3 СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Роль стандартов информационной безопасности. Проблемой информационной компьютерной безопасности начали заниматься с того момента, когда компьютер стал обрабатывать данные, ценность которых высока для пользователя. С развитием компьютерных сетей и ростом спроса на электронные услуги ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей! Т-средств.

Необходимость в стандартах в области информационной безопасности стала осознана достаточно давно, и в этом направлении достигнут существенный прогресс, закрепленный в документах разработки 1990-х гг. Первым и наиболее известным документом была Оранжевая книга «Критерии безопасности компьютерных систем» Министерства обороны США. В этом документе определены 4 уровня безопасности - D, С, В и А. По мере перехода от уровня D до А к надежности системы предъявляются все более жесткие требования. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому уровню, ее защита должна удовлетворять оговоренным требованиям. К другим важным стандартам информационной безопасности этого поколения относятся: «Руководящие документы Гостехкомиссии России», «Европейские критерии безопасности информационных технологий», «Федеральные критерии безопасности информационных технологий США», «Канадские критерии безопасности компьютерных систем» [2, 4].

В последнее время в разных странах появилось новое поколение стандартов, посвященных практическим вопросам

НЕ нашли? Не то? Что вы ищете?

управления информационной безопасностью компании. Это, прежде всего международные стандарты управления информационной безопасностью ISO 15408, ISO 17799 и некоторые другие.

Международные стандарты информационной безопасности. Стандарты Ш1ЕС 17799:2002 (BS 7799:2000). Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью - Информационные технологии» («Information technology -Information security management») является одним из наиболее известных стандартов в области защиты информации [1].

Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

-  необходимость обеспечения информационной безопасности;

-  основные понятия и определения информационной безопасности;

-  политика информационной безопасности компании;

-  организация информационной безопасности на предприятии;

-  классификация и управление корпоративными информационными ресурсами;

-  кадровый менеджмент и информационная безопасность;

-  физическая безопасность;

-  администрирование безопасности информационных систем (ИС);

-  управление доступом;

-  требования по безопасности к ИС в ходе их разработки, эксплуатации и сопровождения;

-  управление бизнес-процессами компании с точки зрения информационной безопасности;

-  внутренний аудит информационной безопасности компании.

В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта кроме всего прочего большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях. По мнению специалистов, обновление международного стандарта ISO 17799 (BS 7799) позволит не только повысить культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.

Германский стандарт BSI. В отличие от ISO 17799 германское рууководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.

В германском стандарте BSI представлены:

-  общая методика управления информационной безопасностью;

-  описания компонентов современных информационных технологий;

-  описания основных компонентов организации режима формационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях);

-  характеристики объектов информатизации;

-  характеристики основных информационных активов компании, в том числе аппаратное и программное обеспечение;

-  характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows;

-  характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;

-  подробные каталоги угроз безопасности и мер контроля.

Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание формационного актива компании - возможные угрозы и уязвимости безопасности - возможные меры и средства контроля и защиты.

Международный стандарт ISO 15408 «Общие критерии безопасности информационных технологий». Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. Важное место в этой системе стандартов занимает стандарт ISO 15408, известный как «Common Criteria».

В 1990 г. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки IT безопасности для общего использования. В разработке участвовали лучшие специалисты из США, Канады, Германии, Голландии, Англии, Франции.

Первые две версии документа были опубликованы соответственно в янвape и мае 1998 г. Версия 2.1 этого стандарта утверждена 8 июня 1999 г. международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий», или «Common Criteria».

«Общие критерии» (ОК) обобщили содержание и опыт использования Оранжевой книги, развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США.

В ОК проведена классификация широкого набора требований IT безопасности, определены структуры их группирования и принципы использования. Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.

Ведущие мировые производители IT оборудования сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.

ОК разрабатывались для удовлетворения запросов трех групп специалистов, в равной степени являющихся пользователями этого документа: производителей и потребителей IT продуктов, а также экспертов по оценке уровня их безопасности. ОК обеспечивают нормативную поддержку процесса выбора IT продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.

Требования ОК являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по IT безопасности.

Стандарт ISO 15408 поднял IT стандартизацию на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных ИС, что в свою очередь откроет новые сферы применения информационных технологий.

Отечественные стандарты безопасности информационных технологий.

Среди различных стандартов по IT безопасности, существующих в настоящее время в Казахстане, следует выделить нормативные документы по критериям оценки защищенности средств вычислительной техники и АС и документы, регулирующие информационную безопасность. К ним можно добавить нормативные документы по криптографической защите систем отработки информации и информационных технологий. В таблице 1 приведен список указанных стандартов.

Таблица 1 - Казахстанские стандарты, регулирующие информационную безопасность

п/п

Стандарт

Наименование

1

СТ РК 34.026-2006

Защита информации. Термины и определения

2

СТ РК 34.022-2006

Защита информации. Требования к проектированию, установке, наладке, эксплуатации и обеспечению безопасности информационных систем

3

CT PK 34.023-2006

Информационная технология. Методика оценки соответствия информационных систем требованиям безопасности

4

CT PK 34.024-2006

Защита информации. Автоматизированные системы в защищенном исполнении. Общие технические требования

5

CT PK 34.025-2006

Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

6

СТ РК ГОСТ Р 51275-2006

Защита информации. Объект информатизации. Факторы, воздействующие на информацию, Общие положения

7

CT PK ГОСТ Р 50739-2006

Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования

8

CT PK 1073-2007

Средства криптографической защиты информации. Общие технические требования

9

CT PK ИСО/МЭК 14888-1-2006

Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 1. Общие положения

10

CT PK ИСО/МЭК 14888-2-2006

Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 2. Механизмы, основанные на идентичности

11

CT PK ИСО/МЭК 14888-3-2006

Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 3. Механизмы, основанные на сертификате

12

СТРК ИСО/МЭК 10118-1-2006

Информационная технология. Методы защиты информации. Хэш-функции. Честь 1. Общие положения

13

СТРК ИСО/МЭК 10118-2-2006

Информационная технология. Методы защиты информации. Хэш-функции. Честь 2. Хэш-функции, использующие гс-битовый блок шифрования

14

СТРК ИСО/МЭК 10118-3-2006

Информационная технология. Методы защиты информации. Хэш-функции. Честь 3. Специализированные хэш-функции

15

СТРК ИСО/МЭК 10118-4-2006

Информационная технология. Методы защиты информации. Хэш-функции. Честь 4. Хэш-функции

16

СТ РК ИСО/МЭК ТО 14516-2007

Технологии информационные. Методы обеспечения защиты. Использование и управление услугами доверенной третьей стороны. Общие требования

17

СТ РК ГОСТ Р ИСО/МЭК 15408-1-2006.

Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1, Введение и общая модель

18

СТ РК ГОСТ Р ИСО/МЭК 15408-2-2006

Информационная технология, Методы и средства обеспечения безопасности, Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

19

СТ РК ГОСТ Р ИСО/МЭК 15408-3-2006

Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности

20

СТРК 1697-2007

Защита информации. Средства защиты технических средств от утечки информации по цепям электропитания. Общие технические требования

21

СТРК 1698-2007

Защита информации. Защита информации от технических разведок и от ее утечки по техническим каналам на объекте средств вычислительной техники. Методы защиты

22

СТРК 1699-2007

Системы контроля и управления доступом. Общие технические требования

23

СТРК 1700-2007

Техническая защита информации в служебных помещениях. Общие технические требования

24

СТРК 1701-2007

Техническая защита информации в средствах вычислительной техники, автоматизированных информационных системах и сетях от утечки по средствам побочных электромагнитных излучений и наводок. Общие технические требования

25

СТ РК ГОСТ Р 51188-2007

Защита информации. Испытания программных средств на наличие компьютерных вирусов. Общие требования

Стандарты в структуре информационной безопасности выступают как связующее звено между технической и концептуальной стороной вопроса.

Введение в 1999 г. Международного стандарта ISO 15408 в области обеспечения информационной безопасности имело большое значение как для разработчиков компьютерных систем, так и для их пользователей. Стандарт ISO 15408-2002 стал своего рода гарантией качества и надежности сертифицированных по нему программных продуктов. Этот стандарт позволил потребителям лучше ориентироваться при выборе ПО и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT компаний, сертифицирующих свою продукцию в соответствии с ISO 15408.