 |
Состояние международной нормативно-методической базы
|
|
|
|
Основы информационной безопасности
Основа защиты информационных процессов в компьютерных системах
Оглавление
1.3 Стандарты информационной безопасности. 2
1.3.1 Основные международные стандарты в области информационной безопасности. 6
1.3.1.1 Предпосылки создания международных стандартов ИБ. 6
Общие вопросы.. 6
Состояние международной нормативно-методической базы.. 7
Назначение и цели международной стандартизации. 7
Международная организация по стандартизации ISО.. 8
Международные стандарты информационной безопасности. 9
1.3.1.2 Критерии оценки доверенных компьютерных систем («Оранжевая книга») 12
Основные сведения. 12
Основные требования и средства. 14
Основные понятия. 18
Безопасная система. 18
Доверенная система. 19
Политика безопасности. 19
Уровень гарантированности. 19
Операционная гарантированность. 20
Подотчетность. 20
Идентификация и учёт. 21
Предоставление доверенного пути. 21
Регистрация и учёт. 21
Анализ регистрационной информации (Аудит) 22
Доверенная вычислительная база. 22
Монитор обращений. 23
Ядро безопасности. 23
Периметр безопасности. 23
1.3.1.3 Механизмы реализации безопасности. 24
Произвольное управление доступом.. 24
Безопасность повторного использования объектов. 24
Метки безопасности. 25
Принудительное управление доступом.. 26
Разделы безопасности. 28
Классы безопасности. 29
Краткая классификация. 34
1.3.2 Стандарты ISO/IEC 17799:2000 (BS 7799-1:2000) 35
1.3.3 Германский стандарт BSI 39
1.3.4 Международный стандарт ISO/IEC 15408 «Общие критерии оценки безопасности информационных технологий» 40
1.3.5 Стандарты 270хх. 43
1.3.6 Стандарты беспроводных сетей. 47
Стандарт IEEE 802.11. 47
1.3.7 Стандарты информационной безопасности для Интернета. 53
|
|
|
Протокол SSL. 54
Протокол IPSec. 55
Протокол SET. 55
Инфраструктура управления открытыми ключами PKI 57
1.3.8 Отечественные стандарты безопасности информационных технологий. 57
Стандарт «Критерии оценки безопасности информационных технологий» ГОСТ Р ИСО/МЭК 15408. 60
1.3 Стандарты информационной безопасности
Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
Стандарты в области информационной безопасности выполняют следующие важнейшие функции:
· выработка понятийного аппарата и терминологии в области информационной безопасности;
· формирование шкалы измерений уровня информационной безопасности;
· согласованная оценка продуктов, обеспечивающих информационную безопасность;
· повышение технической и информационной совместимости продуктов, обеспечивающих ИБ;
· накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем;
· функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.
Благодаря стандартам информационной безопасности:
Преимущества использования стандартов ИБ разными группами ИТ-сообщества
Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:
· повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;
|
|
|
· обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);
· содействие соблюдению требований технических регламентов;
· создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.
Основными областями стандартизации информационной безопасности являются:
· аудит информационной безопасности
· модели информационной безопасности
· методы и механизмы обеспечения информационной безопасности
· криптография
· безопасность межсетевых взаимодействий
· управление информационной безопасностью.
Стандарты информационной безопасности имеют несколько классификаций:
Различные классификации стандартов информационной безопасности
Существуют российские стандарты информационной безопасности (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р 51275 и др.), причем Федеральный закон №184-ФЗ «О техническом регулировании» декларирует принцип «применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения».
|
|
|
Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения.
1.3.1 Основные международные стандарты в области информационной безопасности
1.3.1.1 Предпосылки создания международных стандартов ИБ
Общие вопросы
За рубежом разработка стандартов проводится непрерывно, последовательно публикуются проекты и версии стандартов на разных стадиях согласования и утверждения. Некоторые стандарты поэтапно углубляются и детализируются в виде совокупности взаимосвязанных по концепциям и структуре групп стандартов.
Принято считать, что неотъемлемой частью общего процесса стандартизации информационных технологий (ИТ) является разработка стандартов, связанных с проблемой безопасности ИТ, которая приобрела большую актуальность в связи с тенденциями все большей взаимной интеграции прикладных задач, построения их на базе распределенной обработки данных, систем телекоммуникаций, технологий обмена электронными данными.
Разработка стандартов для открытых систем, в том числе и стандартов в области безопасности ИТ, осуществляется рядом специализированных международных организаций и консорциумов таких, как, например, ISO, IЕС, ITU-T, IEEE, IАВ, WOS, ЕСМА, X/Open, OSF, OMG.
Значительная работа по стандартизации вопросов безопасности ИТ проводится специализированными организациями и на национальном уровне. Все это позволило к настоящему времени сформировать достаточно обширную методическую базу, в виде международных, национальных и отраслевых стандартов, а также нормативных и руководящих материалов, регламентирующих деятельность в области безопасности ИТ.
Состояние международной нормативно-методической базы
С целью систематизации анализа текущего состояния международной нормативно-методической базы в области безопасности ИТ необходимо использовать некоторую классификацию направлений стандартизации.
|
|
|
В общем случае, можно выделить следующие направления:
· Общие принципы управления информационной безопасностью.
· Модели безопасности ИТ.
· Методы и механизмы безопасности ИТ (такие, как, например: методы аутентификации, управления ключами и т.п.).
· Криптографические алгоритмы.
· Методы оценки безопасности информационных систем.
· Безопасность EDI-технологий.
· Безопасность межсетевых взаимодействий (межсетевые экраны).
· Сертификация и аттестация объектов стандартизации.
|
|
|
