Международные стандарты
- BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
- BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
- BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
- ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
- ISO/IEC 27000 - Словарь и определения.
- ISO/IEC 27001:2005 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
- ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
- ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
- German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).
Государственные (национальные) стандарты РФ
- ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
- Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
- ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
- ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
- ГОСТ Р ИСО/МЭК 15408-1-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
- ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
- ГОСТ Р ИСО/МЭК 15408-3-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
- ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
- ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
- ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
- ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.
Руководящие документы
- РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации - содержит описание показателей защищенности информационных систем и требования к классам защищенности.
См. также
- Недекларированные возможности
Внешние ссылки
- Международные стандарты управления информационной безопасностью
Wikimedia Foundation . 2010 .
Под нормами защищенности подразумеваются обязательная для исполнения документация, в которой определяются подходы к проведению оценки уровня существующей безопасности. Кроме того, в данных документах устанавливаются определенные правила, установленные для сохранности систем в целом.
Стандарты информационной безопасности направлены на осуществление определенных функций, в частности:
- на выработку определенных терминологий и понятий, применяемых в области защищенности данных;
- формирование шкалы, необходимой для измерения уровня защищенности;
- проведение согласованной оценки продуктов;
- значительное повышение совместимости продуктов, которые применяются для защищенности;
- накопление сведений о лучших практиках установления устойчивого состояния;
- предоставление сведений о лучших практиках заинтересованным группам лиц, к примеру, производителям защищенности, экспертам в данной сфере, директорам, администраторам и любым прочим пользователям информационных систем;
- установление требований, направленных на обязательное исполнение отдельных стандартов, с приданием им юридической силы.
Международные стандарты безопасности
Международные стандарты устойчивости представляют собой совокупность практик и рекомендаций, направленных на внедрение систем, обеспечивающих защиту данных.
Один из международных образцов, BS 7799 направлен на формирование цели информационной защиты данных. Согласно данному сертификату, цель безопасности заключается в обеспечении бесперебойной работы компании, а также в способности предотвратить или свести к минимально возможному минимуму ущерб, полученный при нарушении установленных требований к устойчивости.
Еще один из основных международных образцов, ISO 27002, содержит в себе исчерпывающий перечень практических советов по информационной устойчивости. Данные советы подходят для тех сотрудников, которые в ходе осуществления своей трудовой деятельности отвечают за создание, реализацию и последующее обслуживание систем устойчивости таких технологий.
Международные стандарты информационной безопасности: ISO 27001
Под комплексом, представленным международными сертификатами, подразумевается совокупность определенных практик и рекомендаций, которые направлены на внедрение систем и оборудования средств технологической защиты.
Если принять во внимание определенные правила, установленные международным сертификатом ISO 27001 2013, защищенность рассматриваемых технологий должна быть представлена определенными признаками.
Данный ИСО позволяет провести разделение единой системы на четыре раздела. ИСО 27001 базирует на , который определяет основные требования, предъявляемые к менеджменту качества. Основываясь на нормах российской стандартизации, данные требования должны соблюдаться каждой организацией, которая желает продемонстрировать свою способность предоставлять продукцию, отвечающую запросам потребителей.
Наша компания поможет вам в . Стоимость такой услуги составляет 30000 рублей.
Международные стандарты безопасности: ИСО 17799
ISO 17799 был создан Международной организацией в 2000 году. В соответствии с его требованиями, при создании структуры устойчивости, которую принято считать эффективной, особое внимание необходимо уделять комплексному подходу, направленному на управление безопасности. Именно по этой причине в качестве элемента управления рассматриваются меры, направленные на обеспечение определенных требований, установленных для информации:
- ее конфиденциальность;
- достоверность информации;
- доступность;
- целостность предоставляемой информации.
Национальная система стандартов информационной безопасности
Национальная система стандартизации представлена совокупностью национальных сертификатов и общероссийских классификаторов. В данную структуру входят не только сами сертификаты, но и правила их разработки, последующего применения.
В Российской Федерации национальный сертификат может применяться на добровольной основе, вне зависимости от страны или места происхождения.
При этом существует правило, при котором подобная национальная система применяется только при наличии знака соответствия.
Российский ГОСТ Р ИСО 17799 определяет все образцы, направленные на обеспечение информационной защищенности, в качестве стандартов, направленных на сохранение конфиденциальности. Следовательно, к работе с такими технологиями могут допускаться только некоторые сотрудники, способными обеспечить целостность, доступность и защищенность информации.
ГОСТ Р ИСО 27001 - основной стандарт, содержащий в себе исчерпывающий перечень признаков, которыми должен обладать любой метод обеспечения защищенности каждой отдельно взятой информационной технологии.
Отечественные образцы ГОСТ ИСО МЭК 15408, составленные на основе международного ИСО в области соответствующих технологий, направлены на обеспечение сопоставимости результатов, полученных в результате проведения независимой оценки.
Удовлетворение представленных в этом ГОСТ ИСО РФ требований достигается путем установление единого перечня требований, которые могут быть предъявленные к определенным технологиям в данной сфере, а также к мерам доверия, используемым при оценке подобных технологий в ходе обеспечения их безопасности.
В Российской Федерации продукты в области технологий могут быть реализованы в нескольких видах:
- аппаратного обеспечения;
- программного обеспечения;
- программно-аппаратного обеспечения.
Результаты, полученные в процессе проведения оценки обеспечения в данной области соответствию российскому ИСО РФ, позволяют установить, удовлетворяют ли осматриваемые технологии установленным для них государственным требованиям по защищенности.
Как правило, российские сертификаты ГОСТ ИСО РФ используется:
- в качестве руководства по разработке продуктов технологий;
- в качестве руководства по состоянию технологической сохранности продуктов;
- в качестве оценки продуктов технологий при их приобретении.
Требования к знаниям и умениям
Студент должен иметь представление:
о роли Гостехкомиссии в обеспечении информационной безопасности в РФ;
о документах по оценке защищенности автоматизированных систем в РФ.
Студент должен знать:
основное содержание стандартов по оценке защищенности автоматизированных систем в РФ.
Студент должен уметь:
определять классы защищенных систем по совокупности мер защиты.
Ключевой термин
Ключевой термин: Стандарты информационной безопасности в РФ.
Стандарты информационной безопасности в РФ разрабатываются в рамках Гостехкомиссии РФ.
Второстепенные термины
Гостехкомиссия и ее роль в обеспечении информационной безопасности в РФ.
Документы по оценке защищенности автоматизированных систем в РФ.
Структурная схема терминов
1.7.1 Гостехкомиссия и ее роль в обеспечении информационной безопасности в РФ
В Российской Федерации информационная безопасность обеспечивается соблюдение указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов.
Наиболее общие документы были рассмотрены ранее при изучении правовых основ информационной безопасности. В РФ с точки зрения стандартизации положений в сфере информационной безопасности первостепенное значение имеют руководящие документы (РД) Гостехкомиссии России, одной из задач которой является «проведение единой государственной политики в области технической защиты информации».
Гостехкомиссия России ведет весьма активную нормотворческую деятельность, выпуская руководящие документы, играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на «Общие критерии».
За 10 лет своего существования Гостехкомиссия разработала и довела до уровня национальных стандартов десятки документов, среди которых:
Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (Утверждено Председателем Гостехкомиссии России 25.11.1994 г.);
Руководящий документ «Автоматизированные системы (АС). Защита от несанкционированного доступа (НСД) к информации. Классификация АС и требования к защите информации» (Гостехкомиссия России, 1997);
Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1992 г.);
Руководящий документ «Концепция защиты средств вычислительной техники от НСД к информации» (Гостехкомиссия России, 1992 г.);
Руководящий документ «Защита от НСД к информации. Термины и определения» (Гостехкомиссия России, 1992 г.);
Руководящий документ «Средства вычислительной техники (СВТ). Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997 г.);
Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.);
Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (Гостехкомиссия России, 2001г.).
1.7.2 Документы по оценке защищенности автоматизированных систем в РФ
Рассмотрим наиболее значимые из этих документов, определяющие критерии для оценки защищенности автоматизированных систем.
Устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Основой для разработки этого документа явилась «Оранжевая книга». Этот оценочный стандарт устанавливается семь классов защищенности СВТ от НСД к информации.
Самый низкий класс — седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:
Первая группа содержит только один седьмой класс, к которому относят все СВТ, неудовлетворяющие требованиям более высоких классов;
Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
Четвертая группа характеризуется верифицированной защитой и включает только первый класс.
устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.
К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
В документе определены девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.
В таблице 2 приведены классы защищенности АС и требования для их обеспечения.
Таблица 1. Требования к защищенности автоматизированных систем
Подсистемы и требования |
Классы |
||||||||
3Б |
3А |
2Б |
2А |
1Д |
1Г |
1В |
1Б |
1А |
|
1. Подсистема управления доступом1.1. Идентификация, проверка подлинности и контроль доступа субъектов:в систему; |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ; |
— |
— |
— |
+ |
— |
+ |
+ |
+ |
+ |
к программам; |
— |
— |
— |
+ |
— |
+ |
+ |
+ |
+ |
к томам, каталогам, файлам, записям, полям записей. |
— |
— |
— |
+ |
— |
+ |
+ |
+ |
+ |
1.2. Управление потоками информации |
— |
— |
— |
+ |
— |
— |
+ |
+ |
+ |
2. Подсистема регистрации и учета2.1. Регистрация и учет:входа/выхода субъектов доступа в/из системы (узла сети); |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
выдачи печатных (графических) выходных документов; |
— |
+ |
— |
+ |
— |
+ |
+ |
+ |
+ |
запуска/завершения программ и процессов (заданий, задач); |
— |
— |
— |
+ |
— |
+ |
+ |
+ |
+ |
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей; |
— |
— |
— |
+ |
— |
+ |
+ |
+ |
+ |
изменения полномочий субъектов доступа; |
— |
— |
— |
— |
— |
— |
+ |
+ |
+ |
создаваемых защищаемых объектов доступа. |
— |
— |
— |
+ |
— |
— |
+ |
+ |
+ |
2.2. Учет носителей информации. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. |
— |
+ |
— |
+ |
— |
+ |
+ |
+ |
+ |
2.4. Сигнализация попыток нарушения защиты. |
— |
— |
— |
— |
— |
— |
+ |
+ |
+ |
3. Криптографическая подсистема3.1. Шифрование конфиденциальной информации. |
— |
— |
— |
+ |
— |
— |
— |
+ |
+ |
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах. |
— |
— |
— |
— |
— |
— |
— |
— |
+ |
3.3. Использование аттестованных (сертифицированных) криптографических средств. |
— |
— |
— |
+ |
— |
— |
— |
+ |
+ |
4. Подсистема обеспечения целостности4.1. Обеспечение целостности программных средств и обрабатываемой информации. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
4.2. Физическая охрана средств вычислительной техники и носителей информации. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
4.3. Наличие администратора (службы защиты) информации в АС. |
— |
— |
— |
+ |
— |
— |
+ |
+ |
+ |
4.4. Периодическое тестирование СЗИ НСД . |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
4.5. Наличие средств восстановления СЗИ НСД. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
4.6. Использование сертифицированных средств защиты. |
— |
+ |
— |
+ |
— |
— |
+ |
+ |
+ |
«-» нет требований к данному классу;
«+» есть требования к данному классу;
По существу в таблице 2 систематизированы минимальные требования, которым необходимо следовать, чтобы обеспечить конфиденциальность информации .
Требования по обеспечению целостность представлены отдельной подсистемой (номер 4).
Руководящий документ «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» является основным документом для анализа системы защиты внешнего периметра корпоративной сети. Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ.
Всего выделяется пять показателей защищенности:
управление доступом;
контроль целостности;
На основании показателей защищенности определяются следующие пять классов защищенности МЭ:
простейшие фильтрующие маршрутизаторы – 5 класс ;
пакетные фильтры сетевого уровня – 4 класс ;
простейшие МЭ прикладного уровня – 3 класс ;
МЭ базового уровня – 2 класс ;
продвинутые МЭ – 1 класс .
МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию «Особой важности». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки «совершенно секретной» информации и т.п.
Согласно первому из них, устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса – 3Б и 3А.
Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б и 2А.
Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.
Выводы по теме
В Российской Федерации информационная безопасность обеспечивается соблюдением Указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов.
Стандартами в сфере информационной безопасности в РФ являются руководящие документы Гостехкомиссии России, одной из задач которой является «проведение единой государственной политики в области технической защиты информации».
При разработке национальных стандартов Гостехкомиссия России ориентируется на «Общие критерии».
Руководящий документ «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации» устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Этот оценочный стандарт устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты.
Руководящий документ «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
наличие в АС информации различного уровня конфиденциальности;
уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
режим обработки данных в АС – коллективный или индивидуальный.
Руководящий документ «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» является основным документом для анализа системы защиты внешнего периметра корпоративной сети. Данный документ определяет показатели защищенности межсетевых экранов. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:
управление доступом;
идентификация и аутентификация;
регистрация событий и оповещение;
контроль целостности;
восстановление работоспособности.
Контрольные вопросы:
Сколько классов защищенности СВТ от НСД к информации устанавливает РД «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации»?
-
Важность обеспечения информационной безопасности сложно переоценить, так как необходимость хранить и передавать данные является неотъемлемой частью ведения любого бизнеса.
Различные способы информационной защиты зависят от того, в какой форме осуществляется ее хранение, однако для того, чтобы систематизировать и упорядочить данную область, необходимо установление стандартов обеспечения информационной безопасности, поскольку стандартизация является важным определителем качества в оценке предоставляемых услуг.
Любое обеспечение информационной безопасности нуждается в контроле и проверке, которая не может быть произведена только лишь методом индивидуальной оценки, без учета международных и государственных стандартов.
Формирование стандартов информационной безопасности происходит после четкого определения ее функций и границ. Информационная безопасность – это обеспечение конфиденциальности, целостности и доступности данных.
Для определения состояния информационной безопасности наиболее применима качественная оценка, так как выразить степень защищенности или уязвимости в процентном соотношении возможно, но это не дает полной и объективной картины.
Для оценки и аудита безопасности информационных систем можно применить ряд инструкции и рекомендаций, которые и подразумевают под собой нормативное обеспечение.
Государственные и международные стандарты информационной безопасности
Контроль и оценка состояния безопасности осуществляется путем проверки их соответствия стандартам государственным (ГОСТ, ИСО) и международным (Iso, Common criteris for IT security).
Международный комплекс стандартов, разработанных Международной Организацией по Стандартизации (ISO), представляет собой совокупность практик и рекомендаций по внедрению систем и оборудования информационной защиты.
ISO 27000 – один из самых применимых и распространенных стандартов оценки, включающий в себя более 15 положений, и имеющих последовательную нумерацию.
Согласно критериям оценки стандартизации ISO 27000, безопасность информации – это не только ее целостность, конфиденциальность и доступность, а также аутентичность, надежность, отказоустойчивость и идентифицируемость. Условно эту серию стандартов можно разделить на 4 раздела:
- обзор и введение в терминологию, описание терминов, применяемых в сфере обеспечения безопасности;
- обязательные требования к системе управления информационной безопасностью, подробное описание методов и средств управления системой. Является основным стандартом этой группы;
- рекомендации для аудита, руководство по мерам обеспечения безопасности;
- стандарты, рекомендующие практики внедрения, развития и усовершенствования системы управления информационной безопасностью.
К государственным стандартам обеспечения информационной безопасности относится ряд нормативных актов и документов, состоящих из более чем 30 положений (ГОСТ).
Различные стандарты направлены не только на установление общих критериев оценки, как например ГОСТ Р ИСО/МЭК 15408, содержащий методологические указания по оценке безопасности, перечень требований к системе управления. Они могут быть и специфическими, а также содержать в себе практическое руководство.
Правильная организация склада и его регулярный контроль работы поможет исключить хищение товарных и материальных ценностей, что негативно сказывается на финансовом благополучии любого предприятия, независимо от формы его собственности.
К моменту запуска система автоматизации склада проходит ещё два этапа: внутреннее тестирование и наполнение данными. После такой подготовки система запускается в полном объёме. Более подробно об автоматизации читайте тут.
Взаимосвязь и совокупность методик приводят к разработке общих положений и к слиянию международной и государственной стандартизаций. Так, ГОСТы РФ содержат дополнения и ссылки на международные стандарты ISO.
Такое взаимодействие помогает выработать единую систему контроля и оценки, что, в свою очередь, значительно повышает эффективность применения данных положений на практике, объективно оценивать результаты работы и в целом улучшать .
Сравнение и анализ национальных и международных систем стандартизации
Количество европейских норм стандартизации по обеспечению и контролю информационной безопасности значительно превышает те правовые нормы, которые устанавливает РФ.
В национальных государственных стандартах преобладающими являются положения о защите информации от возможного взлома, утечки и угроз ее потери. Иностранные системы защиты специализируются на разработке стандартов доступа к данным и осуществления аутентификации.
Различия имеются так же и в положениях, относящихся к осуществлению контроля и аудита систем . Кроме того, практика применения и внедрения системы управления информационной безопасностью европейской стандартизации проявляется практически во всех сферах жизни, а стандарты РФ в основном направлены на сохранение материального благосостояния.
Тем не менее, постоянно обновляющиеся государственные стандарты содержат необходимый минимальный набор требований, позволяющий создать грамотную систему управления информационной безопасностью.
Стандарты информационной безопасности передачи данных
Ведение бизнеса предполагает как хранение, так и обмен, и передачу данных посредством сети Интернет. В современном мире совершение валютных операций, осуществление коммерческой деятельности и перевод средств зачастую происходит в сети, и обеспечить информационную безопасность данной деятельности возможно, только лишь применяя, грамотный и профессиональный подход.
В сети интернет существует множество стандартов, обеспечивающих безопасное хранение и передачу данных, широко известные антивирусные программы защиты, специальные протоколы финансовых операций и множество других.
Скорость развития информационных технологий и систем настолько велика, что значительно опережает создание протоколов и единых стандартов для их использования.
Одним из популярных протоколов безопасной передачи данных является SSL (Secure Socket Layer), разработанный американскими специалистами. Он позволяет обеспечивать защиту данных с помощью криптографии.
Преимуществом данного протокола является возможность проверки и аутентификации, например , непосредственно перед обменом данными. Однако использование подобных систем при передаче данных является скорее рекомендательным, так как применение этих стандартов не являются обязательными для предпринимателей.
Для открытия ООО необходим устав предприятия. Процедура, которая разрабатывается в соответствии с законодательством РФ. Написать его можно самому, в качестве пособия взять типовой образец, а можно обратиться к специалистам, которые его напишут.
Начинающему бизнесмену, планирующему развивать собственный бизнес в статусе индивидуального предпринимателя, необходимо при заполнении заявления указать код экономической деятельности в соответствии с ОКВЭД. Подробности тут.
Для осуществления безопасных трансакций и операций был разработан протокол передачи SET (Security Electronic Transaction), позволяющий минимизировать риски при проведении коммерческих и торговых операций. Данный протокол является стандартом для платежных систем Visa и Master Card, позволяя использовать защитный механизм платежной системы.
Комитеты, проводящие стандартизацию интернет ресурсов, являются добровольными, поэтому осуществляемая ими деятельность не является правовой и обязательной к применению.
Однако мошенничество в сети интернет в современном мире признано одной из глобальных проблем, следовательно, обеспечить информационную безопасность без применения специальных технологий и их стандартизации просто невозможно.
Предпосылки создания стандартов ИБ
Стандарт «Критерии оценки надежности компьютерных систем» (Оранжевая книга)
Гармонизированные критерии европейских стран
Германский стандарт BS 1
Британский стандарт BS 7799
Международный стандарт ISO 17799
Международный стандарт ISO 15408 «Общий критерий»
Стандарт COBIT
Стандарты по безопасности информационных технологий в России
3.1. Предпосылки создания стандартов иб
Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартах ИБ.
Одним из результатов проведения аудита в последнее время все чаще становится сертификат, удостоверяющий соответствие обследуемой ИС определенному признанному международному стандарту. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.
Использование стандартов способствует решению следующих пяти задач.
Во-первых, строго определяются цели обеспечения информационной безопасности компьютерных систем.Во-вторых , создается эффективная система управления информационной безопасностью.В-третьих , обеспечивается расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям.В-четвертых , создаются условия применения имеющегося инструментария (программных средств) обеспечения информационной безопасности и оценки ее текущего состояния.В-пятых , открывается возможность использования методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем.
Начиная с начала 80-х годов были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга. Ниже будут рассмотрены наиболее известные стандарты по хронологии их создания:
Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);
Гармонизированные критерии европейских стран;
Германский стандарт BSI;
Британский стандарт BS7799;
Стандарт ISO17799;
Стандарт «Общие критерии» ISO15408;
Стандарт COBIT
Эти стандарты можно разделить на два вида:
Оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;
Технические спецификации, регламентирующие различные аспекты реализации средств защиты.
Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры.
3.2. Стандарт «Критерии оценки надежности компьютерных систем» (Оранжевая книга)
Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем».
Данный труд, называемый чаще всего по цвету обложки «Оранжевой книгой», был впервые опубликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах , то есть системах, которым можно оказать определенную степень доверия.
«Оранжевая книга» поясняет понятие безопасной системы, которая «управляет, с помощью соответствующих средств, доступом к информа ции, так что только должным образом авторизованные лица или процес сы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию ».
Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.
В «Оранжевой книге» доверенная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа».
Следует отметить, что в рассматриваемых критериях и безопасность и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности информации. При этом вопросы доступности «Оранжевая книга» не затрагивает.
Степень доверия оценивается по двум основным критериям .
Политика безопасности – набор законов, правил и норм поведения, оп ределяющих, как организация обрабатывает, защищает и распростра няет информацию . В частности, правила определяют, вкаких случаях пользователь может оперировать конкретными наборами данных. Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности - это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.
Уровень гарантированности – мера доверия, которая может быть ока зана архитектуре и реализации ИС . Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки (формальной или нет) общего замысла и реализации системы в целом и отдельных ее компонентов. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты.
Основным средством обеспечения безопасности определяется механизм подотчетности (протоколирования). Доверенная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации. Концепция доверенной вычислительной базы является центральной при оценке степени доверия безопасности. Доверенная вычислительная база – это совокупность защитных механизмов ИС (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Качество вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит системный администратор.
Рассматриваемые компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС авторы стандарта рекомендуют рассматривать только ее вычислительную базу.
Основное назначение доверенной вычислительной базы – выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами (пользователями) определенных операций над объектами (пассивными сущностями). Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности с набором действий, допустимых для пользователя.
Монитор обращений должен обладать тремя качествами:
Изолированность. Необходимо предупредить возможность отслеживания работы монитора.
Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его.
Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.
Реализация монитора обращений называется ядром безопасности. Ядро безопасности – это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.
Границу доверенной вычислительной базы называют периметром безо пасности . Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными. С развитием распределенных систем понятию «периметр безопасности» все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, – нет.
Согласно «Оранжевой книге», политика безопасности должна обязательно включать в себя следующие элементы :
произвольное управление доступом;
безопасность повторного использования объектов;
метки безопасности;
принудительное управление доступом.
Произвольное управление доступом – это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.
Безопасность повторного использования объектов – важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.
Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности . Метка субъекта описывает его благонадежность, метка объекта – степень конфиденциальности содержащейся в нем информации.
Согласно «Оранжевой книге», метки безопасности состоят из двух частей – уровня секретности и списка категорий. Уровни секретности образуют упорядоченное множество, а списки категорий – неупорядоченное. Назначение последних – описать предметную область, к которой относятся данные.
Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта.
Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен – читать можно только то, что положено.
Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, «конфиденциальный» субъект может записывать данные в секретные файлы, но не может – в несекретные (разумеется, должны также выполняться ограничения на набор категорий).
Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). После того, как зафиксированы метки безопасности субъектов объектов, оказываются зафиксированными и права доступа.
Если понимать политику безопасности узко, то есть как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что делает. Средства подотчетности делятся на три категории:
идентификация и аутентификация;
предоставление доверенного пути;
анализ регистрационной информации.
Обычный способ идентификации – ввод имени пользователя при входе в систему. Стандартное средство проверки подлинности (аутентификации) пользователя - пароль.
Доверенный путь связывает пользователя непосредственно с доверенной вычислительной базой, минуя другие, потенциально опасные компоненты ИС. Цель предоставления доверенного пути – дать пользователю возможность убедиться в подлинности обслуживающей его системы.
Анализ регистрационной информации (аудит) имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы.
Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. «Оранжевая книга» предусматривает наличие средств выборочного протоколирования, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.
Переходя к пассивным аспектам защиты, укажем, что в «Оранжевой книге» рассматривается два вида гарантированности - операционная и технологическая.
Гарантированность – это мера уверенности с которой можно утверждать, что для проведения в жизнь сформулированной политики безопасности выбран подходящий набор средств, и что каждое из этих средств правильно исполняет отведенную ему роль.
Операционная гарантированность относится к архитектурным и реализационным аспектам системы, в то время как технологическая – к методам построения и сопровождения. Операционная гарантированность включает в себя проверку следующих элементов:
архитектура системы;
целостность системы;
проверка тайных каналов передачи информации;
доверенное администрирование;
доверенное восстановление после сбоев.
Операционная гарантированность – это способ убедиться в том, что архитектура системы и ее реализация действительно реализуют избранную политику безопасности.
Технологическая гарантированность охватывает весь жизненный цикл системы, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы исключить утечку информации и нелегальные «закладки».
Оформление документации является необходимым условием для подтверждения гарантии надежности системы и одновременно – инструмент проведения политики безопасности. Без документации люди не будут знать, какой политике следовать и что для этого нужно делать.
Согласно "Оранжевой книге", в комплект документации надежной системы должны входить следующие тома:
Руководство пользователя по средствам безопасности.
Руководство администратора по средствам безопасности.
Тестовая документация.
Описание архитектуры.
Разумеется, на практике требуется еще по крайней мере одна книга – письменное изложение политики безопасности данной организации.
Руководство пользователя по средствам безопасности предназначено для обычных, непривилегированных людей. Оно должно содержать сведения о механизмах безопасности и способах их использования. Руководство должно давать ответы по крайней мере на следующие вопросы:
Как входить в систему? Как вводить имя и пароль? Как менять пароль? Как часто это нужно делать? Как выбирать новый пароль?
Как защищать файлы и другую информацию? Как задавать права доступа к файлам? Из каких соображений это нужно делать?
Как импортировать и экспортировать информацию, не нарушая правил безопасности?
Как уживаться с системными ограничениями? Почему эти ограничения необходимы? Какой стиль работы сделает ограничения необременительными?
Руководство администратора по средствам безопасности предназначено и для системного администратора, и для администратора безопасности. В Руководстве освещаются вопросы начального конфигурирования системы, перечисляются текущие обязанности администратора, анализируется соотношения между безопасностью и эффективностью функционирования.
Каковы основные защитные механизмы?
Как администрировать средства идентификации и аутентификации? В частности, как заводить новых пользователей и удалять старых?
Как администрировать средства произвольного управления доступом? Как защищать системную информацию? Как обнаруживать слабые места?
Как администрировать средства протоколирования и аудита? Как выбирать регистрируемые события? Как анализировать результаты?
Как администрировать средства принудительного управления доступом? Какие уровни секретности и категории выбрать? Как назначать и менять метки безопасности?
Как генерировать новую, переконфигурированную надежную вычислительную базу?
Как безопасно запускать систему и восстанавливать ее после сбоев и отказов? Как организовать резервное копирование?
Как разделить обязанности системного администратора и оператора?
Тестовая документация содержит описания тестов и их результаты. По идее она проста, но зачастую весьма пространна. Кроме того (вернее, перед тем), тестовая документация должна содержать план тестирования и условия, налагаемые на тестовое окружение.
Описание архитектуры в данном контексте должно включать в себя по крайней мере сведения о внутреннем устройстве надежной вычислительной базы. Вообще говоря, это описание должно быть формальным, допускающим автоматическое сопоставление с политикой безопасности на предмет соответствия требованиям последней. Объем описания архитектуры может оказаться сопоставимым с объемом исходных текстов программной реализации системы.
Классы безопасности . В рассматриваемом стандарте определены подходы к ранжированию информационных систем по степени надежности. В "Оранжевой книге" рассматривается четыре уровня безопасности (надежности) - D , С , В и А .
Эти классы безопасности обозначают следующее:
D 1 – неудовлетворительная безопасность;
С1, С2 – произвольное управление доступом;
В1, В2, В3 – принудительное управление доступом;
А1 – верифицированная защита.
По мере перехода от уровня С к А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (С1 , С2 , В1 , В2 , ВЗ ) с постепенным возрастанием надежности. Таким образом, всего практически используются шесть классов безопасности – С1 , С2 , В1 , В2 , ВЗ , А1 . Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее политика безопасности и гарантированность должны удовлетворять приводимым ниже требованиям. Поскольку при переходе к каждому следующему классу требования только добавляются, то дополнительно вписываются только новые, что присуще данному классу, группируя требования в согласии с предшествующим изложением.
Каждый класс безопасности включает набор требований с учетом элементов политики безопасности и требований к гарантированности.
Так, для класса С1 требования предусматривают следующее:
– С учетом политики безопасности:
Надежная вычислительная база должна управлять доступом именованных пользователей к именованным объектам. Механизм управления (права для владельца/группы/прочих, списки управления доступом) должен позволять пользователям специфицировать разделение файлов между индивидами и/или группами;
Пользователи должны идентифицировать себя прежде чем выполнять какие-либо иные действия, контролируемые надежной вычислительной базой. Для аутентификации должен использоваться какой-либо защитный механизм, например пароли. Аутентификационная информация должна быть защищена от несанкционированного доступа;
– С учетом гарантированности:
Надежная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий (в частности, от изменения команд и/или данных) и от попыток слежения за ходом работы. Ресурсы, контролируемые базой, могут составлять определенное подмножество всех субъектов и объектов системы.
Должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов надежной вычислительной базы.
Защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации. Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защиты надежной вычислительной базы.
Отдельный фрагмент документации (глава, том) должен описывать защитные механизмы, предоставляемые надежной вычислительной базой, и их взаимодействие между собой, содержать рекомендации по их использованию.
Руководство должно содержать сведения о функциях и привилегиях, которыми управляет системный администратор посредством механизмов безопасности.
Разработчик системы должен представить экспертному совету документ, содержащий план тестов, процедуры прогона тестов и результаты тестов.
Должны быть описаны подход к безопасности, используемый производителем, и применение этого подхода при реализации надежной вычислительной базы. Если база состоит из нескольких модулей, должен быть описан интерфейс между ними.
Аналогично документируются требования к каждому классу, который определяет набор конкретных оценок надежности компьютерных систем.
Однако следует отметить, что описанный подход был ориентирован на оценку отдельных программно-технических комплексов, поэтому в 1987 году Национальным центром компьютерной безопасности США была дополнительно опубликована интерпретация «Оранжевой книги» для сетевых конфигураций.