Стандарты обеспечения информационной безопасности

Роль стандартов информационной безопасности.

Необходимость как-то измерять достоверность и защищенность информационных систем[11] (ИС) привела к разработке стандарта информационной безопасности (ИБ). Главная задача стандартов ИБ – создать основу для взаимодействия между его основными группами пользователей: потребителями, производителями и экспертами по квалификации ИТ. Каждая из этих групп пользователей имеет свои интересы и свои взгляды на проблему ИБ.

При разработке стандарта имелись в виду три цели:

1. предложить потребителям критерий, с помощью которого можно было бы оценивать степень доверия (гарантированность) к ИС с точки зрения обеспечения безопасной обработки конфиденциальной (секретной) и другой критически важной информации;

Потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности. К сожалению, многие потребители не понимают, что требования безопасности часто противоречат функциональным требованиям (удобству работы, быстродействию и т.п.), накладывают ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных и поэтому незащищенных прикладных программных средств.

2. создать руководство, призванное помочь производителям выбрать из широкого диапазона устройств те, которые целесообразно встраивать в их новые, широко представленные на рынке проверенные коммерческие продукты;

Производители нуждаются в стандартах как средстве сравнения возможностей своих продуктов, в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который бы максимально конкретизировал и регламентировал необходимость применения тех или иных средств, механизмов и алгоритмов.

3. обеспечить экспертам основу для оценки требований к защищенности в спецификациях приобретаемых продуктов.

Эксперты рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами ИТ. С одной стороны, они заинтересованы в четких и простых критериях, с другой они должны дать обоснованный ответ потребителям – удовлетворяет продукт их нуждам или нет.

Таким образом, перед стандартами ИБ стоит непростая задача – примерить три разные точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем ущемление потребностей хотя бы одной из них не позволит решить общую задачу – создание надежной (защищенной) системы обработки информации.

Надежная система, в данном случае, определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени конфиденциальности группой пользователей без нарушения прав доступа».

Надежность систем оценивается по двум основным критериям:

· Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация накапливает, обрабатывает, защищает и распространяет информацию. Политика безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия. Чем надежнее система, тем строже и много образнее должна быть политика безопасности.

· Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность можно определить тестированием системы в целом или ее компонентов. Гарантированность – это пассивный компонент защиты, надзирающий за самими защитниками и показывающий, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности.

Надежная система должна фиксировать все события, касающиеся ИБ, используя механизм протоколирования.

Ведение протоколов должно дополняться анализом регистрируемой информации - аудитом.

Оценивая степени гарантированности, при которой систему можно считать надежной, центральной является концепция надежной вычислительной базы. Вычислительная база - это совокупность защитных механизмов компьютерной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики ИБ. Надежность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит персонал (например, данные о степени благонадежности пользователей). Основное назначение надежной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Каждое обращение пользователя к ресурсам системы проверяется на предмет согласованности со списком действий, допустимых для пользователя.

С каждым зарегистрированным в ИС пользователем связана некоторая информация, однозначно идентифицирующая его. Эту информацию называют идентификатором пользователя. Прежде чем получить доступ к ресурсам системы, пользователь должен пройти процесс первичного взаимодействия с ней, который включает идентификацию[12] и аутентификацию[13]. После идентификации и аутентификации пользователя выполняется его авторизация[14].

Современные стандарты ИБ.

Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов ИБ, которая насчитывает более сотни различных документов.

Международный стандарт ISO 15408.

Важное место в системе стандартов занимает стандарт ISO 15408, известный как «Common Criteria». Версия 2.1 этого стандарта была утверждена 8 июня 1999 года ISO[15] в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий» (далее - ОК). Закончилась 15-летняя эра американской «Оранжевой книги» (по цвету обложки), ставшей классическим документом в практике защиты информации. ОК обобщили содержание и опыт использования «Оранжевой книги», развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. Авторы этого документа - специалисты из шести стран (США, Канады, Великобритании, Германии, Нидерландов и Франции) и рабочей группы WG 3 «Критерии оценки безопасности» объединенного технического комитета JTC1 «Информационные технологии» ISO/IEC.

Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития. [16]

Отечественные стандарты безопасности.

Среди различных стандартов по ИБ, существующих в настоящее время в РФ, следует выделить:

- нормативные документы по критериям оценки защищенности средств вычислительной техники (далее - СВТ) и автоматизированных систем (далее - АС) и документы, регулирующие ИБ:

- нормативные документы по криптографической защите систем обработки информации и информационных технологий:

Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15408-1-2008

Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 519-ст).

Обеспечивая защиту активов[17] от угроз, во внимание следует принимать все разновидности угроз. Наибольшее внимание уделяется тем из них, которые связаны со злоумышленными и иными (непреднамеренные угрозы) действиями человека. Угрозы классифицируются на основе потенциала злоупотребления защищаемыми активами.

Высокоуровневые понятия безопасности и их взаимосвязь представлены на рисунке ниже.