Основные международные стандарты информационной безопасности
Обеспечить безопасность информационных систем внастоящее время невозможно без грамотного и качественного создания систем защиты информации. Это определило работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем в части безопасности информации.
Одним из главных результатов подобной деятельности стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов.
Это особенно актуально для так называемых открытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну, и стремительно развивающихся в нашей стране.
Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого, обеспечивается соответствием требованиям стандартов, прежде всего международных.
Термин "открытые" подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа (НСД) к информации.
Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартов.
|
|
|
Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.
Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в internet :-сообществе это средство действительно работает, и весьма эффективно.
В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасности компании. Это, прежде всего, международные и национальные стандарты управления информационной безопасностью ISO 15408, IS О 17799 (В S 7799), В SI ; стандарты аудита информационных систем и нформаци-
онной безопасности СОВ I Т, S А C , СО S О и некоторые другие, аналогичные им.
Особое значение имеют международные стандарты ISO 15408, ISO 17799 служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита.
|
|
|
ISO 15408 - определяет детальные требования, предъявляемые к программно-техническим средствам защиты информации.
ISO 17799 - сосредоточен на вопросах организации и управления безопасностью.
Использование международных и национальных стандартов обеспечения информационной безопасности способствует решению следующих пяти задач:
- во-первых, определение целей обеспечения информационной безопасности компьютерных систем;
- во-вторых, создание эффективной системы управления информационной безопасностью;
- в третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;
- в четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
- в пятых, использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
Основное внимание уделяется международному стандарту ISO / 15408 и его российскому аналогу ГОСТ Р ИСО/МЭК15408 -2002 «Критерии оценки безопасности информационных технологий» а также спецификациям « Internet -сообществ».
|
|
|
Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартах ИБ.
Начиная с начала 80-х годов, были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга.
В лекции рассматриваются наиболее важные стандарты, знание которых необходимо разработчикам и оценщикам защитных средств, системным администраторам, руководителям служб защиты информации, пользователям по хронологии их создания, в том числе:
1) Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);
2) Гармонизированные критерии европейских стран;
3) Рекомендации Х.800;
4) Германский стандарт BSI ;
5) Британский стандарт BS 7799;
6) Стандарт «Общие критерии» ISO 15408;
7) Стандарт ISO 17799;
8) Стандарт COBIT
Эти стандарты можно разделить на два разных вида:
· Оценочные стандарты , направленные на классификацию информационных систем и средств защиты по требованиям безопасности;
· Технические спецификации, регламентирующие различные аспекты реализации средств защиты.
|
|
|
Важно отметить, что между этими видами нормативных документов нет глухой стены, напротив, существует логическая взаимосвязь.
Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций.
Технические спецификации определяют, как строить ИС предписанной архитектуры. Далее рассмотрены особенности этих стандартов.
2. Критерии оценки доверенных компьютерных систем
(«Оранжевая книга»)
Основные сведения
Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria, TCSEC, DoD 5200.28-STD, December 26, 1985) — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе.
Критерии ТС S ЕС разработаны на основе принципа достоверной вычислительной базы (англ. - ТСВ Trusted Computer Base ). В «Оранжевой книге» ТСВ определяется как «совокупность механизмов защиты, входящих в вычислительную систему и включающих в себя аппаратные и программно- аппаратные и программные средства, сочетание которых и обеспечивает реализацию стратегии защиты».
Критерии используются для определения, классификации и выбора компьютерных систем предназначенных для обработки, хранения и поиска важной или секретной информации.
Критерии, часто упоминающиеся как «Оранжевая книга» (англ. “Orange Book ”) из-за цвета обложки. , занимают центральное место среди публикаций «Радужной серии» (англ. “ Rainbow ”) Министерства обороны США. Изначально они были выпущены Центром национальной компьютерной безопасности США в качестве орудия для Агентства национальной безопасности в 1983 году и потом обновлённые в 1985г.
В «Оранжевой книге» ИС разбивают на четыре широких иерархических класса повышенного обеспечения секретности. Они являются основой для оценки эффективности средств управления защитой, встроенных в продукты типа автоматизированных систем обработки данных.
При разработке критериев имелись ввиду три цели:
•предложить пользователям критерий, с помощью которого можно было бы оценивать степень доверия к вычислительной системе с точки зрения обеспечения безопасности обработки секретной и другой критически важной информации;
•создать руководство, призванное помочь производителям выбрать из широкого диапазона устройств те, которые целесообразно встраивать в их новые, широко представленные на рынке проверенные коммерческие продукты;
•обеспечить основу для оценки требований к защищенности в спецификациях приобретаемых продуктов.
Этот стандарт, получил международное признание и оказал исключительно сильное влияние на последующие разработки в области информационной безопасности (ИБ). Данный стандарт относится к оценочным стандартам (классификация информационных систем и средств защиты).
Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации , что и является средством обеспеченияконфиденциальности и целостности.
Вслед за «Оранжевой книгой» появилась целая «Радужная серия». Наиболее значимой в ней явилась интерпретация «Оранжевой книги» для сетевых конфигураций (англ. National Computer Security Center . Trusted Network Interpretation , N С S С-Т G -005, 1987), где в первой части интерпретируется «Оранжевая книга», а во второй части описываются сервисы безопасности, специфичные для сетевых конфигураций.
Дата добавления: 2018-10-26; просмотров: 1224; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!