- •Стандартизация
- •Стандартизация в области информационной безопасности
- •Основные международные стандарты в области информационной безопасности План лекции
- •Международные критерии оценки безопасности информационных технологий зарубежных стран План лекции
- •1. Предпосылки создания международных стандартов иб
- •1.1. Общие вопросы
- •1.2. Состояние международной нормативно-методической базы
- •1.3. Назначение и цели международной стандартизации
- •1.4. Международная организация по стандартизации, isо
- •1.5. Основные международные стандарты информационной безопасности
- •2. Критерии оценки доверенных компьютерных систем («Оранжевая книга»)
- •2.1.Основные сведения
- •2.2 Основные требования и средства
- •2.2.1. Политики
- •2.2.2. Ответственность
- •2.2.3. Гарантии
- •2.2.4. Документирование
- •Руководство пользователя по средствам безопасности
- •Руководство администратора по средствам безопасности
- •Тестовая документация
- •Описание архитектуры
- •3. Основные понятия
- •3.1. Безопасная система
- •3.2. Доверенная система
- •3.5.1. Идентификация и учёт
- •3.5.2. Предоставление доверенного пути
- •3.5.3. Регистрация и учёт
- •3.5.4. Анализ регистрационной информации (Аудит)
- •3.7. . Монитор обращений
- •3.8. Ядро безопасности
- •3.9. Периметр безопасности
- •4.Механизмы реализации безопасности
- •4.1. Произвольное управление доступом
- •4.2. Безопасность повторного использования объектов
- •4.3. Метки безопасности
- •4.4. Принудительное управление доступом
- •5.1. Разделы безопасности
- •5.2. Классы безопасности
- •6. Краткая классификация
- •Международные критерии оценки безопасности информационных технологий зарубежных стран План лекции
- •1. Гармонизированные критерии европейских стран
- •2. Германский стандарт bsi
- •2.1. Структура германского стандарта bsi.
- •3. Британский стандарт bs 7799
- •4. Международный стандарт isо/iес 15408 "Критерии оценки безопасности информационных технологий" «Общие критерии»
- •Критерии оценки доверенных компьютерных систем (тсsес)
- •Европейские критерии (iтsес)
- •Канадские критерии безопасности компьютерных систем (стсрес)
- •Общие критерии оценки безопасности информационных технологий
- •Стандарты безопасности в Интернете
1.5. Основные международные стандарты информационной безопасности
Обеспечить безопасность информационных систем в настоящее время невозможно без грамотного и качественного создания систем защиты информации. Это определило работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем в части безопасности информации.
Одним из главных результатов подобной деятельности стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов.
Это особенно актуально для так называемых открытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну, и стремительно развивающихся в нашей стране.
Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого, обеспечивается соответствием требованиям стандартов, прежде всего международных.
Термин "открытые" подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа (НСД) к информации.
Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартов.
Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.
Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в internet:-сообществе это средство действительно работает, и весьма эффективно.
В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасности компании. Это, прежде всего, международные и национальные стандарты управления информационной безопасностью ISO 15408, ISО 17799 (ВS 7799), ВSI; стандарты аудита информационных систем и нформаци-
онной безопасности СОВIТ, SАC, СОSО и некоторые другие, аналогичные им.
Особое значение имеют международные стандарты ISO 15408, ISO 17799 служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита.
ISO 15408 - определяет детальные требования, предъявляемые к программно-техническим средствам защиты информации.
ISO 17799 - сосредоточен на вопросах организации и управления безопасностью.
Использование международных и национальных стандартов обеспечения информационной безопасности способствует решению следующих пяти задач:
- во-первых, определение целей обеспечения информационной безопасности компьютерных систем;
- во-вторых, создание эффективной системы управления информационной безопасностью;
- в третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;
- в четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
- в пятых, использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
Основное внимание уделяется международному стандарту ISO/ 15408 и его российскому аналогу ГОСТ Р ИСО/МЭК15408 -2002 «Критерии оценки безопасности информационных технологий» а также спецификациям «Internet-сообществ».
Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартах ИБ.
Начиная с начала 80-х годов, были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга.
В лекции рассматриваются наиболее важные стандарты, знание которых необходимо разработчикам и оценщикам защитных средств, системным администраторам, руководителям служб защиты информации, пользователям по хронологии их создания, в том числе:
Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);
Гармонизированные критерии европейских стран;
Рекомендации Х.800;
Германский стандарт BSI;
Британский стандарт BS 7799;
Стандарт «Общие критерии» ISO 15408;
Стандарт ISO 17799;
Стандарт COBIT
Эти стандарты можно разделить на два разных вида:
Оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;
Технические спецификации, регламентирующие различные аспекты реализации средств защиты.
Важно отметить, что между этими видами нормативных документов нет глухой стены, напротив, существует логическая взаимосвязь.
Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций.
Технические спецификации определяют, как строить ИС предписанной архитектуры. Далее рассмотрены особенности этих стандартов.