Информационная компьютерная безопасность

Размещено на http://www.allbest.ru/

Введение

Проблемой информационной компьютерной безопасности начали заниматься с того самого момента, когда компьютер стал обрабатывать данные, ценность которых высока для пользователя. В последние годы в связи с ростом спроса на электронные услуги и развитием компьютерных систем и сетей ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей IT-средств.

Стандартизация в области информационных технологий направлена на повышение степени соответствия своему функциональному назначению видов информационных технологий, составляющих их компонент и процессов. При этом устраняются технические барьеры в международном информационном обмене.

Стандарты обеспечивают возможность разработчикам информационных технологий использовать данные, программные, коммуникационные средства других разработчиков, осуществлять экспорт/импорт данных, интеграцию разных компонентов информационных технологий.

К примеру, для регламентации взаимодействия между различными программами предназначены стандарты межпрограммного интерфейса (один из них - стандарт технологии OLE (Object Linking and Embedding -- связывание и встраивание объектов). Без таких стандартов программные продукты были бы «закрытыми» друг для друга.

Требования пользователей по стандартизации в сфере информационных технологий реализуются в стандартах на пользовательский интерфейс, например, в стандарте GUI (Graphical User Interface).

Стандарты занимают все более значительное место в направлении развития индустрии информационных технологий. Более 1000 стандартов или уже приняты организациями по стандартизации, или находятся в процессе разработки. Процесс стандартизации информационных технологий еще не закончен.

Так что же такое стандарт? Стандарт - это документ, устанавливающий требования, спецификации, руководящие принципы или характеристики, в соответствии с которыми могут использоваться материалы, продукты, процессы и услуги, которые подходят для этих целей. ИСО опубликовала более19000 международных стандартов, которые могут быть получены от ИСО или ее членов.

Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикетированию, правила и методы исследований (испытаний) и измерений, правила отбора образцов.

Стандарты информационной безопасности - это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.

1. Функции стандартов ИБ АС

Стандарты в области информационной безопасности выполняют следующие важнейшие функции:

- выработка понятийного аппарата и терминологии в области информационной безопасности

- формирование шкалы измерений уровня информационной безопасности

- согласованная оценка продуктов, обеспечивающих информационную безопасность

- повышение технической и информационной совместимости продуктов, обеспечивающих ИБ

- накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории - производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем

- функция нормотворчества - придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.

Благодаря стандартам информационной безопасности:

1. Производители и эксперты:

· Обоснованно определяют наборы требований к информационным продуктам и декларируют их возможности.

· Подтверждают ценность продуктов путём сертификации на соответствие стандартам ИБ.

· Получают ценную техническую и иную информацию.

2. Потребители:

· Обоснованно выбирают информационные продукты.

· Более чётко формулируют требования к ним.

· Имеют возможность построить гарантированно качественную систему ИБ

Основными областями стандартизации информационной безопасности являются:

· аудит информационной безопасности

· модели информационной безопасности

· методы и механизмы обеспечения информационной безопасности

· криптография

· безопасность межсетевых взаимодействий

· управление информационной безопасностью.

Стандарты информационной безопасности имеют несколько классификаций (см. Рис.1).

Рис.1

2. Роль стандартов в обеспечении ИБ АС

Главная задача стандартов информационной безопасности - создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности. Потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности. Потребители также нуждаются в инструменте, с помощью которого они могли бы формулировать свои требования производителям. При этом потребителей интересуют исключительно характеристики и свойства конечного продукта, а не методы и средства их достижения. К сожалению, многие потребители не понимают, что требования безопасности обязательно противоречат функциональным требованиям (удобству работы, быстродействию и т.д.), накладывают ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных и поэтому незащищенных прикладных программных средств. Производители нуждаются в стандартах как средстве сравнения возможностей своих продуктов и в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора. С точки зрения производителя, требования должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т.д. Кроме того, требования не должны противоречить существующим парадигмам обработки информации, архитектуре вычислительных систем и технологиям создания информационных продуктов. Этот подход также нельзя принять в качестве доминирующего, так как он не учитывает нужд пользователей и пытается подогнать требования защиты под существующие системы и технологии.

Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор. Эксперты по квалификации находятся в двойственном положении: с одной стороны, они, как и производители, заинтересованы в четких и простых критериях, над которыми не надо ломать голову, как их применить к конкретному продукту, а с другой - они должны дать обоснованный ответ пользователям, удовлетворяет продукт их нужды или нет. Таким образом, перед стандартами информационной безопасности стоит непростая задача - примирить три разные точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем ущемление потребностей хотя бы одной из них приведет к невозможности взаимопонимания и взаимодействия и, следовательно, не позволит решить общую задачу - создание защищенной системы обработки информации.

Необходимость в таких стандартах была осознана достаточно давно, и в этом направлении достигнут существенный прогресс, закрепленный в документах разработки 1990-х годов. Первым и наиболее известным документом была Оранжевая книга (по цвету обложки) «Критерии безопасности компьютерных систем» Министерства обороны США. В этом документе определены четыре уровня безопасности - D, С, В и А. По мере перехода от уровня D до А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (C1, C2, В1, В2, ВЗ). Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее защита должна удовлетворять оговоренным требованиям.

К другим важным стандартам информационной безопасности этого поколения относятся руководящие документы Гостехкомиссии России, Европейские критерии безопасности информационных технологий, Федеральные критерии безопасности информационных технологий США, Канадские критерии безопасности компьютерных систем.

В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасностью компании. Это, прежде всего международные стандарты управления информационной безопасностью ISO 15408, ISO 17799 и некоторые другие. Представляется целесообразным проанализировать наиболее важные из этих документов, сопоставить содержащиеся в них требования и критерии, а также оценить эффективность их практического применения.

3. Правовые и нормативные ресурсы в обеспечении ИБ АС

Базовым объектом отрасли является информация. В понятие информации ученые разных научных подходов вкладывают различные значения. Постулируется, что информация представляет собой результат отражения движения объектов материального мира в системах живой природы. То есть понятие информации появляется только в жизнедеятельности живых организмов, не являясь абстрактным атрибутом материи.

Информация представляется в виде сведений об окружающем мире и протекающих в нем процессах, воспринимаемые человеком или специальным устройством, либо сообщений, осведомляющих о положении дел.

Сообщение представляет собой набор знаков, с помощью которого сведения могут быть переданы другому организму и восприняты им. Соответственно информация в виде сообщений субъективна, изменяема как в процессе передачи от организма к организму, так и в процессе восприятия и осознания получателем. Кроме этого, сообщения обладают свойством материальности (не хранятся без носителя) и, как следствие, свойствами копируемости и уничтожаемости.

Из всех форм представления информации наиболее выделяют «Данные». Под последним понимают представление информации в некотором формализованном виде, пригодном для передачи, интерпретации или обработки. Данные могут обрабатываться людьми или автоматическими средствами.

Основными свойствами информации являются:

1. Свойство физической неотчуждаемости информации. Оно основано на том, что знания не отчуждаемы от человека, их носителя. Исходя из этого, при передаче информации от одного лица к другому и юридического закрепления этого факта процедура отчуждения информации должна заменяться передачей прав на ее использование и передаваться вместе с этими правами.

2. Свойство, обособляемое информации. Для включения в оборот информация всегда овеществляется в виде символов, знаков, волн, вследствие этого обособляется от ее производителя (создателя) и существует отдельно и независимо от него. Это подтверждает факт оборотоспособности информации как самостоятельного отдельного объекта правоотношений, в результате чего появляется возможность передачи информации в такой форме от одного субъекта к другому.

3. Свойство информационной вещи (информационного объекта). Это свойство возникает в силу того, что информация передается и распространяется только на материальном носителе или с помощью материального носителя и проявляется как "двуединство" информации (ее содержания) и носителя, на котором эта информация (содержание) закреплено. Это свойство позволяет распространить на информационную вещь (объект) совместное и взаимосвязанное действие двух институтов института авторского права и института вещной собственности.

4. Свойство тиражируемое (распространяемости) информации. Информация может тиражироваться и распространяться в неограниченном количестве экземпляров без изменения ее содержания. Одна и та же информация (содержание) может принадлежать одновременно неограниченному кругу лиц (неограниченный круг лиц может знать содержание этой информации). Отсюда следует, что юридически необходимо закреплять объем прав по использованию информации (ее содержания) лицами, обладающими такой информацией (обладающими знаниями о содержании информации).

5. Свойство организационной формы. Информация, находящаяся в обороте, как правило, представляется в документированном виде, т.е. в форме документа. Это могут быть подлинник (оригинал) документа, его копия, массив документов на бумажном или электронном носителе (банк данных или база данных) тоже в виде оригинала или копии, библиотека, фонд документов, архив и т.п. Такое свойство дает возможность юридически закреплять факт "принадлежности" документа конкретному лицу, например, закрепив его соответствующей подписью в традиционном или в электронном виде (с помощью ЭЦП). Это свойство позволяет также относить к информационным вещам (информационным объектам) как отдельные документы, так и сложные организационные информационные структуры.

6. Свойство экземплярности информации. Это свойство заключается в том, что информация распространяется, как правило, не сама по себе, а на материальном носителе, вследствие чего возможен учет экземпляров информации через учет носителей, содержащих информацию. Понятие экземплярности дает возможность учитывать документированную информацию и тем самым связывать содержательную сторону информации с ее "вещным" обрамлением, т.е. с отображением на носителе, вводить понятие учитываемой копии документа, а отсюда и механизма регистрации информации, в особенности учитывать обращение оригиналов (подлинников) документов. Экземплярность информации уже сегодня активно реализуется при обращении информации ограниченного доступа.

Указанные юридические особенности и свойства должны учитываться при правовом регулировании информационных отношений.

Правовые основы защиты информации.

Характеристика деятельности по защите информации.

Определение понятия «защита информации» дается в Ст. 16 ФЗ «Об информации, информационных технологиях и защите информации»:

«Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации».

Анализ Ст. 16 указанного Закона показывает, что

· деятельность по защите информации применима ко всем категориям информации, описанной в Ст. 5 Закона. Для различных категорий информации содержание защиты (выбираемые способы защиты информации) будет различаться;

· выбираемые способы защиты информации применимы ко всем описанным ранее объектам информационного права;

· государственное регулирование отношений в сфере защиты информации осуществляется в двух формах: установление требований о защите информации и установление ответственности за нарушение информационного законодательства;

· основным субъектом информационного права, на которого возложена обязанность защиты информации, является обладатель информации;

· для защиты государственных информационных ресурсов и технологий федеральные органы исполнительной власти устанавливают обязательные для исполнения требования на обеспечение информационной безопасности этих ресурсов и технологий;

· федеральное законодательство может ограничивать использование в РФ определенных средств защиты информации и осуществление отдельных видов деятельности по защите информации для всех субъектов информационного права. Ограничения могут выражаться в форме прямых запретов или государственного контроля (например, лицензирование деятельности).

Защита информации правовыми методами, включает в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств

Физическая защита информации - защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

К объектам физической защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

Криптографическая защита информации - защита данных (информации) при помощи криптографического преобразования данных, т.е. при помощи шифрования и (или) выработки имитовставки.

Организационные меры обеспечения информационной безопасности - меры обеспечения информационной безопасности, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.

Категории защищаемой информации.

По критерию ограничения доступа к информации, согласно положениям N 149ФЗ "Об информации, информационных технологиях и о защите информации", информацию можно разделить на:

1) общедоступную информацию;

2) конфиденциальную информацию;

3) информацию, относимую к гостайне.

Конфиденциальная информация -- это информация, не относимая к гостайне, доступ к которой ограничен федеральными законами. Среди конфиденциальной информации выделяют:

1) информацию, относимую к коммерческой тайне;

2) служебную информацию ограниченного распространения (для служебного пользования);

3) информацию, относимую к профессиональной тайне;

4) информацию, содержащую персональные данные.

Каждая из перечисленных категорий информации определяется и защищается правовыми нормами, источники которых можно рассматривать отдельно.

К деятельности по обеспечению информационной безопасности относят также защиту интеллектуальной собственности.

С вопросами обеспечения информационной безопасности тесно увязаны вопросы правового регулирования информационных технологий, которые можно разделить по сферам деятельности:

1) обеспечение связи и коммуникаций;

2) использования криптографических средств, в т.ч. шифрования и ЭЦП;

3) лицензирование, сертификация и аттестация объектов и средств защиты информации.

Кроме этого, к деятельности по защите информации относят механизмы применения мер ответственности за нарушение законодательства РФ об информации, информационных технологиях и о защите информации. Эта деятельность регулируется на государственном уровне.

Таким образом, при обзоре нормативно-правовых актов РФ предлагается отдельно рассматривать направления, регламентирующие деятельность в сфере обработки и защиты:

1) общедоступной информации;

2) информации, относимой к коммерческой тайне;

3) служебной информации ограниченного распространения;

4) информации, относимой к профессиональной тайне;

5) информации, содержащей персональные данные;

6) информации, относимой к гостайне;

7) объектов интеллектуальной собственности;

8) информации с использованием объектов связи и коммуникаций;

9) информации с использованием криптографических средств;

10) информации и объектов информатизации при необходимости лицензирования, сертификации и аттестации объектов и средств защиты информации;

11) в случаях нарушения законодательства РФ об информации, информационных технологиях и о защите информации.

Перечень нормативно-правовых документов.

1. "Конституция РФ" (Принята всенародным голосованием 12.12.1993).

2. Федеральный закон от 27.07.2006 N 149ФЗ "Об информации, информационных технологиях и о защите информации".

Перечень международных декларативных документов.

3."Всеобщая декларация прав человека" (Принята 10.12.1948 Генеральной Ассамблеей ООН).

4. Резолюция N 428 (1970) Консультативной ассамблеи Совета Европы "Относительно Декларации о средствах массовой информации и правах человека" (Принята 23.01.1970 на 21ой сессии Консультативной ассамблеи Совета Европы).

5. "Декларация об основных принципах, касающихся вклада средств массовой информации в укрепление мира и Международного взаимопонимания, в развитие прав человека и борьбу против расизма и апартеида и подстрекательства к войне" (Принята ЮНЕСКО 28.11.1978).

6. "Международный кодекс рекламной практики" (Принят на 47ой сессии Исполнительного совета Международной торговой палаты, 02.12.1986).

7. "Концепция межгосударственной подсистемы информационного обмена между Пограничными войсками государств участников СНГ" (Утв. Решение Совета глав СНГ от 18.10.1996).

8. "Декларация о праве и обязанности отдельных лиц, групп и органов общества поощрять и защищать общепризнанные права человека и основные свободы" (Принята в г. Нью-Йорке 09.12.1998 Резолюцией 53/144 на 85ом пленарном заседании 53ей сессии Генеральной Ассамблеи ООН).

9. "Декларация о европейской политике в области новых информационных технологий" (Принята в г. Будапеште 06.05.199907.05.1999 на 104ой сессии Комитета министров СЕ).

10."Концепция межгосударственной подсистемы информационного обмена между органами внутренних дел государств участников СНГ" (Утв. Решение Совета глав СНГ от 04.06.1999).

11."Концепция информационной безопасности государств участников СНГ в военной сфере" (Утв. Решением Совета глав СНГ от 04.06.1999).

12.Окинавская хартия глобального информационного общества. 22.07.2000.

13."Элементы для создания глобальной культуры кибербезопасности" (Утверждены резолюцией 57/239 Генеральной Ассамблеи ООН от 20.12.2002).

14.Декларация о свободе обмена информацией в Интернете (принята на 840 заседании Комитета министров СЕ 28.05.2003).

15. Хартия о сохранении цифрового наследия (Принята на 32й Генеральной конференции ЮНЕСКО, Париж, Франция, октябрь 2003).

16. "Декларация принципов: Построение информационного общества глобальная задача в новом тысячелетии" (Всемирная встреча на высшем уровне по вопросам информационного общества WSIS03/GENEVA/DOC/4R. Женева, 12.12.2003).

17. "План действий" (Всемирная встреча на высшем уровне по вопросам информационного общества WSIS03/GENEVA/DOC/5R. Женева, 12.12.2003).

18. "Концепция Единого реестра правовых актов и других документов СНГ" (вместе с Положением о Едином реестре правовых актов и других документов СНГ) (Утв. Решение Совета глав СНГ от 15.09.2004).

19. "Декларация Комитета министров о правах человека и верховенстве права в Информационном Обществе" (принята Комитетом министров СЕ 13.05.2005).

20. "Тунисская программа для информационного общества" (Всемирная встреча на высшем уровне по вопросам информационного общества. WSIS05/TUNIS/DOC/6(Rev.1)R. Тунис, 15.11.2005).

21."Тунисское обязательство" (Всемирная встреча на высшем уровне по вопросам информационного общества WSIS05/TUNIS/DOC/7R. Тунис, 18.11.2005).

22."Концепция формирования национальных баз данных и организации межгосударственного обмена информацией по предупреждению и пресечению правонарушений в области интеллектуальной собственности" (утв. Решением Совета глав государств СНГ от 25.05.2006 № ЕРПА СНГ 3/20648).

23."Глобальная программа кибербезопасности (ГПК) МСЭ" (Международный союз электросвязи. Женева, апрель 2008).

24."Сеульская декларация по будущему интернет экономики" (принята по итогам Министерской встречи ОЭСР 18 июня 2008 г., Сеул, Корея).

25."Концепция сотрудничества государств участников СНГ в сфере обеспечения информационной безопасности" (вместе с Комплексным планом мероприятий по реализации Концепции сотрудничества государств участников СНГ в сфере обеспечения информационной безопасности на период с 2008 по 2010 год) (утв. Решением Совета глав государств СНГ от 10.10.2008).

4. Стандарты, ориентированные на процессы (ISO/IEC 27001)

ISO/IEC 27001 -- международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC).

В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Стандарт ISO/IEC 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность - обеспечение точности и полноты информации, а также методов ее обработки;

Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Основа стандарта ISO/IEC 27001 -- система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:

· на каком направлении информационной безопасности требуется сосредоточить внимание;

· сколько времени и средств можно потратить на данное техническое решение для защиты информации.

Стандарт ISO/IEC 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

Система управления информационной безопасностью на основе стандарта ISO/IEC 27001 позволяет:

1. Сделать большинство информационных активов наиболее понятными для менеджмента компании

· Выявлять основные угрозы безопасности для существующих бизнес-процессов

· Рассчитывать риски и принимать решения на основе бизнес целей компании

· Обеспечить эффективное управление системой в критичных ситуациях

· Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)

· Четко определить личную ответственность

· Достигнуть снижения и оптимизации стоимости поддержки системы безопасности

· Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000

· Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности

· Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках

· Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарта.

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций - малых, средних и больших - коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Стандарт ISO/IEC 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001), то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем.

Внедрение и сертификация по ISO/IEC 27001 на базе внедренной системы менеджмента качества по ISO 9001 предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации.

По стандарту ISO/IEC 27001:2005 проводится официальная сертификация системы управления информационной безопасностью. Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.

По данным ИСО («The ISO Survey of Certifications - 2012») на конец 2012 г. в 103 странах мира осуществляли деятельность 19 577 компаний, сертифицировавшие свою систему управления информационной безопасностью на соответствие требованиям ISO/IEC 27001.

В 2013 году Международной организацией по сертификации была разработана и принята новая версия стандарта ISO/IEC 27001:2013. Изменения коснулись как структуры стандарта, так и требований.

5. Стандарт, ориентированный на продукты (ISO/IEC 15408)

В 1990 году в Международной организацией стандарты (ISO) была начата работа по созданию международных критериев оценки безопасности компьютерных систем. Результатом явился стандарт "Общие критерии безопасности информационных технологий", который на данный момент признается одним из наиболее функциональных стандартов в сфере информационной безопасности. Его разработка велась совместными усилиями США, Канады, Франции, Германии, Нидерландов и Великобритании. Впоследствии к проекту присоединился ряд других стран. Версия 2.1 ОК в 1999 году была утверждена в качестве международного стандарта ISO/IEC 15408.

ОК разработаны таким образом, чтобы удовлетворить потребности трех групп специалистов: разработчиков, экспертов по сертификации и пользователей продуктов информационных технологий (IT-продуктов). Под IT-продуктом понимается программный (или аппаратно-программный) продукт или информационная система. В процессе оценки IT-продукт именуется объектом оценки. К таким объектам относятся, например, операционные системы, вычислительные сети, распределенные системы, прикладные программы.

Стандарт ISO 15408 состоит из трех частей:

· Часть 1. Введение и общая модель.

· Часть 2. Функциональные требования безопасности.

· Часть 3. Гарантийные требования безопасности (вариант перевода - "требования гарантированности").

Как видно из приведенного перечня, "Общие критерии" предусматривают наличие двух типов требований безопасности - функциональных и гарантированности. Функциональные требования относятся к сервисам безопасности, таким как идентификация, аутентификация, управление доступом, аудит и т.д. Требования гарантированности относятся к технологии разработки, тестированию, анализу уязвимостей, поставке, сопровождению, эксплуатационной документации и т.д.

Описание обоих типов требований выполнено в едином стиле: они организованы в иерархию "класс - семейство - компонент - элемент". Термин "класс" используется для наиболее общей группировки требований безопасности, а элемент - самый нижний, неделимый уровень требований безопасности.

Между компонентами могут существовать зависимости. Они возникают, когда компонент недостаточен для выполнения цели безопасности и необходимо наличие другого компонента.

Промежуточная комбинация компонентов названа пакетом. Пакет включает набор требований, которые обеспечивают выполнение многократно используемого поднабора целей безопасности.

Основные структуры "Общих критериев" - это Профиль защиты и Проект защиты. По определению стандарта ISO/IEC 15408 Профиль Защиты есть независимое от реализации множество требований безопасности для некоторой категории объектов оценки, которые отвечают определенным нуждам потребителей. Профиль состоит из компонентов или пакетов функциональных требований и одного из уровней гарантированности. Структура профиля защиты представлена на рис.2.

Рис.2. Структура профиля защиты



Рис.3. Структура Проекта защиты.

Как отмечается в литературе, Профиль защиты "Общих критериев", по сути, является аналогом классов "Оранжевой книги" и классов защищенности РД ГТК РФ, но базируется на значительно более полной и систематизированной совокупности компонентов требований безопасности. Количество стандартизованных профилей общих критериев потенциально не ограничено.

Профиль защиты служит основой для создания Проекта защиты, который является техническим проектом для разработки объекта оценки. Структура Проекта защиты представлена на рис.3. В отличие от Профиля, Проект защиты описывает также уровень функциональных возможностей средств и механизмов защиты, реализованных в объекте оценки, и приводит обоснование степени их адекватности.

Для того, чтобы профиль безопасности мог быть эффективно разработан и применен, в процессе его разработки производится выявление всех угроз безопасности осуществимых в отношении IT-продуктов, для которых разрабатывается профиль. В процессе исследования строятся модели угроз.

Модель угрозы - это формальное, полу формальное или неформальное описание:

· жизненного цикла угрозы;

· направленности угрозы;

· источника угрозы;

· системы IT, подверженной угрозе;

· IT и не-IT среды изделия IT;

· активов, требующих защиты;

· методов, способов и алгоритмов реализации угрозы;

· нежелательных событий;

· анализа рисков и ряда других аспектов.

У процесса описания модели угроз много общего с проведением анализа рисков. Так при описании модели угроз, источником которых является преднамеренная деятельность человека, оценивается тип источника по уровню практических навыков реализации угрозы (шкала - "низкий", "средний", "высокий", "неопределенный"), и шансы реализации угрозы (шкала - "маловероятно", "вероятно", "большая вероятность", "не определено"). Также оценивается вероятность компрометации активов в виде pc(y,z), где y - идентифицированный метод нападения, z - идентифицированный актив.

В рассмотрение вводится понятие "потенциал нападения". Под этим термином понимается прогнозируемый потенциал для успешного, в случае реализации, нападения, выраженный в показателях компетентности, ресурсов и мотивации нарушителя. Существует три уровня потенциала нападения: низкий, умеренный и высокий.

Стандарт определяет функцию безопасности, как часть или части ОО, на которые возлагается реализация тесно связанного подмножества правил из политики безопасности. Функции безопасности характеризуются стойкостью. Стойкость функции безопасности ОО - это ее характеристика, выражающая минимально необходимое воздействие на ее механизмы безопасности, в результате которого нарушается политика безопасности. Выделяется базовая, средняя и высокая стойкость.

Базовая стойкость означает, что функция обеспечивает адекватную защиту от случайного нарушения безопасности ОО нарушителем с низким потенциалом нападения.

Средняя стойкость - функция обеспечивает защиту от целенаправленного нарушения безопасности ОО нарушителем с умеренным потенциалом нападения.

Высокая стойкость - такой уровень стойкости функции безопасности ОО, на котором она обеспечивает защиту от тщательно спланированного и организованного нарушения безопасности ОО нарушителем с высоким потенциалом нападения.

В литературе описана следующая схема вычисления потенциала нападения, в которой учитываются следующие факторы.

1. При идентификации уязвимости:

· время, затрачиваемое на идентификацию уязвимости (x1) ("за минуты", "за часы", "за дни", "за месяцы");

· уровень специальной подготовки (x2) ("эксперт", "специалист", "неспециалист");

· знание проекта и функционирования ОО (x3) ("отсутствие информации об ОО", "общедоступная информация об ОО", "закрытая информация об ОО");

· доступ к ОО (x4) (требуемое время на доступ к ОО, как в случае x1);

· аппаратные средства, программное обеспечение или другое оборудование (x5) ("стандартное оборудование", "специализированное оборудование", "уникальное оборудование").

2. При использовании:

· время, затраченное на использование уязвимости (y1);

· уровень специальной подготовки (y2);

· знание проекта функционирования ОО (y3);

· доступ к ОО (y4);

· аппаратные средства, программное обеспечение или другое оборудование, необходимое для использования уязвимости (y5).

Далее десяти факторам x1-x5 и y1-y5 назначаются веса, и они суммируются. Сумма используется для оценки уязвимости.

Описанный подход раскрывает еще одну "грань" задачи анализа рисков, на которой ранее мы не акцентировали внимание - в ходе анализа необходимо не только оценить возможные потери от реализации угрозы, но и описать модель нарушителя, дать оценку его возможностей по реализации угрозы, что в конечном итоге позволит оценить вероятность атаки на систему.

6. Стандарты, ориентированные на управление рисками (OCTAVE, CRAMM, ISO/IEC 27005)

Методика CRAMM

Это одна из первых методик анализа рисков в сфере ИБ - работа над ней была начата в середине 80-х гг. центральным агентством по компьютерам и телекоммуникациям (CCTA) Великобритании.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций - Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC ("Оранжевая книга").

Исследование ИБ системы с помощью СRAMM проводится в три стадии.

На первой стадии анализируется все, что касается идентификации и определения ценности ресурсов системы. Она начинается с решения задачи определения границ исследуемой системы: собираются сведения о конфигурации системы и о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы, как они ее применяют или будут применять.

Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель информационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользовательским сервисом, строится дерево связей используемых ресурсов. Построенная модель позволяет выделить критичные элементы.

Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

· недоступность ресурса в течение определенного периода времени;

· разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

· нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

· модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

· ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба CRAMM рекомендует использовать следующие параметры:

· ущерб репутации организации;

· нарушение действующего законодательства;

· ущерб для здоровья персонала;

· ущерб, связанный с разглашением персональных данных отдельных лиц;

· финансовые потери от разглашения информации;

· финансовые потери, связанные с восстановлением ресурсов;

· потери, связанные с невозможностью выполнения обязательств;

· дезорганизация деятельности.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

В описаниях CRAMM в качестве примера приводится такая шкала оценки по критерию "Финансовые потери, связанные с восстановлением ресурсов":

· 2 балла - менее $1000;

· 6 баллов - от $1000 до $10 000;

· 8 баллов - от $10 000 до $100 000;

· 10 баллов - свыше $100 000.

При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.

На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т.д.). Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов.

Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются "ожидаемые годовые потери

Значения ожидаемых годовых потерь (англ. Annual Loss of Expectancy) переводятся в CRAMM в баллы, показывающие уровень риска, согласно шкале, представленной на рис.4 (в этом примере размер потерь приводится в фунтах стерлингов).



Рис. 4. Шкала оценки уровня рисков

В соответствии с приведенной ниже матрицей, выводится оценка риска (рис.5)

Рис. 5. Матрица оценки риска

Третья стадия исследования заключается в поиске адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных рекомендаций; около 900 примеров того, как можно организовать защиту в данной ситуации.

Таким образом, CRAMM - пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).

Методика OCTAVE.

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) - методика поведения оценки рисков в организации, разрабатываемая институтом Software Engineering Institute (SEI) при университете Карнеги Меллон (Carnegie Mellon University).

Особенность данной методики заключается в том, что весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов. Для этого создается смешанная группа, включающая как технических специалистов, так и руководителей разного уровня, что позволяет всесторонне оценить последствия для бизнеса возможных инцидентов в области безопасности и разработать контрмеры.

OCTAVE предполагает три фазы анализа:

1. разработка профиля угроз, связанных с активом;

2. идентификация инфраструктурных уязвимостей;

3. разработка стратегии и планов безопасности.

Профиль угрозы включает в себя указания на актив (asset), тип доступа к активу (access), источник угрозы (actor), тип нарушения или мотив (motive), результат (outcome) и ссылки на описания угрозы в общедоступных каталогах. По типу источника, угрозы в OCTAVE делятся на:

1. угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных;

2. угрозы, исходящие от человека-нарушителя, использующего физический доступ;

3. угрозы, связанные со сбоями в работе системы;

4. прочие.

Результат может быть раскрытие (disclosure), изменение (modification), потеря или разрушение (loss/destruction) информационного ресурса или разрыв подключения. Отказ в обслуживании (interruption).

Методика OCTAVE предлагает при описании профиля использовать "деревья вариантов", пример подобного дерева для угроз класса 1) приведен на рис. 6. При создании профиля угроз рекомендуется избегать обилия технических деталей - это задача второго этапа исследования. Главная задача первой стадии - стандартизованным образом описать сочетание угрозы и ресурса.

Рис. 6. Дерево вариантов, использующееся при описании профиля

Вторая фаза исследования системы в соответствии с методикой - идентификация инфраструктурных уязвимостей. В ходе этой фазы определяется инфраструктура, поддерживающая существование выделенного ранее актива (например, если это БД отдела кадров, то нам для работы с ней нужен сервер, на котором база размещена, рабочая станция служащего отдела кадров и т.д.) и то окружение, которое может позволить получить к ней доступ (например, соответствующий сегмент локальной сети). Рассматриваются компоненты следующих классов: серверы; сетевое оборудование; СЗИ; персональные компьютеры; домашние персональные компьютеры "надомных" пользователей, работающих удаленно, но имеющих доступ в сеть организации; мобильные компьютеры; системы хранения; беспроводные устройства; прочее.

Группа, проводящая анализ для каждого сегмента сети, отмечает, какие компоненты в нем проверяются на наличие уязвимостей. Уязвимости проверяются сканерами безопасности уровня операционной системы, сетевыми сканерами безопасности, специализированными сканерами (для конкретных web-серверов, СУБД и проч.), с помощью списков уязвимостей (checklists), тестовых скриптов.

Для каждого компонента определяется:

· список уязвимостей, которые надо устранить немедленно (high-severity vulnerabilities);

· список уязвимостей, которые надо устранить в ближайшее время (middle-severity vulnerabilities);

· список уязвимостей, в отношении которых не требуется немедленных действий (low-severity vulnerabilities).

По результатам стадии готовится отчет, в котором указывается, какие уязвимости обнаружены, какое влияние они могут оказать на выделенные ранее активы, какие меры надо предпринять для устранения уязвимостей.

Разработка стратегии и планов безопасности - третья стадия исследования системы. Она начинается с оценки рисков, которая проводится на базе отчетов по двум предыдущим этапам. В OCTAVE при оценке риска дается только оценка ожидаемого ущерба, без оценки вероятности. Шкала: высокий (high), средний (middle), низкий (low). Оценивается финансовый ущерб, ущерб репутации компании, жизни и здоровью клиентов и сотрудников, ущерб, который может вызвать судебное преследование в результате того или иного инцидента. Описываются значения, соответствующие каждой градации шкалы (например, для малого предприятия финансовый ущерб в $10000 - высокий, для более крупного - средний).

Далее, разрабатывают планы снижения рисков нескольких типов:

· долговременные;

· на среднюю перспективу;

· списки задач на ближайшее время.

Для определения мер противодействия угрозам в методике предлагаются каталоги средств.

Хотелось бы еще раз подчеркнуть, что в отличие от прочих методик, OCTAVE не предполагает привлечения для исследования безопасности ИС сторонних экспертов, а вся документация по OCTAVE общедоступна и бесплатна, что делает методику особенно привлекательной для предприятий с жестко ограниченным бюджетом, выделяемым на цели обеспечения ИБ.

Стандарт ISO/IEC 27005.

В июне 2008 принят новый международный стандарт по управлению рисками информационной безопасности ISO/IEC 27005:2008. Описывает принципы управления рисками, позволяющие руководителям и персоналу департаментов IT управлять рисками в системах менеджмента информационной безопасности (ISMS).

4. Стандарт ориентированный на защитные меры (ГОСТ Р ISO/IEC 13335-1-2006)

ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "ЛИНС-М" (ООО "Линс-М") на основе собственного аутентичного перевода стандарта, а также Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ ГНИИИ ПТЗИ ФСТЭК России)

Утверждён и введён в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2006 г. N 317-ст

Настоящий стандарт идентичен международному стандарту ISO/IEC 13335-1:2004. "Информационная технология. Методы обеспечения безопасности. Менеджмент безопасности информационных и телекоммуникационных технологий.

Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.