 |
Международные стандарты информационной безопасности
|
|
|
|
Обеспечить безопасность информационных систем внастоящее время невозможно без грамотного и качественного создания систем защиты информации. Это определило работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем в части безопасности информации.
Одним из главных результатов подобной деятельности стала системамеждународных и национальных стандартовбезопасности информации, которая насчитывает более сотни различных документов.
Это особенно актуально для так называемых открытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну, и стремительно развивающихся в нашей стране.
Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого, обеспечивается соответствием требованиям стандартов, прежде всего международных.
Термин "открытые" подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа (НСД) к информации.
Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартов.
Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.
|
|
|
Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в internet- сообществе это средство действительно работает, и весьма эффективно.
В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасности компании. Это, прежде всего, международные и национальные стандарты управления информационной безопасностью ISO15408,ISО 17799 (ВS7799), ВSI; стандарты аудита информационных систем и информационной безопасности СОВIТ,SАC, СОSО и некоторые другие, аналогичные им.
Особое значение имеют международные стандарты ISO15408,ISO17799 служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита.
ISO15408 - определяет детальные требования, предъявляемые к программно-техническим средствам защиты информации.
ISO17799- сосредоточен на вопросах организации и управления безопасностью.
Использование международных и национальныхстандартовобеспечения информационной безопасности способствует решению следующих пяти задач:
· во-первых, определение целей обеспечения информационной безопасности компьютерных систем;
· во-вторых, создание эффективной системы управления информационной безопасностью;
· в третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;
· в четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
· в пятых, использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
|
|
|
Основное внимание уделяется международному стандарту ISO 15408 и его российскому аналогу ГОСТ Р ИСО/МЭК15408 -2002 «Критерии оценки безопасности информационных технологий» а также спецификациям «Internet-сообществ».
Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартах ИБ.
Начиная с начала 80-х годов, были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга.
Рассмотрим наиболее важные стандарты, знание которых необходимо разработчикам и оценщикам защитных средств, системным администраторам, руководителям служб защиты информации, пользователям по хронологии их создания, в том числе:
· Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);
· Гармонизированные критерии европейских стран;
· Рекомендации Х.800;
· Германский стандарт BSI;
· Британский стандарт BS7799;
· Стандарт «Общие критерии»ISO15408;
· Стандарт ISO17799;
· Стандарт COBIT
Эти стандарты можно разделить на два разных вида:
· Оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;
· Технические спецификации, регламентирующие различные аспекты реализации средств защиты.
Важно отметить, что между этими видами нормативных документов нет глухой стены, напротив, существует логическая взаимосвязь.
Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС,играя роль архитектурных спецификаций.
Технические спецификации определяют, как строить ИС предписанной архитектуры. Далее рассмотрены особенности этих стандартов.
1.3.1.2 Критерии оценки доверенных компьютерных систем («Оранжевая книга»)
Основные сведения
Критерии определения безопасности компьютерных систем(англ. TrustedComputerSystemEvaluationCriteria, TCSEC,DoD5200.28-STD,December26, 1985 ) — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе.
|
|
|
Критерии ТСSЕС разработаны на основе принципа достоверной вычислительной базы (англ. - ТСВTrustedComputer Base). В «Оранжевой книге» ТСВ определяется как «совокупность механизмов защиты, входящих в вычислительную систему и включающих в себя аппаратные и программно- аппаратные и программные средства, сочетание которых и обеспечивает реализацию стратегии защиты».
Критерии используются для определения, классификации и выбора компьютерных систем предназначенных для обработки, хранения и поиска важной или секретной информации.
Критерии, часто упоминающиеся как «Оранжевая книга» (англ. “OrangeBook”) из-за цвета обложки, занимают центральное место среди публикаций «Радужной серии» (англ. “Rainbow”) Министерства обороныСША. Изначально они были выпущены Центром национальной компьютерной безопасности США в качестве орудия для Агентства национальной безопасности в 1983 году и потом обновлённые в 1985г.
В «Оранжевой книге» ИС разбивают на четыре широких иерархических класса повышенного обеспечения секретности. Они являются основой для оценки эффективности средств управления защитой, встроенных в продукты типа автоматизированных систем обработки данных.
При разработке критериев имелись ввиду три цели:
· предложить пользователям критерий, с помощью которого можно было бы оценивать степень доверия к вычислительной системе с точки зрения обеспечения безопасности обработки секретной и другой критически важной информации;
· создать руководство, призванное помочь производителям выбрать из широкого диапазона устройств те, которые целесообразно встраивать в их новые, широко представленные на рынке проверенные коммерческие продукты;
· обеспечить основу для оценки требований к защищенности в спецификациях приобретаемых продуктов.
Этот стандарт, получил международное признание и оказал исключительно сильное влияние на последующие разработки в области информационной безопасности (ИБ). Данный стандарт относится к оценочным стандартам (классификация информационных систем и средств защиты).
Безопасность и доверие оцениваются в данном стандарте с точки зренияуправления доступом кинформации, что и являетсясредством обеспеченияконфиденциальности и целостности.
Вслед за «Оранжевой книгой» появилась целая «Радужная серия». Наиболее значимой в ней явилась интерпретация «Оранжевой книги» для сетевых конфигураций (англ. NationalComputerSecurityCenter.TrustedNetworkInterpretation,NСSС-ТG-005, 1987), где в первой части интерпретируется «Оранжевая книга», а во второй части описываются сервисы безопасности, специфичные для сетевых конфигураций.
|
|
|
