- •Лекція 3. Стандарти у галузі захисту інформації. Роль стандартів і специфікацій. Найбільш важливі стандарти й специфікації в області інформаційної безпеки
- •До стандартів які діють в Україні відносяться наступні:
- •Огляд закордонних стандартів.
- •"Загальні критерії" сприяють формуванню двох базових видів використовуваних на практиці нормативних документів - це профіль захисту й завдання по безпеці.
"Загальні критерії" сприяють формуванню двох базових видів використовуваних на практиці нормативних документів - це профіль захисту й завдання по безпеці.
Профіль захисту являє собою типовий набір вимог, яким повинні задовольняти продукти й/або системи певного класу.
Завдання по безпеці містить сукупність вимог до конкретної розробки, їхнє виконання дозволить вирішити поставлені завдання по забезпеченню безпеки.
Криптографія - область специфічна, але загальне подання про її місце в архітектурі безпеки й про вимоги до криптографічних компонентів мати необхідно. Для цього доцільно ознайомитися з Федеральним стандартом США FIPS 140-2 "Вимоги безпеки для криптографічних модулів" (Security Requirements for Cryptographic Modules). Він виконує організуючу функцію, описуючи зовнішній інтерфейс криптографічного модуля, загальні вимоги до подібних модулів і їхнього оточення. Наявність такого стандарту спрощує розробку сервісів безпеки й профілів захисту для них.
Криптографія як засіб реалізації сервісів безпеки має дві сторони: алгоритмічну й інтерфейсну. Розглянемо запропоновану в рамках Internet-Співтовариства технічну специфікацію "Узагальнений прикладний програмний інтерфейс служби безпеки" (Generic Security Service Application Program Interface, GSS-API).
Інтерфейс безпеки GSS-API призначений для захисту комунікацій між компонентами програмних систем, побудованих в архітектурі клієнт/сервер. Він створює умови для взаємної автентифікації партнерів, що спілкуються, контролює цілісність повідомлень, що пересилаються, і є гарантією їхньої конфіденційності. Користувачами інтерфейсу безпеки GSS-API є комунікаційні протоколи (звичайно прикладного рівня) або інші програмні системи, що самостійно виконують пересилання даних.
Технічні специфікації IPsec [IPsec] мають, без перебільшення, фундаментальне значення, описуючи повний набір засобів забезпечення конфіденційності й цілісності на мережному рівні. Для домінуючої в цей час протоколу IP версії 4 вони носять факультативний характер; у перспективній версії IPv6 їхня реалізація обов'язкова. На основі IPsec будуються захисні механізми протоколів більше високого рівня, аж до прикладного, а також закінчені засобу безпеки, у тому числі віртуальні приватні мережі. Зрозуміло, IPsec істотно опирається на криптографічні механізми й ключову інфраструктуру.
Точно так само характеризуються й засобу безпеки транспортного рівня (Transport Layer Security, TLS). Специфікація TLS розвиває й уточнює популярний протокол Secure Socket Layer (SSL), використовуваний у великій кількості програмних продуктів самого різного призначення.
У згаданому вище інфраструктурному плані дуже важливі рекомендації X.500 "Служба директорій: огляд концепцій, моделей і сервісів" (The Directory: Overview of concepts, models and services) і X.509 "Служба директорій: каркаси сертифікатів відкритих ключів і атрибутів" (The Directory: Public-key and attribute certificate frameworks). У рекомендаціях X.509 описаний формат сертифікатів відкритих ключів і атрибутів - базових елементів інфраструктур відкритих ключів і керування привілеями.
Як відомо, забезпечення інформаційної безпеки - проблема комплексна, потребуюча погодженого вживання заходів на законодавчому, адміністративному, процедурному й програмно-технічному рівнях. При розробці й реалізації базового документа адміністративного рівня - політики безпеки організації - відмінною підмогою може стати рекомендація Internet-Співтовариства "Посібник з інформаційної безпеки підприємства" (Site Security Handbook). У ньому висвітлюються практичні аспекти формування політики й процедур безпеки, пояснюються основні поняття адміністративного й процедурного рівнів, утримується мотивування дій, що рекомендуються, зачіпаються теми аналізу ризиків, реакції на порушення ІБ і дій після ліквідації порушення. Більш докладно останні питання розглянуті в рекомендації "Як реагувати на порушення інформаційної безпеки" (Expectations for Computer Security Incident Response). У цьому документі можна знайти й посилання на корисні інформаційні ресурси, і практичні ради процедурного рівня.
При розвитку й реорганізації корпоративних інформаційних систем, безсумнівно, виявиться корисною рекомендація "Як вибирати постачальника Internet-Послуг" (Site Security Handbook Addendum for ISPs). У першу чергу її положень необхідно дотримуватися в ході формування організаційної й архітектурної безпеки, на якій базуються інші міри процедурного й програмно-технічного рівнів.
Для практичного створення й підтримки режиму інформаційної безпеки за допомогою регуляторів адміністративного й процедурного рівнів придасться знайомство із британським стандартом BS 7799 "Керування інформаційною безпекою. Практичні правила" (Code of practice for information security management) і його другою частиною BS 7799-2:2002 "Системи керування інформаційною безпекою - специфікація з посібником з використання" (Information security management systems - Specification with guidance for use). У ньому роз'ясняються такі поняття й процедури, як політика безпеки, загальні принципи організації захисту, класифікація ресурсів і керування ними, безпека персоналу, фізична безпека, принципи адміністрування систем і мереж, керування доступом , розробка й супровід ІС, планування безперебійної роботи організації.