- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
5.3Стандарт iso/iec 15408
5.3.1 Основні поняття
Ми приступаємо до розгляду найповнішого і сучасного серед стандартів - "Критеріїв оцінки безпеки інформаційних технологій" (виданий 1 грудня 1999 року). З історичної причини даний стандарт часто називають "Загальними критеріями" (ЗK).
"Загальні критерії" насправді є метастандартом, що визначає інструменти оцінки безпеки ІС і порядок їх використання. На відміну від "Оранжевої книги", ЗК не містять зумовлених "класів безпеки". Такі класи можна будувати, виходячи з вимог безпеки, що існують для конкретної організації та/або конкретної ІС.
З точки програміста зору ЗК можна вважати набором бібліотек, що допомагають писати змістовні "програми", - завдання по безпеці, типові профілі захисту і т.п. Програмісти знають, наскільки гарна бібліотека спрощує розробку програм, підвищує їх якість. Без бібліотек, "з нуля", програми не пишуть вже дуже давно; оцінка безпеки теж вийшла на відповідний рівень складності, і "ЗК" надали відповідний інструментарій.
Як і "Оранжева книга", ЗК містять два основні види вимог безпеки:
функціональні, які пред'являються до функцій безпеки і реалізуючих їх механізмів;
вимоги довіри, які пред'являються до технології і процесу розробки і експлуатації.
Дуже важливо, що безпека в ЗK розглядається не статично, а в прив'язці до життєвого циклу об'єкту оцінки. Виділяються наступні етапи:
визначення призначення, умов застосування, цілей і вимог безпеки;
проектування і розробка;
випробування, оцінка і сертифікація;
впровадження і експлуатація.
У ЗК об'єкт оцінки розглядається в контексті середовища безпеки, яка характеризується певними умовами і загрозами.
Профіль захисту є типовим набором вимог, яким повинні задовольняти продукти та/або системи певного класу (наприклад, операційні системи на комп'ютерах в урядових організаціях).
Завдання по безпеці містить сукупність вимог до конкретної розробки, виконання яких забезпечує досягнення поставленої мети безпеки.
Вище ми відзначали, що в ЗК немає готових класів захисту. Сформувати класифікацію в термінах "Загальних критеріїв" - означає визначити декілька ієрархічно впорядкованих (що містять вимоги, в бік підсилення) профілів захисту, в максимально можливому ступені тих, що використовують стандартні функціональні вимоги і вимоги довіри безпеки.
Функціональний пакет - це неодноразово використовувана сукупність компонентів, об'єднаних для досягнення певної мети безпеки. "Загальні критерії" не регламентують структуру пакетів, процедури верифікації, реєстрації і т.п., відводячи їм роль технологічного засобу формування профілю захисту.
Базовий профіль захисту повинен включати вимоги до основних (обов'язкових у будь-якому випадку) можливостей. Похідні профілі виходять з базового шляхом додавання необхідних пакетів розширення.
5.3.2Функціональні вимоги
Функціональні вимоги згруповані на основі виконуваної ними ролі або обслуговуваної мети безпеки. Всього в "Загальних критеріях" представлено 11 функціональних класів, 66 сімейств, 135 компонентів. Це, звичайно, значно більше, чим число аналогічної суті в "Оранжевій книзі".
Перерахуємо класи функціональних вимог ЗК:
ідентифікація і автентифікація;
захист даних користувача;
захист функцій безпеки (вимоги відносяться до цілісності і контролю даних сервісів безпеки і реалізовуючих їх механізмів);
управління безпекою (вимоги цього класу відносяться до управління атрибутами і параметрами безпеки);
аудит безпеки (виявлення, реєстрація, зберігання, аналіз даних, що зачіпають безпеку об'єкту оцінки, реагування на можливе порушення безпеки);
доступ до об'єкту оцінки;
приватність (захист користувача від розкриття і несанкціонованого використання його ідентифікаційних даних);
використання ресурсів (вимоги до доступності інформації);
криптографічна підтримка (управління ключами);
зв'язок (автентифікація сторін, що беруть участь в обміні даними);
довірений маршрут/канал (для зв'язку з сервісами безпеки).
Ми бачимо, що "Загальні критерії" - дуже продуманий і повний документ з погляду функціональних вимог.