- •Основные понятия объектно-ориентированного подхода
- •Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •Недостатки традиционного подхода к информационной безопасности с объектной точки зрения
- •Некоторые примеры угроз доступности
- •Вредоносное программное обеспечение
- •Основные угрозы целостности
- •Основные угрозы конфиденциальности
- •Обзор российского законодательства в области информационной безопасности Правовые акты общего назначения, затрагивающие вопросы информационной безопасности
- •Закон "Об информации, информатизации и защите информации"
- •Другие законы и нормативные акты
- •Обзор зарубежного законодательства в области информационной безопасности
- •О текущем состоянии российского законодательства в области информационной безопасности
- •Механизмы безопасности
- •Классы безопасности
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий" Основные понятия
- •Функциональные требования
- •Требования доверия безопасности
- •Гармонизированные критерии Европейских стран
- •Интерпретация "Оранжевой книги" для сетевых конфигураций
- •Руководящие документы Гостехкомиссии России
- •Управление доступом Основные понятия
- •Ролевое управление доступом
- •Архитектурные аспекты
- •Классификация межсетевых экранов
- •Анализ защищенности
- •Доступность Основные понятия
- •Основы мер обеспечения высокой доступности
- •Отказоустойчивость и зона риска
- •Обеспечение отказоустойчивости
- •Программное обеспечение промежуточного слоя
- •Обеспечение обслуживаемости
- •Управление Основные понятия
- •Возможности типичных систем
- •Законодательный, административный и процедурный уровни
- •Программно-технические меры
О текущем состоянии российского законодательства в области информационной безопасности
Как уже отмечалось, самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Пока такого механизма нет и, увы, не предвидится. Сейчас бессмысленно задаваться вопросом, чего не хватает российскому законодательству в области ИБ, это все равно что интересоваться у пунктирного отрезка, чего тому не хватает, чтобы покрыть всю плоскость. Даже чисто количественное сопоставление с законодательством США показывает, что наша законодательная база явно неполна.
Справедливости ради необходимо отметить, что ограничительная составляющая в российском законодательстве представлена существенно лучше, чем координирующая и направляющая. Глава 28 Уголовного кодекса достаточно полно охватывает основные аспекты информационной безопасности, однако обеспечить реализацию соответствующих статей пока еще сложно.
Положения базового Закона "Об информации, информатизации и защите информации" носят весьма общий характер, а основное содержание статей, посвященных информационной безопасности, сводится к необходимости использовать исключительно сертифицированные средства, что, в общем, правильно, но далеко не достаточно. Характерно, что Закон разъясняет вопросы ответственности в случае использования несертифицированных средств, но что делать, если нарушение ИБ произошло в системе, построенной строго по правилам? Кто возместит ущерб субъектам информационных отношений? Поучителен в этом отношении рассмотренный выше закон ФРГ о защите данных.
Законодательством определены органы, ведающие лицензированием и сертификацией. (Отметим в этой связи, что Россия - одна из немногих стран (в список еще входят Вьетнам, Китай, Пакистан), сохранивших жесткий государственный контроль за производством и распространением внутри страны средств обеспечения ИБ, в особенности продуктов криптографических технологий.) Но кто координирует, финансирует и направляет проведение исследований в области ИБ, разработку отечественных средств защиты, адаптацию зарубежных продуктов? Законодательством США определена главная ответственная организация - НИСТ, которая исправно выполняет свою роль. В Великобритании имеются содержательные добровольные стандарты ИБ, помогающие организациям всех размеров и форм собственности. У нас пока ничего такого нет.
В области информационной безопасности законы реально преломляются и работают через нормативные документы, подготовленные соответствующими ведомствами. В этой связи очень важны Руководящие документы Гостехкомиссии России, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем. Особенно выделим утвержденный в июле 1997 года Руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самых современных классов защитных средств.
В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Особое внимание следует обратить на то, что желательно привести российские стандарты и сертификационные нормативы в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть целый ряд оснований для того, чтобы это сделать. Одно из них - необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских компаний. Второе (более существенное) - доминирование аппаратно-программных продуктов зарубежного производства.
На законодательном уровне должен быть решен вопрос об отношении к таким изделиям. Здесь необходимо выделить два аспекта: независимость в области информационных технологий и информационную безопасность. Использование зарубежных продуктов в некоторых критически важных системах (в первую очередь, военных), в принципе, может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встраивания закладных элементов. В то же время, в подавляющем большинстве случаев потенциальные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использования зарубежных разработок (ввиду сложностей с их сертификацией) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то оснований.
Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно сложна, однако, как показывает опыт европейских стран, решить ее можно. Сложившаяся в Европе система сертификации по требованиям информационной безопасности позволила оценить операционные системы, системы управления базами данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в сертификационных испытаниях в состоянии снять имеющееся противоречие между независимостью в области информационных технологий и информационной безопасностью без какого-либо ущерба для национальной безопасности.
Подводя итог, можно наметить следующие основные направления деятельности на законодательном уровне:
разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;
обеспечение баланса созидательных и ограничительных (в первую очередь преследующих цель наказать виновных) законов;
интеграция в мировое правовое пространство;
учет современного состояния информационных технологий.
5. Лекция: Стандарты и спецификации в области информационной безопасности | |
Страницы: 1 | 2 | 3 | 4 | 5 | 6 | вопросы | » |
| учебники | для печати и PDA | ZIP |
Если Вы заметили ошибку - сообщите нам, или выделите ее и нажмите Ctrl+Enter | |
Дается обзор международных и национальных стандартов и спецификаций в области ИБ - от "Оранжевой книги" до ISO 15408. Демонстрируются как сильные, так и слабые стороны этих документов. | |
Оценочные стандарты и технические спецификации. "Оранжевая книга" как оценочный стандарт Основные понятия Мы приступаем к обзору стандартов и спецификаций двух разных видов:
Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры. Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США "Критерии оценки доверенныхкомпьютерныхсистем". Данный труд, называемый чаще всего по цвету обложки "Оранжевой книгой", был впервые опубликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах, то есть системах, которым можно оказать определеннуюстепень доверия. "Оранжевая книга" поясняет понятие безопасной системы, которая "управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию". Очевидно, однако, что абсолютно безопасных системне существует, это абстракция. Есть смысл оценивать лишьстепень доверия, которое можно оказать той или иной системе. В "Оранжевой книге" доверенная системаопределяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа". Обратим внимание, что в рассматриваемых Критериях и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности (статической). Вопросы доступности "Оранжевая книга" не затрагивает. Степень доверияоценивается по двум основным критериям.
Важным средством обеспечения безопасности является механизм подотчетности(протоколирования).Доверенная системадолжна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то естьанализом регистрационной информации. Концепция доверенной вычислительной базыявляется центральной при оценкестепени довериябезопасности.Доверенная вычислительная база - это совокупность защитных механизмов ИС (включая аппаратное и программное обеспечение), отвечающих за проведение в жизньполитики безопасности. Качество вычислительной базы определяется исключительно еереализациейи корректностью исходных данных, которые вводит системный администратор. Вообще говоря, компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС достаточно рассмотреть только ее вычислительную базу, которая, как можно надеяться, достаточно компактна. Основное назначение доверенной вычислительной базы- выполнять функциимонитора обращений, то есть контролировать допустимость выполнения субъектами (активными сущностями ИС, действующими от имени пользователей) определенных операций над объектами (пассивными сущностями). Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности с набором действий, допустимых для пользователя. Монитор обращенийдолжен обладать тремя качествами:
Реализациямонитора обращенийназываетсяядром безопасности.Ядро безопасности- это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойствмонитора обращений, ядро должно гарантировать собственную неизменность. Границу доверенной вычислительной базыназываютпериметром безопасности. Как уже указывалось, компоненты, лежащие внепериметра безопасности, вообще говоря, могут не быть доверенными. С развитием распределенных систем понятию"периметр безопасности"все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, - нет. |