Стандарты обеспечения информационной безопасности
Роль стандартов информационной безопасности. Необходимость как-то измерять достоверность и защищенность информационных систем[11] (ИС) привела к разработке стандарта информационной безопасности (ИБ). Главная задача стандартов ИБ – создать основу для взаимодействия между его основными группами пользователей: потребителями, производителями и экспертами по квалификации ИТ. Каждая из этих групп пользователей имеет свои интересы и свои взгляды на проблему ИБ. При разработке стандарта имелись в виду три цели: 1. предложить потребителям критерий, с помощью которого можно было бы оценивать степень доверия (гарантированность) к ИС с точки зрения обеспечения безопасной обработки конфиденциальной (секретной) и другой критически важной информации; Потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности. К сожалению, многие потребители не понимают, что требования безопасности часто противоречат функциональным требованиям (удобству работы, быстродействию и т.п.), накладывают ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных и поэтому незащищенных прикладных программных средств. 2. создать руководство, призванное помочь производителям выбрать из широкого диапазона устройств те, которые целесообразно встраивать в их новые, широко представленные на рынке проверенные коммерческие продукты; Производители нуждаются в стандартах как средстве сравнения возможностей своих продуктов, в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который бы максимально конкретизировал и регламентировал необходимость применения тех или иных средств, механизмов и алгоритмов. 3. обеспечить экспертам основу для оценки требований к защищенности в спецификациях приобретаемых продуктов. Эксперты рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами ИТ. С одной стороны, они заинтересованы в четких и простых критериях, с другой они должны дать обоснованный ответ потребителям – удовлетворяет продукт их нуждам или нет. Таким образом, перед стандартами ИБ стоит непростая задача – примерить три разные точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем ущемление потребностей хотя бы одной из них не позволит решить общую задачу – создание надежной (защищенной) системы обработки информации. Надежная система, в данном случае, определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени конфиденциальности группой пользователей без нарушения прав доступа». Надежность систем оценивается по двум основным критериям: · Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация накапливает, обрабатывает, защищает и распространяет информацию. Политика безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия. Чем надежнее система, тем строже и много образнее должна быть политика безопасности. · Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность можно определить тестированием системы в целом или ее компонентов. Гарантированность – это пассивный компонент защиты, надзирающий за самими защитниками и показывающий, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Надежная система должна фиксировать все события, касающиеся ИБ, используя механизм протоколирования. Ведение протоколов должно дополняться анализом регистрируемой информации - аудитом. Оценивая степени гарантированности, при которой систему можно считать надежной, центральной является концепция надежной вычислительной базы. Вычислительная база - это совокупность защитных механизмов компьютерной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики ИБ. Надежность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит персонал (например, данные о степени благонадежности пользователей). Основное назначение надежной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Каждое обращение пользователя к ресурсам системы проверяется на предмет согласованности со списком действий, допустимых для пользователя. С каждым зарегистрированным в ИС пользователем связана некоторая информация, однозначно идентифицирующая его. Эту информацию называют идентификатором пользователя. Прежде чем получить доступ к ресурсам системы, пользователь должен пройти процесс первичного взаимодействия с ней, который включает идентификацию[12] и аутентификацию[13]. После идентификации и аутентификации пользователя выполняется его авторизация[14]. Современные стандарты ИБ. Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов ИБ, которая насчитывает более сотни различных документов. Международный стандарт ISO 15408. Важное место в системе стандартов занимает стандарт ISO 15408, известный как «Common Criteria». Версия 2.1 этого стандарта была утверждена 8 июня 1999 года ISO[15] в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий» (далее - ОК). Закончилась 15-летняя эра американской «Оранжевой книги» (по цвету обложки), ставшей классическим документом в практике защиты информации. ОК обобщили содержание и опыт использования «Оранжевой книги», развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. Авторы этого документа - специалисты из шести стран (США, Канады, Великобритании, Германии, Нидерландов и Франции) и рабочей группы WG 3 «Критерии оценки безопасности» объединенного технического комитета JTC1 «Информационные технологии» ISO/IEC. Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития. [16] Отечественные стандарты безопасности. Среди различных стандартов по ИБ, существующих в настоящее время в РФ, следует выделить: - нормативные документы по критериям оценки защищенности средств вычислительной техники (далее - СВТ) и автоматизированных систем (далее - АС) и документы, регулирующие ИБ:
- нормативные документы по криптографической защите систем обработки информации и информационных технологий:
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 519-ст). Обеспечивая защиту активов[17] от угроз, во внимание следует принимать все разновидности угроз. Наибольшее внимание уделяется тем из них, которые связаны со злоумышленными и иными (непреднамеренные угрозы) действиями человека. Угрозы классифицируются на основе потенциала злоупотребления защищаемыми активами. Высокоуровневые понятия безопасности и их взаимосвязь представлены на рисунке ниже.
Популярное: Организация как механизм и форма жизни коллектива: Организация не сможет достичь поставленных целей без соответствующей внутренней... Почему стероиды повышают давление?: Основных причин три... Модели организации как закрытой, открытой, частично открытой системы: Закрытая система имеет жесткие фиксированные границы, ее действия относительно независимы... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (797)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |