Обзор подготовлен |
|
|
Безопасность ИТ: общих стандартов мало
В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам информационной безопасности компании. Для обеспечения комплексной защиты информационных систем общие рекомендации, перечисленные в международных и национальных стандартах, необходимо дополнить рядом собственных корпоративных методик.
Как закалялся стандарт
История развития стандартов защиты информации началась в 1990 году, когда Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (ТЕС) составили специализированную систему мировой стандартизации, a ISO начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные Common Criteria for Information Technology Security Evaluation или просто Common Criteria. В их разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).
В соответствии с международными и национальными стандартами ISO 15408, ISO 17799 (BS7799), BSI; COBIT, SAC, COSO, SAS 78/94 обеспечение информационной безопасности в любой компании предполагает следующее:
- определение целей обеспечения информационной безопасности компьютерных систем;
- создание эффективной системы управления информационной безопасностью;
- расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;
- применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
- использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения информационной безопасности, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
|
В дальнейшем «Общие критерии» неоднократно редактировались. В результате 8 июня 1999 года был утвержден Международный стандарт ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий» (ОК).
Документ обобщил содержание и опыт использования Оранжевой книги, развил европейские и канадские критерии, и воплотил в реальные структуры концепцию типовых профилей защиты федеральных критериев США. В ОК проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства ОК — полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.
Использование стандартного подхода
Использование методик данного стандарта позволяет определить для компании те критерии, которые могут быть использованы в качестве основы для выработки оценок защитных свойств продуктов и систем информационной технологии. Кроме того, эти методики позволяют проводить наиболее полное сравнение результатов оценки защитных свойств корпоративных информационных систем с помощью общего перечня (набора) требований для функций защиты продуктов и систем, а также методов точных измерений, которые проводятся во время получения оценок защиты.
Основываясь на этих требованиях, в процессе выработки оценки уровня защиты устанавливается уровень доверия. Результаты оценок позволяют определить для компании достаточность защиты корпоративной информационной системы.
Вместе с тем в ОК главное внимание уделено защите от несанкционированного доступа (НСД). Модификации или потери доступа к информации в результате случайных или преднамеренных действий и ряд других аспектов информационной безопасности остался не рассмотренным. Например, оценка административных мер безопасности, оценка безопасности от побочных электромагнитных излучений, методики оценки различных средств и мер безопасности, критерии для оценки криптографических методов защиты информации.
Собственные методики защиты
Общепринятые критерии оценки безопасности необходимо адаптировать под специфические требования конкретной отрасли, что требует дополнить их рядом своих собственных апробированных методик оценки важнейших элементов защиты. Дополненные таким образом ОК можно использовать как при задании требований к продуктам и системам информационных технологий, так и при оценке их безопасности на всех этапах жизненного цикла корпоративной информационной системы. Только такой гибкий подход позволяет на практике реализовать следующие ключевые аспекты обеспечения безопасности ИТ.
1. Охватить весь спектр ИТ и учесть особенности каждой конкретной системы при задании требований по безопасности.
Предлагаемые адаптированные ОК предназначены для оценки безопасности как систем ИТ, разрабатываемых для автоматизации в конкретной области применения, так и отдельных продуктов ИТ, которые имеют универсальное предназначение. Такие ОК применимы к оценке безопасности как аппаратных средств, так и программного обеспечения ИТ.
2. Избежать жесткой классификации ИТ по уровню безопасности.
Вместо жесткой классификации становится возможным использовать сформированные по определенным правилам типовые наборы требований по различным видам ИТ, уровням ЗИ и другим классификационным признакам. Перечень типовых требований не регламентируется — они формируются по результатам прохождения определенной процедуры согласования и апробации. С целью оптимального сочетания типовых требований с требованиями, учитывающими особенности конкретной области применения ИТ, используются два ключевых понятия: профиль защиты и задание по безопасности.
Профиль защиты представляет собой функционально полный, прошедший апробацию, стандартизованный набор требований, предназначенный для многократного использования. Задание по безопасности — это полная комбинация требований, являющихся необходимыми для создания и оценки ИБ конкретной системы или продукта ИТ.
Таким образом, работы по анализу требований, реализуемые на основе стандарта ОК, позволяют грамотно задать требования к безопасности ИТ. Результаты работы могут также использоваться для сравнительного анализа различных систем и продуктов ИТ. В целом же предоставляется развитая система структурированных требований для выбора механизмов обеспечения безопасности при проектировании и разработке ИТ.
3. Предложить широкий спектр, детальность и структурированность требований к механизмам безопасности, мерам и средствам обеспечения их реализации.
Предлагаемые адаптированные ОК содержат две категории требований: функциональные и требования гарантированности. Первые описывают функции, которые должны быть реализованы в ИТ для обеспечения их безопасности. Вторые определяют меры и средства, которые должны быть использованы в процессе создания ИТ для получения необходимой уверенности в правильности реализации механизмов безопасности и в их эффективности. Все требования ОК разбиваются по классам, семействам, компонентам и элементам с определением зависимостей одних компонентов от других. Определяются допустимые действия над компонентами, которые могут применяться для конкретизации задаваемых требований безопасности.
4. Охватить весь жизненный цикл ИТ, начиная от формирования целей и требований обеспечения безопасности и кончая поставкой и наладкой ИТ на конкретном объекте.
5. Реализовать возможность формирования наборов требований по уровням безопасности ИТ, сопоставимых с другими системами оценки.
Преемственность предлагаемых оценок безопасности достигается за счет возможности формирования профилей защиты, соответствующих наборам требований, которые определяют уровни безопасности ИТ в других системах.
6. Обеспечить комплексность подхода к обеспечению безопасности ИТ.
Адаптация ОК позволяет обеспечить безопасность ИТ на всех этапах жизненного цикла КИС, от этапа анализа требований (на этапе формирования замысла информационной системы) до реализации, эксплуатации и сопровождения системы. Здесь предусматриваются следующие уровни рассмотрения безопасности ИТ:
- безопасность окружающей среды (законы, нормативные документы, организационные меры, физическое окружение, определяющие условия применения ИТ, а также существующие и возможные угрозы безопасности ИТ);
- цели безопасности (намерения, определяющие направленность мер по противодействию выявленным угрозам и обеспечению безопасности);
- требования безопасности (полученный в результате анализа целей безопасности набор технических требований для механизмов безопасности и гарантированности их реализации, обеспечивающий достижение сформулированных целей);
- спецификации безопасности (проектное представление механизмов безопасности, реализация которых гарантирует выполнение требований безопасности);
- разработка (реализация механизмов безопасности со спецификациями).
7. Обеспечение комплексности оценки безопасности ИТ.
Адаптация ОК позволяет оценивать безопасность ИТ в процессе их разработки на наиболее важных этапах. Предусмотрены следующие стадии оценки:
- профиля защиты;
- задания по безопасности;
- реализованных механизмов безопасности.
В первом случае устанавливается, что сформированный профиль является полным, последовательным, технически правильным и пригодным для использования в качестве типового для определенного класса ИТ. Использование оцененных, апробированных и стандартизованных профилей защиты дает возможность избежать затрат на разработку требований по информационной безопасности к создаваемым системам и изделиям и исключить дополнительные затраты на их обоснование.
Вторая стадия призвана установить, что задание соответствует требованиям профиля защиты и содержит полный, последовательный и технически правильный набор требований, необходимых для обеспечения безопасности конкретного объекта. Задание по безопасности подлежит согласованию на предприятии и является в дальнейшем основным документом, в соответствии с которым оценивается безопасность разрабатываемой ИС. Наконец, цель третьей стадии — установить, что механизмы безопасности обеспечивают выполнение всех требований, содержащихся в задании по безопасности.
8. Предусмотреть расширяемость требований к безопасности ИТ.
Адаптация ОК позволяет предложить наиболее полный на настоящее время набор критериев в области безопасности ИТ, который удовлетворяет потребностям основных категорий и групп пользователей и разработчиков информационных систем.
Интересно отметить, что в настоящее время Европейской ассоциацией производителей компьютерной техники ЕСМА уже проводятся проекты по разработке стандарта «Расширенный коммерческий функциональный класс оценки безопасности (E-COFC)». В этом документе принятый в 1993 г. стандарт ЕСМА-205 «Коммерческий функциональный класс оценки безопасности (COFC)» перерабатывается в соответствии с требованиями и терминологией ОК. Если данный подход дополнить еще анализом требований по организации режима информационной безопасности компании, то получится достаточно мощный инструмент для оценки безопасности информационных технологий отечественных компаний.
Сергей Петренко
Владимир Красин: Российский рынок защиты информации ожидает тесная интеграция с международными стандартами
О ключевых изменениях на российском рынке защиты информации, перспективах отечественных компаний в контексте недавнего вступления в силу «Общих критериев» в интервью CNews.ru рассказал Владимир Красин, директор по специальным работам компании «ОПТИМА».
CNews.ru: Какие, на ваш взгляд, ключевые изменения произошли на рынке защиты информации за последний год?
Владимир Красин: На мой взгляд, к ключевым изменениям на рынке защиты информации за последний год можно отнести пополнение законодательной базы Российской Федерации в области защиты информации, а именно принятие и ввод в действие таких нормативных документов, как Федеральный закон «О техническом регулировании», Федеральный закон «Об электронной цифровой подписи». Помимо этого, к таковым изменениям также можно отнести ввод в действие государственного стандарта ГОСТ Р ИСО/МЭК 154082002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
Кроме того, за последний год существенно изменилось отношение пользователей и владельцев информационных систем к вопросу обеспечения безопасности информации.
CNews.ru: Как вы оцениваете тезис о том, что государственная сертификация решений в сфере защиты информации не должна быть обязательной? Достаточно ли в этом вопросе «руки рынка»?
Владимир Красин: Говорить о том, что государственная сертификация решений в области защиты информации не должна быть обязательной, на мой взгляд, неправильно.
Условия рынка требуют от производителей средств защиты информации постоянного совершенствования своих продуктов и расширения их функциональных возможностей. Однако в погоне за функционалом производитель не должен забывать о качестве и надежности своих продуктов.
Государственная система сертификации средств защиты информации по требованиям безопасности информации как раз и является одним из механизмов контроля качества средств защиты информации, позволяющего получить уверенность в продукте и подтверждение его соответствия требованиям нормативных документов по защите информации. Другой вопрос, что такой механизм контроля качества имеет смысл сделать более гибким, отвечающим потребностям динамично развивающегося рынка средств защиты информации.
Полный текст интервью
|