Краткая классификация

Такова классификация, введенная в «Оранжевой книге». Коротко её можно сформулировать так:

уровень С — произвольное управление доступом;

уровень В — принудительное управление доступом;

уровень А — верифицируемая безопасность.

Конечно, в адрес «Критериев ...» можно высказать целый ряд серьёзных замечаний (таких, например, как полное игнорирование проблем, возникающих в распределенных системах). Тем не менее, следует подчеркнуть, что с публикацией «Оранжевой книги» появился общепризнанный понятийный базис, без которого даже обсуждение проблем ИБ было бы затруднительным.

Однако следует отметить, что описанный подход был ориентирован на оценку отдельных программно-технических комплексов, поэтому в 1987 году Национальным центром компьютерной безопасности США была дополнительно опубликована интерпретация «Оранжевой книги» для сетевых конфигураций .

Многие требования «Оранжевой книги» уже устарели. Например, согласно ей, минимальная длина пароля, равная шести символам, считается безопасной. В те времена, когда писалась « Оранжевая книга», мощность вычислительной техники была невысокой, и указанная длинна паролей действительно обеспечивала безопасность, но на современном компьютере пароль такой длины может быть подобран всего за несколько минут.

В «Оранжевой книге» не уделяется должного внимания некоторым важным в настоящие время аспектам защиты систем, и объясняется это тем, что соответствующие атаки на защищенные системы были изобретены уже после её написания.

В тоже время, следует отметить, что огромный идейный потенциал «Оранжевой книги» пока во многом остается невостребованным. Прежде всего это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы — от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях, теряется информация о семантике программ.

2. Стандарты iso/iec 17799:2000 (bs 7799-1:2000)

Прародитель международных стандартов управления информационной безопасностью — британский стандарт BS 7799.

Первая его часть — BS 7799-1 «Практические правила управления информационной безопасностью» — была разработана BSI в 1995 г. по заказу правительства Великобритании. Как следует из названия, этот документ является практическим руководством по управлению информационной безопасностью в организации. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения СУИБ, определенных на основе лучших примеров из мировой практики. В 1998 году появилась вторая часть этого британского стандарта — BS 7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению», определившая общую модель построения СУИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью. В 1999 году обе части BS 7799 были пересмотрены и гармонизированы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя технический комитет ISO без изменений принял BS 7799-1 в качестве международного стандарта ISO/IEC 17799:2000.

Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». В это же время была обновлена и первая часть стандарта. С выходом ISO 27001 спецификации СУИБ приобрели международный статус, и теперь следует ожидать значительного повышения роли и престижности СУИБ, сертифицированных по стандарту ISO 27001.

Семейство международных стандартов управления безопасностью 2700х продолжает активно развиваться. В соответствии с планами ISO оно будет включать стандарты, определяющие требования к СУИБ, систему управления рисками, метрики и измерения эффективности механизмов контроля, а также руководство по внедрению. Для этого семейства стандартов будет использоваться последовательная схема нумерации, начиная с 27000 и далее. ISO/IEC 17799:2005 в последующем будет переименован в ISO/IEC 27002. В разработке находится также проект стандарта ISO/IEC 27000, который будет содержать основные принципы и определения и будет унифицирован с популярными стандартами управления ИТ: COBIT и ITIL.

В начале 2006 г. был принят новый британский национальный стандарт в области управления рисками информационной безопасности BS 7799-3, который в дальнейшем получит индекс 27005. Ведется также работа над стандартами по внедрению и измерению эффективности СУИБ, которые получат индексы соответственно 27003 и 27004. Выпуск этих международных стандартов запланирован на 2007 год.

Согласно данным группы пользователей СУИБ, поддерживающей международный реестр сертификатов, по состоянию на август 2006 года в мире зарегистрировано более 2800 организаций из 66 стран, сертифицированных по ISO 27001 (BS 7799), в том числе и четыре российские компании. Среди сертифицированных организаций — крупнейшие ИТ-компании, организации банковской и финансовой сферы, предприятия ТЭК и телекоммуникационного сектора. Ожидается, что количество обладателей сертификатов в России в 2007 году достигнет нескольких десятков.

BS 7799 постепенно стал «главным стандартом информационной безопасности». Однако, когда в августе 2000 г. в ISO обсуждалась первая редакция международного стандарта ISO 17799, с трудом удалось достичь консенсуса. Документ вызвал массу критических замечаний со стороны представителей ведущих ИТ-держав, которые утверждали, что он не отвечает основным критериям, предъявляемым к международным стандартам.

«Не было даже возможности сравнить этот документ со всеми остальными работами по безопасности, когда-либо рассматриваемыми в ISO»,- говорит Жене Трой, представитель США в техническом комитете ISO.

Сразу несколько государств, включая США, Канаду, Францию и Германию, выступили против принятия ISO 17799. По их мнению, этот документ хорош как набор рекомендаций, но не как стандарт. В США и европейских странах до 2000 г. уже была проделана огромная работа по стандартизации информационной безопасности. «Существует несколько различных подходов к ИТ безопасности. Мы считали, чтобы получить действительно приемлемый международный стандарт, все они должны быть приняты к рассмотрению, вместо того чтобы взять один из документов и ускоренно его согласовать. — говорит Жене Трой, — Главный стандарт безопасности был представлен как свершившийся факт, и просто не было возможности использовать результаты другой работы, проделанной в этой области».

Представители BSI возражали, что работы, о которых идет речь, касаются в основном технических аспектов, а BS 7799 никогда не рассматривался как технический стандарт. В отличие от других стандартов безопасности, таких как Commonly Accepted Security Practices and Regulations (CASPR) или ISO 15408/Common Criteria, он определяет основные не технические аспекты защиты информации, представленной в любой форме. «Он должен быть таким, так как предназначается для любых видов организаций и внешних окружений,- говорит представитель BSI Стив Тайлер (Steve Tyler), — Это документ по управлению информационной безопасностью, а не каталог ИТ продуктов».

Несмотря на все возражения, авторитет BSI (являющегося основателем ISO, основным разработчиком международных стандартов и главным органом по сертификации в мире) перевесил. Была запущена процедура ускоренного согласования, и стандарт вскоре был принят.

Основным достоинством ISO 17799 является его гибкость и универсальность. Описанный в нем набор лучших практик применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий.

Когда возникают вопросы: «С чего начать?», «Как управлять ИБ?», «На соответствие каким критериям следует проводить аудит?» — этот стандарт поможет определить верное направление и не упустить из виду существенные моменты. Его также можно использовать как авторитетный источник и один из инструментов для «продажи» безопасности руководству организации, определения критериев и обоснования затрат на ИБ.

Однако гибкость и универсальность одновременно являются и «ахиллесовой пятой» этого стандарта. Критики говорят, что ISO 17799 является слишком абстрактным и нечетко структурированным, чтобы представлять реальную ценность. Недостаточно основательное его применение может давать ложное чувство защищенности.

ISO 17799 описывает меры по обеспечению безопасности в общем виде, но ничего не говорит о технических аспектах их реализации. Например, стандарт рекомендует использовать механизмы контроля доступа и определяет конкретные технологии, такие как USB-ключи, смарт-карты, сертификаты и т.п. Однако он не рассматривает достоинства и недостатки этих технологий, особенности и способы их применения.