захисту.

Ці групи доповнюють один одного. Оціночні стандарти описують найважливіші з погляду ІБ поняття і аспекти ІС, граючи роль організаційних і архітектурних специфікацій. Спеціалізовані стандарти і специфікації визначають, як саме будувати ІС продиктованої архітектури і виконувати організаційні вимоги.

З числа оціночних необхідно виділити стандарт Міністерства оборони CШA "Критерії оцінки довірених комп'ютерних систем" і його інтерпретацію для мережевих конфігурацій, "Гармонізовані критерії Європейських країн", міжнародний стандарт "Критерії оцінки безпеки інформаційних технологій" і, звичайно, Керівні документи Федеральної служби з технічного та експортному контролю. До цієї ж групи відноситься і Федеральний стандарт США "Вимоги безпеки для криптографічних модулів", що регламентує конкретний, але дуже важливий і складний аспект інформаційної безпеки.

Технічні специфікації, застосовні до сучасних розподіленим ІС, створюються головним чином "Тематичної групою за технологією Інтернет" (Internet Engineering Task Force - IETF) і її підрозділом - робочою групою з безпеки. Ядром технічних специфікацій служать документи з безпеки на IP-рівні (IPsec). Крім цього, аналізується захист на транспортному рівні (Transport Layer Security - TLS), а також на рівні додатків (специфікації GSS-API, Kerberos). Інтернет-спільнота приділяє належну увагу адміністративному і процедурного рівням безпеки, створивши серію інструкцій та рекомендацій: "Керівництво з інформаційної безпеки підприємства", "Як вибирати постачальника Інтернет-послуг", "Як реагувати на порушення інформаційної безпеки" та ін.

У питаннях мережевої безпеки неможливо обійтися без специфікацій Х.800 "Архітектура безпеки для взаємодії відкритих систем", Х.500 "Служба директорій: огляд концепцій, моделей і сервісів" і Х.509 "Служба директорій: каркаси сертифікатів відкритих ключів та атрибутів".

Критерії оцінки механізмів безпеки програмно-технічного рівня представлені в міжнародному стандарті ISO 15408- 1999 "Загальні критерії оцінки безпеки інформаційних технологій" ("The Common Criteria for Information Technology Security Evalua-tion"), прийнятому в 1999 р "Загальні критерії" (" ОК ") визначають функціональні вимоги безпеки (Security Functional Requirements) та вимоги до адекватності реалізації функцій безпеки (Security Assurance Requirements).

"Загальні критерії" містять два основних види вимог безпеки:

  • 1) функціональні, відповідні активному аспекту захисту, пропоновані до функцій (сервісів) безпеки і реалізують їх механізмам;
  • 2) вимоги довіри, відповідні пасивному аспекту; вони пред'являються до технології та процесу розробки та експлуатації.

Вимоги безпеки формулюються, і їх виконання перевіряється для певного об'єкта оцінки - апаратно-програмного продукту або ІС. Безпека в "ОК" розглядається не статично, а відповідно з життєвим циклом об'єкта оцінки. Крім того, обстежуваний об'єкт постає не ізольовано, а в "середовищі безпеки", яка характеризується певними уязвимостями і погрозами. "Загальні критерії" доцільно використовувати для оцінки рівня захищеності з погляду повноти реалізованих в ній функцій безпеки і надійності реалізації цих функцій. Хоча придатність "ОК" обмежується механізмами безпеки програмно-технічного рівня, в них міститься певний набір вимог до механізмів безпеки організаційного рівня і вимог з фізичного захисту, які безпосередньо пов'язані з описуваними функціями безпеки.

Британський стандарт BS 7799 "Управління інформаційною безпекою. Практичні правила" без скільки-небудь істотних змін відтворений в міжнародному стандарті ISO / IEC 17799-2005 "Практичні правила управління інформаційною безпекою" ("Code of practice for Information security management"). У цьому стандарті узагальнені правила але управлінню І Б, вони можуть бути використовуватися в якості критеріїв оцінки механізмів безпеки організаційного рівня, включаючи адміністративні, процедурні та фізичні заходи захисту. Практичні правила розбиті на 10 розділів.

  • 1. Політика безпеки.
  • 2. Організація захисту.
  • 3. Класифікація ресурсів та їх контроль.
  • 4. Безпека персоналу.
  • 5. Фізична безпека.
  • 6. Адміністрування комп'ютерних систем і мереж.
  • 7. Управління доступом.
  • 8. Розробка і супровід інформаційних систем.
  • 9. Планування безперебійної роботи організації.
  • 10. Контроль виконання вимог політики безпеки.

У цих розділах міститься опис механізмів організаційного рівня, що реалізуються в даний час в державних і комерційних організаціях у багатьох країнах.

Ключові засоби контролю (механізми управління ІБ), пропоновані в ISO 17799-2005, вважаються особливо важливими. При використанні деяких з засобів контролю, наприклад шифрування, можуть знадобитися поради фахівців з безпеки та оцінка ризиків. Для забезпечення захисту особливо цінних ресурсів або надання протидії особливо серйозним загрозам безпеки в ряді випадків можуть знадобитися більш сильні засоби контролю, які виходять за рамки ISO 17799-2005. Процедура аудиту безпеки ІС за стандартом ISO 17799 включає в себе перевірку наявності перерахованих ключових засобів контролю, оцінку повноти та правильності їх реалізації, а також аналіз їх адекватності ризикам, існуючим в даному середовищі функціонування. Складовою частиною робіт з аудиту також є аналіз та управління ризиками.

У 2005 р на основі версії ISO 17799-2000 був розроблений стандарт інформаційної безпеки ISO / IEC 27002-2005 "Інформаційні технології. Технології безпеки. Практичні правила менеджменту інформаційної безпеки" (Information technology. Security techniques. Code of practice for information security management) . У стандарті описані кращі практики з управління інформаційною безпекою, яка визначається в стандарті як "збереження конфіденційності (впевненості в тому, що інформація доступна тільки тим, хто уповноважений мати такий доступ), цілісності (гарантії точності і повноти інформації, а також методів її обробки) і доступності (гарантії того, що уповноважені користувачі мають доступ до інформації і пов'язаним з нею ресурсів) ".

Поточна версія стандарту зберегла структуру попередньої версії і дещо розширила її. Стандарт складається з наступних основних розділів.

  • 1. Політика безпеки (Security policy).
  • 2. Організація інформаційної безпеки (Organization of Information Security).
  • 3. Управління ресурсами (Asset management).
  • 4. Безпека персоналу (Human resources security).
  • 5. Фізична безпека і безпека оточення (Physical and environmental security).
  • 6. Управління комунікаціями та операціями (Communications and operations management).
  • 7. Управління доступом (Access control).
  • 8. Придбання, розробка та підтримка систем (Information systems acquisition, development and maintenance).
  • 9. Управління інцидентами інформаційної безпеки (Information security incident management).
  • 10. Управління безперебійною роботою організації (Business continuity management).
  • 11. Відповідність нормативним вимогам (Compliance).

В даний час став доступним стандарт ISO / IEC 27005- 2008 (BS 7799-3: 2006) "Керівництво по менеджменту ризиків інформаційної безпеки".

У список російських стандартів у галузі інформаційної безпеки, заснованих на відповідних міжнародних стандартах, входять:

  • o ГОСТ Р 50922-2006 "Захист інформації. Основні терміни та визначення";
  • o ГОСТ Р 51188-98 "Захист інформації. Випробування програмних засобів на наявність комп'ютерних вірусів. Типове керівництво";
  • o ГОСТ Р 51275-2006 "Захист інформації. Об'єкт інформатизації. Фактори, що впливають на інформацію. Загальні положення";
  • o ГОСТ ISO / IEC 15408-1-2008 "Інформаційна технологія. Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 1. Вступ і загальна модель";
  • o ГОСТ ISO / IEC 15408-2-2008 "Інформаційна технологія. Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 2. Функціональні вимоги безпеки";
  • o ГОСТ ISO / IEC 15408-3-2008 "Інформаційна технологія. Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 3. Вимоги довіри до безпеки";
  • o ГОСТ Р 50.1.053-2008 "Інформаційні технології. Основні терміни та визначення в галузі технічного захисту інформації";
  • o ГОСТ ISO / IEC 15408-2008 "Інформаційна технологія. Методи і засоби забезпечення безпеки. Загальні критерії оцінки безпеки інформаційних технологій". У стандарті визначені інструменти та методика оцінки безпеки інформаційних продуктів і систем. Він містить перелік вимог, за якими можна порівнювати результати незалежних оцінок безпеки, завдяки чому споживач приймає рішення про безпеку продуктів. Сфера докладання цього стандарту - захист інформації від НСД, модифікації або витоку і інші способи захисту, реалізовані апаратними та програмними засобами;
  • o ГОСТ ISO / IEC 17799-2005 "Інформаційні технології. Практичні правила управління інформаційною безпекою". Пряме застосування міжнародного стандарту з доповненням - ISO / IEC 17799: 2005;
  • o ГОСТ ISO / IEC 27001-2006 "Інформаційні технології. Методи безпеки. Система управління безпекою інформації. Вимоги". Пряме застосування міжнародного стандарту - ISO / IFX 27001: 2005;
  • o ГОСТ Р 51898-2002 "Аспекти безпеки. Правила включення в стандарти".

На нижньому рівні розроблені в різних країнах сотні галузевих стандартів, нормативних документів і специфікацій щодо забезпечення ІБ, які застосовуються національними компаніями при розробці програмних засобів, ІС та забезпеченні якості та безпеки їх функціонування.

 
Якщо Ви помітили помилку в тексті позначте слово та натисніть Shift + Enter
< Попередня   ЗМІСТ   Наступна >
 
Дисципліни
Агропромисловість
Аудит та Бухоблік
Банківська справа
БЖД
Географія
Документознавство
Екологія
Економіка
Етика та Естетика
Журналістика
Інвестування
Інформатика
Історія
Культурологія
Література
Логіка
Логістика
Маркетинг
Медицина
Нерухомість
Менеджмент
Педагогіка
Політологія
Політекономія
Право
Природознавство
Психологія
Релігієзнавство
Риторика
Соціологія
Статистика
Техніка
Страхова справа
Товарознавство
Туризм
Філософія
Фінанси
Пошук