Нормативные документы, регламентирующие оценку защищенности ит
№ п/п |
Номер документа |
Описание |
1 |
ГОСТ Р ИСО 7498-2-99 |
Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации |
2 |
ГОСТ Р ИСО/МЭК 9594-8-98 |
Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации |
3 |
ГОСТ Р ИСО/МЭК 9594-9-95 |
Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование |
4 |
- |
Руководящий документ Гостехкоммиссии "РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1997) |
5 |
ГОСТ Р 50739-95 |
"Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" |
6 |
ГОСТ 28147-89 |
Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования |
7 |
ГОСТ Р 34.10-94 |
Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма |
8 |
ГОСТ Р 34.11-94 |
Информационная технология. Криптографическая защита информации. Функция хэширования |
Все имеющиеся на сегодняшний день стандарты являются разноуровневыми. Это значит, что их применение ограничено определенным уровнем абстракции в информационных системах (например, нельзя применять "Common Criteria" для детального описания механизма выработки сеансового ключа в протоколе TLS). Очевидно, что для эффективного применения стандартов необходимо хорошо знать об их уровне и назначении.
Так, при формировании политики безопасности и системы оценок эффективности, а также при проведении комплексных испытаний защищенности лучше всего использовать положения ISO 15408 ("Common Criteria"). Для реализации и оценки технического совершенства систем шифрования и электронно-цифровой подписи предназначены соответствующие ГОСТы. Если нужно защитить канал обмена произвольной информацией, то целесообразно использовать протокол TLS. Когда же речь идет не просто о защите линии связи, а о безопасности финансовых транзакций, в дело вступает SET, включающий в себя протоколы защиты каналов в качестве одного из стандартов более низкого уровня.
Применение стандартов дает уверенность в том, что подсистема информационной безопасности реализуема и достаточна для соответствия сформулированным требованиям. В то же время практика внедрения средств защиты позволяет выделить специфичные для данной системы вопросы, обратить внимание на критичные моменты как с точки зрения организации подсистемы информационной безопасности, так и с точки зрения ее последующей эксплуатации. Наконец, практика разработки собственных средств защиты дает возможность более четко представлять, почему применяемые решения (даже если это решения сторонних фирм) построены именно таким образом, позволяет выделить наиболее и наименее надежные конструктивные особенности применяемых решений.
Руководящие документы Гостехкомиссии РФ |
Показатели защищенности от НДС к информации». 1992
|
-
Нормативы и стандарты
Наличие стандартов служит наиболее важным свидетельством зрелости подхода к обеспечению информационной безопасности. Существует целый ряд отечественных и международных стандартов, которые делятся на нормативные (требования к средствам защиты информации), функциональные (основные действия по защите информации) и технологические (отдельные технологические протоколы и форматы работы механизмов безопасности).
В последние годы по инициативе Гостехкомиссии проводится большая работа по гармонизации отечественной и международной нормативной базы. В рамках этой работы выполнена адаптация стандарта ISO 15408 и предложен отечественный стандарт ГОСТ Р ИСО/МЭК 15408-х-2002.
Стандарт ГОСТ/ ИСО 15408 служит для унификации описания требований и решений в отношении средств защиты информации. Необходимо отметить его продуманное сопряжение с существующей нормативной базой, возможностью конкретизации старых требований в новых терминах. Примером функционального стандарта может служить стандарт ГОСТ Р 51583-2000, описывающий этапность построения защищенных информационных систем. Важным функциональным стандартом является документ СТР-К.
ГОСТ Р 50922-96. Защита информации. Основные термины и определения.
ГОСТ Р 50739-95. Средства ВТ. Защита от НСД к информации. Общие технические требования.
ГОСТ Р 51275-99. Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения.
ГОСТ Р 51583-2000. Защита информации. Порядок создания систем в защищенном исполнении.
ГОСТ Р ИСО/МЭК 15408-х-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
ISO 15408. Information technology. Security technigues. Evaluation criteria for IT security.
Составляющие функциональной безопасности
Составными частями концепции функциональной безопасности являются организационные меры и программно-технические средства (рис.1), реализующие механизмы безопасности. В качестве третьего компонента следует назвать оптимизацию архитектуры информационной системы. В строго структурированной системе с четко выделенными компонентами (клиент, сервер приложений, ресурсный сервер) контрольные точки выделяются достаточно четко, что решает задачу доказательства достаточности применяемых средств защиты и обеспечения невозможности обхода этих средств потенциальным нарушителем.
Рис.1. Структура программно-технических средств информационной безопасности
Этапы построения систем безопасности
Концепция функциональной безопасности определяет этапы построения подсистемы информационной безопасности в соответствии со стандартизованной этапностью: обследование, анализ рисков и реализация первоочередных мер защиты, проектирование, внедрение и аттестация, сопровождение системы.
Аудит безопасности
Аудит безопасности понимается сегодня достаточно широко. За этим названием скрываются, по крайней мере, четыре различных группы работ.
К первой группе относятся так называемые «тестовые взломы» систем информационной безопасности. Об этом виде аудита обычно пишут как о наиболее серьезном тесте защищенности, что абсолютно не оправдано. Причина малой эффективности «тестовых взломов» с точки зрения получения сведений, насколько правильно защищена сеть, скрывается в самой постановке задачи. В самом деле, основной задачей «взломщика» является обнаружение одной-двух уязвимостей и их максимальная эксплуатация для доступа в систему. Если тест оказался успешным, то, предотвратив потенциальное развитие возможных сценариев «взлома», работу надо начинать сначала и искать следующие. Неуспех «взлома» может означать в равной мере, как защищенность системы, так и недостаточность тестов. Вторая группа — экспресс-обследование. В рамках этой, обычно непродолжительной, работы оценивается общее состояние механизмов безопасности в обследуемой системе на основе стандартизованных проверок. Экспресс-обследование обычно проводится в случае, когда необходимо определить приоритетные направления, позволяющие обеспечить минимальный уровень защиты информационных ресурсов. Основу для него составляют списки контрольных вопросов, заполняемые как в результате интервьюирования, так и в результате работы автоматизированных сканеров защищенности.
Третья группа работ по аудиту — аттестация систем на соответствие требованиям защищённости - информационных ресурсов. При этом происходит формальная проверка набора требований как организационного, так и технического аспектов, рассматриваются полнота и достаточность реализации механизмов безопасности. Количество информационных систем, аттестуемых на соответствие требованиям защиты информации, постоянно растет, несмотря на то, что эти работы связаны со значительными затратами и существенной вовлеченностью в них сотрудников организации, в которой она производится.
Наконец, самый трудоемкий вариант аудита — предпроектное обследование. Такой аудит предполагает анализ организационной структуры предприятия в приложении к информационным ресурсам, правила доступа сотрудников к тем или иным приложениям. Затем выполняется анализ самих приложений. После этого должны учитываться конкретные службы доступа с одного уровня на другой, а также службы, требуемые для информационного обмена. Затем картина дополняется встроенными механизмами безопасности, что в сочетании с оценками потерь в случае нарушения информационной безопасности дает основания для ранжирования рисков, существующих в информационной системе, и выработки адекватных контрмер. Успешное проведение предпроектного обследования и анализа рисков определяет, насколько принятые меры будут, с одной стороны, экономически оправданы, с другой — адекватны угрозам.
Проектирование системы
Возможны два подхода к построению подсистемы информационной безопасности — продуктовый и проектный.
В рамках продуктового подхода выбирается набор средств защиты, анализируются их функции, а на основе анализа функций определяется политика доступа к информационным ресурсам.
Альтернативой такому подходу является первоначальная проработка политики доступа, на основе которой определяются функции, необходимые для ее реализации, и производится выбор продуктов, обеспечивающих выполнение этих функций.
Продуктовый подход более дешев с точки зрения затрат на проектирование. Кроме того, он часто является единственно возможным в условиях дефицита решений (например, для криптографической защиты применяется исключительно такой подход). Проектный подход заведомо более полон, и системы, построенные на его основе, более оптимизированы и аттестуемы.
Проектный подход предпочтительнее и при создании больших гетерогенных систем, поскольку в отличие от продуктового подхода он не связан изначально с той или иной платформой. Кроме того, он обеспечивает более долговременные решения, поскольку допускает проведение замены продуктов и решений без изменения политики доступа.
Объекты или приложения
С точки зрения проектной архитектуры подсистемы информационной безопасности обычно применяются объектный, прикладной или смешанный подход.
Объектный подход строит защиту информации на основании структуры того или иного объекта (здания, подразделения, предприятия). Применение объектного подхода предполагает использование набора универсальных решений для обеспечения механизмов безопасности, поддерживающих однородный набор организационных мер. Классическим примером такого подхода является построение защищенных инфраструктур внешнего информационного обмена, локальной сети, системы телекоммуникаций и т.д.
К недостаткам объектного подхода относятся очевидная неполнота его универсальных механизмов, особенно для организаций с большим набором сложно связанных между собой приложений.
Прикладной подход строит механизмы безопасности в привязке к конкретному приложению. Пример прикладного подхода — защита подсистемы либо отдельных задач автоматизации (бухгалтерия, кадры и т.д.). При большей полноте защитных мер такого подхода у него имеются и недостатки, а именно необходимость увязывать различные средства безопасности с целью минимизации затрат на администрирование и эксплуатацию, а также с необходимостью задействовать уже существующие средства защиты информации для сохранения инвестиций. Возможна комбинация двух описанных подходов.
В смешанном подходе информационная система представляется как совокупность объектов, для каждого из которых определена область использования универсальных средств реализации механизмов безопасности с применением вне этой области прикладного подхода. Такой подход оказывается более трудоемким на стадии проектирования, однако часто дает преимущества в стоимости внедрения и эксплуатации системы защиты информации.
Службы и механизмы безопасности
С точки зрения стратегии защиты выделяют ресурсный подход, рассматривающий систему как набор ресурсов и привязывающий компоненты подсистемы информационной безопасности к ресурсам, и сервисный подход, трактующий систему как набор служб, предоставляемых пользователям.
При реализации ресурсного подхода задачу защиты информации необходимо решать без дополнительных ограничений на структуру служб, что в условиях неоднородной системы не представляется возможным.
Сегодня сервисный подход представляется предпочтительным, поскольку привязывается к реализованным в системе службам и позволяет исключить широкий класс угроз при помощи отказа от «лишних» служб, делая структуру подсистемы информационной безопасности более логически обоснованной. Именно сервисный подход лежит в основе современных стандартов по безопасности, в частности, ISO 15408.
Внедрение и аттестация
Этап внедрения включает целый комплекс последовательно проводимых мероприятий, включая установку и конфигурирование средств защиты, обучение персонала работе со средствами защиты, проведение предварительных испытаний и сдача в опытную эксплуатацию. Опытная эксплуатация позволяет выявить и устранить возможные недостатки функционирования подсистемы информационной безопасности, прежде чем запустить систему в «боевой» режим.
Если в процессе опытной эксплуатации выявлены факты некорректной работы компонентов, проводится корректировка настроек средств защиты, режимов их функционирования и т.п. По результатам опытной эксплуатации проводится внесение корректировок (при необходимости) и уточнение настроек средств защиты. Далее следует проведение приемосдаточных испытаний, ввод в штатную эксплуатацию и оказание технической поддержки и сопровождения.
Подтверждение функциональной полноты подсистемы безопасности и обеспечения требуемого уровня защищенности системы обеспечивается проведением аттестации системы уполномоченным центром Гостехкомиссии.
Аттестация предусматривает комплексную проверку защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности. Аттестация проводится в соответствии со схемой, составляемой на подготовительном этапе исходя из следующего перечня работ:
анализа исходных данных, предварительное ознакомление с аттестуемым объектом и информатизации;
экспертного обследования объекта информатизации и анализ документации по защите информации на предмет соответствия требованиям;
испытания отдельных средств и систем защиты информации на аттестуемом объекте с помощью специальной контрольной аппаратуры и тестовых средств;
испытания отдельных средств и систем защиты информации в испытательных центрах (лабораториях);
комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
анализа результатов экспертного обследования и аттестационных испытаний и утверждение заключения по результатам аттестации объекта информатизации.
По результатам испытаний готовится отчетная документация, проводится оценка результатов испытаний и выдается аттестат соответствия установленного образца. Его наличие дает право обработки информации со степенью конфиденциальности и на период времени, установленными в аттестате.
Техническая поддержка и сопровождение
Для поддержания работоспособности подсистемы информационной безопасности и бесперебойного выполнения ей своих функций необходимо предусмотреть комплекс мероприятий по технической поддержке и сопровождению программного и аппаратного обеспечения подсистемы информационной безопасности, включая текущее администрирование, работы, проводимые в экстренных случаях, а также периодически проводимые профилактические работы.
Данный комплекс мероприятий включает в себя:
техническое обслуживание средств защиты;
администрирование штатных средств защиты;
контроль состояния системы, профилактическое обследование конфигурации, выявление потенциальных проблем;
мониторинг и установка выпускаемых обновлений и программных коррекций средств защиты, а также используемых ОС, СУБД и приложений;
диагностику неисправностей и проведение восстановительных работ при возникновении аварийных и нештатных ситуаций;
регулярный поиск и анализ уязвимостей в защищаемой системе с использованием специальных средств сканирования;
периодическое тестирование подсистемы информационной безопасности и оценка эффективности защиты.
Техническая поддержка и сопровождение подсистемы информационной безопасности требует наличия у обслуживающего персонала определенных знаний и навыков и может осуществляться как штатными сотрудниками организации-владельца защищаемой системы, ответственными за информационную безопасность, так и сотрудниками специализированных организаций.
Концепция функциональной безопасности предлагает набор базовых положений, определяющих основные подходы, решения и методы обеспечения защиты информационных ресурсов современных корпоративных систем.
Использование основных положений концепций при организации и проведении работ по защите служит основой построения эффективной и надежной системы обеспечения информационной безопасности, способной развиваться и модифицироваться вместе с общим развитием корпоративной системы.