Меню
Головна
 
Головна arrow Інформатика arrow Інформаційні системи і технології в економіці і управлінні
< Попередня   ЗМІСТ   Наступна >

Стандартизація підходів до забезпечення інформаційної безпеки

Фахівцям в області ІБ сьогодні практично неможливо обійтися без знань відповідних стандартів і специфікацій. На те є кілька вагомих причин. Формальна причина полягає в тому, що необхідність проходження деяким стандартам (наприклад, криптографічним і Керівним документам Федеральної служби з технічного та експортного контролю) закріплена законодавчо. Переконливі і змістовні причини. По-перше, стандарти і специфікації - одна з форм накопичення знань, насамперед про процедурному і програмно-технічному рівнях ІБ і ІВ. В них зафіксовані апробовані, високоякісні рішення і методології, розроблені найбільш кваліфікованими компаніями в області розробки ПЗ та безпеки програмних засобів. По-друге, і ті й інші є основним засобом забезпечення взаємної сумісності апаратно-програмних систем і їх компонентів, причому в інтернет-співтоваристві цей засіб працює досить ефективно.

На верхньому рівні можна виділити дві істотно відмінні одна від одної групи стандартів і специфікацій:

1) оціночні стандарти, призначені для оцінки і класифікації ІС і засобів захисту за вимогами безпеки;

2) специфікації, що регламентують різні аспекти реалізації і використання засобів і методів захисту.

Ці групи доповнюють один одного. Оціночні стандарти описують найважливіші з точки зору ІБ поняття і аспекти ІС, граючи роль організаційних та архітектурних специфікацій. Спеціалізовані стандарти і специфікації визначають, як саме будувати ІС запропонованої архітектури та виконувати організаційні вимоги.

З числа оціночних необхідно виділити стандарт Міністерства оборони США "Критерії оцінки надійних комп'ютерних систем" та його інтерпретацію для мережевих конфігурацій, "Гармонізовані критерії Європейських країн", міжнародний стандарт "Критерії оцінки безпеки інформаційних технологій" і, звичайно, Керівні документи Федеральної служби з технічного та експортного контролю. До цієї ж групи відноситься і Федеральний стандарт США "Вимоги безпеки для криптографічних модулів", який регламентує конкретне, але дуже важливий і складний аспект інформаційної безпеки.

Технічні специфікації, застосовні до сучасних розподілених ІС, створюються головним чином "Тематичною групою за технологією Інтернет" (Internet Engineering Task Force - IETF) та її підрозділом - робочою групою з безпеки. Ядром технічних специфікацій служать документи з безпеки на IP-рівні (IPsec). Крім цього, аналізується захист на транспортному рівні (Transport Layer Security - TLS), а також на рівні додатків (специфікації GSS-API, Kerberos). Інтернет-спільнота приділяє належну увагу адміністративному та процедурному рівнях безпеки, створивши серію посібників і рекомендацій: "Керівництво з інформаційної безпеки підприємства", "Як вибирати постачальника Інтернет-послуг", "Як реагувати на порушення інформаційної безпеки" та ін.

У питаннях мережевої безпеки неможливо обійтися без специфікацій Х. 800 "Архітектура безпеки для взаємодії відкритих систем", Х. 500 "Служба директорій: огляд концепцій, моделей і сервісів" і Х. 509 "Служба директорій: каркаси сертифікатів відкритих ключів та атрибутів".

Критерії оцінки механізмів безпеки програмно-технічного рівня представлені у міжнародному стандарті ISO 15408 - 1999 "Загальні критерії оцінки безпеки інформаційних технологій" ("The Common Criteria for Information Technology Security Evalua-tion"), прийнятому в 1999 р. "Загальні критерії" ("ОК") визначають функціональні вимоги безпеки (Security Functional Requirements) та вимоги до адекватності реалізації функцій безпеки (Security Assurance Requirements).

"Загальні критерії" містять два основних види вимог безпеки:

1) функціональні, відповідні активного аспекту захисту, що пред'являються до функцій (сервісів) безпеки і реалізує їх механізмів;

2) вимоги довіри, відповідні пасивного аспекту; вони пред'являються до технології та процесу розробки та експлуатації.

Вимоги безпеки формулюються, і їх виконання перевіряється для певного об'єкта оцінки - апаратно-програмного продукту або ІС. Безпека в "ОК" розглядається не статично, а відповідно з життєвим циклом об'єкта оцінки. Крім того, обстежуваний об'єкт постає не ізольовано, а в "середовищі безпеки", яка характеризується певними уразливими і погрозами. "Загальні критерії" доцільно використовувати для оцінки рівня захищеності з точки зору повноти реалізованих в ній функцій безпеки і надійності реалізації цих функцій. Хоча придатність "ОК" обмежується механізмами безпеки програмно-технічного рівня, у них міститься певний набір вимог до механізмів безпеки організаційного рівня і вимог щодо фізичного захисту, які безпосередньо пов'язані з описуваними функціями безпеки.

Британський стандарт BS 7799 "Управління інформаційною безпекою. Практичні правила" без скільки-небудь істотних змін відтворений у міжнародному стандарті ISO/IEC 17799-2005 "Практичні правила управління безпекою інформації" ("Code of practice for Information security management"). У цьому стандарті узагальнені правила та управління І Б, вони можуть бути використані в якості критеріїв оцінки механізмів безпеки організаційного рівня, включаючи адміністративні, процедурні та фізичні заходи захисту. Практичні правила розбиті на 10 розділів.

1. Політика безпеки.

2. Організація захисту.

3. Класифікація ресурсів та їх контроль.

4. Безпека персоналу.

5. Фізична безпека.

6. Адміністрування комп'ютерних систем та мереж.

7. Управління доступом.

8. Розробка і супровід інформаційних систем.

9. Планування безперебійної роботи організації.

10. Контроль виконання вимог політики безпеки.

В цих розділах міститься опис механізмів організаційного рівня, що реалізуються в даний час в державних і комерційних організаціях у багатьох країнах.

Ключові засоби контролю (механізми управління ІБ), пропоновані в ISO 17799-2005, вважаються особливо важливими. При використанні деяких засобів контролю, наприклад шифрування, можуть знадобитися поради фахівців з безпеки та оцінка ризиків. Для забезпечення захисту особливо цінних ресурсів або надання протидії особливо серйозним загрозам безпеки в ряді випадків можуть знадобитися більш сильні засоби контролю, які виходять за рамки ISO 17799-2005. Процедура аудиту безпеки ІС за стандартом ISO 17799 включає в себе перевірку наявності перелічених ключових засобів контролю, оцінку повноти та правильності їх реалізації, а також аналіз їх адекватності ризикам, існуючим у даній середовищі функціонування. Складовою частиною робіт з аудиту також є аналіз і управління ризиками.

У 2005 р. на основі версії ISO 17799-2000 був розроблений стандарт інформаційної безпеки ISO/IEC 27002-2005 "Інформаційні технології. Технології безпеки. Практичні правила менеджменту інформаційної безпеки" (Information technology. Security techniques. Code of practice for information security management). У стандарті описано кращі практики з управління інформаційною безпекою, яка визначається у стандарті як "збереження конфіденційності (впевненості в тому, що інформація доступна тільки тим, хто уповноважений мати такий доступ), цілісності (гарантії точності і повноти інформації, а також методів її обробки) і доступності (гарантії того, що уповноважені користувачі мають доступ до інформації і пов'язаних з нею ресурсів)".

Поточна версія стандарту зберегла структуру попередньої версії і дещо розширила її. Стандарт складається з наступних основних розділів.

1. Політика безпеки (Security policy).

2. Організація інформаційної безпеки (Organization of Information Security).

3. Управління ресурсами (Asset management).

4. Безпека персоналу (Human resources security).

5. Фізична безпека і безпека оточення (Physical and environmental security).

6. Управління комунікаціями та операціями (Communications and operations management).

7. Управління доступом (Access control).

8. Придбання, розробка та підтримка систем (Information systems acquisition, development and maintenance).

9. Управління інцидентами інформаційної безпеки (Information security incident management).

10. Управління безперебійною роботою організації (Business continuity management).

11. Відповідність нормативним вимогам (Compliance).

В даний час став доступним стандарт ISO/IEC 27005 - 2008 (BS 7799-3:2006) "Керівництво з менеджменту ризиків інформаційної безпеки".

У список російських стандартів у галузі інформаційної безпеки, основаних на відповідних міжнародних стандартах, входять:

o ГОСТ Р 50922-2006 "Захист інформації. Основні терміни та визначення";

o ГОСТ Р 51188-98 "Захист інформації. Випробування програмних засобів на наявність комп'ютерних вірусів. Типове керівництво";

o ГОСТ Р 51275-2006 "Захист інформації. Об'єкт інформатизації. Фактори, що впливають на інформацію. Загальні положення";

o ГОСТ Р ІСО/МЕК 15408-1-2008 "Інформаційна технологія. Методи та засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 1. Введення і загальна модель";

o ГОСТ Р ІСО/МЕК 15408-2-2008 "Інформаційна технологія. Методи та засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 2. Функціональні вимоги безпеки";

o ГОСТ Р ІСО/МЕК 15408-3-2008 "Інформаційна технологія. Методи та засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 3. Вимоги довіри до безпеки";

o ГОСТ Р 50.1.053-2008 "Інформаційні технології. Основні терміни і визначення в галузі технічного захисту інформації";

o ГОСТ Р ІСО/МЕК 15408-2008 "Інформаційна технологія. Методи та засоби забезпечення безпеки. Загальні критерії оцінки безпеки інформаційних технологій". У стандарті визначено інструменти та методика оцінки безпеки інформаційних продуктів і систем. Він містить перелік вимог, за якими можна порівнювати результати незалежних оцінок безпеки, завдяки чому споживач приймає рішення про безпеку продуктів. Сфера застосування цього стандарту - захист інформації від НСД, модифікації чи витоку та інші способи захисту, реалізовані апаратними та програмними засобами;

o ГОСТ Р ІСО/МЕК 17799-2005 "Інформаційні технології. Практичні правила управління безпекою інформації". Пряме застосування міжнародного стандарту з доповненням - ISO/IEC 17799:2005;

o ГОСТ Р ІСО/МЕК 27001-2006 "Інформаційні технології. Методи безпеки. Система управління безпекою інформації. Вимоги". Пряме застосування міжнародного стандарту - ISO/IFX 27001:2005;

o ГОСТ Р 51898-2002 "Аспекти безпеки. Правила включення в стандарти".

На нижньому рівні розроблені в різних країнах сотні галузевих стандартів, нормативних документів і специфікацій щодо забезпечення ІБ, які застосовуються національними компаніями при розробці програмних засобів, ІС та забезпечення якості і безпеки їх функціонування.

 
< Попередня   ЗМІСТ   Наступна >

Схожі тими

Стандартизація
Стандартизація у забезпеченні якості та конкурентоспроможності
Забезпечення інтегральної безпеки інформаційних систем
Комплексний підхід до реалізації завдань щодо забезпечення безпеки в соціальній сфері
Вимоги до архітектури інформаційної системи для забезпечення безпеки її функціонування
Пріоритетні цілі забезпечення комплексної безпеки міста
Умови забезпечення надійності та безпеки об'єктів будівництва
Забезпечення пожежної безпеки
Забезпечення системою охоронної безпеки
Інформаційне забезпечення менеджменту
 
Предмети
Банківська справа
БЖД
Бухоблік і аудит
Документознавство
Екологія
Економіка
Етика і естетика
Інвестування
Інформатика
Історія
Культурологія
Література
Логістика
Маркетинг
Медицина
Менеджмент
Політологія
Політекономія
Право
Психологія
Соціологія
Страхова справа
Товарознавство
Філософія
Фінанси