Тема 16 Стандарты и другие нормативные документы регламентирующие защищенность ПО и обрабатываемой информации.

Стандарты в области информационной безопасности и защиты информации — это документы, регламентирующие основные понятия и концепции информационной безопасности на государственном и межгосударственном уровне, определяющие понятие «защищенная система» посредством стандартизации требований и критериев безопасности, образующих шкалу оценивания степени защищенности информационных систем и технологий [3, 4].

Главная задача разработки таких стандартов — создание основы для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий.

В 1990-х годах Гостехкомиссией России (ныне ФСТЭК России) были разработан ряд руководящих документов (РД), устанавливающих требования по безопасности информации к средствам защиты от несанкционированного доступа. Важными концептуальными и организационными документами, стали РД «Концепция защиты средств вычислительной техники и автоматизированных систем от НСД к информации», РД «Защита от НСД к информации. Термины и определения» (1992).

Одним из руководящих документов, в соответствии с которым должна осуществляться сертификация средств вычислительной техники (СВТ) является РД «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» (1992).

Этот документ (в дальнейшем РД-1) является отечественным аналогом так называемой «Оранжевой книги» — государственного стандарта США «Критерии оценивания безопасности надежных вычислительных систем» (TCSEC, 1984). Он устанавливает классификацию СВТ по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей и совокупности описываемых требований.

Система показателей защищенности применяется к общесистемным программным средствам и операционным системам. Конкретные наборы показателей определяют классы защищенности. Каждый показатель описывается совокупностью требований, которые реализуются с помощью программно-технических средств.

Уровни защиты СВТ делятся на четыре группы и семь классов (самый низкий класс — седьмой, самый высокий — первый):

I группа (7-й класс) — свойства системы защиты информации (СЗИ) ниже уровня требований 6-го класса;

II группа (5, 6 классы) — дискреционные механизмы контроля доступа, управляемые администратором;

III группа (2, 3, 4 классы) — мандатная защита;

IV группа (1-й класс) — гарантированная защита с верификационными методами доказательства реальных характеристик защищенности.

Самый высокий уровень иерархии требований, характеризующий качество СЗИ в целом, описывается интегральным показателем защищенности.

Сравнение данного РД и «Оранжевой книги» показывает схожесть классификации (4 группы и 7 классов) при некотором качественном и количественном различии показателей защищенности (РД-1 — 21 показатель, TCSEC — 27 показателей).

Отметим, что с 01. 01. 96 г. введен в действие стандарт ГОСТ Р 50739-95 «Защита от несанкционированного доступа к информации. Средства вычислительной техники. Общие технические требования».

СВТ разрабатываются и поставляются на рынок как элементы, из которых в дальнейшем проектируются автоматизированные системы (АС). Если защита СВТ обеспечивается в основном комплексом программно-технических средств, то защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер. Эти отличия обусловили создание самостоятельных технических требований по защите информации, обрабатываемой в АС, в виде РД «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации» (1992). Этот РД (в дальнейшем РД-2) также может использоваться в качестве нормативно-методического материала при разработке и сертификации системы защиты информации АС.

Установлено 9 классов защищенности АС, сведенных в три группы, отличающиеся особенностями обработки информации.

Третья группа включает АС, в которой работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса: ЗБ и ЗА.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа ко всей информации АС, обрабатываемой и хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса: 2Б и 2А.

Первая группа — это многопользовательские АС, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов: 1Д, 1Г, 1В, 1Б и 1А.

При разработке защищенной АС необходимо ориентироваться на соответствующий класс защищенности СВТ. Если АС, предназначенная для обработки или хранения информации, является собственностью государства и отнесена к категории секретной, необходимо ориентироваться на классы защищенности АС не ниже ЗА, 2А, 1А, 1Б, 1В.

Выбор СЗИ от НСД к ресурсам (активам) АС (ИС) организации осуществляется как в соответствии с РД АС (необходимые условия: для АС класса 1Г должны применяться СВТ не ниже 5 класса, для 1В — не ниже 3 и т. д. ), так и с учетом признаков ЛВС организации.

Следует подчеркнуть, что отдельные показатели защищенности РД-1 не могут даже в совокупности составлять завершенного решения безопасности АС. Другими словами, не существует общего алгоритма получения класса безопасности результирующей АС на основании классов входящих в нее СВТ. Чтобы получить какую-либо оценку безопасности в таком случае требуется провести специальное оценивание системы в целом со всеми имеющимися в ней подсистемами и СВТ.

Организационные и программно-технические меры, рекомендуемые РД-2, направлены на защиту изолированных АС и не способны противостоять новым угрозам, возникающим при объединении АС с внешними сетями. Понимая важность проблемы разграничения доступа в сетевых системах, Гостехкомиссия России разработала РД «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (1997). Этот РД позволяет классифицировать межсетевые экраны с точки зрения обеспечиваемых ими показателей защищенности.

В последнее время у пользователей возникает потребность в сертификации программно-аппаратных средств импортного производства. Это обусловило необходимость пересмотра и изменения ряда российских стандартов в сторону сближения и гармонизации их с международными стандартами, в частности, был разработан ГОСТ Р ИСО/МЭК 15408-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», состоящий из 3 частей:

— Введение и общая модель;

— Функциональные требования безопасности;

— Требования доверия к безопасности.

Необходимость в разработке национальных стандартов по требованиям безопасности информации и в их объединении осознавалась мировым сообществом по мере развития информационных технологий. В этом направлении достигнут существенный прогресс, закрепленный в новом поколении документов 1990-х гг.