Стандартизация подходов к обеспечению информационной безопасности

Специалистам в области информационной безопасности сегодня практически невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько веских причин. Формальная причина состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и «Руководящим документам» Гостехкомиссии России) закреплена законодательно. Убедительны и содержательные причины. Во-первых, стандарты и спецификации — одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях информационной безопасности и ИС. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными компаниями в области разработки программного обеспечения и безопасности программных средств. Во-вторых, и те и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в интернет-сообществе это средство работает весьма эффективно.

На верхнем уровне можно выделить две существенно отличающиеся друг от друга группы стандартов и спецификаций:

• 1) оценочные стандарты, предназначенные для оценки и классификации ИС и средств защиты по требованиям безопасности;
• 2) спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.

Эти группы дополняют друг друга. Оценочные стандарты описывают важнейшие с точки зрения информационной безопасности понятия и аспекты ИС, играя роль организационных и архитектурных спецификаций. Специализированные стандарты и спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.

Из числа оценочных необходимо выделить стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем» и его интерпретацию для сетевых конфигураций, «Гармонизированные критерии Европейских стран», международный стандарт «Критерии оценки безопасности информационных технологий» и, конечно, «Руководящие документы» Гостехкомиссии России. К этой же группе относится и Федеральный стандарт США «Требования безопасности для криптографических модулей», регламентирующий конкретный, но очень важный и сложный аспект информационной безопасности.

Технические спецификации, применимые к современным распределенным ИС, создаются главным образом «Тематической группой по технологии Интернет» (Internet Engineering Task Force — IETF) и ее подразделением — рабочей группой по безопасности. Ядром технических спецификаций служат документы по безопасности на IP-уровне (IPSec). Кроме этого, анализируется защита на транспортном уровне (Transport Layer Security — TLS), а также на уровне приложений (спецификации GSS-API, Kerberos). Интернет-сообщество уделяет должное внимание административному и процедурному уровням безопасности, создав серию руководств и рекомендаций: «Руководство по информационной безопасности предприятия», «Как выбирать поставщика Интернет-услуг», «Как реагировать на нарушения информационной безопасности» и др.

В вопросах сетевой безопасности невозможно обойтись без спецификаций Х.800 «Архитектура безопасности для взаимодействия открытых систем», Х.500 «Служба директорий: обзор концепций, моделей и сервисов» и Х.509 «Служба директорий: каркасы сертификатов открытых ключей и атрибутов» .

Критерии оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15 408−1999 «Общие критерии оценки безопасности информационных технологий» («The Common Criteria for Information Technology Security Evaluation»), принятом в 1999 г. «Общие критерии» («ОК») определяют функциональные требования безопасности (Security Functional Requirements) и требования к адекватности реализации функций безопасности (Security Assurance Requirements).

" Общие критерии" содержат два основных вида требований безопасности:

• 1) функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
• 2) требования доверия, соответствующие пассивному аспекту; они предъявляются к технологии и процессу разработки и эксплуатации.

Требования безопасности формулируются и их выполнение проверяется для определенного объекта оценки — аппаратно-программного продукта или ИС. Безопасность в «ОК» рассматривается не статично, а в соответствии с жизненным циклом объекта оценки. Кроме того, обследуемый объект предстает не изолированно, а в «среде безопасности», характеризующейся определенными уязвимостями и угрозами. «Общие критерии» целесообразно использовать для оценки уровня защищенности сточки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций. Хотя применимость «ОК» ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Британский стандарт BS 7799 «Управление информационной безопасностью. Практические правила» без сколько-нибудь существенных изменений воспроизведен в международном стандарте ISO/IEC 17 799−2000 «Практические правила управления информационной безопасностью» («Code of practice for Information security management»). В этом стандарте обобщены правила по управлению ИБ, они могут быть использованы в качестве критериев оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Практические правила разбиты на 10 разделов.

• 1. Политика безопасности.
• 2. Организация защиты.
• 3. Классификация ресурсов и их контроль.
• 4. Безопасность персонала.
• 5. Физическая безопасность.
• 6. Администрирование компьютерных систем и сетей.
• 7. Управление доступом.
• 8. Разработка и сопровождение информационных систем.
• 9. Планирование бесперебойной работы организации.
• 10. Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов организационного уровня, реализуемых в настоящее время в государственных и коммерческих организациях во многих странах.

Ключевые средства контроля (механизмы управления ИБ), предлагаемые в ISO 17 799−2000, считаются особенно важными. При использовании некоторых из средств контроля, например шифрования, могут потребоваться советы специалистов по безопасности и оценка рисков. Для обеспечения защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17 799−2000. Процедура аудита безопасности НС по стандарту ISO 17 799 включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту также является анализ и управление рисками.

На нижнем уровне разработаны в разных странах сотни отраслевых стандартов, нормативных документов и спецификаций по обеспечению ИБ, которые применяются национальными компаниями при разработке программных средств, ИС и обеспечения качества и безопасности их функционирования.