Нормативные документы, регламентирующие оценку защищенности ит

№ п/п	Номер документа	Описание
1	ГОСТ Р ИСО 7498-2-99	Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
2	ГОСТ Р ИСО/МЭК 9594-8-98	Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации
3	ГОСТ Р ИСО/МЭК 9594-9-95	Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование
4	-	Руководящий документ Гостехкоммиссии "РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1997)
5	ГОСТ Р 50739-95	"Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования"
6	ГОСТ 28147-89	Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования
7	ГОСТ Р 34.10-94	Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма
8	ГОСТ Р 34.11-94	Информационная технология. Криптографическая защита информации. Функция хэширования

Все имеющиеся на сегодняшний день стандарты являются разноуровневыми. Это значит, что их применение ограничено определенным уровнем абстракции в информационных системах (например, нельзя применять "Common Criteria" для детального описания механизма выработки сеансового ключа в протоколе TLS). Очевидно, что для эффективного применения стандартов необходимо хорошо знать об их уровне и назначении.

Так, при формировании политики безопасности и системы оценок эффективности, а также при проведении комплексных испытаний защищенности лучше всего использовать положения ISO 15408 ("Common Criteria"). Для реализации и оценки технического совершенства систем шифрования и электронно-цифровой подписи предназначены соответствующие ГОСТы. Если нужно защитить канал обмена произвольной информацией, то целесообразно использовать протокол TLS. Когда же речь идет не просто о защите линии связи, а о безопасности финансовых транзакций, в дело вступает SET, включающий в себя протоколы защиты каналов в качестве одного из стандартов более низкого уровня.

Применение стандартов дает уве­ренность в том, что подсистема информационной безопасности реализуема и достаточна для соответ­ствия сформулированным требованиям. В то же вре­мя практика внедрения средств защиты позволяет выделить специфичные для данной системы вопро­сы, обратить внимание на критичные моменты как с точки зрения организации подсистемы информа­ционной безопасности, так и с точки зрения ее последующей эксплуатации. Наконец, практика разра­ботки собственных средств защиты дает возмож­ность более четко представлять, почему применяе­мые решения (даже если это решения сторонних фирм) построены именно таким образом, позволяет выделить наиболее и наименее надежные конструктивные особенности применяемых решений.

Руководящие документы Гостехкомиссии РФ

«Концепция защиты СВТ и АС от НСД к информации». 1992 «Защита от НСД к информации. Термины и определения». 1992 «Средства ВТ. Защита от НСД к информации. Показатели надежности от НСД к информации». 1992 «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации». 1992 «Средства ВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НДС к информации». 1992 Руководящий документ. «Защита от НСД к информации». Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». 1999 Специальные технические требования и рекомендации по технической защите конфиденциальной информации (СТР-К, проект). 2002 Положение по аттестации объектов информатизации по требованиям безопасности информации. 1994

Нормативы и стандарты

Наличие стандартов служит наиболее важным свидетельством зрелости подхода к обеспечению информационной безопасности. Существует целый ряд отечественных и международных стандартов, которые делятся на нормативные (требования к средствам защиты информации), функциональные (основные действия по защите информации) и технологические (отдельные технологические протоколы и форматы работы механизмов безопасности). В последние годы по инициативе Гостехкомиссии проводится большая работа по гармонизации отечественной и международной нормативной базы. В рамках этой работы выполнена адаптация стандарта ISO 15408 и предложен отечественный стандарт ГОСТ Р ИСО/МЭК 15408-х-2002. Стандарт ГОСТ/ ИСО 15408 служит для унификации описания требований и решений в отношении средств защиты информации. Необходимо отметить его продуманное сопряжение с существующей нормативной базой, возможностью конкретизации старых требований в новых терминах. Примером функционального стандарта может служить стандарт ГОСТ Р 51583-2000, описывающий этапность построения защищенных информационных систем. Важным функциональным стандартом является документ СТР-К. ГОСТ Р 50922-96. Защита информации. Основные термины и определения. ГОСТ Р 50739-95. Средства ВТ. Защита от НСД к информации. Общие технические требования. ГОСТ Р 51275-99. Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р 51583-2000. Защита информации. Порядок создания систем в защищенном исполнении. ГОСТ Р ИСО/МЭК 15408-х-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». ISO 15408. Information technology. Security technigues. Evaluation criteria for IT security.

Составляющие функциональной безопасности

Составными частями концепции функциональ­ной безопасности являются организационные меры и программно-технические средства (рис.1), реализующие механизмы безопасности. В качестве третьего ком­понента следует назвать оптимизацию архитектуры информационной системы. В строго структурированной системе с четко выделен­ными компонентами (клиент, сервер приложений, ресурсный сервер) контрольные точки выделяются достаточно четко, что решает задачу доказательства достаточности применяемых средств защиты и обес­печения невозможности обхода этих средств потенциальным нарушителем.

Рис.1. Структура программно-технических средств информационной безопасности

Этапы построения систем безопасности

Концепция функциональной безопасности опреде­ляет этапы построения подсистемы информацион­ной безопасности в соответствии со стандартизован­ной этапностью: обследование, анализ рисков и реа­лизация первоочередных мер защиты, проектирование, внедрение и аттестация, сопровождение систе­мы.

Аудит безопасности

Аудит безопасности понимается сегодня достаточно широко. За этим названием скрываются, по край­ней мере, четыре различных группы работ.

К первой группе относятся так называемые «тестовые взломы» систем информационной безопасно­сти. Об этом виде аудита обычно пишут как о наи­более серьезном тесте защищенности, что абсолют­но не оправдано. Причина малой эффективности «тестовых взломов» с точки зрения получения сведе­ний, насколько правильно защищена сеть, скрывает­ся в самой постановке задачи. В самом деле, основ­ной задачей «взломщика» является обнаружение одной-двух уязвимостей и их максимальная эксплуата­ция для доступа в систему. Если тест оказался ус­пешным, то, предотвратив потенциальное развитие возможных сценариев «взлома», работу надо начи­нать сначала и искать следующие. Неуспех «взлома» может означать в равной мере, как защищенность системы, так и недостаточность тестов. Вторая группа — экспресс-обследование. В рамках этой, обычно непродолжительной, работы оце­нивается общее состояние механизмов безопасно­сти в обследуемой системе на основе стандартизо­ванных проверок. Экспресс-обследование обычно проводится в случае, когда необходимо определить приоритетные направления, позволяющие обеспе­чить минимальный уровень защиты информацион­ных ресурсов. Основу для него составляют списки контрольных вопросов, заполняемые как в результа­те интервьюирования, так и в результате работы автоматизированных сканеров защищенности.

Третья группа работ по аудиту — аттестация систем на соответствие требованиям защищённости - ин­формационных ресурсов. При этом происходит фор­мальная проверка набора требований как организа­ционного, так и технического аспектов, рассматрива­ются полнота и достаточность реализации механиз­мов безопасности. Количество информационных си­стем, аттестуемых на соответствие требованиям защи­ты информации, постоянно растет, несмотря на то, что эти работы связаны со значительными затратами и существенной вовлеченностью в них сотрудников организации, в которой она производится.

Наконец, самый трудоемкий вариант аудита — предпроектное обследование. Такой аудит предпола­гает анализ организационной структуры предпри­ятия в приложении к информационным ресурсам, правила доступа сотрудников к тем или иным при­ложениям. Затем выполняется анализ самих прило­жений. После этого должны учитываться конкрет­ные службы доступа с одного уровня на другой, а также службы, требуемые для информационного об­мена. Затем картина дополняется встроенными ме­ханизмами безопасности, что в сочетании с оценками потерь в случае нарушения информационной безопасности дает основания для ранжирования ри­сков, существующих в информационной системе, и выработки адекватных контрмер. Успешное прове­дение предпроектного обследования и анализа рис­ков определяет, насколько принятые меры будут, с одной стороны, экономически оправданы, с другой — адекватны угрозам.

Проектирование системы

Возможны два подхода к построению подсистемы информационной безопасности — продуктовый и проектный.

В рамках продуктового подхода выбирается на­бор средств защиты, анализируются их функции, а на основе анализа функций определяется политика доступа к информационным ресурсам.

Альтернативой такому подходу является первона­чальная проработка политики доступа, на основе которой определяются функции, необходимые для ее реализации, и производится выбор продуктов, обеспечивающих выполнение этих функций.

Продуктовый подход более дешев с точки зрения затрат на проектирование. Кроме того, он часто яв­ляется единственно возможным в условиях дефици­та решений (например, для криптографической за­щиты применяется исключительно такой подход). Проектный подход заведомо более полон, и систе­мы, построенные на его основе, более оптимизиро­ваны и аттестуемы.

Проектный подход предпочтительнее и при создании больших гетерогенных систем, поскольку в отличие от продуктового подхода он не связан изначально с той или иной платформой. Кроме того, он обеспечивает более долговременные решения, поскольку допускает проведение замены продуктов и решений без изменения поли­тики доступа.

Объекты или приложения

С точки зрения проектной архитектуры подсистемы информационной безопасности обычно применяют­ся объектный, прикладной или смешанный подход.

Объектный подход строит защиту информации на основании структуры того или иного объекта (здания, подразделения, предприятия). Применение объектного подхода предполагает использование на­бора универсальных решений для обеспечения ме­ханизмов безопасности, поддерживающих однород­ный набор организационных мер. Классическим примером такого подхода является построение за­щищенных инфраструктур внешнего информаци­онного обмена, локальной сети, системы телеком­муникаций и т.д.

К недостаткам объектного подхода относятся очевидная неполнота его универсальных механизмов, особенно для организаций с большим набором сложно связанных между собой приложе­ний.

Прикладной подход строит механизмы безопас­ности в привязке к конкретному приложению. Пример прикладного подхода — защита подсисте­мы либо отдельных задач автоматизации (бухгалте­рия, кадры и т.д.). При большей полноте защитных мер такого подхода у него имеются и недос­татки, а именно необходимость увязывать различ­ные средства безопасности с целью минимизации затрат на администрирование и эксплуатацию, а также с необходимостью задействовать уже сущест­вующие средства защиты информации для сохра­нения инвестиций. Возможна комбинация двух описанных подхо­дов.

В смешанном подходе информационная сис­тема представляется как совокупность объектов, для каждого из которых определена область ис­пользования универсальных средств реализации механизмов безопасности с применением вне этой области прикладного подхода. Такой подход оказывается более трудоемким на стадии проекти­рования, однако часто дает преимущества в стои­мости внедрения и эксплуатации системы защиты информации.

Службы и механизмы безопасности

С точки зрения стратегии защиты выделяют ресурс­ный подход, рассматривающий систему как набор ресурсов и привязывающий компоненты подсисте­мы информационной безопасности к ресурсам, и сервисный подход, трактующий систему как набор служб, предоставляемых пользователям.

При реализации ресурсного подхода задачу за­щиты информации необходимо решать без допол­нительных ограничений на структуру служб, что в условиях неоднородной системы не представляется возможным.

Сегодня сервисный подход представляется пред­почтительным, поскольку привязывается к реализо­ванным в системе службам и позволяет исключить широкий класс угроз при помощи отказа от «лиш­них» служб, делая структуру подсистемы информа­ционной безопасности более логически обоснован­ной. Именно сервисный подход лежит в основе сов­ременных стандартов по безопасности, в частности, ISO 15408.

Внедрение и аттестация

Этап внедрения включает целый комплекс последова­тельно проводимых мероприятий, включая установку и конфигурирование средств защиты, обучение пер­сонала работе со средствами защиты, проведение предварительных испытаний и сдача в опытную эксплуатацию. Опытная эксплуатация позволяет выявить и устранить возможные недостатки функционирова­ния подсистемы информационной безопасности, прежде чем запустить систему в «боевой» режим.

Если в процессе опытной эксплуатации выявле­ны факты некорректной работы компонентов, про­водится корректировка настроек средств защиты, ре­жимов их функционирования и т.п. По результатам опытной эксплуатации проводится внесение корректировок (при необходимости) и уточнение настро­ек средств защиты. Далее следует проведение приемосдаточных испытаний, ввод в штатную эксплуа­тацию и оказание технической поддержки и сопро­вождения.

Подтверждение функциональной полноты под­системы безопасности и обеспечения требуемого уровня защищенности системы обеспечивается про­ведением аттестации системы уполномоченным центром Гостехкомиссии.

Аттестация предусматривает комплексную про­верку защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия приме­няемого комплекса мер и средств защиты требуемо­му уровню безопасности. Аттестация проводится в соответствии со схемой, составляемой на подготови­тельном этапе исходя из следующего перечня работ:

• анализа исходных данных, предварительное озна­комление с аттестуемым объектом и информатизации;

• экспертного обследования объекта информатизации и анализ документации по защите информации на предмет соответствия требованиям;

• испытания отдельных средств и систем защиты информации на аттестуемом объекте с помощью специальной контрольной аппаратуры и тестовых средств;

• испытания отдельных средств и систем защиты информации в испытательных центрах (лабораториях);

• комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуата­ции;

• анализа результатов экспертного обследования и аттестационных испытаний и утверждение заключе­ния по результатам аттестации объекта информати­зации.

По результатам испытаний готовится отчетная документация, проводится оценка результатов испы­таний и выдается аттестат соответствия установлен­ного образца. Его наличие дает право обработки ин­формации со степенью конфиденциальности и на период времени, установленными в аттестате.

Техническая поддержка и сопровождение

Для поддержания работоспособности подсистемы информационной безопасности и бесперебойного выполнения ей своих функций необходимо преду­смотреть комплекс мероприятий по технической поддержке и сопровождению программного и аппа­ратного обеспечения подсистемы информационной безопасности, включая текущее администрирование, работы, проводимые в экстренных случаях, а также периодически проводимые профилактиче­ские работы.

Данный комплекс мероприятий вклю­чает в себя:

• техническое обслуживание средств защиты;

• администрирование штатных средств защиты;

• контроль состояния системы, профилактическое обследование конфигурации, выявление потенци­альных проблем;

• мониторинг и установка выпускаемых обновле­ний и программных коррекций средств защиты, а также используемых ОС, СУБД и приложений;

• диагностику неисправностей и проведение вос­становительных работ при возникновении аварий­ных и нештатных ситуаций;

• регулярный поиск и анализ уязвимостей в защи­щаемой системе с использованием специальных средств сканирования;

• периодическое тестирование подсистемы информационной безопасности и оценка эффективности защиты.

Техническая поддержка и сопровождение подси­стемы информационной безопасности требует на­личия у обслуживающего персонала определенных знаний и навыков и может осуществляться как штат­ными сотрудниками организации-владельца защи­щаемой системы, ответственными за информацион­ную безопасность, так и сотрудниками специализи­рованных организаций.

Концепция функциональной безопасности предла­гает набор базовых положений, определяющих основные подходы, решения и методы обеспечения защиты информационных ресурсов современных корпоративных систем.

Использование основных положений концепций при организации и проведении работ по защите служит основой построения эффективной и надеж­ной системы обеспечения информационной безо­пасности, способной развиваться и модифициро­ваться вместе с общим развитием корпоративной системы.