Стандарты в информационной безопасности

C — Дискреционная защита

C1 — Дискреционное обеспечение секретности.

Разделение пользователей  и данных

Дискреционное управление доступом, допускающее принудительное ограничение доступа на индивидуальной основе.

C2 — Управление доступом

Более чётко оформленное  дискреционное управление доступом.

Индивидуальные учётные  записи, вход под которыми возможен через процедуру авторизации.

Журнал контроля доступа  к системе.

Изоляция ресурсов.

B — Мандатная защита

B1

Мандатное управление доступом к выбранными субъектам и объектам.

Все обнаруженные недостатки должны быть устранены или убраны каким-либо другим способом.

B2 — Структурная защита

Чётко определённая и документированная  модель правил безопасности.

Применение расширенного дискреционного и мандатного управления доступом ко всем объектам и субъектам.

Скрытые каналы хранения.

B3 — Защищённые области

Соответствие требованиям монитора обращений.

Структурирование для  исключения кода не отвечающего требованиям  обязательной политики безопасности.

Поддержка администратора системы  безопасности.

Примером подобной системы  является XTS-300, предшественница XTS-400.

A — Проверенная защита

A1 — Проверенный дизайн.

По функциям идентично B3.

Формализованный дизайн и  проверенные техники, включающие высокоуровневую  спецификацию.

Формализованные процедуры  управления и распространения.

Примером подобной системы  является SCOMP, предшественница XTS-400.

Выше A1

Системная архитектура демонстрирующая, что требования самозащиты и полноценности  для мониторов обращений были выполнены в соответствии с «Базой безопасных вычислений» (коллекцией программного и аппаратного обеспечения необходимых  для обязательной политики безопасности в операционных системах ориентированных  на безопасность).

 

 

 

 

4. Международный стандарт управления информационной безопасностью ISO 17799

 

4.1 Критерии оценки защищенности информационных систем

 

Какой вопрос наиболее часто  задают руководители высшего звена  компании ИТ менеджерам и специалистам по информационной безопасности? Думаю, что это очевидно: "Насколько  защищена наша информационная система?". Этот вопрос действительно является краеугольным камнем информационной безопасности и тем самым "тонким" местом, которое обычно стараются избегать секьюрити специалисты. И действительно  оценить защищенность информационной системы достаточно сложно: но, как  известно, можно. Для этого существуют, в основном, качественные методы оценки уровня защищенности, которые на выходе позволяют получить не количественную оценку ("система защищена на 4.2 балла  или на 58%"), а качественную - система  соответствует определенному классу или уровню защищенности; тому или  иному стандарту безопасности. Количественные методы оценки на практике не нашли  своего применения. Применение качественных методов оценки является на сегодняшний  день единственным способом получить представление о реальном уровне защищенности информационных ресурсов компании.

 

4.2 Критерии проведения аудита безопасности информационных систем

 

Перейдем к следующей  части и вспомним, какой вопрос обычно является ключевым при проведении аудита безопасности. Обычно, это вопрос о стандарте безопасности, проверку на соответствие которому будет выполнять  аудитор. В России обычной практикой  при проведении аудита является выполнение данных работ без привязки к какому либо критерию или стандарту - аудитор  ограничивается оценкой текущего уровня защищенности и выработке рекомендаций по его повышению в соответствии со своей экспертной оценкой и  своим пониманием об уровнях и  критериях защиты. И, в общем, это  нормальная практика, когда компания доверяет выбранному эксперту или группе экспертов, но проводить аудит, основываясь только на собственной экспертной оценке, не учитывая мировой опыт и существующие стандарты безопасности, на сегодняшний день практически недопустимо.

 

4.3 Международный стандарт безопасности информационных систем ISO 17799

 

Несколько лет назад Британский институт стандартов ( BSI ) при участии  коммерческих организаций, таких как Shell , National Westminster Bank , Midland Bank , Unilever , British Telecommunications , Marks & Spencer , Logica и др., занялся  разработкой стандарта информационной безопасности. И в 1995 г. был принят национальный стандарт BS 7799 управления информационной безопасностью организации  вне зависимости от сферы деятельности компании. Служба безопасности, IT -отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. Британский стандарт BS 7799 поддерживается в 27 странах  мира, в числе которых страны Британского  Содружества, а также, например, Швеция и Нидерланды. В 2000 г. международный  институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный  стандарт менеджмента безопасности ISO / IEC 17799. Поэтому сегодня можно  утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание  и статус международного стандарта ISO.

Ниже приведены основные разделы стандарта ISO 17799:

Политика безопасности

Организационные меры по обеспечению  безопасности

Управление форумами по информационной безопасности

Координация вопросов, связанных  с информационной безопасностью 

Распределение ответственности  за обеспечение безопасности

Организационные меры по обеспечению  безопасности

Инвентаризация ресурсов

Классификация ресурсов

Безопасность персонала 

Безопасность при выборе и работе с персоналом

Тренинги персонала по вопросам безопасности

Реагирование на секьюрити  инциденты и неисправности 

Физическая безопасность

Управление коммуникациями и процессами

Рабочие процедуры и ответственность 

Системное планирование

Защита от злонамеренного программного обеспечения (вирусов, троянских  коней)

Управление внутренними  ресурсами 

Управление сетями

Безопасность носителей  данных

Передача информации и  программного обеспечения 

Контроль доступа 

Бизнес требования для  контроля доступа 

Управление доступом пользователя

Ответственность пользователей 

Контроль и управление удаленного (сетевого) доступа 

Контроль доступа в  операционную систему 

Контроль и управление доступом к приложениям 

Мониторинг доступа и  использования систем

Мобильные пользователи

Разработка и техническая поддержка  вычислительных систем

Требования по безопасности систем

Безопасность приложений

Криптография 

Безопасность системных  файлов

Безопасность процессов  разработки и поддержки 

Управление непрерывностью бизнеса 

Процесс управления непрерывного ведения бизнеса 

Непрерывность бизнеса и  анализ воздействий 

Создание и внедрение  плана непрерывного ведения бизнеса 

Тестирование, обеспечение  и переоценка плана непрерывного ведения бизнеса 

Соответствие системы основным требованиям 

Соответствие требованиям  законодательства

Анализ соответствия политики безопасности

Анализ соответствия техническим  требованиям 

Анализ соответствия требованиям  системного аудита

 

4.4 ISO 17799 в странах СНГ

 

В последние несколько  лет ISO 17799 начал уверенно продвигаться по странам СНГ. В Молдове благодаря  позиции Национального Банка  все банки уже более года проходят регулярную проверку на соответствие ISO 17799. В ближайшее время в Молдове ISO 17799 получит статус государственного стандарта. В Украине также существуют планы принятия данного стандарта  в качестве государственного - эту  позицию озвучил выступавший в 2002 году в Киеве на одном из семинаров Digital Security представитель Службы Безопасности Украины. В России стандарт ISO 17799 пока не имеет статус государственного стандарта. Однако в последнее время ситуация меняется: Государственная Техническая Комиссия при Президенте РФ уже отказалась от использования собственных стандартов защищенности автоматизированных систем и принимает ГОСТ 15408 ( ISO 15408). Ожидается, что подобная ситуация в ближайшие годы в России произойдет и с ISO 17799 и нам следует ожидать появления ГОСТ 17799.

 

4.5 Преимущества, получаемые компанией после прохождения сертификации по ISO 17799

 

Какие преимущества получает компания, которая провела аудит  безопасности своих информационных ресурсов и получила сертификат соответствия системы управления информационной безопасности по стандарту ISO 17799? Прежде всего, это "неформальные" преимущества: после проведения аудита информационная система компании становится "прозрачнее" для менеджмента, выявляются основные угрозы безопасности для бизнес - процессов, вырабатываются рекомендации по повышению  текущего уровня защищенности для защиты от обнаруженных угроз и недостатков  в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений  в систему управления информационной безопасностью, как для повышения  реального уровня защищенности, так  и для непосредственного соответствия стандарту. Сертификация на соответствие стандарту ISO 17799 ( BS 7799) позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это  обеспечивает компании конкурентное преимущество, демонстрируя способность управлять  информационными рисками. Кроме  того, говоря о сертификации по ISO 17799, стоит принять во внимание согласованную  с ВТО процедуру принятия России в данную организацию. Эта процедура  потребует адекватной реакции от наиболее значимых в экономике России структур и адаптации стратегии  развития в области информационных технологий с учетом международных  стандартов безопасности, таких как ISO 17799.

 

4.6 Практика прохождения аудита и получения сертификата ISO 17799

 

Для получения сертификата  соответствия ISO 17799 компания должна пройти аудит информационной безопасности, провести подготовку информационной системы  на соответствие стандарту, внедрить изменения  и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько  этапов. Предварительный этап заключается  в проведении аудита и, на его основании, подготовки необходимых изменений  системы управления информационной безопасностью. Его может выполнить  специализированная секьюрити компания, имеющая опыт в проведение подобных работ. Затем, после подготовки комплекта  необходимых документов и внесения изменений в систему, необходимо провести итоговую проверку соответствия ISO 17799, для чего требуется участие  специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата  и имеют аккредитацию при UKAS (United Kingdom Accreditation Service, http://www.ukas.com) - уполномоченном государственном органе Великобритании. Также, отметим, что в настоящее время официальная сертификация возможно только по BS 7799 (до выхода 2-ой части ISO 17799 - требования к аудиторам, которая намечена на 2004 год). Однако между ISO и UKAS существует соглашение, согласно которому после принятия второй часто ISO 17799 все сертификаты BS 7799 автоматически получают статус ISO 17799.

 

4.7 Программные средства создания и проверки политики безопасности на соответствие требованиям ISO 17799

 

Для решения задачи создания и проверки политики информационной безопасности компании применяются  следующие программные комплексы: британская Cobra http://www.riskworld.net (компания C & A Systems Security Ltd) и российский КОНДОР http://www.dsec.ru/soft/kondor.php (компания Digital Security, http://www.dsec.ru )

 

5. Стандарты безопасности в Интернете

 

В качестве средств обеспечения  безопасности в сети Интернет популярны  протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились  сравнительно недавно, и сразу стали  стандартами де-факто.

SSL (TLS)

Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических  алгоритмов, методов и правил их применения. Позволяет устанавливать  защищенное соединение, производить  контроль целостности данных и решать различные сопутствующие задачи.

SET

SET (Security Electronics Transaction) - перспективный  протокол, обеспечивающий безопасные  электронные транзакции в Интернете.  Он основан на использовании  цифровых сертификатов по стандарту  Х.509 и предназначен для организации  электронной торговли через сеть.

Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели могут  приобретать товары через Интернет, используя самый защищенный на сегодняшний  день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в  Интернете с использованием пластиковых  карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность  и секретность сообщения, шифрование ценных и уязвимых данных. SET можно  считать стандартной технологией  или системой протоколов выполнения безопасных платежей на основе пластиковых  карт через Интернет.

IPSec

Спецификация IPSec входит в  стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается  Рабочей группой IP Security IETF. В настоящее  время IPSec включает три алгоритмо-независимых  базовых спецификации, представляющих соответствующие RFC-стандарты.

Протокол IPSec обеспечивает стандартный  способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется  каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные  частные сети. IPSec работает поверх обычных  протоколов связи, поддерживая DES, MD5 и  ряд других криптографических алгоритмов.

Обеспечение информационной безопасности на сетевом уровне с  помощью IPSec включает:

поддержку немодифицированных конечных систем;

поддержку транспортных протоколов, отличных от ТСР;

поддержку виртуальных сетей  в незащищенных сетях;

защиту заголовка транспортного  уровня от перехвата (предохранение  от несанкционированного анализа трафика);

защиту от атак типа "отказ  в обслуживании".

Кроме того, IPSec имеет два  важных преимущества:

его применение не требует  изменений в промежуточных устройствах  сети;

рабочие места и серверы  не обязательно должны поддерживать IPSec.

 

 

6.Вывод

Самыми частыми и самыми опасными, с точки зрения размера  ущерба, являются непреднамеренные ошибки пользователей, операторов, системных  администраторов и других лиц, обслуживающих  информационные системы. Иногда такие  ошибки являются угрозами: неправильно  введенные данные, ошибка в программе, а иногда они создают слабости, которыми могут воспользоваться  злоумышленники - таковы обычно ошибки администрирования. Согласно исследованиям, 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно  считать пустяками по сравнению  с безграмотностью и невнимательностью. Очевидно, самым радикальным способом борьбы с непреднамеренными ошибками является максимальная автоматизация  и строгий контроль за правильностью  совершаемых действий.