21. Назвіть основні положення «Канадських критеріїв безпеки інформаційних технологій»
Канадські критерії безпеки комп'ютерних систем [Canadian Trusted Computer Product Evaluation Criteria (CTCPEC)] — національний стандарт інформаційної безпеки, розроблений Центром безпеки відомства безпеки зв'язку Канади (Canadian System Security Centre Communication Security Establishment) в 90 роках.
"Канадські критерії" використовуються для розроблення вимог безпеки, специфікацій засобів захисту та сертифікації програмного забезпечення робочих станцій, багатопроцесорних обчислювальних систем, персональних і багатокористувальницьких операційних систем, систем керування базами даних, розподілених, мережних, вбудованих, проблемно-орієнтованих та інших систем.
В "Канадських критеріях" пропонується оригінальний підхід до опису взаємодії користувачів із комп'ютерною системою, інваріантний по відношенню до політики безпеки. Усі компоненти системи, які знаходяться під керуванням ядра безпеки, називаються об'єктами.
Об'єкти можуть знаходитися в одному з наступних трьох станів: об'єкт-користувач, об'єкт-процес, пасивний об'єкт, і в залежності від стану, позначають користувачів, процеси та об'єкти відповідно.
При описі критеріїв конфіденційності та цілісності (довільного та нормативного керування доступом і цілісністю) в "Канадських критеріях" використовується поняття тег.
Тега — сукупність атрибутів асоційованих із користувачем, процесом або проектом. Тегою може бути унікальний ідентифікатор, мітка безпеки або цілісності, криптографічний ключ, таблиця прав доступу або інші атрибути у відповідності з реалізованою в комп'ютерній системі політикою безпеки.
У критеріях застосований дуальний принцип подання вимог безпеки у вигляді функціональних вимог до засобів захисту та вимог до гарантій їхньої реалізації. "Канадські критерії" є добре збалансованим конгломератом "Жовтогарячої книги" і "Федеральних критеріїв", посилених вимогами гарантій реалізації політики безпеки, і поряд з іншими стандартами послужили основою для розроблення Загальних критеріїв безпеки інформаційних технологій.
Канадські критерії безпеки комп'ютерних систем були покладені в основу Критеріїв оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу, розроблених Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України для системи технічного захисту інформації України.
22. Назвіть основні положення «Загальних критеріїв безпеки інформаційних технологій».
Загальні критерії безпеки інформаційних технологій [Common Criteria for Information Technology Security Evaluation (CCITSE)] — стандарт інформаційної безпеки, що узагальнює зміст і досвід використання "Оранжевої книги".
До складу "Загальних критеріїв" входять три основні частини:
частина 1 — "Уявлення та загальна модель" [Part I: Introduction and general model];
частина 2 —"Вимоги до функцій безпеки" [Part I: Security functional requirements] ;
частина 3 — "Вимоги гарантій безпеки" [Part I: Security assurance requirements] .
За межі стандарту винесена частина 4 — "Напередвизначені профілі захисту", із-за необхідності постійного поповнення каталогу профілів захисту.
Основними компонентами безпеки "Загальних критеріїв" є (рис.1):
потенційні загрози безпеці та завдання захисту;
політика безпеки;
продукт інформаційних технологій;
профіль захисту;
проект захисту;
функціональні вимоги безпеки;
вимоги гарантій безпеки;
рівні гарантій.
Стандарт "Загальних критеріїв" описує тільки загальну схему проведення кваліфікаційного аналізу та сертифікації, але не регламентує процедуру їх здійснення. Питаннями методології кваліфікаційного аналізу та сертифікації присвячений окремий документ авторів "Загальних критеріїв" — Загальна методологія оцінки безпеки інформаційних технологій [Common Methodology for Information Technology Security Evaluation (CMITSE)], який є додатком до стандарту.
Рис.1. Основні компоненти загальних критеріїв
23. Які перспективи застосування Загальних критеріїв в Україні?
24. Розкрийте основну суть поняття управління інформаційною безпекою.
25. Назвіть загальні положення стандарту ISO 17799.
Стандарт ISO/IEC 17799 — це модель системи менеджменту, яка визначає загальну організацію, класифікацію даних, системи доступу, напрямки планування, відповідальність співробітників, використання оцінки ризику і т.ін. в контексті інформаційної безпеки. У процесі впровадження стандарту створюється так звана система менеджменту інформаційної безпеки, мета якої скорочення матеріальних втрат, зв'язаних з порушенням інформаційної безпеки. Основна ідея стандарту — допомогти комерційним та державним господарським організаціям вирішити достатньо складне завдання: не тільки забезпечити надійний захист інформації, але також організувати ефективний доступ до даних та нормальну роботу з ними.
Структура стандарту дозволяє вибрати ті засоби управління, які мають відношення до конкретної організації або сфери відповідальності усередині організації. Зміст стандарту включає наступні розділи (рис. 1):
політика безпеки [security policy];
організація захисту [organizational security];
класифікація ресурсів та контроль [asset classification and control];
безпека персоналу [personnel security];
фізична безпека та безпека навколишнього середовища [physical and environmental security];
адміністрування комп'ютерних систем та обчислювальних мереж [computer and network management];
керування доступом до системи [system access control];
розробка та супроводження інформаційних систем [system development and maintenance];
Рис. Структура стандарту ISO/IEC 17799
планування безперервної роботи організації [business continuing planning];
виконання вимог (відповідність законодавству) [compliance].
У зв'язку з цим виділяється ряд ключових елементів управління, що подаються як фундаментальні:
політика з інформаційної безпеки;
розподіл відповідальності за інформаційну безпеку;
освіта та тренінг з інформаційної безпеки;
звітність за інциденти з безпеки;
захист від вірусів;
забезпечення безперервності роботи;
контроль копіювання ліцензованого програмного забезпечення;
захист архівної документації організації;
захист персональних даних;
реалізація політики з інформаційної безпеки.
Як видно, поряд з елементами управління для комп'ютерів та комп'ютерних мереж стандарт велику увагу приділяє питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпеченню безперервності виробничого процесу, юридичним вимогам.
Безумовно, що не всі 109 пунктів стандарту можна застосовувати в умовах абсолютно кожної організації, тому авторами стандарту був вибраний підхід, при якому стандарт використовується як деяке "меню", з якого слід вибрати елементи, які можна застосувати для конкретних умов. Цей вибір здійснюється на основі оцінки ризику та ретельно обґрунтовується.
Ризик визначається як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні втрати, зв'язані з порушенням наступних властивостей інформаційного ресурсу:
• конфіденційність [confidentiality] — захищеність інформації від несанкціонованого доступу;
• цілісність [integrity] — захищеність інформації від несанкціонованої зміни, забезпечення її точності та повноти;
• доступності [availability] — можливість використання інформації, коли в цьому виникає необхідність, працездатність системи.
Стандарт не зосереджується тільки на забезпеченні конфіденційності. У комерційних організаціях з точки зору матеріальних втрат питання цілісності та доступності найчастіше більш критичні. У спрощеному вигляді аналіз ризику зводиться до відповідей на наступні питання:
Що може загрожувати інформаційним ресурсам?
Яка піддатливість цим загрозам, тобто що може відбутися з тим чи іншим інформаційним ресурсом?
• Якщо це відбудеться, то наскільки важкими будуть наслідки?
• Які можливі збитки?
• Наскільки часто слід очікувати подібні випадки?