Формирование и обеспечение комплексной защищенности информационных ресурсов

1. РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" 

    РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к  информации" устанавливает классификацию  СВТ по уровню защищенности от НСД  к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты: 

Первая  группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;

Вторая  группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

Третья  группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

Четвертая группа характеризуется верифицированной защитой содержит только первый класс. 

2. РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" 

    РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает  классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

• наличие в АС информации различного уровня конфиденциальности;
• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
• режим обработки данных в АС - коллективный или индивидуальный.

    Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс  характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС. 

3. РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" 

    При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

• Управление доступом;
• Идентификация и аутентификация;
• Регистрация событий и оповещение;
• Контроль целостности;
• Восстановление работоспособности.

 

    На  основании показателей защищенности определяются следующие пять классов  защищенности МЭ:

• Простейшие фильтрующие маршрутизаторы - 5 класс;
• Пакетные фильтры сетевого уровня - 4 класс;
• Простейшие МЭ прикладного уровня - 3 класс;
• МЭ базового уровня - 2 класс;
• Продвинутые МЭ - 1 класс.

 

    МЭ  первого класса защищенности могут  использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму  классу защищенности МЭ соответствует  класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.

    Также к стандартам России в области информационной безопасности относятся:

• Гост 28147-89 – блочный шифр с 256-битным ключом;
• Гост Р 34.11-94 –функция хэширования;
• Гост Р 34.10-94 –алгоритм цифровой подписи.

 
 
 
 

10. Европейские стандарты безопасности 

ISO 15408: Common Criteria for Information Technology Security Evaluation

    Наиболее  полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

    Общие критерии оценки безопасности информационных технологий (далее "Общие критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

    Хотя  применимость "Общих критериев" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

    Первая часть "Общих критериев" содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

    Требования  к функциональности средств защиты приводятся во второй части "Общих критериев" и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.

    Третья  часть "Общих критериев" содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

• Наличие побочных каналов утечки информации;
• Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;
• Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;
• Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.

 

ISO 17799: Code of Practice for Information Security Management 

    Наиболее  полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.

    ISO 17799 содержит практические правила  по управлению информационной  безопасностью и может использоваться  в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

    Практические  правила разбиты на следующие 10 разделов:

• Политика безопасности;
• Организация защиты;
• Классификация ресурсов и их контроль;
• Безопасность персонала;
• Физическая безопасность;
• Администрирование компьютерных систем и вычислительных сетей;
• Управление доступом;
• Разработка и сопровождение информационных систем;
• Планирование бесперебойной работы организации;
• Контроль выполнения требований политики безопасности.

    В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время  в правительственных и коммерческих организациях во многих странах мира.

    Десять  средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

    Ключевыми являются следующие средства контроля:

• Документ о политике информационной безопасности;
• Распределение обязанностей по обеспечению информационной безопасности;
• Обучение и подготовка персонала к поддержанию режима информационной безопасности;
• Уведомление о случаях нарушения защиты;
• Средства защиты от вирусов;
• Планирование бесперебойной работы организации;
• Контроль над копированием программного обеспечения, защищенного законом об авторском праве;
• Защита документации организации;
• Защита данных;
• Контроль соответствия политике безопасности.

    Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками. 
 

11. Стандарт безопасности США 

1. "Оранжевая книга "

"Department of Defense Trusted Computer System Evaluation Criteria"

OK принята  стандартом в 1985 г. Министерством  обороны США (DOD). Полное

название документа "Department of Defense Trusted Computer System Evaluation Criteria".

OK предназначается  для следующих целей:

• Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;
• Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;
• Обеспечить базу для исследования требований к выбору защищенных систем.

 

Рассматривают два типа оценки:

• без учета среды, в которой работает техника;
• в конкретной среде (эта процедура называется аттестованием).

 

    Во  всех документах DOD, связанных с ОК, принято одно понимание фразы       обеспечение безопасности информации. Это понимание принимается как  аксиома и формулируется следующим  образом: безопасность = контроль за доступом.

    Классы  систем, распознаваемые при помощи критериев оценки гарантированно       защищенных вычислительных систем, определяются следующим образом. Они       представлены в порядке нарастания требований с точки зрения обеспечения       безопасности ЭВМ.

1. Класс (D): Минимальная защита
2. Класс (C1): Защита, основанная на разграничении доступа (DAC)
3. Класс (С2): Защита, основанная на управляемом контроле доступом
4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и       субъектам, находящимся под контролем ТСВ
5. Класс (B2): Структурированная защита
6. Класс (ВЗ): Домены безопасности
7. Класс (A1): Верифицированный проект

 

    2. FIPS 140-2 "Требования безопасности для криптографических модулей"