 |
Роль стандартов информационной безопасности
|
|
|
|
Главная задача стандартов информационной безопасности создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов ИТ. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности.
Потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности. Потребители также нуждаются в инструменте, с помощью которого они могли бы формулировать свои требования производителям. При этом потребителей интересуют исключительно характеристики и свойства конечного продукта, а не методы и средства их достижения. К сожалению, многие потребители не понимают, что требования безопасности обязательно противоречат функциональным требованиям (удобству работы, быстродействию и т. д.), накладывают ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных и поэтому незащищенных прикладных программных средств.
Производители нуждаются в стандартах как средстве сравнения возможностей своих продуктов, в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора. С точки зрения производителя требования безопасности должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т. д. Кроме того, требования не должны противоречить существующим парадигмам обработки информации, архитектуре вычислительных систем и технологиям создания ин-
формационных продуктов. Однако такой подход также нельзя признать в качестве доминирующего, так как он не учитывает нужд пользователей и пытается подогнать требования защиты под существующие системы и технологии.
|
|
|
Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами ИТ, и предоставить потребителям возможность сделать обоснованный выбор. Эксперты по квалификации находятся в двойственном положении: с одной стороны, они, как и производители, заинтересованы в четких и простых критериях, над которыми не
надо ломать голову, как их применить к конкретному продукту, а с другой стороны, они должны дать обоснованный ответ пользователям — удовлетворяет продукт их нужды или нет.
Таким образом, перед стандартами информационной безопасности стоит непростая задача — примирить три разные точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем ущемление потребностей хотя бы одной из них приведет к невозможности взаимопонимания и взаимодействия и, следовательно, не позволит решить общую задачу — создание защищенной системы обработки информации.
Необходимость в таких стандартах была осознана достаточно давно, и в этом направлении достигнут существенный прогресс, закрепленный в документах разработки 1990-х гг. Первым и наиболее известным документом была Оранжевая книга
(по цвету обложки) «Критерии безопасности компьютерных систем» Министерства обороны США. В этом документе определены 4 уровня безопасности — D, С, В и А. По мере перехода от уровня D до А к надежности системы предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (CI, С2, Bl, В2, ВЗ). Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее защита
должна удовлетворять оговоренным требованиям. К другим важным стандартам информационной безопасности этого поколения относятся: «Руководящие документы Гостехкомиссии России», «Европейские критерии безопасности информационных
технологий», «Федеральные критерии безопасности информационных технологий США», «Канадские критерии безопасности компьютерных систем» [30, 63].
|
|
|
В последнее время в разных странах появилось новое поколение стандартов, посвященных практическим вопросам управления информационной безопасностью компании. Это прежде всего международные стандарты управления информационной
безопасностью ISO 15408, ISO 17799 и некоторые другие. Представляется целесообразным проанализировать наиболее важные из этих документов, сопоставить содержащиеся в них требования и критерии, а также оценить эффективность их практического применения.
4.2. Международные стандарты информационной
безопасности
В соответствии с международными и национальными стан-
дартами обеспечение информационной безопасности в любой
компании предполагает следующее:
• определение целей обеспечения информационной безопас-
ности компьютерных систем;
• создание эффективной системы управления информацион-
ной безопасностью;
• расчет совокупности детализированных качественных и ко-
личественных показателей для оценки соответствия ин-
формационной безопасности поставленным целям;
• применение инструментария обеспечения информацион-
ной безопасности и оценки ее текущего состояния;
• использование методик управления безопасностью, позво-
ляющих объективно оценить защищенность информационных активов и управлять информационной безопасностью
компании.
Рассмотрим наиболее известные международные стандарты в
области защиты информации, которые могут быть использованы
в отечественных условиях [52].
Стандарты ISO/IEC 17799:2002 (BS 7799:2000)
Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000)
«Управление информационной безопасностью — Информацион-
ные технологии» («Information technology — Information security
management*) является одним из наиболее известных стандартов в
области защиты информации. Данный стандарт был разработан на
основе первой части Британского стандарта BS 7799—1:1995
«Практические рекомендации по управлению информационной
безопасностью» («Information security management — Part 1: Code of
practice for information security management) и относится к новому
поколению стандартов информационной безопасности компью-
терных И С.
|
|
|
Текущая версия стандарта ISO/IEC 17799:2000 (BS
7799—1:2000) рассматривает следующие актуальные вопросы обес-
печения информационной безопасности организаций и предпри-
ятий:
• необходимость обеспечения информационной безопасности;
• основные понятия и определения информационной безо-
пасности;
• политика информационной безопасности компании;
• организация информационной безопасности на предпри-
ятии;
• классификация и управление корпоративными информа-
ционными ресурсами;
• кадровый менеджмент и информационная безопасность;
• физическая безопасность;
• администрирование безопасности КИС;
• управление доступом;
• требования по безопасности к КИС в ходе их разработки,
эксплуатации и сопровождения;
• управление бизнес-процессами компании с точки зрения
информационной безопасности;
• внутренний аудит информационной безопасности компании.
Вторая часть стандарта BS 7799—2:2000 «Спецификации сис-
тем управления информационной безопасностью» («Information
security management — Part 2: Specification for information security
management systems*), определяет возможные функциональные
спецификации корпоративных систем управления информаци-
онной безопасностью с точки зрения их проверки на соответст-
вие требованиям первой части данного стандарта. В соответст-
вии с положениями этого стандарта также регламентируется
процедура аудита КИС.
Дополнительные рекомендации для управления информаци-
онной безопасностью содержат руководства Британского инсти-
тута стандартов — British Standards Institution (BSI), изданные в
1995—2003 гг. в виде следующей серии:
• «Введение в проблему управления информационной безопас-
ностью» («Information security managment: an introduction);
• «Возможности сертификации на требования стандарта
BS 7799» («Preparing for BS 7799 sertification»);
|
|
|
• «Руководство BS 7799 по оценке и управлению рисками»
(«Guide to BS 7799 risk assessment and risk management);
• «Руководство для проведения аудита на требования стан-
дарта» («BS 7799 Guide to BS 7799 auditing*);
• «Практические рекомендации по управлению безопасно-
стью информационных технологий» («Code of practice for
IT management*).
В 2002 г. международный стандарт ISO 17799 (BS 7799) был
пересмотрен и существенно дополнен. В новом варианте этого
стандарта большое внимание уделено вопросам повышения куль-
туры защиты информации в различных международных компани-
ях. По мнению специалистов, обновление международного стан-
дарта ISO 17799 (BS 7799) позволит не только повысить культуру
защиты информационных активов компании, но и скоординиро-
вать действия различных ведущих государственных и коммерче-
ских структур в области защиты информации.
4 .2.2. Г ерманский стандарт BSI
В отличие от ISO 17799 германское «Руководство по защите
информационных технологий для базового уровня защищенно-
сти» посвящено детальному рассмотрению частных вопросов
управления информационной безопасностью компании.
В германском стандарте BSI представлены:
• общая методика управления информационной безопасно-
стью (организация менеджмента в области информацион-
ной безопасности, методология использования руково-
дства);
• описания компонентов современных ИТ;
• описания основных компонентов организации режима ин-
формационной безопасности (организационный и техниче-
ский уровни защиты данных, планирование действий в
чрезвычайных ситуациях, поддержка непрерывности биз-
неса);
• характеристики объектов информатизации (здания, поме-
щения, кабельные сети, контролируемые зоны);
• характеристики основных информационных активов ком-
пании (в том числе аппаратное и программное обеспече-
ние, например рабочие станции и серверы под управлени-
ем ОС семейства DOS, Windows и UNIX);
• характеристики компьютерных сетей на основе различных
сетевых технологий, например сети Novell NetWare, сети
UNIX и Windows).
• характеристика активного и пассивного телекоммуникаци-
онного оборудования ведущих поставщиков, например Cisco
Systems;
• подробные каталоги угроз безопасности и мер контроля
(более 600 наименований в каждом каталоге).
Вопросы защиты приведенных информационных активов
компании рассматриваются по определенному сценарию: общее
описание информационного актива компании — возможные уг-
розы и уязвимости безопасности — возможные меры и средства
контроля и защиты.
4.2.3. Международный стандарт ISO 15408 «Общие
критерии безопасности информационных технологий»
Одним из главных результатов стандартизации в сфере сис-
тематизации требований и характеристик защищенных инфор-
мационных комплексов стала система международных и нацио-
нальных стандартов безопасности информации, которая насчи-
тывает более сотни различных документов. Важное место в этой
|
|
|
системе стандартов занимает стандарт ISO 15408, известный как
«Соттоп Criteria*.
В 1990 г. Международная организация по стандартизации
(ISO) приступила к разработке международного стандарта по
критериям оценки безопасности ИТ для общего использования.
В разработке участвовали: Национальный институт стандартов и
технологии и Агентство национальной безопасности (США), Уч-
реждение безопасности коммуникаций (Канада), Агентство ин-
формационной безопасности (Германия), Агентство националь-
ной безопасности коммуникаций (Голландия), органы исполне-
ния Программы безопасности и сертификации ИТ (Англия),
Центр обеспечения безопасности систем (Франция), которые
опирались на свой солидный задел.
За десятилетие разработки лучшими специалистами мира до-
кумент неоднократно редактировался. Первые две версии были
опубликованы соответственно в январе и мае 1998 г. Версия 2.1
этого стандарта утверждена 8 июня 1999 г. Международной орга-
низацией по стандартизации (ISO) в качестве международного
стандарта информационной безопасности ISO/IEC 15408 под
названием «Общие критерии оценки безопасности информаци-
онных технологий», или «Соттоп Criteria*.
«Общие критерии» (ОК.) обобщили содержание и опыт ис-
пользования Оранжевой книги, развили европейские и канад-
ские критерии и воплотили в реальные структуры концепцию
типовых профилей защиты федеральных критериев США.
В ОК проведена классификация широкого набора требова-
ний безопасности ИТ, определены структуры их группирования
и принципы использования. Главные достоинства ОК — полно-
та требований безопасности и их систематизация, гибкость в
применении и открытость для последующего развития.
Ведущие мировые производители оборудования ИТ сразу
стали поставлять заказчикам средства, полностью отвечающие
требованиям ОК.
ОК разрабатывались для удовлетворения запросов трех групп
специалистов, в равной степени являющихся пользователями
этого документа: производителей и потребителей продуктов ИТ,
а также экспертов по оценке уровня их безопасности. ОК обес-
печивают нормативную поддержку процесса выбора ИТ-продук-
та, к которому предъявляются требования функционирования в
условиях действия определенных угроз, служат руководящим ма-
териалом для разработчиков таких систем, а также регламентаруют технологию их создания и процедуру оценки обеспечивае-
мого уровня безопасности.
ОК рассматривают информационную безопасность, во-пер-
вых, как совокупность конфиденциальности и целостности ин-
формации, обрабатываемой ИТ-продуктом, а также доступности
ресурсов ВС и, во-вторых, ставят перед средствами защиты зада-
чу противодействия угрозам, актуальным для среды эксплуата-
ции этого продукта и реализации политики безопасности, при-
нятой в этой среде эксплуатации. Поэтому в концепцию ОК
входят все аспекты процесса проектирования, производства и
эксплуатации ИТ-продуктов, предназначенных для работы в ус-
ловиях действия определенных угроз безопасности.
Потребители ИТ-продуктов озабочены наличием угроз безо-
пасности, приводящих к определенным рискам для обрабатывае-
мой информации. Для противодействия этим угрозам ИТ-про-
дукты должны включать в свой состав средства защиты, противо-
действующие этим угрозам и направленные на устранение
уязвимостей, однако ошибки в средствах защиты в свою очередь
могут приводить к появлению новых уязвимостей. Сертифика-
ция средств защиты позволяет подтвердить их адекватность угро-
зам и рискам.
ОК регламентируют все стадии разработки, квалификацион-
ного анализа и эксплуатации ИТ-продуктов. ОК предлагают
концепцию процесса разработки и квалификационного анализа
ИТ-продуктов, требующую от потребителей и производителей
большой работы по составлению и оформлению объемных и
подробных нормативных документов.
Требования ОК являются практически всеобъемлющей эн-
циклопедией информационной безопасности, поэтому их можно
использовать в качестве справочника по безопасности ИТ.
Стандарт ISO 15408 поднял стандартизацию ИТ на межгосу-
дарственный уровень. Возникла реальная перспектива создания
единого безопасного информационного пространства, в котором
сертификация безопасности систем обработки информации бу-
дет осуществляться на глобальном уровне, что предоставит воз-
можности для интеграции национальных ИС, что в свою оче-
редь откроет новые сферы применения ИТ.
Принятый базовый стандарт информационной безопасности
ISO 15408, безусловно, очень важен и для российских разработ-
чиков.
В разд. 4.3 рассматривается отечественный ГОСТ Р ИСО/
МЭК 15408—2002, являющийсяся аналогом стандарта ISO
15408.
|
|
|
