3 СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Роль стандартов информационной безопасности. Проблемой информационной компьютерной безопасности начали заниматься с того момента, когда компьютер стал обрабатывать данные, ценность которых высока для пользователя. С развитием компьютерных сетей и ростом спроса на электронные услуги ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей! Т-средств.
Необходимость в стандартах в области информационной безопасности стала осознана достаточно давно, и в этом направлении достигнут существенный прогресс, закрепленный в документах разработки 1990-х гг. Первым и наиболее известным документом была Оранжевая книга «Критерии безопасности компьютерных систем» Министерства обороны США. В этом документе определены 4 уровня безопасности - D, С, В и А. По мере перехода от уровня D до А к надежности системы предъявляются все более жесткие требования. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому уровню, ее защита должна удовлетворять оговоренным требованиям. К другим важным стандартам информационной безопасности этого поколения относятся: «Руководящие документы Гостехкомиссии России», «Европейские критерии безопасности информационных технологий», «Федеральные критерии безопасности информационных технологий США», «Канадские критерии безопасности компьютерных систем» [2, 4].
В последнее время в разных странах появилось новое поколение стандартов, посвященных практическим вопросам
управления информационной безопасностью компании. Это, прежде всего международные стандарты управления информационной безопасностью ISO 15408, ISO 17799 и некоторые другие.
Международные стандарты информационной безопасности. Стандарты Ш1ЕС 17799:2002 (BS 7799:2000). Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью - Информационные технологии» («Information technology -Information security management») является одним из наиболее известных стандартов в области защиты информации [1].
Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
- необходимость обеспечения информационной безопасности;
- основные понятия и определения информационной безопасности;
- политика информационной безопасности компании;
- организация информационной безопасности на предприятии;
- классификация и управление корпоративными информационными ресурсами;
- кадровый менеджмент и информационная безопасность;
- физическая безопасность;
- администрирование безопасности информационных систем (ИС);
- управление доступом;
- требования по безопасности к ИС в ходе их разработки, эксплуатации и сопровождения;
- управление бизнес-процессами компании с точки зрения информационной безопасности;
- внутренний аудит информационной безопасности компании.
В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта кроме всего прочего большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях. По мнению специалистов, обновление международного стандарта ISO 17799 (BS 7799) позволит не только повысить культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.
Германский стандарт BSI. В отличие от ISO 17799 германское рууководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.
В германском стандарте BSI представлены:
- общая методика управления информационной безопасностью;
- описания компонентов современных информационных технологий;
- описания основных компонентов организации режима формационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях);
- характеристики объектов информатизации;
- характеристики основных информационных активов компании, в том числе аппаратное и программное обеспечение;
- характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows;
- характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;
- подробные каталоги угроз безопасности и мер контроля.
Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание формационного актива компании - возможные угрозы и уязвимости безопасности - возможные меры и средства контроля и защиты.
Международный стандарт ISO 15408 «Общие критерии безопасности информационных технологий». Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. Важное место в этой системе стандартов занимает стандарт ISO 15408, известный как «Common Criteria».
В 1990 г. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки IT безопасности для общего использования. В разработке участвовали лучшие специалисты из США, Канады, Германии, Голландии, Англии, Франции.
Первые две версии документа были опубликованы соответственно в янвape и мае 1998 г. Версия 2.1 этого стандарта утверждена 8 июня 1999 г. международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий», или «Common Criteria».
«Общие критерии» (ОК) обобщили содержание и опыт использования Оранжевой книги, развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США.
В ОК проведена классификация широкого набора требований IT безопасности, определены структуры их группирования и принципы использования. Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.
Ведущие мировые производители IT оборудования сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.
ОК разрабатывались для удовлетворения запросов трех групп специалистов, в равной степени являющихся пользователями этого документа: производителей и потребителей IT продуктов, а также экспертов по оценке уровня их безопасности. ОК обеспечивают нормативную поддержку процесса выбора IT продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.
Требования ОК являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по IT безопасности.
Стандарт ISO 15408 поднял IT стандартизацию на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных ИС, что в свою очередь откроет новые сферы применения информационных технологий.
Отечественные стандарты безопасности информационных технологий.
Среди различных стандартов по IT безопасности, существующих в настоящее время в Казахстане, следует выделить нормативные документы по критериям оценки защищенности средств вычислительной техники и АС и документы, регулирующие информационную безопасность. К ним можно добавить нормативные документы по криптографической защите систем отработки информации и информационных технологий. В таблице 1 приведен список указанных стандартов.
Таблица 1 - Казахстанские стандарты, регулирующие информационную безопасность
|
14 | СТРК ИСО/МЭК 10118-3-2006 | Информационная технология. Методы защиты информации. Хэш-функции. Честь 3. Специализированные хэш-функции |
15 | СТРК ИСО/МЭК 10118-4-2006 | Информационная технология. Методы защиты информации. Хэш-функции. Честь 4. Хэш-функции |
16 | СТ РК ИСО/МЭК ТО 14516-2007 | Технологии информационные. Методы обеспечения защиты. Использование и управление услугами доверенной третьей стороны. Общие требования |
17 | СТ РК ГОСТ Р ИСО/МЭК 15408-1-2006. | Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1, Введение и общая модель |
18 | СТ РК ГОСТ Р ИСО/МЭК 15408-2-2006 | Информационная технология, Методы и средства обеспечения безопасности, Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности |
19 | СТ РК ГОСТ Р ИСО/МЭК 15408-3-2006 | Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности |
20 | СТРК 1697-2007 | Защита информации. Средства защиты технических средств от утечки информации по цепям электропитания. Общие технические требования |
21 | СТРК 1698-2007 | Защита информации. Защита информации от технических разведок и от ее утечки по техническим каналам на объекте средств вычислительной техники. Методы защиты |
22 | СТРК 1699-2007 | Системы контроля и управления доступом. Общие технические требования |
23 | СТРК 1700-2007 | Техническая защита информации в служебных помещениях. Общие технические требования |
24 | СТРК 1701-2007 | Техническая защита информации в средствах вычислительной техники, автоматизированных информационных системах и сетях от утечки по средствам побочных электромагнитных излучений и наводок. Общие технические требования |
25 | СТ РК ГОСТ Р 51188-2007 | Защита информации. Испытания программных средств на наличие компьютерных вирусов. Общие требования |
Стандарты в структуре информационной безопасности выступают как связующее звено между технической и концептуальной стороной вопроса.
Введение в 1999 г. Международного стандарта ISO 15408 в области обеспечения информационной безопасности имело большое значение как для разработчиков компьютерных систем, так и для их пользователей. Стандарт ISO 15408-2002 стал своего рода гарантией качества и надежности сертифицированных по нему программных продуктов. Этот стандарт позволил потребителям лучше ориентироваться при выборе ПО и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT компаний, сертифицирующих свою продукцию в соответствии с ISO 15408.
