Введение ПЗ
Описание ОО
Среда
безопасности ОО Предположения
безопасности
Угрозы
Политика
безопасности организации
Цели
безопасности Цели
безопасности для ОО
Цели
безопасности для среды
Требования
безопасности ИТ
Требования
безопасности для ОО
безопасности
ОО
Требования
безопасности Требования доверия
для среды ИТ к
безопасности ОО
Замечания по применению
Обоснование
Логическое
обоснование требований безопасности
Профиль защиты
Идентификация
ПЗ
Функциональные
требования
Логическое
обоснование целей безопасности
35. Назначение и содержание задания по безопасности
. Краткий обзор
ЗБ содержит требования безопасности ИТ для конкретного ОО и специфицирует функции безопасности и меры доверия, предлагаемые объектом оценки для удовлетворения установленных требований.
ЗБ для ОО является основой для соглашения между разработчиками, оценщиками и, где необходимо, потребителями по характеристикам безопасности ОО и области применения оценки. Круг лиц, заинтересованных в ЗБ, не ограничивается только ответственными за разработку ОО и его оценку, но может включать также ответственных за управление, маркетинг, продажу, инсталляцию, конфигурирование, функционирование и использование ОО.
Содержание задания по безопасности
Введение ЗБ
Введение ЗБ должно содержать информацию для управления документооборотом и обзорную информацию.
Описание ОО
Эта часть ЗБ должна содержать описание ОО, служащее цели лучшего понимания его требований безопасности и дающее представление о типе продукта или системы. Область и ограничения применения ОО должны быть описаны в общих терминах, как в отношении физической (аппаратные и/или программные компоненты/модули), так и логической его организации (характерные возможности ИТ и безопасности, предлагаемые объектом оценки).
Среда безопасности ОО
Изложение среды безопасности ОО должно содержать описание аспектов безопасности среды, в которой предполагается использовать ОО, и ожидаемый способ его применения.
Цели безопасности
Изложение целей безопасности должно определять цели безопасности как для ОО, так и для его среды. Цели безопасности должны учитывать все установленные аспекты среды безопасности. Цели безопасности должны отражать изложенное намерение противостоять всем установленным угрозам и быть подходящими для этого, а также охватывать все предположения безопасности и установленную политику безопасности организации.
Требования безопасности ИТ
В этой части ЗБ подробно определяются требования безопасности ИТ, которые должны удовлетворяться ОО или его средой.
Краткая спецификация ОО
Краткая спецификация ОО должна определить отображение требований безопасности для ОО. Эта спецификация должна предоставить описание функций безопасности и мер доверия к ОО, которые отвечают требованиям безопасности ОО.
Утверждения о соответствии ПЗ
В ЗБ могут быть утверждения, что ОО соответствует требованиям одного или, возможно, нескольких ПЗ. Для каждого из имеющихся утверждений ЗБ должно включать изложение утверждения о соответствии ПЗ, содержащее объяснение, строгое обоснование и любые другие вспомогательные материалы, необходимые для подкрепления данного утверждения.
Обоснование
В этой части ЗБ представляется свидетельство, используемое при оценке ЗБ. Это свидетельство поддерживает утверждения, что ЗБ является полной и взаимосвязанной совокупностью требований, и что соответствующий ему ОО обеспечит эффективный набор контрмер безопасности ИТ в определенной среде безопасности, а краткая спецификация ОО согласуется с требованиями. Обоснование также демонстрирует, что все утверждения о соответствии ПЗ справедливы.
ЗАДАНИЕ ПО БЕЗОПАСНОСТИ
Введение ЗБ
Аннотация
ЗБ
Описание ОО
Среда безопасности
ОО
Угрозы
Политика
безопасности организации
Цели безопасности
Цели
безопасности для среды
Требования
безопасности ИТ
Требования
безо-пасности для ОО
безопасности
ОО
Требования
безопасности Требования доверия
для среды ИТ к
безопасности ОО
Краткая спецификация
ОО
Меры
доверия
Утверждения о
соответствии ПЗ
Ссылка
на ПЗ
Конкретизация
ПЗ
Д
Обоснование
Логическое
обоснование требований безопасности
Логическое
обоснование краткой спецификации ОО
Логическое
обоснование утверждений о соответствии
ПЗ
Идентификация
ЗБ
Предположения
безопасности
Цели
безопасности для ОО
Функциональные
требования
Функции
безопасности ОО
Логическое
обоснование целей безопасности
На данный момент в информационной безопасности нет устоявшегося определения аудита.
«Аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам, с последующей оценкой рисков сбоев в их функционировании
«Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности»
Таким образом, аудит в данном случае сводится к проверке системы информационной безопасности и сравнению результатов данной проверки с неким идеалом. Для различных видов аудита различается все три составляющие услуги аудита: средства и способы проверки, результат проверки и идеал, с которым сравнивается результат проверки.
АКТИВНЫЙ АУДИТ
Одним из самых распространенных видов аудита является активный аудит. Это исследование состояния защищенности информационной системы с точки зрения хакера.
Суть активного аудита состоит в том, что с помощью специального программного обеспечения и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает хакеру проникнуть в сети и нанести урон компании.
При осуществлении данного вида аудита на систему сетевой защиты моделируется как можно большее количество таких сетевых атак, которые может выполнить хакер. При этом аудитор искусственно ставится именно в те условия, в которых работает хакер. Естественно, атаки всего лишь моделируются и не оказывают какого-либо деструктивного воздействия на информационную систему. Результатом активного аудита является информация обо всех уязвимостях, степени их критичности и методах устранения, сведения о широкодоступной информации сети заказчика.
По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимости и тем самым повысить уровень защищенности информационной системы от действий «внешнего» злоумышленника при минимальных затратах на информационную безопасность.
Однако без проведения других видов аудита эти рекомендации могут оказаться недостаточными для создания «идеальной» системы сетевой защиты. Например, по результатам данного вида аудита нельзя сделать вывод о корректности, с точки зрения безопасности, проекта информационной системы.
Активный аудит условно можно разделить на два вида: «внешний» активный аудит и «внутренний» активный аудит.
При «внешнем» активном аудите специалисты моделируют действия «внешнего» злоумышленника.
При «внутреннем» акт. аудите специалисты моделируют действия «внутреннего» злоумышленника.
ЭКСПЕРТНЫЙ АУДИТ
Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием.
При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями заказчика проводят следующие виды работ:
сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития);
сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ;
определение точек ответственности систем, устройств и серверов ИС;
формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.
Ключевой этап экспертного аудита — анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы.
По результатам работ данного этапа предлагаются изменения в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.
Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков ИС организации и составляется их диаграмма, где для каждого информационного потока указывается его ценность и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока.
На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации.
В рамках экспертного аудита производится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности.
Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности.
АУДИТ НА СООТВЕТСТВИЕ СТАНДАРТАМ
При проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.
Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:
степень соответствия проверяемой информационной системы выбранным стандартам;
степень соответствия собственным внутренним требованиям компании в области информационной безопасности;
количество и категории полученных несоответствий и замечаний;
рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести её в соответствие с рассматриваемым стандартом;
подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.
Международный стандарт ISO/IEC 17799 «Информационные технологии. Управление информационной безопасностью». На сегодняшний день является одним из самых распространенных и широко применяемым стандартом во всем мире.