Отечественные и зарубежные стандарты в области информационной безопасности

В России существует около 30 тыс. действующих стандартов, в том числе:

  • - девять ГОСТов, которые относятся к различным группам по классификатору стандартов (ГОСТ 28147-89, ГОСТ Р 50922- 96, ГОСТ Р 34.10-94, ГОСТ Р 50739-95, ГОСТ Р 34.11-94, ГОСТ 29.339-92, ГОСТ Р 50600-93, ГОСТ Р 50752-95, ГОСТ РВ 50170-92);
  • - 12 ГОСТов на системы тревожной сигнализации, комплектуемые извещателями различного принципа действия;
  • - около 200 ГОСТов, касающихся сертификации систем телекоммуникации, программных и аппаратных средств, аттестационного тестирования взаимосвязи открытых систем, аттестации баз данных и т. д.;
  • - больше 100 ГОСТов системы качества (в том числе стандарты серии ISO 9000, введенные в действие на территории РФ).

Большая часть стандартов по контролю и испытаниям (около 60 %) может быть признана не соответствующей требованию Закона РФ «Об обеспечении единства измерений», как правило, в части погрешностей измерений. Не существует стандартов в сфере информационно-психологической безопасности.

Таким образом, очевидно, что работа над объектами стандартизации в сфере информационной безопасности только разворачивается. Для этого особенно важен международный опыт. В 1983 г. Агентство компьютерной безопасности Министерства обороны США подготовило отчет «Критерии оценки защищенности надежных систем» (TSEC), или «Оранжевую книгу», в которой были выделены семь уровней безопасности (гарантированная защита (А1), полное управление доступом (Bl, В2, ВЗ, С1), избирательное управление доступом (С2), минимальная безопасность (D)) для оценки защиты конфиденциальных данных в многопользовательских компьютерных системах. Для оценки компьютерных систем Министерства обороны США Национальный центр компьютерной безопасности МО США выпустил инструкции NCSC-TG-005 и NCSC-TG-011, известные как «Красная книга» (по цвету переплета). В качестве ответа Агентство информационной безопасности ФРГ подготовило Green Book («Зеленая книга»), где рассмотрены в комплексе требования к доступности, целостности и конфиденциальности информации как в государственном, так и в частном секторе.

В 1990 г. «Зеленая книга» была принята ФРГ, Великобританией, Францией и Голландией и направлена в ЕС, где на ее основе были разработаны критерии оценки защищенности информационных технологий (ITSEC), или «Белая книга» (рис. 12), как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем, имеющий две схемы оценки: по эффективности (от Е1 до Е6) и по функциональности (доступность, целостность системы, целостность данных, конфиденциальность информации и передача данных).

С учетом интеграции России в общеевропейские структуры рассмотрим подробнее положения европейского стандарта.

Согласно европейским критериям ITSEC информационная безопасность включает в себя «шесть основных элементов ее детализации[1]:

Основные компоненты критериев безопасности ITSEC согласно

Рис. 12. Основные компоненты критериев безопасности ITSEC согласно

«Белой книге»

  • 1. Конфиденциальность информации.
  • 2. Целостность информации.
  • 3. Доступность информации.
  • 4. Цели безопасности.
  • 5. Спецификация функций безопасности:
    • - идентификация и аутентификация;
    • - управление доступом;
    • - подотчетность (протоколирование);
    • - аудит (независимый контроль);
    • - повторное использование объектов;
    • - точность информации (поддержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации));
    • - надежность обслуживания;
    • - обмен данными.»
  • 6. Описание механизмов безопасности.

В «Белой книге» зафиксирована разница между системой и продуктом. Система трактуется как аппаратно-программная конфигурация, созданная с вполне определенными целями и работающая в известном окружении, а продукт - как аппаратно- программный пакет, который можно купить и по своему усмотрению вставить в ту или иную систему[2]. Для объединения критериев оценки системы и продукта в ITSEC создается единый термин - объект оценки. Каждая система и/или продукт предъявляют свои требования к обеспечению конфиденциальности, целостности и доступности информации.

Для их реализации необходим и соответствующий набор функций безопасности, таких как идентификация и аутентификация, управление доступом, восстановление после сбоев, подотчетность, аудит, правила повторного использования объектов доступа, точность информации, надежность обслуживания, обмен данными. Например, «для реализации функций идентификации и аутентификации могут использоваться такие механизмы, как специальный сервер “KERBEROS”, а для защиты компьютерных сетей - фильтрующие маршрутизаторы, сетевые анализаторы протоколов (экраны) типа Firewall/Plus, Firewall/1, пакеты фильтрующих программ и т. д.»[3]

Чтобы объект оценки можно было признать надежным, необходима определенная степень уверенности, которая декларируется как гарантированность безопасности, включающая в себя два компонента - эффективность и корректность механизмов безопасности (средств защиты). В некоторых источниках гарантированность также называют адекватностью средств защиты.

При проверке эффективности анализируется соответствие между задачами безопасности по конфиденциальности, целостности, доступности информации и реализованным набором функций безопасности - их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Кроме того, в понятие эффективности включается и способность механизмов защиты противостоять прямым атакам, которая называется мощностью механизмов защиты.

По ITSEC декларируются три степени мощности (базовая, средняя, высокая). При проверке корректности анализируется правильность и надежность реализации функций безопасности. По ITSEC декларируются семь уровней корректности - от ЕО до Е6.

Общая оценка безопасности системы по ITSEC состоит из двух компонентов - оценки уровня гарантированной эффективности механизмов (средств) безопасности и оценки уровня их гарантированной корректности. Безопасность системы в целом оценивается отдельно для систем и продуктов. Защищенность их не может быть выше мощности самого слабого из критически важных механизмов безопасности (средств защиты).

В Европейских критериях устанавливается 10 классов безопасности (рис. 13).

классов безопасности

Рис. 13. 10 классов безопасности

Первые пять из них аналогичны классам Cl, С2, Bl, В2, ВЗ американских критериев TCSEC.

Класс F-IN предназначен для систем с высокими потребностями к обеспечению целостности, что типично для СУБД, и различает виды доступа: чтение, запись, добавление, удаление, создание, переименование и выделение объектов.

Класс F-AV предназначен для систем с высокими требованиями к обеспечению их работоспособности за счет противодействия угрозам отказа в обслуживании (существенно для систем управления технологическими процессами).

Класс F-D1 ориентирован на системы с повышенными требованиями к целостности данных, которые передаются по каналам связи.

Класс F-DC характеризуется повышенными требованиями к конфиденциальности информации, а класс F-DX предназначен для систем с повышенными требованиями одновременно по классам F-D1 и F-DC.

Канада разработала СТСРЕС, и, наконец, США разработали новые федеральные критерии (Federal Criteria). Так как эти критерии являются несовместимыми между собой, было принято решение попытаться гармонизировать (объединить) все эти критерии в новый набор критериев оценки защищенности, названный Common Criteria (СС). Общие критерии дают набор критериев по оценке защищенности и устанавливают:

  • - требования к функциональным возможностям и гарантиям;
  • - семь уровней доверия, которые может запросить пользователь (уровень EAL1 обеспечивает лишь небольшое доверие к корректности системы, а уровень EAL7 дает очень высокие гарантии);
  • - два термина: профиль защиты (РР) и цель безопасности (ST).

Одним из российских аналогов перечисленных стандартов является Руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации».

Комплексность защиты информации достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:

  • - ГОСТ 28147-89 - Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;
  • - ГОСТ Р 34. 10-94 - Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма;
  • - ГОСТ Р 34. 11-94 - Информационная технология. Криптографическая защита информации. Функция хэширования;
  • - ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

Поскольку деятельность любой организации подвержена множеству рисков, в том числе вследствие использования информа- 36

ционных технологий, то относительно недавно появилась новая функция - управление рисками, которая включает в себя два вида деятельности: оценку (измерение) рисков и выбор эффективных и экономичных защитных регуляторов (рис. 14)1. Правовое регулирование этих отношений возможно и необходимо прежде всего через страхование информационных рисков2.

Этапы управления рисками

Рис. 14. Этапы управления рисками

Проблема обеспечения безопасности имеет комплексный характер. Для ее решения необходимо объединить как правовые меры, так и организационные (например, в компьютерных информационных системах на управленческом уровне руководство каждой организации должно выработать политику безопасности, определяющую общее направление работ, и выделить на эти цели соответствующие ресурсы) и программно-технические.

  • 1 Пугин В. В., Губарева О. Ю. Обзор методик анализа рисков информационной безопасности информационной системы предприятия // T-Comm. 2012. № 6.
  • 2 Плетнев П. В., Белов В. М. Методика оценки рисков информационной безопасности на предприятиях малого и среднего бизнеса // Доклады ТУ- СУР. 2012. № 1-2 (25).

  • [1] Башлы П. Н., Баранова Е. К., Бабаш А. В. Информационная безопасность: учеб.-практ. пособие. М.: Евразийский открытый ин-т, 2011.
  • [2] Филяк П. Ю. Актуальность обеспечения информационной и экономической безопасности в условиях информационного общества // Известия Тул-ГУ. Технические науки. 2013. № 3.
  • [3] Там же.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >