Аспекты информационной безопасности

Вид материалаДокументы

Содержание


1. Общие критерии (ГОСТ Р ИСО/МЭК 15408–2002)
Функциональные требования
2. Практические правила управления информационной безопасностью (ISO 17799)
Подобный материал:
Аспекты информационной безопасности

Введение


Проблема обеспечения безопасности информационных технологий занимает все более значительное место в реализации компьютерных систем и сетей по мере того, как возрастает их роль в информатизации общества. Обеспечение безопасности информаци­онных технологий представляет собой комплексную проблему, которая решается в на­правлениях совершенствования правового регулирования применения информационных технологий, совершенствования методов и средств их разработки, развития системы сер­тификации, обеспечения соответствующих организационно-технических условий экс­плуатации. Наиболее значимыми нормативными документами, определяющими критерии оценки защищенности и требования, предъявляемые к механизмам защиты, являются «Общие критерии оценки безопасности информационных технологий» (The Common Criteria for Information Technology Security Evaluation/ISO 15408) и «Практические правила управления информационной безопасностью» (Code of practice for Information security management/ISO 17799). Первый из упомянутых документов переведён на русский язык и принят в этом году в качестве Государственного стандарта ГОСТ Р ИСО/МЭК 15408–2002. Учитывая интеграцию РФ в мировое информационное пространство, данный доку­мент заменит руководящие документы (РД) Гостехкомиссии РФ: «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации», «Средства вычислительной техники. Защита от НСД к информации. Показатели защищённости от НСД к информации», — как устаревшие и не отвечающие мировым стандартам безопасности информационных технологий.

1. Общие критерии (ГОСТ Р ИСО/МЭК 15408–2002)


Наиболее полно критерии оценки механизмов безопасности программно-техниче­ского уровня представлены в ГОСТ Р ИСО/МЭК 15408–2002, принятом в 2002 году и вступающем в действие в 2004 году.

Общие критерии направлены на защиту информации от потери возможности её ис­пользования модификации или несанкционированного раскрытия. Категории защиты, от­носящиеся к этим трём типам нарушения безопасности, обычно называют доступностью, целостностью и конфиденциальностью соответственно. Общие критерии могут быть также применены к тем аспектам безопасности информационных технологий, которые выходят за пределы этих трёх понятий. В отличии от «Оранжевой книги» (и созданных на её основе РД Гостехкомиссии РФ), где подход к безопасности выполнен на основе уни­версальной шкалы классов безопасности, предлагается независимое ранжирование требо­ваний по каждой группе. Таким образом, вместо одной шкалы используется множество частных критериев, характеризующих обеспечиваемый уровень безопасности. Такой под­ход также называется сервисным подходом, т.е. для обеспечения безопасности использу­ются различные сервисы или их наборы.

В ОК определяют две категории требований безопасности:
  1. функциональные требования и
  2. требования доверия.

Функциональные требования налагаются на те функции объекта оценки, которые предназначены для поддержания безопасности ИТ и определяют желательный безопасный режим функционирования объекта оценки. Примерами функциональных требований яв­ляются требования к
  1. доступности,
  2. целостности,
  3. конфиденциальности,
  4. идентификации,
  5. аутентификации,
  6. авторизации,
  7. аудиту безопасности,
  8. неотказуемости источника.

Отметим, что первые три из вышеперечисленных пунктов ранее использовались как ос­новные требования к безопасности. Теперь к ним добавлены обязательные требования по аудиту и неотказуемости источника, а также конкретизированы первые три основные тре­бования.

Доверие к тому, что цели безопасности достигаются посредством выбранных функций безопасности, зависит от следующих факторов:
  1. уверенности в корректности реализации функций безопасности, т.е. оценки того, пра­вильно ли они реализованы;
  2. уверенности в эффективности функций безопасности, т.е. оценки того, действи­тельно ли они отвечают изложенным целям безопасности.

В стандарте содержатся требования к адекватности реализации функций безопас­ности — так называемые требования гарантированности оценки. С точки зрения оценки защищенности автоматизированных систем особый интерес представляет класс требова­ний по анализу уязвимостей средств и механизмов защиты (Vulnerability Assessment). Он определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:
  • наличия побочных каналов утечки информации;
  • ошибки в конфигурации, либо неправильном использовании системы, приводящем к ее переходу в небезопасное состояние;
  • недостаточной стойкости механизмов безопасности, реализующих соответствую­щие функции;
  • наличие уязвимостей в средствах защиты информации, позволяющих пользовате­лям получать доступ к информации в обход существующих механизмов защиты.

Соответствующие требования гарантированности оценки содержатся в следующих четы­рех семействах требований:
  • анализе каналов утечки информации (Covert Channel Analysis);
  • ошибке в конфигурации, либо неправильном использовании системы, приводящем к переходу системы в небезопасное состояние (Misuse);
  • стойкость функций безопасности, обеспечиваемая их реализацией (Strength of TOE Security Functions);
  • анализ уязвимостей (Vulnerability Analysis).

При проведении работ по аудиту безопасности, перечисленные семейства требований мо­гут использоваться в качестве руководства и критериев для анализа уязвимостей.

2. Практические правила управления информационной безопасностью (ISO 17799)


Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в еще одном международном стандарте ISO 17799, принятом в 2000 году. Данный стандарт, являющийся международной версией британского стандарта BS 7799, содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев оценки механизмов безопасности организаци­онного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на десять разделов.
    1. Политика безопасности.
    2. Организация защиты.
    3. Классификация ресурсов и их контроль.
    4. Безопасность персонала.
    5. Физическая безопасность.
    6. Администрирование компьютерных систем и сетей.
    7. Управление доступом.
    8. Разработка и сопровождение информационных систем.
    9. Планирование бесперебойной работы организации.
    10. Контроль выполнения требований политики безопасности.

Десять ключевых средств контроля (механизмов управления информационной безопасностью), предлагаемых в ISO 17799, считаются особенно важными. При использо­вании некоторых из средств контроля, например, шифрования, могут потребоваться со­веты специалистов по безопасности и оценка рисков. Для обеспечения защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасно­сти, в ряде случаев могут потребоваться более сильные средства контроля, которые выхо­дят за рамки ISO 17799.

Ключевые средства контроля представляют собой либо обязательные требования (например, требования действующего законодательства), либо считаются основными структурными элементами информационной безопасности (например, обучение правилам безопасности). Эти средства актуальны для всех организаций и составляют основу сис­темы управления информационной безопасностью. Они служат в качестве основы для ор­ганизаций, приступающих к реализации средств управления информационной безопасно­стью. К ключевым отнесены следующие средства контроля:
  • документ о политике информационной безопасности;
  • распределение обязанностей по обеспечению информационной безопасности;
  • обучение и подготовка персонала к поддержанию режима информационной безопас­ности;
  • уведомление о случаях нарушения защиты;
  • средства защиты от вирусов;
  • планирование бесперебойной работы организации;
  • контроль над копированием программного обеспечения, защищенного законом об ав­торском праве;
  • защита документации организации;
  • защита данных;
  • контроль соответствия политике безопасности.

Процедура аудита безопасности автоматизированных систем по стандарту ISO 17799 включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту также является анализ и управление рисками.

Заключение


Таким образом, для обеспечения безопасности информационной безопасности со­временных продуктов информационных технологий необходимо соответствие современ­ным международным стандартам безопасности.