Обеспечение информационной безопасности компьютерных систем

Начиная с 1999 года специалисты по компьютерным технологиям пытаются обратить внимание общественности и государственных органов на новый международный стандарт ISO/IEC 15408 «Единые критерии оценки безопасности информационных технологий» и группу поддерживающих его нормативных документов. Активность организаций по стандартизации ведущих государств, реально произошедшие изменения во взглядах специалистов к проблеме информационной безопасности (ИБ) и явились предостережением, что Украина может упустить реальный шанс вовремя освоить новейшее технологическое обеспечение информационной безопасности.

Актуальность решения задачи гармонизации отечественной нормативной базы с международными стандартами, а также вопросов применения международных стандартов в отечественной практике очень велика. Отрицательное решение данных задач может не только затормозить развитие отечественных систем информационной безопасности, но и откинуть Украину с достигнутых на сегодняшний день позиций в данной области.

В мире произошло переосмысление подходов к решению проблемы обеспечения информационной безопасности. С момента принятия международного стандарта ISO/IEC 15408 начался новый этап развития теории и практики обеспечения информационной безопасности.

До недавнего времени нормативной основой решения задач защиты информации являлись стандарты ISO 7498-2:1989 «Архитектура безопасности ВОС» и ISO/IEC 10181:1996 «Основы положения безопасности открытых систем». Эти документы определяли взгляды специалистов на теоретические подходы обеспечения защиты информации.

Общую логику построения систем защиты информации можно представить следующим образом:

	Базовые услуги безопасности: 1. конфедициальность; 2. аутентификация; 3. Целостность; 4. управление доступом; 5. неотказуемость. Дополнительная услуга: доступность.						Специальные механизмы безопасности: 1. шифрование; 2. механизмы цифровой прописи; 3. механизмы управления доступом; 4. механизмы обеспечения защиты целостности данных; 5. механизмы аутентификации; 6. механизмы заполнения трафика; 7. механизмы управления маршрутизацией; 8. механизмы нотаризации.

Сфера действий стандарта ISO 7498-2 ограничивалась компьютерными системами, построенными на основе семиуровневой модели ВОС. Однако предложенный подход к построению систем защиты информации был обобщен на все открытые системы обработки, передачи и хранения информации принятием в 1996 году международного стандарта ISO/IEC 10181.

Одновременно с трансформацией взглядов на процессы обработки происходит и изменение взглядов на подходы к обеспечению безопасности информации. Широкая сфера применения информационных технологий, расширение функциональных возможностей систем информационных технологий и другие причины привели к тому, что существующая модель обеспечения информационной безопасности «Угроза безопасности Þ услуга безопасности Þ механизм безопасности» перестала удовлетворять как потребителя ИТ-систем, так и их разработчика.

По типу основных классов угроз выделяют пять основных целевых задач безопасности ИТ-систем.

1. Обеспечение доступности предполагает, что обладающий соответствующими правами пользователь может использовать ресурс в соответствии с правилами установленными политикой безопасности. Эта задача направлена на предотвращение преднамеренных или непреднамеренных угроз неавторизованного удаления данных или необоснованного отказа в доступе к услуге, попыток использования системы и данных в неразрешенных целях.

2. Обеспечение целостности системы и данных рассматривается в двух аспектах. Во-первых, это целостность данных означает, что данные не могут быть модифицированы неавторизованным пользователем или процессом во время их хранения, передачи и обработки. Во-вторых, целостность заключается в том, что ни один компонент системы не может быть удален, модифицирован или добавлен.

3. Обеспечение конфедициальности данных и системной информации предполагает, что информация не может быть получена неавторизованным пользователем во время её хранения, обработки и передачи.

4. Обеспечение наблюдаемости направлено на обеспечение возможности ИТ-системы фиксировать любую деятельность пользователей и процессов, использовании пассивных объектов, устанавливать идентификаторы причастных к событиям пользователей и процессов с целью предотвращения нарушения безопасности и обеспечения ответственности пользователей за выполненные действия.

5. Обеспечение гарантий – это совокупность требований, составляющих некоторую шкалу оценки для определения степени уверенности в том, что:

o функциональные требования действительно сформулированы и корректно реализованы;

o принятые меры защиты обеспечивают адекватную защиту ИТ-системы;

o обеспечена достаточная стойкость от преднамеренного проникновения и использования обходных путей.

Пять основных задач тесно взаимосвязаны и взаимозависимы друг от друга:

		Г А Р А Н Т И И