Тема 9. Нормативная база анализа защищенности. Стандарты iso 15408, iso 17799, nist. Подходы cobit, octave.

ISO 15408 отражает общие критерии оценки безопасности информационных технологий (ИТ), определяет функциональные требования безопасности и требования адекватности реализации функции безопасности. При проведении работ по анализу защищенности АС, а также СВТ общие критерии целесообразно использовать в качестве основных критериев, позволяющих оценить уровень защищенности АС и СВТ с точки зрения полноты реализованных в ней функций с точки зрения безопасности и надежности реализации этих функций.

Общие критерии можно разделить на 3 части:

1. содержит определения общих понятий, концепций, описаний модели и методики проведения оценки безопасности ИТ

2. содержит требования к функциональности СЗ, которые могут быть использованы при анализе защищенности

3. содержит классы требований гарантированности оценки, включая требования по анализу уязвимостей СЗ. Определяет методам, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

- наличие побочных каналов утечки информации

- ошибки в конфигурации или неправильное использование системы, приводящие к переходу в небезопасное состояние (например, МЭ)

- недостаточная надежность СЗ

- наличие уязвимостей в СЗ, дающих возможность пользователям совершать НСД в обход СЗ.

ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки безопасности организационного уровня, включая физические меры защиты.

Практические правила разбиты на 10 разделов:

1. политики безопасности

2. организация защиты

3. классификация ресурсов и их контроль

4. безопасность персонала

5. физическая безопасность

6. администрирование компьютерных систем и вычислительных сетей

7. управление доступом

8. разработка и сопровождение информационных систем

9. планирование бесперебойного действия работы организации

10. контроль выполнения требований

В этих разделах содержатся описания механизмов безопасности. 10 средств контроля предлагаемых в стандарте считаются особо важными.

Под средствами контроля понимаются механизмы управления информационной безопасностью (ИБ).

При использовании некоторых из средств контроля, например, шифрование данных может потребоваться оценка рисков, чтобы определить, нужны ли они и каким образом их использовать.

Для обеспечения более высокого уровня безопасности или оказания противодействия особо серьезным угрозам могут потребоваться более сильные средства, выходящие за рамки данного стандарта.

Также в стандарте представлены 10 ключевых средств контроля, которые служат в качестве основного руководства для организаций, приступающих к реализации средств управления информационной безопасности.

КСК (ключевые средства контроля):

1. документ о политике ИБ

2. распределение обязанностей по обеспечению ИБ

3. обучение и подготовка поддержания режима ИБ

4. уведомление о случаях нарушения защиты

5. средства защиты от вирусов

6. бесперебойная работа в соответствии с заданной политикой

7. защита данных

8. контроль над копированием, изменением, удалением ПО

9. защищенный документооборот

10. соответствие политике безопасности

Процедура аудита безопасности включает в себя проверку наличия перечисленных КСК, также оценку полноты и правильности их реализации в соответствии рискам, существующим в данной среде функционирования.

ЛЕКЦИЯ №12.

NIST. Данный стандарт рассматривает вопросы управления информационными рисками. Считается, что система управления рисками должна минимизировать возможные негативные последствия, связанные с использованием ИТ. Для этого система управления рисками интегрируется в систему управления жизненным циклом ИТ.

Таблица: Управление рисками на различных стадиях жизненного цикла ИТ.

Фаза жизненного цикла	Соответствие фазе управления рисками
предпроектная стадия	выявление основных классов рисков для данной ИС, вытекающей из концепции обеспечения ИБ
проектирование	выявление рисков, вытекающих из особенностей архитектуры ИС
создание ИС; монтаж, настройка и конфигурирование	до начала функционирования ИС все риски должны быть выявлены
функционирование	периодическая переоценка рисков, связанных с изменением условий и конфигураций
прекращение функционирования	соблюдение требований к ИБ по отношению к выводимым информационным ресурсам

Основные стадии, которые согласно стандарту NIST должна включать технология управления рисками, показана ниже:

COBIT. Является составной частью стандарта CRAMM. Определяет основные критерии оценки процессов управления ИТ.

Общие принципы управления определяют стратегию поведения аудита ИТ.

В данном подходе процесс управления подразделяется на 4 этапа:

1. определяет стандарт оценки эффективности ИТ процесса

2. анализируются составляющие ИТ процесса путем получения субъектом управления информации от объекта управления

3. информация о состоянии процесса сравнивается с требованиями стандарта

4. в случае выявления несоответствия процесса требования субъект управления предпринимает корректирующие действия путем передачи соответствующей управляющей информации процессу.

Исходя из этой модели, формируются основные критерии оценки механизмов управления:

1. распределение ответственности и подотчетности

2. стандарты и допустимые отклонения, четко документированные, актуальные и доступные для всех сотрудников организации. Для каждого ИТ процесса должны быть четко определены допустимые отклонения от требований стандарта

3. информационные критерии. Актуальность и пригодность управляющей информации, а также ее целостность служит основой функционирования системы управления ИТ процессами.

OCTAVE. Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги - Меллона и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков.

Ключевые элементы OCTAVE:

1. идентификация критичных информационных активов;

2. идентификация угроз для критичных информационных активов;

3. определение уязвимостей, ассоциированных с критичными информационными активами;

4. оценка рисков, связанных с критичными информационными активами.

Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.

На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.

На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.

На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.

Сильной стороной OCTAVE является высокая степень гибкости, достигаемая путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий.

ЛЕКЦИЯ №13.