 |
Характеристики информационных стандартов
|
|
|
|
Параллельно с возникновением концепций и стандартов информационной защиты сформировались критерии работоспособности концепций. Основными характеристиками информационных стандартов считают:
· универсальность;
· гибкость;
· гарантированность;
· реализуемость;
· актуальность.
Универсальность - это характеристика стандарта, определяемая множеством типов вычислительных систем, на которые он ориентирован.
Гибкость — возможность применения стандарта к постоянно развивающимся информационным технологиям.
Гарантированность определяется мощностью предусмотренных стандартом методов и средств подтверждения надежности результатов квалификационного анализа.
Реализуемость — возможность адекватной реализации на практике.
Актуальность — требования и критерии стандарта должны соответствовать постоянно развивающемуся множеству угроз безопасности.
Исходя из подобных критериев оценки, наиболее работопригодным документом из вышеперечисленных считают «Единые общие критерии оценки безопасности информационных технологий». Однако развитие метрики информационной безопасности должно развиваться параллельно с постоянным развитием современных информационных технологий и вновь возникающие методы защиты информации несомненно будут выливаться в новые официальные документы.
Требования безопасности к информационным системам
Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) относится к оценочным стандартам. Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран. Он вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. Именно поэтому этот стандарт очень часто называют "Общими критериями".
|
|
|
"Общие критерии" являются метастандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования.
Как и "Оранжевая книга", "Общие критерии" содержат два основных вида требований безопасности:
· функциональные – соответствуют активному аспекту защиты – предъявляемые к функциям безопасности и реализующим их механизмам;
· требования доверия – соответствуют пассивному аспекту – предъявляемые к технологии и процессу разработки и эксплуатации.
В отличие от "Оранжевой книги", "Общие критерии" не содержат предопределенных "классов безопасности". Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы.
Очень важно, что безопасность в "Общих критериях" рассматривается не статично, а в привязке к жизненному циклу объекта оценки.
Угрозы безопасности в стандарте характеризуются следующими параметрами:
· источник угрозы;
· метод воздействия;
· уязвимые места, которые могут быть использованы;
· ресурсы (активы), которые могут пострадать
Выводы по теме
· Основополагающими документами по информационной безопасности в РФ являются Конституция РФ и Концепция национальной безопасности.
· Законодательные меры в сфере информационной безопасности направлены на создание в стране законодательной базы, упорядочивающей и регламентирующей поведение субъектов и объектов информационных отношений, а также определяющей ответственность за нарушение установленных норм.
· Закон РФ "Об информации, информатизации и защите информации" от 20 февраля 1995 года № 24-ФЗ является одним из основных базовых законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.
|
|
|
· Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
· Система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носителей, а также мероприятий, проводимых в этих целях.
· Немаловажная роль в системе правового регулирования информационных отношении отводится ответственности субъектов за нарушения в сфере информационной безопасности. Основными документами в этом направлении являются:
o Уголовный кодекс Российской Федерации;
o Кодекс Российской Федерации об административных правонарушениях.
· Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) относится к оценочным стандартам.
· "Общие критерии" являются стандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования.
· "Общие критерии" содержат два основных вида требований безопасности:
o функциональные – соответствуют активному аспекту защиты – предъявляемые к функциям безопасности и реализующим их механизмам;
o требования доверия – соответствуют пассивному аспекту – предъявляемые к технологии и процессу разработки и эксплуатации.
· Угрозы безопасности в стандарте характеризуются следующими параметрами:
o источник угрозы;
o метод воздействия;
o уязвимые места, которые могут быть использованы;
o ресурсы (активы), которые могут пострадать.
· Для структуризации пространства требований в "Общих критериях" введена иерархия класс – семейство – компонент – элемент.
|
|
|
o Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности).
o Семейства в пределах класса различаются по строгости и другим тонкостям требований.
o Компонент – минимальный набор требований, фигурирующий как целое.
o Элемент – неделимое требование.
|
|
|
