Информационная безопасность, стандарты информационной безопасности
· разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем; а также сохранности информационных ресурсов, получения несанкционированного доступа к ним.
К мерам противодействия указанным угрозам необходимо отнести:
· постановку и проведение научных исследований, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;
· развитие отечественной индустрии в области создания и производства оборудования элементов телекоммуникационных систем;
· минимизацию числа иностранных фирм - поставщиков;
· координацию действий по проверке надежности указанных фирм;
· уменьшению номенклатуры поставляемого оборудования;
· переходу от поставок оборудования к поставкам комплектующих на элементарном уровне;
· установлению приоритета в использовании отечественных средств защиты этих систем.
Существует много видов угроз.
1.3. Методика реализации политики безопасности
Первоочередными мероприятиями по реализации государственной политики обеспечения информационной безопасности Российской Федерации являются:
· разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности Российской Федерации;
· разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;
· принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, повышение правовой культуры и компьютерной грамотности граждан, развитие инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения;
· развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации;
· гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения.
Также существует система обеспечения информационной безопасности Российской Федерации. Она предназначена для реализации государственной политики в данной сфере.
Основными функциями системы обеспечения информационной безопасности Российской Федерации являются:
· разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;
· создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;
· определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
· оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;
· координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;
· предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;
· развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;
· проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;
· организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;
· защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;
· обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;
· осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.
Компетенция федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.
Функции органов, координирующих деятельность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации.
Информационная безопасность Российской Федерации затрагивает все сферы общественной жизни.
1.4. Стандарты безопасности Гостехкомиссии. Стандарты Европы и США
РД Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.
Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".
РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации"
РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:
Первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;
Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
Четвертая группа характеризуется верифицированной защитой содержит только первый класс.
РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации"
РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
· наличие в АС информации различного уровня конфиденциальности;
· уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
· режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.
РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации"
При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:
· Управление доступом;
· Идентификация и аутентификация;
· Регистрация событий и оповещение;
· Контроль целостности;
· Восстановление работоспособности.
На основании показателей защищенности определяются следующие пять классов защищенности МЭ:
· Простейшие фильтрующие маршрутизаторы - 5 класс;
· Пакетные фильтры сетевого уровня - 4 класс;
· Простейшие МЭ прикладного уровня - 3 класс;
· МЭ базового уровня - 2 класс;
· Продвинутые МЭ - 1 класс.
МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.
Также к стандартам России в области информационной безопасности относятся:
· Гост 28147-89 - блочный шифр с 256-битным ключом;
· Гост Р 34.11-94 -функция хэширования;
· Гост Р 34.10-94 -алгоритм цифровой подписи.
Существует много защит информационной безопасности.
Европейские стандарты безопасности
ISO 15408: Common Criteria for Information Technology Security Evaluation
Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.
Общие критерии оценки безопасности информационных технологий (далее "Общие критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).
Хотя применимость "Общих критериев" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.
Первая часть "Общих критериев" содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.
Требования к функциональности средств защиты приводятся во второй части "Общих критериев" и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.
Третья часть "Общих критериев" содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:
· Наличие побочных каналов утечки информации;
· Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;
· Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;
· Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.
ISO 17799: Code of Practice for Information Security Management
Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.
ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.
Практические правила разбиты на следующие 10 разделов:
· Политика безопасности;
· Организация защиты;
· Классификация ресурсов и их контроль;
· Безопасность персонала;
· Физическая безопасность;
· Администрирование компьютерных систем и вычислительных сетей;
· Управление доступом;
· Разработка и сопровождение информационных систем;
· Планирование бесперебойной работы организации;
· Контроль выполнения требований политики безопасности.
В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира.
Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.
Ключевыми являются следующие средства контроля:
· Документ о политике информационной безопасности;
· Распределение обязанностей по обеспечению информационной безопасности;
· Обучение и подготовка персонала к поддержанию режима информационной безопасности;
· Уведомление о случаях нарушения защиты;
· Средства защиты от вирусов;
· Планирование бесперебойной работы организации;
· Контроль над копированием программного обеспечения, защищенного законом об авторском праве;
· Защита документации организации;
· Защита данных;
· Контроль соответствия политике безопасности.
Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.
Стандарты безопасности США
"Оранжевая книга "
"Department of Defense Trusted Computer System Evaluation Criteria"
OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное
название документа "Department of Defense Trusted Computer System Evaluation Criteria".
OK предназначается для следующих целей:
· Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;
· Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;
· Обеспечить базу для исследования требований к выбору защищенных систем.
Рассматривают два типа оценки:
· без учета среды, в которой работает техника;
· в конкретной среде (эта процедура называется аттестованием).
Во всех документах DOD, связанных с ОК, принято одно понимание фразы обеспечение безопасности информации. Это понимание принимается как аксиома и формулируется следующим образом: безопасность = контроль за доступом.
Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.
1. Класс (D): Минимальная защита
2. Класс (C1): Защита, основанная на разграничении доступа (DAC)
3. Класс (С2): Защита, основанная на управляемом контроле доступом
4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ
5. Класс (B2): Структурированная защита
6. Класс (ВЗ): Домены безопасности
7. Класс (A1): Верифицированный проект
FIPS 140-2 "Требования безопасности для криптографических модулей"
В федеральном стандарте США FIPS 140-2 "Требования безопасности для криптографических модулей" под криптографическим модулем понимается набор аппаратных и/или программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.
В стандарте FIPS 140-2 рассматриваются криптографические модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной. То есть речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. Наличие подобного модуля -- необходимое условие обеспечения защищенности сколько-нибудь развитой информационной системы; однако, чтобы выполнять предназначенную ему роль, сам модуль также нуждается в защите, как собственными средствами, так и средствами окружения (например, операционной системы).
Страницы: 1, 2, 3, 4
|