Файловый архив студентов. Файловый архив студентов.
1312 вуза, 5269 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южно-Уральский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Курс_лекций_ИБ_ММ_2015.doc
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
1.08 Mб
Скачать
►Содержание►

4.2 Стандарты обеспечения информационной безопасности

Роль стандартов информационной безопасности.

Необходимость как-то измерять достоверность и защищенность информационных систем11 (ИС) привела к разработке стандарта информационной безопасности (ИБ). Главная задача стандартов ИБ – создать основу для взаимодействия между его основными группами пользователей: потребителями, производителями и экспертами по квалификации ИТ. Каждая из этих групп пользователей имеет свои интересы и свои взгляды на проблему ИБ.

При разработке стандарта имелись в виду три цели:

  1. предложить потребителям критерий, с помощью которого можно было бы оценивать степень доверия (гарантированность) к ИС с точки зрения обеспечения безопасной обработки конфиденциальной (секретной) и другой критически важной информации;

Потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности. К сожалению, многие потребители не понимают, что требования безопасности часто противоречат функциональным требованиям (удобству работы, быстродействию и т.п.), накладывают ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных и поэтому незащищенных прикладных программных средств.

  1. создать руководство, призванное помочь производителям выбрать из широкого диапазона устройств те, которые целесообразно встраивать в их новые, широко представленные на рынке проверенные коммерческие продукты;

Производители нуждаются в стандартах как средстве сравнения возможностей своих продуктов, в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который бы максимально конкретизировал и регламентировал необходимость применения тех или иных средств, механизмов и алгоритмов.

  1. обеспечить экспертам основу для оценки требований к защищенности в спецификациях приобретаемых продуктов.

Эксперты рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами ИТ. С одной стороны, они заинтересованы в четких и простых критериях, с другой они должны дать обоснованный ответ потребителям – удовлетворяет продукт их нуждам или нет.

Таким образом, перед стандартами ИБ стоит непростая задача – примерить три разные точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем ущемление потребностей хотя бы одной из них не позволит решить общую задачу – создание надежной (защищенной) системы обработки информации.

Надежная система, в данном случае, определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени конфиденциальности группой пользователей без нарушения прав доступа».

Надежность систем оценивается по двум основным критериям:

  • Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация накапливает, обрабатывает, защищает и распространяет информацию. Политика безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия. Чем надежнее система, тем строже и много образнее должна быть политика безопасности.

  • Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность можно определить тестированием системы в целом или ее компонентов. Гарантированность – это пассивный компонент защиты, надзирающий за самими защитниками и показывающий, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности.

Надежная система должна фиксировать все события, касающиеся ИБ, используя механизм протоколирования.

Ведение протоколов должно дополняться анализом регистрируемой информации - аудитом.

Оценивая степени гарантированности, при которой систему можно считать надежной, центральной является концепция надежной вычислительной базы. Вычислительная база - это совокупность защитных механизмов компьютерной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики ИБ. Надежность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит персонал (например, данные о степени благонадежности пользователей). Основное назначение надежной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Каждое обращение пользователя к ресурсам системы проверяется на предмет согласованности со списком действий, допустимых для пользователя.

С каждым зарегистрированным в ИС пользователем связана некоторая информация, однозначно идентифицирующая его. Эту информацию называют идентификатором пользователя. Прежде чем получить доступ к ресурсам системы, пользователь должен пройти процесс первичного взаимодействия с ней, который включает идентификацию12 и аутентификацию13. После идентификации и аутентификации пользователя выполняется его авторизация14.

Современные стандарты ИБ.

Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов ИБ, которая насчитывает более сотни различных документов.

Международный стандарт ISO 15408.

Важное место в системе стандартов занимает стандарт ISO 15408, известный как «Common Criteria». Версия 2.1 этого стандарта была утверждена 8 июня 1999 года ISO15 в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий» (далее - ОК). Закончилась 15-летняя эра американской «Оранжевой книги» (по цвету обложки), ставшей классическим документом в практике защиты информации. ОК обобщили содержание и опыт использования «Оранжевой книги», развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. Авторы этого документа - специалисты из шести стран (США, Канады, Великобритании, Германии, Нидерландов и Франции) и рабочей группы WG 3 «Критерии оценки безопасности» объединенного технического комитета JTC1 «Информационные технологии» ISO/IEC.

Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития. 16

Отечественные стандарты безопасности.

Среди различных стандартов по ИБ, существующих в настоящее время в РФ, следует выделить:

- нормативные документы по критериям оценки защищенности средств вычислительной техники (далее - СВТ) и автоматизированных систем (далее - АС) и документы, регулирующие ИБ:

Стандарт

Наименование

1

ГОСТ Р ИСО/МЭК 15408-1-2008

ГОСТ Р ИСО/МЭК 15408-2-2008

ГОСТ Р ИСО/МЭК 15408-3-2008

Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель.

Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 2. Функциональные требования безопасности.

Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Требования доверия к безопасности.

2

ГОСТ Р 50739-95

Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

3

ГОСТ Р 50922-96

Защита информации. Основные термины.

4

ГОСТ Р 51188-98

Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.

5

ГОСТ Р 51275-99

Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

6

ГОСТ Р ИСО 7498-1-99

Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.

7

ГОСТ Р ИСО 7498-2-99

Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.

- нормативные документы по криптографической защите систем обработки информации и информационных технологий:

Стандарт

Наименование

1

ГОСТ 28147-89

Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

2

ГОСТ Р 34.10-2001

Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.

3

ГОСТ Р 34.11-94

Информационная технология. Криптографическая защита информации. Функция хэширования.

Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15408-1-2008

Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 519-ст).

Обеспечивая защиту активов17 от угроз, во внимание следует принимать все разновидности угроз. Наибольшее внимание уделяется тем из них, которые связаны со злоумышленными и иными (непреднамеренные угрозы) действиями человека. Угрозы классифицируются на основе потенциала злоупотребления защищаемыми активами.

Высокоуровневые понятия безопасности и их взаимосвязь представлены на рисунке ниже.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности