Главная

Рефераты, курсовые

Сочинения
- русские
- белорусские
- английские

- литературные герои
- биографии

Изложения
- русские
- белорусские

Словари
- афоризмы
- геология
- полиграфия
- социология
- философский
- финансовый
- энциклопедия юриста
- юридический

ГДЗ решебники
Рефераты - Афоризмы - Словари
Русские, белорусские и английские сочинения
Русские и белорусские изложения
Отзывы

Информационная компьютерная безопасность

Работа из раздела: «Программирование, компьютеры и кибернетика»

Введение

Проблемой информационной компьютерной безопасности начали заниматься с того самого момента, когда компьютер стал обрабатывать данные, ценность которых высока для пользователя. В последние годы в связи с ростом спроса на электронные услуги и развитием компьютерных систем и сетей ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей IT-средств.

Стандартизация в области информационных технологий направлена на повышение степени соответствия своему функциональному назначению видов информационных технологий, составляющих их компонент и процессов. При этом устраняются технические барьеры в международном информационном обмене.

Стандарты обеспечивают возможность разработчикам информационных технологий использовать данные, программные, коммуникационные средства других разработчиков, осуществлять экспорт/импорт данных, интеграцию разных компонентов информационных технологий.

К примеру, для регламентации взаимодействия между различными программами предназначены стандарты межпрограммного интерфейса (один из них - стандарт технологии OLE (Object Linking and Embedding -- связывание и встраивание объектов). Без таких стандартов программные продукты были бы «закрытыми» друг для друга.

Требования пользователей по стандартизации в сфере информационных технологий реализуются в стандартах на пользовательский интерфейс, например, в стандарте GUI (Graphical User Interface).

Стандарты занимают все более значительное место в направлении развития индустрии информационных технологий. Более 1000 стандартов или уже приняты организациями по стандартизации, или находятся в процессе разработки. Процесс стандартизации информационных технологий еще не закончен.

Так что же такое стандарт? Стандарт - это документ, устанавливающий требования, спецификации, руководящие принципы или характеристики, в соответствии с которыми могут использоваться материалы, продукты, процессы и услуги, которые подходят для этих целей. ИСО опубликовала более19000 международных стандартов, которые могут быть получены от ИСО или ее членов.

Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикетированию, правила и методы исследований (испытаний) и измерений, правила отбора образцов.

Стандарты информационной безопасности - это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.

1. Функции стандартов ИБ АС

Стандарты в области информационной безопасности выполняют следующие важнейшие функции:

- выработка понятийного аппарата и терминологии в области информационной безопасности

- формирование шкалы измерений уровня информационной безопасности

- согласованная оценка продуктов, обеспечивающих информационную безопасность

- повышение технической и информационной совместимости продуктов, обеспечивающих ИБ

- накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории - производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем

- функция нормотворчества - придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.

Благодаря стандартам информационной безопасности:

1. Производители и эксперты:

· Обоснованно определяют наборы требований к информационным продуктам и декларируют их возможности.

· Подтверждают ценность продуктов путём сертификации на соответствие стандартам ИБ.

· Получают ценную техническую и иную информацию.

2. Потребители:

· Обоснованно выбирают информационные продукты.

· Более чётко формулируют требования к ним.

· Имеют возможность построить гарантированно качественную систему ИБ

Основными областями стандартизации информационной безопасности являются:

· аудит информационной безопасности

· модели информационной безопасности

· методы и механизмы обеспечения информационной безопасности

· криптография

· безопасность межсетевых взаимодействий

· управление информационной безопасностью.

Стандарты информационной безопасности имеют несколько классификаций (см. Рис.1).

Рис.1

2. Роль стандартов в обеспечении ИБ АС

Главная задача стандартов информационной безопасности - создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности. Потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности. Потребители также нуждаются в инструменте, с помощью которого они могли бы формулировать свои требования производителям. При этом потребителей интересуют исключительно характеристики и свойства конечного продукта, а не методы и средства их достижения. К сожалению, многие потребители не понимают, что требования безопасности обязательно противоречат функциональным требованиям (удобству работы, быстродействию и т.д.), накладывают ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных и поэтому незащищенных прикладных программных средств. Производители нуждаются в стандартах как средстве сравнения возможностей своих продуктов и в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора. С точки зрения производителя, требования должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т.д. Кроме того, требования не должны противоречить существующим парадигмам обработки информации, архитектуре вычислительных систем и технологиям создания информационных продуктов. Этот подход также нельзя принять в качестве доминирующего, так как он не учитывает нужд пользователей и пытается подогнать требования защиты под существующие системы и технологии.

Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор. Эксперты по квалификации находятся в двойственном положении: с одной стороны, они, как и производители, заинтересованы в четких и простых критериях, над которыми не надо ломать голову, как их применить к конкретному продукту, а с другой - они должны дать обоснованный ответ пользователям, удовлетворяет продукт их нужды или нет. Таким образом, перед стандартами информационной безопасности стоит непростая задача - примирить три разные точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем ущемление потребностей хотя бы одной из них приведет к невозможности взаимопонимания и взаимодействия и, следовательно, не позволит решить общую задачу - создание защищенной системы обработки информации.

Необходимость в таких стандартах была осознана достаточно давно, и в этом направлении достигнут существенный прогресс, закрепленный в документах разработки 1990-х годов. Первым и наиболее известным документом была Оранжевая книга (по цвету обложки) «Критерии безопасности компьютерных систем» Министерства обороны США. В этом документе определены четыре уровня безопасности - D, С, В и А. По мере перехода от уровня D до А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (C1, C2, В1, В2, ВЗ). Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее защита должна удовлетворять оговоренным требованиям.

К другим важным стандартам информационной безопасности этого поколения относятся руководящие документы Гостехкомиссии России, Европейские критерии безопасности информационных технологий, Федеральные критерии безопасности информационных технологий США, Канадские критерии безопасности компьютерных систем.

В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасностью компании. Это, прежде всего международные стандарты управления информационной безопасностью ISO 15408, ISO 17799 и некоторые другие. Представляется целесообразным проанализировать наиболее важные из этих документов, сопоставить содержащиеся в них требования и критерии, а также оценить эффективность их практического применения.

3. Правовые и нормативные ресурсы в обеспечении ИБ АС

Базовым объектом отрасли является информация. В понятие информации ученые разных научных подходов вкладывают различные значения. Постулируется, что информация представляет собой результат отражения движения объектов материального мира в системах живой природы. То есть понятие информации появляется только в жизнедеятельности живых организмов, не являясь абстрактным атрибутом материи.

Информация представляется в виде сведений об окружающем мире и протекающих в нем процессах, воспринимаемые человеком или специальным устройством, либо сообщений, осведомляющих о положении дел.

Сообщение представляет собой набор знаков, с помощью которого сведения могут быть переданы другому организму и восприняты им. Соответственно информация в виде сообщений субъективна, изменяема как в процессе передачи от организма к организму, так и в процессе восприятия и осознания получателем. Кроме этого, сообщения обладают свойством материальности (не хранятся без носителя) и, как следствие, свойствами копируемости и уничтожаемости.

Из всех форм представления информации наиболее выделяют «Данные». Под последним понимают представление информации в некотором формализованном виде, пригодном для передачи, интерпретации или обработки. Данные могут обрабатываться людьми или автоматическими средствами.

Основными свойствами информации являются:

1. Свойство физической неотчуждаемости информации. Оно основано на том, что знания не отчуждаемы от человека, их носителя. Исходя из этого, при передаче информации от одного лица к другому и юридического закрепления этого факта процедура отчуждения информации должна заменяться передачей прав на ее использование и передаваться вместе с этими правами.

2. Свойство, обособляемое информации. Для включения в оборот информация всегда овеществляется в виде символов, знаков, волн, вследствие этого обособляется от ее производителя (создателя) и существует отдельно и независимо от него. Это подтверждает факт оборотоспособности информации как самостоятельного отдельного объекта правоотношений, в результате чего появляется возможность передачи информации в такой форме от одного субъекта к другому.

3. Свойство информационной вещи (информационного объекта). Это свойство возникает в силу того, что информация передается и распространяется только на материальном носителе или с помощью материального носителя и проявляется как 'двуединство' информации (ее содержания) и носителя, на котором эта информация (содержание) закреплено. Это свойство позволяет распространить на информационную вещь (объект) совместное и взаимосвязанное действие двух институтов института авторского права и института вещной собственности.

4. Свойство тиражируемое (распространяемости) информации. Информация может тиражироваться и распространяться в неограниченном количестве экземпляров без изменения ее содержания. Одна и та же информация (содержание) может принадлежать одновременно неограниченному кругу лиц (неограниченный круг лиц может знать содержание этой информации). Отсюда следует, что юридически необходимо закреплять объем прав по использованию информации (ее содержания) лицами, обладающими такой информацией (обладающими знаниями о содержании информации).

5. Свойство организационной формы. Информация, находящаяся в обороте, как правило, представляется в документированном виде, т.е. в форме документа. Это могут быть подлинник (оригинал) документа, его копия, массив документов на бумажном или электронном носителе (банк данных или база данных) тоже в виде оригинала или копии, библиотека, фонд документов, архив и т.п. Такое свойство дает возможность юридически закреплять факт 'принадлежности' документа конкретному лицу, например, закрепив его соответствующей подписью в традиционном или в электронном виде (с помощью ЭЦП). Это свойство позволяет также относить к информационным вещам (информационным объектам) как отдельные документы, так и сложные организационные информационные структуры.

6. Свойство экземплярности информации. Это свойство заключается в том, что информация распространяется, как правило, не сама по себе, а на материальном носителе, вследствие чего возможен учет экземпляров информации через учет носителей, содержащих информацию. Понятие экземплярности дает возможность учитывать документированную информацию и тем самым связывать содержательную сторону информации с ее 'вещным' обрамлением, т.е. с отображением на носителе, вводить понятие учитываемой копии документа, а отсюда и механизма регистрации информации, в особенности учитывать обращение оригиналов (подлинников) документов. Экземплярность информации уже сегодня активно реализуется при обращении информации ограниченного доступа.

Указанные юридические особенности и свойства должны учитываться при правовом регулировании информационных отношений.

Правовые основы защиты информации.

Характеристика деятельности по защите информации.

Определение понятия «защита информации» дается в Ст. 16 ФЗ «Об информации, информационных технологиях и защите информации»:

«Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации».

Анализ Ст. 16 указанного Закона показывает, что

· деятельность по защите информации применима ко всем категориям информации, описанной в Ст. 5 Закона. Для различных категорий информации содержание защиты (выбираемые способы защиты информации) будет различаться;

· выбираемые способы защиты информации применимы ко всем описанным ранее объектам информационного права;

· государственное регулирование отношений в сфере защиты информации осуществляется в двух формах: установление требований о защите информации и установление ответственности за нарушение информационного законодательства;

· основным субъектом информационного права, на которого возложена обязанность защиты информации, является обладатель информации;

· для защиты государственных информационных ресурсов и технологий федеральные органы исполнительной власти устанавливают обязательные для исполнения требования на обеспечение информационной безопасности этих ресурсов и технологий;

· федеральное законодательство может ограничивать использование в РФ определенных средств защиты информации и осуществление отдельных видов деятельности по защите информации для всех субъектов информационного права. Ограничения могут выражаться в форме прямых запретов или государственного контроля (например, лицензирование деятельности).

Защита информации правовыми методами, включает в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств

Физическая защита информации - защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

К объектам физической защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

Криптографическая защита информации - защита данных (информации) при помощи криптографического преобразования данных, т.е. при помощи шифрования и (или) выработки имитовставки.

Организационные меры обеспечения информационной безопасности - меры обеспечения информационной безопасности, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.

Категории защищаемой информации.

По критерию ограничения доступа к информации, согласно положениям N 149ФЗ 'Об информации, информационных технологиях и о защите информации', информацию можно разделить на:

1) общедоступную информацию;

2) конфиденциальную информацию;

3) информацию, относимую к гостайне.

Конфиденциальная информация -- это информация, не относимая к гостайне, доступ к которой ограничен федеральными законами. Среди конфиденциальной информации выделяют:

1) информацию, относимую к коммерческой тайне;

2) служебную информацию ограниченного распространения (для служебного пользования);

3) информацию, относимую к профессиональной тайне;

4) информацию, содержащую персональные данные.

Каждая из перечисленных категорий информации определяется и защищается правовыми нормами, источники которых можно рассматривать отдельно.

К деятельности по обеспечению информационной безопасности относят также защиту интеллектуальной собственности.

С вопросами обеспечения информационной безопасности тесно увязаны вопросы правового регулирования информационных технологий, которые можно разделить по сферам деятельности:

1) обеспечение связи и коммуникаций;

2) использования криптографических средств, в т.ч. шифрования и ЭЦП;

3) лицензирование, сертификация и аттестация объектов и средств защиты информации.

Кроме этого, к деятельности по защите информации относят механизмы применения мер ответственности за нарушение законодательства РФ об информации, информационных технологиях и о защите информации. Эта деятельность регулируется на государственном уровне.

Таким образом, при обзоре нормативно-правовых актов РФ предлагается отдельно рассматривать направления, регламентирующие деятельность в сфере обработки и защиты:

1) общедоступной информации;

2) информации, относимой к коммерческой тайне;

3) служебной информации ограниченного распространения;

4) информации, относимой к профессиональной тайне;

5) информации, содержащей персональные данные;

6) информации, относимой к гостайне;

7) объектов интеллектуальной собственности;

8) информации с использованием объектов связи и коммуникаций;

9) информации с использованием криптографических средств;

10) информации и объектов информатизации при необходимости лицензирования, сертификации и аттестации объектов и средств защиты информации;

11) в случаях нарушения законодательства РФ об информации, информационных технологиях и о защите информации.

Перечень нормативно-правовых документов.

1. 'Конституция РФ' (Принята всенародным голосованием 12.12.1993).

2. Федеральный закон от 27.07.2006 N 149ФЗ 'Об информации, информационных технологиях и о защите информации'.

Перечень международных декларативных документов.

3.'Всеобщая декларация прав человека' (Принята 10.12.1948 Генеральной Ассамблеей ООН).

4. Резолюция N 428 (1970) Консультативной ассамблеи Совета Европы 'Относительно Декларации о средствах массовой информации и правах человека' (Принята 23.01.1970 на 21ой сессии Консультативной ассамблеи Совета Европы).

5. 'Декларация об основных принципах, касающихся вклада средств массовой информации в укрепление мира и Международного взаимопонимания, в развитие прав человека и борьбу против расизма и апартеида и подстрекательства к войне' (Принята ЮНЕСКО 28.11.1978).

6. 'Международный кодекс рекламной практики' (Принят на 47ой сессии Исполнительного совета Международной торговой палаты, 02.12.1986).

7. 'Концепция межгосударственной подсистемы информационного обмена между Пограничными войсками государств участников СНГ' (Утв. Решение Совета глав СНГ от 18.10.1996).

8. 'Декларация о праве и обязанности отдельных лиц, групп и органов общества поощрять и защищать общепризнанные права человека и основные свободы' (Принята в г. Нью-Йорке 09.12.1998 Резолюцией 53/144 на 85ом пленарном заседании 53ей сессии Генеральной Ассамблеи ООН).

9. 'Декларация о европейской политике в области новых информационных технологий' (Принята в г. Будапеште 06.05.199907.05.1999 на 104ой сессии Комитета министров СЕ).

10.'Концепция межгосударственной подсистемы информационного обмена между органами внутренних дел государств участников СНГ' (Утв. Решение Совета глав СНГ от 04.06.1999).

11.'Концепция информационной безопасности государств участников СНГ в военной сфере' (Утв. Решением Совета глав СНГ от 04.06.1999).

12.Окинавская хартия глобального информационного общества. 22.07.2000.

13.'Элементы для создания глобальной культуры кибербезопасности' (Утверждены резолюцией 57/239 Генеральной Ассамблеи ООН от 20.12.2002).

14.Декларация о свободе обмена информацией в Интернете (принята на 840 заседании Комитета министров СЕ 28.05.2003).

15. Хартия о сохранении цифрового наследия (Принята на 32й Генеральной конференции ЮНЕСКО, Париж, Франция, октябрь 2003).

16. 'Декларация принципов: Построение информационного общества глобальная задача в новом тысячелетии' (Всемирная встреча на высшем уровне по вопросам информационного общества WSIS03/GENEVA/DOC/4R. Женева, 12.12.2003).

17. 'План действий' (Всемирная встреча на высшем уровне по вопросам информационного общества WSIS03/GENEVA/DOC/5R. Женева, 12.12.2003).

18. 'Концепция Единого реестра правовых актов и других документов СНГ' (вместе с Положением о Едином реестре правовых актов и других документов СНГ) (Утв. Решение Совета глав СНГ от 15.09.2004).

19. 'Декларация Комитета министров о правах человека и верховенстве права в Информационном Обществе' (принята Комитетом министров СЕ 13.05.2005).

20. 'Тунисская программа для информационного общества' (Всемирная встреча на высшем уровне по вопросам информационного общества. WSIS05/TUNIS/DOC/6(Rev.1)R. Тунис, 15.11.2005).

21.'Тунисское обязательство' (Всемирная встреча на высшем уровне по вопросам информационного общества WSIS05/TUNIS/DOC/7R. Тунис, 18.11.2005).

22.'Концепция формирования национальных баз данных и организации межгосударственного обмена информацией по предупреждению и пресечению правонарушений в области интеллектуальной собственности' (утв. Решением Совета глав государств СНГ от 25.05.2006 № ЕРПА СНГ 3/20648).

23.'Глобальная программа кибербезопасности (ГПК) МСЭ' (Международный союз электросвязи. Женева, апрель 2008).

24.'Сеульская декларация по будущему интернет экономики' (принята по итогам Министерской встречи ОЭСР 18 июня 2008 г., Сеул, Корея).

25.'Концепция сотрудничества государств участников СНГ в сфере обеспечения информационной безопасности' (вместе с Комплексным планом мероприятий по реализации Концепции сотрудничества государств участников СНГ в сфере обеспечения информационной безопасности на период с 2008 по 2010 год) (утв. Решением Совета глав государств СНГ от 10.10.2008).

4. Стандарты, ориентированные на процессы (ISO/IEC 27001)

ISO/IEC 27001 -- международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC).

В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Стандарт ISO/IEC 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность - обеспечение точности и полноты информации, а также методов ее обработки;

Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Основа стандарта ISO/IEC 27001 -- система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:

· на каком направлении информационной безопасности требуется сосредоточить внимание;

· сколько времени и средств можно потратить на данное техническое решение для защиты информации.

Стандарт ISO/IEC 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

Система управления информационной безопасностью на основе стандарта ISO/IEC 27001 позволяет:

1. Сделать большинство информационных активов наиболее понятными для менеджмента компании

· Выявлять основные угрозы безопасности для существующих бизнес-процессов

· Рассчитывать риски и принимать решения на основе бизнес целей компании

· Обеспечить эффективное управление системой в критичных ситуациях

· Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)

· Четко определить личную ответственность

· Достигнуть снижения и оптимизации стоимости поддержки системы безопасности

· Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000

· Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности

· Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках

· Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарта.

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций - малых, средних и больших - коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Стандарт ISO/IEC 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001), то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем.

Внедрение и сертификация по ISO/IEC 27001 на базе внедренной системы менеджмента качества по ISO 9001 предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации.

По стандарту ISO/IEC 27001:2005 проводится официальная сертификация системы управления информационной безопасностью. Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.

По данным ИСО («The ISO Survey of Certifications - 2012») на конец 2012 г. в 103 странах мира осуществляли деятельность 19 577 компаний, сертифицировавшие свою систему управления информационной безопасностью на соответствие требованиям ISO/IEC 27001.

В 2013 году Международной организацией по сертификации была разработана и принята новая версия стандарта ISO/IEC 27001:2013. Изменения коснулись как структуры стандарта, так и требований.

5. Стандарт, ориентированный на продукты (ISO/IEC 15408)

В 1990 году в Международной организацией стандарты (ISO) была начата работа по созданию международных критериев оценки безопасности компьютерных систем. Результатом явился стандарт 'Общие критерии безопасности информационных технологий', который на данный момент признается одним из наиболее функциональных стандартов в сфере информационной безопасности. Его разработка велась совместными усилиями США, Канады, Франции, Германии, Нидерландов и Великобритании. Впоследствии к проекту присоединился ряд других стран. Версия 2.1 ОК в 1999 году была утверждена в качестве международного стандарта ISO/IEC 15408.

ОК разработаны таким образом, чтобы удовлетворить потребности трех групп специалистов: разработчиков, экспертов по сертификации и пользователей продуктов информационных технологий (IT-продуктов). Под IT-продуктом понимается программный (или аппаратно-программный) продукт или информационная система. В процессе оценки IT-продукт именуется объектом оценки. К таким объектам относятся, например, операционные системы, вычислительные сети, распределенные системы, прикладные программы.

Стандарт ISO 15408 состоит из трех частей:

· Часть 1. Введение и общая модель.

· Часть 2. Функциональные требования безопасности.

· Часть 3. Гарантийные требования безопасности (вариант перевода - 'требования гарантированности').

Как видно из приведенного перечня, 'Общие критерии' предусматривают наличие двух типов требований безопасности - функциональных и гарантированности. Функциональные требования относятся к сервисам безопасности, таким как идентификация, аутентификация, управление доступом, аудит и т.д. Требования гарантированности относятся к технологии разработки, тестированию, анализу уязвимостей, поставке, сопровождению, эксплуатационной документации и т.д.

Описание обоих типов требований выполнено в едином стиле: они организованы в иерархию 'класс - семейство - компонент - элемент'. Термин 'класс' используется для наиболее общей группировки требований безопасности, а элемент - самый нижний, неделимый уровень требований безопасности.

Между компонентами могут существовать зависимости. Они возникают, когда компонент недостаточен для выполнения цели безопасности и необходимо наличие другого компонента.

Промежуточная комбинация компонентов названа пакетом. Пакет включает набор требований, которые обеспечивают выполнение многократно используемого поднабора целей безопасности.

Основные структуры 'Общих критериев' - это Профиль защиты и Проект защиты. По определению стандарта ISO/IEC 15408 Профиль Защиты есть независимое от реализации множество требований безопасности для некоторой категории объектов оценки, которые отвечают определенным нуждам потребителей. Профиль состоит из компонентов или пакетов функциональных требований и одного из уровней гарантированности. Структура профиля защиты представлена на рис.2.

Рис.2. Структура профиля защиты

Рис.3. Структура Проекта защиты.

Как отмечается в литературе, Профиль защиты 'Общих критериев', по сути, является аналогом классов 'Оранжевой книги' и классов защищенности РД ГТК РФ, но базируется на значительно более полной и систематизированной совокупности компонентов требований безопасности. Количество стандартизованных профилей общих критериев потенциально не ограничено.

Профиль защиты служит основой для создания Проекта защиты, который является техническим проектом для разработки объекта оценки. Структура Проекта защиты представлена на рис.3. В отличие от Профиля, Проект защиты описывает также уровень функциональных возможностей средств и механизмов защиты, реализованных в объекте оценки, и приводит обоснование степени их адекватности.

Для того, чтобы профиль безопасности мог быть эффективно разработан и применен, в процессе его разработки производится выявление всех угроз безопасности осуществимых в отношении IT-продуктов, для которых разрабатывается профиль. В процессе исследования строятся модели угроз.

Модель угрозы - это формальное, полу формальное или неформальное описание:

· жизненного цикла угрозы;

· направленности угрозы;

· источника угрозы;

· системы IT, подверженной угрозе;

· IT и не-IT среды изделия IT;

· активов, требующих защиты;

· методов, способов и алгоритмов реализации угрозы;

· нежелательных событий;

· анализа рисков и ряда других аспектов.

У процесса описания модели угроз много общего с проведением анализа рисков. Так при описании модели угроз, источником которых является преднамеренная деятельность человека, оценивается тип источника по уровню практических навыков реализации угрозы (шкала - 'низкий', 'средний', 'высокий', 'неопределенный'), и шансы реализации угрозы (шкала - 'маловероятно', 'вероятно', 'большая вероятность', 'не определено'). Также оценивается вероятность компрометации активов в виде pc(y,z), где y - идентифицированный метод нападения, z - идентифицированный актив.

В рассмотрение вводится понятие 'потенциал нападения'. Под этим термином понимается прогнозируемый потенциал для успешного, в случае реализации, нападения, выраженный в показателях компетентности, ресурсов и мотивации нарушителя. Существует три уровня потенциала нападения: низкий, умеренный и высокий.

Стандарт определяет функцию безопасности, как часть или части ОО, на которые возлагается реализация тесно связанного подмножества правил из политики безопасности. Функции безопасности характеризуются стойкостью. Стойкость функции безопасности ОО - это ее характеристика, выражающая минимально необходимое воздействие на ее механизмы безопасности, в результате которого нарушается политика безопасности. Выделяется базовая, средняя и высокая стойкость.

Базовая стойкость означает, что функция обеспечивает адекватную защиту от случайного нарушения безопасности ОО нарушителем с низким потенциалом нападения.

Средняя стойкость - функция обеспечивает защиту от целенаправленного нарушения безопасности ОО нарушителем с умеренным потенциалом нападения.

Высокая стойкость - такой уровень стойкости функции безопасности ОО, на котором она обеспечивает защиту от тщательно спланированного и организованного нарушения безопасности ОО нарушителем с высоким потенциалом нападения.

В литературе описана следующая схема вычисления потенциала нападения, в которой учитываются следующие факторы.

1. При идентификации уязвимости:

· время, затрачиваемое на идентификацию уязвимости (x1) ('за минуты', 'за часы', 'за дни', 'за месяцы');

· уровень специальной подготовки (x2) ('эксперт', 'специалист', 'неспециалист');

· знание проекта и функционирования ОО (x3) ('отсутствие информации об ОО', 'общедоступная информация об ОО', 'закрытая информация об ОО');

· доступ к ОО (x4) (требуемое время на доступ к ОО, как в случае x1);

· аппаратные средства, программное обеспечение или другое оборудование (x5) ('стандартное оборудование', 'специализированное оборудование', 'уникальное оборудование').

2. При использовании:

· время, затраченное на использование уязвимости (y1);

· уровень специальной подготовки (y2);

· знание проекта функционирования ОО (y3);

· доступ к ОО (y4);

· аппаратные средства, программное обеспечение или другое оборудование, необходимое для использования уязвимости (y5).

Далее десяти факторам x1-x5 и y1-y5 назначаются веса, и они суммируются. Сумма используется для оценки уязвимости.

Описанный подход раскрывает еще одну 'грань' задачи анализа рисков, на которой ранее мы не акцентировали внимание - в ходе анализа необходимо не только оценить возможные потери от реализации угрозы, но и описать модель нарушителя, дать оценку его возможностей по реализации угрозы, что в конечном итоге позволит оценить вероятность атаки на систему.

6. Стандарты, ориентированные на управление рисками (OCTAVE, CRAMM, ISO/IEC 27005)

Методика CRAMM

Это одна из первых методик анализа рисков в сфере ИБ - работа над ней была начата в середине 80-х гг. центральным агентством по компьютерам и телекоммуникациям (CCTA) Великобритании.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций - Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC ('Оранжевая книга').

Исследование ИБ системы с помощью СRAMM проводится в три стадии.

На первой стадии анализируется все, что касается идентификации и определения ценности ресурсов системы. Она начинается с решения задачи определения границ исследуемой системы: собираются сведения о конфигурации системы и о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы, как они ее применяют или будут применять.

Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель информационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользовательским сервисом, строится дерево связей используемых ресурсов. Построенная модель позволяет выделить критичные элементы.

Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

· недоступность ресурса в течение определенного периода времени;

· разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

· нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

· модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

· ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба CRAMM рекомендует использовать следующие параметры:

· ущерб репутации организации;

· нарушение действующего законодательства;

· ущерб для здоровья персонала;

· ущерб, связанный с разглашением персональных данных отдельных лиц;

· финансовые потери от разглашения информации;

· финансовые потери, связанные с восстановлением ресурсов;

· потери, связанные с невозможностью выполнения обязательств;

· дезорганизация деятельности.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

В описаниях CRAMM в качестве примера приводится такая шкала оценки по критерию 'Финансовые потери, связанные с восстановлением ресурсов':

· 2 балла - менее $1000;

· 6 баллов - от $1000 до $10 000;

· 8 баллов - от $10 000 до $100 000;

· 10 баллов - свыше $100 000.

При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.

На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т.д.). Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов.

Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются 'ожидаемые годовые потери

Значения ожидаемых годовых потерь (англ. Annual Loss of Expectancy) переводятся в CRAMM в баллы, показывающие уровень риска, согласно шкале, представленной на рис.4 (в этом примере размер потерь приводится в фунтах стерлингов).

Рис. 4. Шкала оценки уровня рисков

В соответствии с приведенной ниже матрицей, выводится оценка риска (рис.5)

Рис. 5. Матрица оценки риска

Третья стадия исследования заключается в поиске адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных рекомендаций; около 900 примеров того, как можно организовать защиту в данной ситуации.

Таким образом, CRAMM - пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).

Методика OCTAVE.

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) - методика поведения оценки рисков в организации, разрабатываемая институтом Software Engineering Institute (SEI) при университете Карнеги Меллон (Carnegie Mellon University).

Особенность данной методики заключается в том, что весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов. Для этого создается смешанная группа, включающая как технических специалистов, так и руководителей разного уровня, что позволяет всесторонне оценить последствия для бизнеса возможных инцидентов в области безопасности и разработать контрмеры.

OCTAVE предполагает три фазы анализа:

1. разработка профиля угроз, связанных с активом;

2. идентификация инфраструктурных уязвимостей;

3. разработка стратегии и планов безопасности.

Профиль угрозы включает в себя указания на актив (asset), тип доступа к активу (access), источник угрозы (actor), тип нарушения или мотив (motive), результат (outcome) и ссылки на описания угрозы в общедоступных каталогах. По типу источника, угрозы в OCTAVE делятся на:

1. угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных;

2. угрозы, исходящие от человека-нарушителя, использующего физический доступ;

3. угрозы, связанные со сбоями в работе системы;

4. прочие.

Результат может быть раскрытие (disclosure), изменение (modification), потеря или разрушение (loss/destruction) информационного ресурса или разрыв подключения. Отказ в обслуживании (interruption).

Методика OCTAVE предлагает при описании профиля использовать 'деревья вариантов', пример подобного дерева для угроз класса 1) приведен на рис. 6. При создании профиля угроз рекомендуется избегать обилия технических деталей - это задача второго этапа исследования. Главная задача первой стадии - стандартизованным образом описать сочетание угрозы и ресурса.

Рис. 6. Дерево вариантов, использующееся при описании профиля

Вторая фаза исследования системы в соответствии с методикой - идентификация инфраструктурных уязвимостей. В ходе этой фазы определяется инфраструктура, поддерживающая существование выделенного ранее актива (например, если это БД отдела кадров, то нам для работы с ней нужен сервер, на котором база размещена, рабочая станция служащего отдела кадров и т.д.) и то окружение, которое может позволить получить к ней доступ (например, соответствующий сегмент локальной сети). Рассматриваются компоненты следующих классов: серверы; сетевое оборудование; СЗИ; персональные компьютеры; домашние персональные компьютеры 'надомных' пользователей, работающих удаленно, но имеющих доступ в сеть организации; мобильные компьютеры; системы хранения; беспроводные устройства; прочее.

Группа, проводящая анализ для каждого сегмента сети, отмечает, какие компоненты в нем проверяются на наличие уязвимостей. Уязвимости проверяются сканерами безопасности уровня операционной системы, сетевыми сканерами безопасности, специализированными сканерами (для конкретных web-серверов, СУБД и проч.), с помощью списков уязвимостей (checklists), тестовых скриптов.

Для каждого компонента определяется:

· список уязвимостей, которые надо устранить немедленно (high-severity vulnerabilities);

· список уязвимостей, которые надо устранить в ближайшее время (middle-severity vulnerabilities);

· список уязвимостей, в отношении которых не требуется немедленных действий (low-severity vulnerabilities).

По результатам стадии готовится отчет, в котором указывается, какие уязвимости обнаружены, какое влияние они могут оказать на выделенные ранее активы, какие меры надо предпринять для устранения уязвимостей.

Разработка стратегии и планов безопасности - третья стадия исследования системы. Она начинается с оценки рисков, которая проводится на базе отчетов по двум предыдущим этапам. В OCTAVE при оценке риска дается только оценка ожидаемого ущерба, без оценки вероятности. Шкала: высокий (high), средний (middle), низкий (low). Оценивается финансовый ущерб, ущерб репутации компании, жизни и здоровью клиентов и сотрудников, ущерб, который может вызвать судебное преследование в результате того или иного инцидента. Описываются значения, соответствующие каждой градации шкалы (например, для малого предприятия финансовый ущерб в $10000 - высокий, для более крупного - средний).

Далее, разрабатывают планы снижения рисков нескольких типов:

· долговременные;

· на среднюю перспективу;

· списки задач на ближайшее время.

Для определения мер противодействия угрозам в методике предлагаются каталоги средств.

Хотелось бы еще раз подчеркнуть, что в отличие от прочих методик, OCTAVE не предполагает привлечения для исследования безопасности ИС сторонних экспертов, а вся документация по OCTAVE общедоступна и бесплатна, что делает методику особенно привлекательной для предприятий с жестко ограниченным бюджетом, выделяемым на цели обеспечения ИБ.

Стандарт ISO/IEC 27005.

В июне 2008 принят новый международный стандарт по управлению рисками информационной безопасности ISO/IEC 27005:2008. Описывает принципы управления рисками, позволяющие руководителям и персоналу департаментов IT управлять рисками в системах менеджмента информационной безопасности (ISMS).

4. Стандарт ориентированный на защитные меры (ГОСТ Р ISO/IEC 13335-1-2006)

ПОДГОТОВЛЕН Обществом с ограниченной ответственностью 'ЛИНС-М' (ООО 'Линс-М') на основе собственного аутентичного перевода стандарта, а также Федеральным государственным учреждением 'Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю' (ФГУ ГНИИИ ПТЗИ ФСТЭК России)

Утверждён и введён в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2006 г. N 317-ст

Настоящий стандарт идентичен международному стандарту ISO/IEC 13335-1:2004. 'Информационная технология. Методы обеспечения безопасности. Менеджмент безопасности информационных и телекоммуникационных технологий.

Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям. Настоящий стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления. Настоящий стандарт не разрабатывает конкретных подходов к управлению безопасностью.

Термины и определения:

1. Подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.

2. Активы (asset): Все, что имеет ценность для организации.

3. Аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

4. Доступность (availability): Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.

5. Базовые защитные меры (baseline controls): Минимальный набор защитных мер, установленный для системы или организации.

6. Конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.

7. Контроль (control):

8. Рекомендации (guidelines): Описание, поясняющее действия и способы их выполнения, необходимые для достижения установленных целей.

9. Воздействие (impact): Результат нежелательного инцидента информационной безопасности.

10. Инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

11. Безопасность информационно-телекоммуникационных технологий (безопасность ИТТ) (ICT security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий.

12. Политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) (ICT security policy): Правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

13. Средство(а) обработки информации (information processing facility(ies)): Любая система обработки информации, сервис или инфраструктура, или их физические места размещения.

14. Информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

15. Целостность (integrity): Свойство сохранения правильности и полноты активов.

16. Неотказуемость (non-repudiation): Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты.

17. Достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам.

18. Остаточный (residual risk): Риск, остающийся после его обработки.

19. Риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.

20. Анализ риска (risk analysis): Систематический процесс определения величины риска.

21. Оценка риска (risk assessment): Процесс, объединяющий идентификацию риска, анализ риска и оценивание риска.

22. Менеджмент риска (risk management): Полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий.

23. Обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска.

24. Защитная мера (safeguard): Сложившаяся практика, процедура или механизм обработки риска.

25. Угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации.

26. Уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.

Концепции безопасности и взаимосвязи

Принципы безопасности

Для создания эффективной программы безопасности ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:

- менеджмент риска

- активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;
- обязательства - важны обязательства организации в области безопасности ИТТ и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности ИТТ;

- служебные обязанности и ответственность - руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала;

- цели, стратегии и политика - управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации;

- управление жизненным циклом

- управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.

Ниже с позиций фундаментальных принципов безопасности приведено описание основных компонентов безопасности, вовлеченных в процесс управления безопасностью, и их связи. Приведены характеристики каждого компонента и указаны основные сопряженные с ним факторы.

Активы

Правильное управление активами является важнейшим фактором успешной деятельности организации и основной обязанностью всех уровней руководства. Активы организации могут рассматриваться как ценности организации, которые должны иметь гарантированную защиту. Активы включают в себя (но не ограничиваются):

- материальные активы (например, вычислительные средства, средства связи, здания);

- информацию (данные) (например, документы, базы данных);

- программное обеспечение;

- способность производить продукт или предоставлять услугу;

- людей;

- нематериальные ресурсы (например, престиж фирмы, репутацию).

Невозможно разработать и поддерживать успешную программу по безопасности, если не идентифицированы активы организации. Во многих случаях процесс идентификации активов и установления их ценности может быть проведен на верхнем уровне и не требует дорогостоящей, детальной и длительной процедуры. Степень детализации данной процедуры должна определяться отношением величины временных и финансовых затрат к ценности активов. Во всех случаях степень детализации должна быть установлена, исходя из целей безопасности.

Характеристики активов, которые необходимо рассмотреть, включают в себя следующие величины: ценность, чувствительность активов, и имеющиеся защитные меры. Наличие конкретных угроз уязвимости влияет на требования к защите активов. Внешние условия, социальная и правовая среда, в которых организация осуществляет свою деятельность, могут влиять на активы, их свойства и характеристики. Особенности в упомянутых условиях могут иметь существенное значение для международных организаций и трансконтинентального использования ИТТ.

Основываясь на определении угроз и уязвимостей, и их комбинации, можно оценить риск и выбрать защитные меры и, тем самым, повысить безопасность активов. Далее необходимо оценивать остаточный риск для того, чтобы определить, адекватно ли защищены активы.

Угрозы.

Активы подвержены многим видам угроз. Угроза обладает способностью наносить ущерб активам и, следовательно, организации в целом. Этот ущерб может возникать из-за атаки на информацию, обрабатываемую ИТТ, на саму систему или иные ресурсы, приводя, например, к их неавторизованному разрушению, раскрытию, модификации, порче, недоступности или потере. Ущерб активам может быть нанесен только при наличии у них уязвимости. Угрозы могут быть естественного происхождения или связаны с человеческим фактором. В последнем случае угрозы могут быть случайными или целенаправленными. Примеры угроз приведены в таблице 1. Угрозы, как случайные, так и преднамеренные, должны быть идентифицированы, а их уровень и вероятность возникновения должны быть оценены. По многим видам угроз среды собраны статистические данные. Эти данные могут быть использованы организацией при оценке угроз.

Угрозы могут быть также направлены на отдельные специфические части организации, например, на разрушение вычислительных средств. Некоторые угрозы могут быть общими для всей организации, например, ущерб зданиям от урагана или молнии. Угроза может исходить как изнутри организации, например, забастовка сотрудников, так и снаружи, например, атаки хакеров или промышленный шпионаж. Размер ущерба от угрозы может варьироваться при каждом ее возникновении. Ущерб, наносимый нежелательным инцидентом, может быть временным или постоянным, как в случае разрушения актива.

Некоторые угрозы могут поражать не один вид актива. В этом случае угрозы могут наносить вред в зависимости от того, какие именно активы повреждены. Например, программный вирус на автономной персональной вычислительной машине может нанести ограниченный или локальный вред. Однако тот же программный вирус может оказать на сетевой сервер обширное воздействие.

Окружающие условия и социальная среда, в которых функционирует организация, могут иметь большое значение и существенно влиять на отношение к угрозам и активам. Некоторые угрозы в организациях могут вообще не рассматриваться. Когда речь идет об угрозах, необходимо учитывать влияние внешней среды.

При оценке уровень угрозы в зависимости от результата ее воздействия может быть определен как высокий, средний или низкий.

Уязвимости.

Слабость актива или нескольких видов активов, которые могут быть использованы одной или более угрозами, трактуется как уязвимость. Связанные с активами уязвимости включают в себя слабости физического носителя, организации, процедур, персонала, управления, администрирования, аппаратного/программного обеспечения или информации. Угрозы могут использовать уязвимости для нанесения ущерба ИТТ или целям бизнеса. Уязвимость может существовать и в отсутствие угрозы. Уязвимость сама по себе не причиняет ущерб, но это является только условием или набором условий, позволяющим угрозе воздействовать на активы. Следует рассматривать уязвимости, возникающие из различных источников, например, внутренних и внешних по отношению к конкретному активу. Уязвимость может сохраняться, пока сам актив не изменится так, чтобы уязвимость уже не смогла проявиться. Уязвимость необходимо оценивать индивидуально и в совокупности, чтобы рассмотреть сложившуюся ситуацию в целом.

Примером уязвимости является отсутствие контроля доступа, которое может обусловить возникновение угрозы несанкционированного доступа и привести к утрате активов.

В конкретной системе или организации не все уязвимости соответствуют угрозам. В первую очередь следует сосредоточиться на уязвимостях, которым соответствуют угрозы. Но в силу того, что окружающая среда может непредсказуемо меняться, необходимо вести мониторинг всех уязвимостей для того, чтобы вовремя выявлять те из них, которые могут использовать вновь появляющиеся угрозы.

Оценка уязвимостей - это проверка слабостей, которые могут быть использованы существующими угрозами. Эта оценка должна учитывать окружающую среду и существующие защитные меры. Мерой уязвимости конкретной системы или актива по отношению к угрозе является степень того, с какой легкостью системе или активу может быть нанесен ущерб.

При оценке уровень уязвимости может быть определен как высокий, средний или низкий.

Защитные меры - это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов. Эффективная безопасность обычно требует комбинации различных защитных мер для обеспечения заданных уровней безопасности при защите активов. Например, механизмы контроля доступа, применяемые к вычислительным средствам, должны подкрепляться аудитом, определенным порядком действий персонала, его обучением, а также физической защитой. Часть защитных мер может быть обеспечена внешними условиями, свойствами актива или может уже существовать в системе или организации.

Некоторые защитные меры могут характеризовать позицию организации в области информационной безопасности. В связи с этим важно выбирать специфические защитные меры, не причиняющие ущерба культурной и социальной среде, в которой функционирует организация.

7. Стандарт ориентированный на криптографическую защиту ГОСТ Р 34.11-2012

Разработан Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС»)

Настоящий стандарт содержит описание процессов формирования и проверки электронной цифровой подписи (ЭЦП), реализуемой с использованием операций в группе точек эллиптической кривой, определенной над конечным простым полем. Необходимость разработки настоящего стандарта вызвана потребностью в реализации электронной цифровой подписи разной степени стойкости в связи повышением уровня развития вычислительной техники. Стойкость электронной цифровой подписи основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции по ГОСТ Р 34.11-2012.

Настоящий стандарт определяет схему электронной цифровой подписи (ЭЦП) (далее - цифровая подпись), процессы формирования и проверки цифровой подписи под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения. Внедрение цифровой подписи на основе настоящего стандарта повышает, по сравнению с ранее действовавшей схемой цифровой подписи, уровень защищенности передаваемых сообщений от подделок и искажений. Настоящий стандарт рекомендуется применять при создании, эксплуатации и модернизации систем обработки информации различного назначения.

Термины и определения:

1. дополнение (appendix): Строка бит, формируемая из цифровой подписи и произвольного текстового поля. (ИСО/МЭК 14888-1:2008)

2. ключ подписи (signature key): Элемент секретных данных, специфичный для субъекта и используемый только данным субъектом в процессе формирования цифровой подписи. (ИСО/МЭК 14888-1:2008)

3. ключ проверки подписи (verification key): Элемент данных, математически связанный с ключом подписи и используемый проверяющей стороной в процессе проверки цифровой подписи. [(ИСО/МЭК 14888-1:2008)

4. параметр схемы ЭЦП (domain parameter): Элемент данных, общий для всех субъектов схемы цифровой подписи, известный или доступный всем этим субъектам. (ИСО/МЭК 14888-1:2008)

5. подписанное сообщение (signed message): Набор элементов данных, состоящий из сообщения и дополнения, являющегося частью сообщения. (ИСО/МЭК 14888-1:2008)

6. последовательность псевдослучайных чисел (pseudo-random number sequence): Последовательность чисел, полученная в результате выполнения некоторого арифметического (вычислительного) процесса, используемая в конкретном случае вместо последовательности случайных чисел.

7. последовательность случайных чисел (random number sequence): Последовательность чисел, каждое из которых не может быть предсказано (вычислено) только на основе знания предшествующих ему чисел данной последовательности. ГОСТ Р 34.10-2012

8. процесс проверки подписи (verification process): Процесс, в качестве исходных данных которого используются подписанное сообщение, ключ проверки подписи и параметры схемы ЭЦП, результатом которого является заключение о правильности или ошибочности цифровой подписи. (ИСО/МЭК 14888-1:2008)

9. процесс формирования подписи (signature process): Процесс, в качестве исходных данных которого используются сообщение, ключ подписи и параметры схемы ЭЦП, а в результате формируется цифровая подпись. (ИСО/МЭК 14888-1:2008)

10. свидетельство (witness): Элемент данных, представляющий соответствующее доказательство достоверности (недостоверности) подписи проверяющей стороне.

11. случайное число (random number): Число, выбранное из определенного набора чисел таким образом, что каждое число из данного набора может быть выбрано с одинаковой вероятностью.

12. сообщение (message): Строка бит произвольной конечной длины. (ИСО/МЭК 14888-1:2008)

13. хэш-код (hash-code): Строка бит, являющаяся выходным результатом хэш- функции. (ИСО/МЭК 14888-1:2008)

14. хэш-функция (collision-resistant hash-function): Функция, отображающая строки бит в строки бит фиксированной длины и удовлетворяющая следующим свойствам:

1) по данному значению функции сложно вычислить исходные данные, отображаемые в это значение;

2) для заданных исходных данных сложно вычислить другие исходные данные, отображаемые в то же значение функции;

3) сложно вычислить какую-либо пару исходных данных, отображаемых в одно и то же значение

Общепризнанная схема (модель) цифровой подписи (см. ИСО/МЭК 14888-1) охватывает следующие процессы: - генерация ключей (подписи и проверки подписи);

- формирование подписи;

- проверка подписи.

В настоящем стандарте процесс генерации ключей (подписи и проверки подписи) не рассмотрен. Характеристики и способы реализации данного процесса определяются вовлеченными в него субъектами, которые устанавливают соответствующие параметры по взаимному согласованию. Механизм цифровой подписи определяется посредством реализации двух основных процессов (см. раздел 6): - формирование подписи (см. 6.1); - проверка подписи (см. 6.2). Цифровая подпись предназначена для аутентификации лица, подписавшего электронное сообщение. Кроме того, использование ЭЦП предоставляет возможность обеспечить следующие свойства при передаче в системе подписанного сообщения: - осуществление контроля целостности передаваемого подписанного сообщения, - доказательное подтверждение авторства лица, подписавшего сообщение, - защита сообщения от возможной подделки. Схематическое представление подписанного сообщения показано на рисунке 6.

Рисунок 6 - Схема подписанного сообщения

Поле «Текст», показанное на данном рисунке и дополняющее поле «Цифровая подпись», может, например, содержать идентификаторы субъекта, подписавшего сообщение, и/или метку времени. Установленная в настоящем стандарте схема цифровой подписи должна быть реализована с использованием операций группы точек эллиптической кривой, определённой над конечным простым полем, а также хэш-функции. Криптографическая стойкость данной схемы цифровой подписи основывается на сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции. Алгоритмы вычисления хэш-функции установлены в ГОСТ Р 34.11-2012. ГОСТ Р 34.10-2012. В настоящем стандарте предусмотрена возможность выбора одного из двух вариантов требований к параметрам. Настоящий стандарт не определяет процесс генерации параметров схемы цифровой подписи. Конкретный алгоритм (способ) реализации данного процесса определяется субъектами схемы цифровой подписи исходя из требований к аппаратно-программным средствам, реализующим электронный документооборот. Цифровая подпись, представленная в виде двоичного вектора длиной 512 или 1024 бита, должна вычисляться с помощью определенного набора правил. Набор правил, позволяющих принять либо отвергнуть цифровую подпись под полученным сообщением.

Заключение

За двадцать лет существования стандартов информационной безопасности в результате естественного отбора остались только основополагающие, которые до сих пор претерпевают постоянные изменения. Рынок ИБ России только начинает оправляться от «влияния гостайны», и в области стандартизации -- это особенно заметно.

В России исторически все началось в начале 90-х годов с написания своих оригинальных стандартов в области ИБ, ориентированных, прежде всего на защиту гостайны. Эта российская особенность стандартизации являлась серьезным недостатком для бизнеса, так как подходы к защите гостайны и бизнес информации кардинально отличаются.

Основные недостатки такого подхода для бизнеса (а, скорее, полная его неприменимость) состояли в том, что в российских стандартах не учитывались такие важные угрозы бизнеса как доступность, не применялся подход к построению системы защиты на основе анализа рисков, отсутствовало само понятие и принципы функционирования системы управления ИБ.

При этом важно отметить, что данные стандарты изначально и не предназначались для бизнеса. Просто на момент их создания не было понимания, что, во-первых, они нужны российскому бизнес сообществу, а, во-вторых, как именно должен выглядеть бизнес ориентированный стандарт; а других стандартов в РФ не было. В отличие же от российских, известные нам западные стандарты, были, прежде всего, ориентированы на защиту бизнес информации, поэтому широко применялись на практике западным бизнес сообществом.

Исторически в РФ область информационной безопасности регулировалась государственными регуляторами и спецслужбами. С течением времени стало очевидно, что проблема ИБ -- это не только проблема государственных органов, но и бизнеса, который в государстве с рыночной экономикой играет важнейшую роль. Это привело к тому, что последние годы государством взят курс как на либерализацию рынка ИБ, так и на использование лучших бизнес ориентированных западных стандартов.

В любом случае принятие и, что крайне важно, -- использование на практике лучших западных стандартов (особенно ISO 27001/17799) благотворно скажется на защищенности как государственных объектов, так и бизнеса, так как сегодня вопрос обеспечения безопасности бизнеса часто становятся вопросом обеспечения безопасности государства. Например, отток вкладчиков какого-либо крупного банка, вызванный информацией об успешной хакерской атаке, может привести к цепной реакции и временными проблемами для платежной системы всей страны.

Этот процесс должен привести как к повышению общего профессионального уровня в РФ в области обеспечения ИБ, так и к повышению уровня защищенности и управляемости информационных систем государственных и бизнес структур, что не может не радовать.

безопасность компьютерный стандартизация программа

Список литературы и источников

1. Шаньгин В. Ф. «Информационная безопасность и защита информации» - М.: ДМК Пресс, 2014. - 702 с.: ил.

2. Сычев Ю.Н. «Основы информационной безопасности: учебно-методический комплекс» Ю.Н. Сычев. - М.: ЕАОИ, 2012. -342 с.

3. Голиков А.М. «Основы информационной безопасности: учебное пособие» А.М. Голиков. - Томск: Томск. гос. ун-т систем упр. и радиоэлектроники, 2007. - 288 с.

4. Чуянов А.Г., Симаков А.А. «Обеспечение информационной безопасности в компьютерных системах. Учебное пособие» Чуянов А.Г., Симаков А.А. Омская академия МВД России

5. Малюк А.А., Горбатов В.С., Королев В.И. «Введение в информационную безопасность» Учебное пособие. Горячая линия - Телеком. 2011г. Москва.

6. Парошин А.А. «Нормативно-правовые аспекты защиты информации: Учебное пособие» А.А. Парошин. Владивосток: Издательство Дальневосточный федеральный унта, 2010. 116 с.

7. http://specremont.su/ «КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. Процессы формирования и проверки электронной цифровой подписи»

8. http://docs.cntd.ru/ «ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности»

9. http://www.ecm-journal.ru/ «Стандарты информационной безопасности: Россия и Мир»

10. http://www.center-bereg.ru/ «Информационная безопасность в России: особенности или уникальность?»

ref.by 2006—2025
contextus@mail.ru