- •Лекція 3. Стандарти у галузі захисту інформації. Роль стандартів і специфікацій. Найбільш важливі стандарти й специфікації в області інформаційної безпеки
- •До стандартів які діють в Україні відносяться наступні:
- •Огляд закордонних стандартів.
- •"Загальні критерії" сприяють формуванню двох базових видів використовуваних на практиці нормативних документів - це профіль захисту й завдання по безпеці.
Лекція 3. Стандарти у галузі захисту інформації. Роль стандартів і специфікацій. Найбільш важливі стандарти й специфікації в області інформаційної безпеки
Фахівцям в області інформаційної безпеки (ІБ) сьогодні майже неможливо обійтися без знань відповідних стандартів і специфікацій. На те є кілька причин.
Формальна полягає в тому, що необхідність проходження деяким стандартам закріплена законодавчо. Однак найбільш переконливі змістовні причини. По-перше, стандарти й специфікації - одна з форм нагромадження знань, насамперед про процедурний і програмно-технічний рівні ІБ. У них зафіксовані апробовані, високоякісні рішення й методології, розроблені найбільш кваліфікованими фахівцями. По-друге, і ті, і інші є основним засобом забезпечення взаємної сумісності апаратно-програмних систем і їхніх компонентів, причому в Internet-Співтоваристві цей засіб дійсно працює, і досить ефективно.
Стандарт - документ, у якому з метою добровільного багаторазового використання встановлюються характеристики продукції, правила здійснення й характеристики процесів виробництва, експлуатації, зберігання, перевезення, реалізації й утилізації, виконання робіт або надання послуг. Стандарт також може містити вимоги до термінології, символіці, упакуванню, маркуванню або етикеткам і правилам їхнього нанесення;
Стандартизація - діяльність по встановленню правил і характеристик з метою їх добровільного багаторазового використання, спрямована на досягнення впорядкованості в сферах виробництва й обігу продукції й підвищення конкурентоспроможності продукції, робіт або послуг.
Примітно також, що в число принципів стандартизації, входить принцип застосування міжнародного стандарту як основи розробки національного, за винятком випадків, якщо "таке застосування визнане неможливим внаслідок невідповідності вимог міжнародних стандартів кліматичним і географічним особливостям , технічним і (або) технологічним особливостям або по інших підставах, або Україна, відповідно до встановлених процедур, виступала проти прийняття міжнародного стандарту або окремого його положення". Із практичної точки зору, кількість стандартів і специфікацій (міжнародних, національних, галузевих і т.п.) в області інформаційної безпеки нескінченно.
На верхньому рівні можна виділити дві, що істотно відрізняються друг від друга, групи стандартів і специфікацій:
оціночні стандарти, призначені для оцінки й класифікації інформаційних систем і засобів захисту по вимогах безпеки;
специфікації, що регламентують різні аспекти реалізації й використання засобів і методів захисту.
Ці групи, зрозуміло, не конфліктують, а доповнюють один одного. Оціночні стандарти описують найважливіші, з погляду інформаційної безпеки, поняття й аспекти ІС, відіграючи роль організаційних і архітектурних специфікацій. Інші специфікації визначають, як саме будувати ІС запропонованої архітектури й виконувати організаційні вимоги.
Із числа оціночних необхідно виділити стандарт Міністерства оборони США "Критерії оцінки довірених комп'ютерних систем" і його інтерпретацію для мережних конфігурацій, "Гармонізовані критерії Європейських країн", міжнародний стандарт "Критерії оцінки безпеки інформаційних технологій", Керуючі документи Держтехкоміссії Росії й вимоги ДСТЗІ Служби безпеки України.. До цієї ж групи відноситься й Федеральний стандарт США "Вимоги безпеки для криптографічних модулів", що регламентує конкретний, але дуже важливий і складний аспект інформаційної безпеки.
Технічні специфікації, застосовні до сучасним розподілених ІС, створюються, головним чином, "Тематичною групою за технологією Internet" (Internet Engineering Task Force, IETF) і її підрозділом - робочою групою по безпеці. Ядром розглянутих технічних специфікацій служать документи по безпеці на IP-рівні (IPsec). Крім цього, аналізується захист на транспортному рівні (Transport Layer Security, TLS), а також на рівні додатків (специфікації GSS-API, Kerberos). Необхідно відзначити, що Internet-Співтовариство приділяє належну увагу адміністративному й процедурному рівням безпеки ("Посібник з інформаційної безпеки підприємства", "Як вибирати постачальника Інтернет-Послуг", "Як реагувати на порушення інформаційної безпеки").
У питаннях мережної безпеки неможливо розібратися без освоєння специфікацій X.800 "Архітектура безпеки для взаємодії відкритих систем", X.500 "Служба директорій: огляд концепцій, моделей і сервісів" і X.509 "Служба директорій: каркаси сертифікатів відкритих ключів і атрибутів".
Британський стандарт BS 7799 "Керування інформаційною безпекою. Практичні правила", корисний для керівників організацій і осіб, відповідальних за інформаційну безпеку, без скільки-небудь істотних змін відтворений у міжнародному стандарті ISO/IEC 17799.
Такий, на наш погляд, "стандартний мінімум", яким повинні активно володіти всі діючі фахівці в області інформаційної безпеки.