OIBD
.pdfРівень захисту інформації визначається системою кількісних та якісних показників, які забезпечують розв’язання завдання захисту інформації на основі норм та вимог ТЗІ.
На третьому етапі слід реалізувати організаційні, первинні технічні та основні технічні заходи захисту ІзОД, установити необхідні зони безпеки інформації, провести атестацію технічних засобів забезпечення інформаційної діяльності, приміщень на відповідність вимогам безпеки інформації.
Засоби ТЗІ можуть функціонувати автономно або спільно з технічними засобами забезпечення інформаційної діяльності у вигляді самостійних пристроїв або вбудованих у них складових елементів.
На четвертому етапі слід провести аналіз функціонування системи захисту інформації, перевірку виконання заходів ТЗІ, контроль ефективності захисту, підготувати та видати засадничі дані для керування системою захисту інформації.
Керування системою захисту інформації полягає у адаптації заходів ТЗІ до поточного завдання захисту інформації. За фактами зміни умов здійснення або виявлення нових загроз заходи ТЗІ реалізуються у найкоротший строк.
У разі потреби підвищення рівня захисту інформації необхідно виконати роботи, передбачені 1, 2 та 3 етапами побудови системи захисту інформації.
Крім того, стандарт визначає порядок проведення робіт із стандартизації та нормування у галузі ТЗІ, порядок розроблення, оформлення, погодження, затвердження, реєстрації, видання, впровадження, перевірки, перегляду, зміни та скасування нормативних документів.
ДСТУ 3391.1-96
Державний стандарт України ДСТУ 3391.1-96 ―Захист інформації. Технічний захист інформації. Порядок проведення робіт‖ отримав чинність від 01.07.1997 року і має слідуючи розділи:
-галузь використання;
-нормативні посилення;
-загальні положення;
-організація проведення обстеження;
-організація розроблення системи захисту інформації;
-реалізація організаційних заходів захисту;
-реалізація первинних технічних заходів захисту;
-реалізація основних технічних заходів захисту;
-приймання, визначення повноти та якості робіт.
141
Також стандарт має додаток, у якому наведений склад засобів забезпечення технічного захисту інформації.
Цей стандарт установлює вимоги до порядку проведення робіт з ТЗІ.
У розділі ―Загальні положення‖ визначається здатність системи захисту інформації протистояти впливу загроз.
Можливі такі варіанти постановки задач захисту інформації:
-досягнення необхідного рівня захисту ІзОД за мінімальних затрат і допустимого рівня обмежень видів інформаційної діяльності;
-досягнення найбільш можливого рівня захисту ІзОД за доступних затрат і заданого рівня обмежень видів інформаційної діяльності;
-досягнення максимального рівня захисту ІзОД за необхідних затрат
імінімального рівня обмежень видів інформаційної діяльності.
Захист інформації, яка не є державною таємницею, забезпечується, як правило, застосуванням першого чи другого варіанту.
Захист інформації, яка становить державну таємницю, забезпечується застосуванням третього варіанту.
Зміст та послідовність робіт з протидії загрозам або їхньої нейтралізації повинні відповідати зазначеним в ДСТУ 3396.0-96 етапам функціонування системи захисту інформації і полягають в:
-проведенні обстеження підприємства, установи, організації;
-розробленні і реалізації організаційних, первинних технічних, основних технічних заходів з використанням засобів забезпечення ТЗІ;
-прийманні робіт у ТЗІ;
-атестації систем забезпечення інформаційної діяльності на відповідність вимогам нормативних документів системи ТЗІ.
Розділ ―Організація розроблення системи захисту інформації‖ вимагає, що на підставі матеріалів обстеження та окремої моделі загроз необхідно визначити головні задачі захисту інформації і скласти технічне завдання на розроблення системи захисту інформації.
Технічне завдання повинно включати основні розділи:
-вимоги до систем захисту інформації;
-вимоги до складу проектної та експлуатаційної документації;
-етапи виконання робіт;
-порядок внесення змін і доповнень до розділів технічного завдання;
-вимоги до порядку проведення випробування системи захисту.
142
Основою функціонування системи захисту інформації є план ТЗІ, що повинен містити такі документи:
-перелік розпорядчих, організаційно-методичних НД ТЗІ, а також вказівки щодо їхнього застосування;
-інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту;
-інструкції, що встановлюють обов’язки, права та відповідальність
персоналу;
-календарний план ТЗІ.
Шостий розділ ―Реалізація організаційних заходів захисту‖ визначає, що організаційні заходи захисту інформації – комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціонування систем забезпечення інформаційної діяльності та систем забезпечення ТЗІ.
Оперативне вирішення задач ТЗІ досягається організацією керування системою захисту інформації.
Сьомий розділ – це розділ ―Реалізація первинних технічних заходів захисту‖.
У процесі реалізації первинних технічних заходів потрібно забезпечити:
-блокування каналів витоку інформації;
-блокування несанкціонованого доступу до інформації чи її носіїв;
-перевірку справності та працездатності технічних засобів забезпечення інформаційної діяльності.
Усі заходи здійснюються відповідно до нормативних та експлуатаційних документів, а також згідно діючих вказівок, методик та цього розділу стандарту.
Вибір засобів забезпечення ТЗІ зумовлюється фрагментним або
комплексним способом захисту інформації. Засоби ТЗІ застосовують автономно або спільно з механічними засобами забезпечення інформаційної діяльності для пасивного або активного приховування ІзОД.
Порядок атестації встановлюється НД ТЗІ.
ДСТУ 3396.2-97
Третім стандартом є ДСТУ 3396.2-97. Цей стандарт установлює терміни та визначення понять у сфері ТЗІ. Він набрав чинності 01.01.1998 року.
Терміни, регламентовані у цьому стандарті, обов’язкові для використання в усіх видах організаційної та нормативної документації, а також
143
для робіт зі стандартизації і рекомендовані для використання у довідковій та навчально-методичній літературі, що належить до сфери ТЗІ.
Для кожного поняття встановлено один стандартизований термін. Терміни-синоніми подано як довідкові, вони є стандартизованими.
У стандарті як довідкові подано переклади термінів англійською та російською мовами, визначень – російською мовою.
Стандарт складається із таких розділів:
-галузь використання;
-основні положення;
-нормативні посилання;
-види інформації, які підлягають технічному захисту;
-загроза для інформації;
-технічний канал витоку інформації;
-технічний захист інформації;
-організація технічного захисту інформації;
-абеткові скорочення українських, англійських та російських
термінів.
ДСТУ 4145-2002
Державний стандарт 4145-2002 “Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння” установлює механізм цифрового підписування, що ґрунтується на властивостях груп точок еліптичних кривих над полями GF(2m), та правила застосування цього механізму до повідомлень, що їх пересилають каналами зв’язку та/або обробляють у комп’ютеризованих системах загального призначення.
Стандарт має 13 розділів та 5 додатків.
1,2,3,4 розділи надають інформацію щодо сфери застосування, нормативних посилань, термінів та визначень понять та позначень.
Розділ 5 ―Зображення даних і перетворень даних‖ установлює формати зображення математичних об’єктів, використовуваних у стандарті, і правила перетворювання даних з одного типу до іншого.
Наводятся зображення полів, елементів полів, зображення еліптичних кривих та перетворення.
У Розділі 6 ―Обчислювальні алгоритми‖ описано правила реалізації процедур, необхідних для побудови криптографічних алгоритмів.
144
Розділ 7 ―Обчислення загальних параметрів цифрового підпису‖ встановлює правила обчислення загальних параметрів цифрового підпису, а при цьому слід враховувати, що загальні параметри цифрового підпису можуть бути однаковими для довільного числа користувачів цифрового підпису.
У розділі 8 ―Перевіряння правильності загальних параметрів цифрового підпису‖ встановлено правила та умови перевіряння правильності загальних параметров цифрового підпису. Висока криптографічна стійкість цифрового підпису, який встановлено цим стандартом, гарантується тільки в тому випадку, якщо загальні параметри цифрового підпису обчислені правильно, тобто строго відповідно до цього стандарту.
Розділу 9 ―Обчислення ключів цифрового підпису‖ та 10 ―Перевіряння правильності ключів цифрового підпису‖ встановлюють порядок обчислення особистого ключа цифрового підпису і відкритого ключа цифрового підпису, а також встановлює правила перевіряння правильності відкритого й особистого ключів цифрового підпису. Слід враховувати, що висока криптографічна стійкість цифрового підпису, обчисленого згідно з цим стандартом, гарантується тільки в тому випадку, якщо особистий і відкритий ключі цифрового підпису правильні, тобто обчислені строго відповідно до цього стандарту.
У розділах 11 ―Обчислення цифрового передпідпису‖ та 12 ―Обчислення цифрового підпису‖ встановлено алгоритми обчислення цифрового передпідпису та цифрового підпису. В них приведені вхідні дані, алгоритми, результати виконання алгоритму та самі алгоритми.
Розділ 13 ―Перевіряння цифрового підпису‖ встановлює алгоритм перевіряння цифрового підпису: результат виконання алгоритму повідомлення ―підпис дійсний‖ або ―підпис недійсний‖.
ДСТУ 3918-1999 (ISO/IES 1207:1995)
ДСТУ 3918-1999 (ISO/IES 1207:1995) Інформаційні технології. Процеси життєвого циклу програмного забезпечення.
Стандарт запроваджує термінологію добре визначену загальну систему понять для процесів життєвого циклу програмного забезпечення, яка може використовуватися в індустрії програмного забезпечення. Він містить визначення процесів, дій та завдань, які повинні застосовуватися під час придбання системи, що містить програмне забезпечення, придбання автономного програмного продукту та послуг на основі використання
145
програмного забезпечення, а також під час постачання, розроблення, експлуатації та супроводу програмного продукту. Програмний компонент програмно-апаратних засобів слід розглядати як складову частину програмного забезпечення.
ДСТУ ISO/ІЕС TR 13335-1
ДСТУ ISO/IES TR 13335:2003. Інформаційні технології. Настанови з керування безпекою інформаційних технологий. Частина 1. Концепція та моделі безпеки інформаційних технологій.
Описує основні концепції керування та моделі, найсуттєвіші для введення в процеси керування безпекою інформаційних технологий. Ці концепції і моделі докладно буде розглянуто й деталізовано в решті частин для забезпечення ідентифікування і керування всіма аспектами захисту в інформаційних технологіях. Частина 1 необхідна для повного розуміння решти частин ISO/IES TR 13335.
ДСТУ ISO/IES TR 13335:2003 має таку структуру:
-описує призначення цього стандарту;
-містить інформацію про допоміжні необхідні умови для керування безпекою інформаційних технологій;
-містить загальний огляд концепцій і моделей захисту в інформаційних технологіях;
-досліджує елементи безпеки інформаційних технологій;
-описує процеси, що їх використовують для керування безпекою інформаційних технологій;
-містить огляд декількох моделей, необхідних для розуміння концепций, описаних у цьому стандарті.
Концепції та моделі, які розглянуті в цьому стандарті, можна використовувати для розроблення стратегії захисту активів інформаційних технологій організації. Ці стратегії і пов’язані з ними методики захисту в організації потрібно постійно переглядати, щоб можна було реагувати на швидкі зміни в розвитку й використанні технологій та інформаційних служб. Друга та третя частини ISO/IES TR 13335 описують, як ці концепції і моделі можна дефективно використовувати в організації.
146
ДСТУ ISO/IES TR 13335-2
ДСТУ ISO/IES TR 13335-2:2003. Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 2. керування та планування без пеки інформаційних технологій.
Подано рекомендації, призначені для тих, хто пов'язаний з керуванням безпекою інформаційних технологій, і які стосуються відносин між ними. Ці рекомендації можна використовувати для ідентифікації і керування усіма аспектами безпеки інформаційних технологій.
Для повноцінного розуміння цього стандарту необхідно ознайомитися з концепціями і моделями, описаними в частині першій.
Стандарт складається з 17 розділів. Розділи 5 і 6 подають інформацію про цілі та основні засади цього стандарту. Розділ 7 подає загальний огляд різних дій для успішного керування безпекою інформаційних технологій. Розділи з 8 по 16 конкретизують ці дії.
У частині 2 обговорюються обов’язки, процеси керування і колективна відповідальність за ефективність програми захисту. Обговорення призначено для ознайомлення керівного персоналу з основними процесами і функціями, які мають значення в керування захистом інформаційних технологій. Подана в цій частині інформація не може безпосередньо застосовуватися для всіх організацій. Зокрема, малі організації навряд чи будуть мати всі ресурси для повного виконання описаних функцій. У цих ситуаціях важливо, щоб основні концепції функції застосовували в організації відповідним способом. Навіть у деяких великих організаціях деякі функції, обговорених у цій частині, не можуть бути застосовані точно за описом. В частині 3 досліджується декілька технічних заходів, які можуть бути використані для виконування функцій, описаних у частині 2. Наступні частини розглядають питання вибору засобів захисту і певних засобів захисту для зовнішніх зв’язків.
ДСТУ ISO/IES TR 13335-3
ДСТУ ISO/IES TR 13335-3:2003. Інформаційні технології. Настанови з керування безпекою інформаційних технологий. Частина 3. Методи керування махистом інформаційних технологій.
Рекомендації, що наведені в стандарті, призначені для тих, хто пов’язаний з керуванням безпекою інформаційних технологий, і стосується відносин між ними. Ці рекомендації можна використовувати для
147
ідентифікування і керування всіма аспектами без пеки інформаційних технологий.
Для повноцінного розуміння цієї частини необхідно ознайомитися з термінами, концепціями і моделями, описаними в ISO/IES TR 13335-1 та
ISO/IES TR 13335-2.
ДСТУ ISO/IES TR 13335-3:2003 має таку структуру:
-подає інформацію щодо цілей цієї частини ISO/IES TR 13335-3;
-дає загальний огляд процесу керування захистом в інформаційних технологіях;
-обговорює значення методик захисту інформаційних технологій і
їхній вміст;
-подає загальний огляд чотирьох різних підходів, які організація може використовувати для визначення вимог захисту;
-докладно описує рекомендований підхід і супроводжується відповідним описом застосування засобів захисту;
-містить докладний розгляд програм компетентності в захисті і процесу затвердження;
-містить опис декількох завершальних дій, що необхідні для забезпечення ефективної роботи засобів захисту.
У цій частині ISO/IES TR 13335 досліджено кілька методів, що є важливими для керування безпекою інформаційних технологій. Ці методи засновані на концепціях і моделях, поданих у ISO/IES TR 13335-1 і процесах керування та обов’язках, обґрунтованих у ISO/IES TR 13335-2. Положення цієї частини ISO/IES TR 13335-3 демонструють переваги і недоліки чотирьох можливих стратегій аналізування ризику. Змішаний підхід і кілька методів, що
єкорисними за такого застосування, описані докладно. Деякі організації, особливо малі, не мають можливості застосовувати всі методи, подані в цій частині ISO/IES TR 13335-3 згідно з описом. Та все ж важливо, щоб кожній із цих методів був застосований відповідно до особливостей організації.
ДСТУ ISO/IES TR 13335-4
ДСТУ ISO/IES TR 13335-4:2005. Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту.
Даний стандарт надає настанову з вибору засобів махисту, беручи до уваги ділові потреби та проблеми безпеки. Описує процес вибору засобів захисту згідно з ризиками безпеки та специфікою навколишнього середовища.
148
Показує, як досягни достатньо високого рівня захисту, як його підтримати, застосовуючи базову безпеку. Надається пояснення того, як підхід, описаний у цій частині ISO/IES TR 13335, забезпечує методи керування інформаційною безпекою, викладені в ISO/IES TR 13335-3.
Мета цього стандарту – надати настанову з вибору засобів захисту. Ця настанова застосована тоді, коли приймають рішення про вибір засобів захисту інформаційної системи:
-відповідно до типу і характеристик інформаційної системи;
-відповідно до загального оцінювання загроз та наявних потреб
безпеки;
-відповідно до результатів детального аналізування ризиків.
У доповнення до цієї настанови надані перехресні посилання для того, щоб показати, де вибір засобів захисту може бути підтриманий використанням загальнодоступних довідників, що містять засоби захисту.
Цей стандарт також визначає, як можна розробити довідник з базової безпеки організації (чи частин організації).
ISO/IES TR 13335-4 описує різні способи вибору засобів захисту, які можна використовувати для досягнення базової безпеки чи для допомоги методам, описаним в ISO/IES TR 13335-3. ця частина ISO/IES TR 13335 також містить огляд загальних засобів захисту, що можуть бути вибрані за допомогою будь-якого підходу та за допомогою посилання на різні довідники з базових засобів захисту, що містять детальніші описи цих засобів. Отже, описані різні способи розроблення базової безпеки організації та переваги і недоліки описаних варіантів. Ця частина ISO/IES TR 13335 може бути використана будьякою організацією, великою чи малою, яка хоче вибрати засоби захисту своїх інформаційних систем.
ДСТУ ISO/IES TR 13335-5
ДСТУ ISO/IES TR 13335-4:2005. Інформаційні технології. Настанови з керування безпекою інформаційних технологий. Частина 5. Настанова з керування мережною безпекою.
Надає настанову з керування мережею та телекомунікаціями для тих, хто відповідає за керування інформаційною безпекою. У цьому стандарті використано визначення та аналіз параметрів телекомунікацій, які необхідно враховувати, щоб встановити вимоги до мережної безпеки.
149
Цей стандарт відповідає ISO/IES TR 13335-4 та містить вступ, де описано, як визначити відповідні сфери застосування засобів захисту, повязані із зєднаннями в комунікаційних мережах.
Сфера застосування цього стандарту не стосується порад щодо аспектів детального проектування та реалізації сфер технічних засобів захисту.
Підхід прийнятий в цьому стандарті, перш за все, полягає в тому, щоб підсумувати весь процес визначення та аналізування чинників, що належать до комунікацій, які необхідно враховувати, щоб встановити вимоги до мережевої безпеки, а потім надати вказівки стосовно потенційних сфер застосування засобів захисту (при цьому зазначається, де можна використовувати положення інших частин ISO/IES TR 13335).
Цей стандарт описує три простих критерії, які допомагають особам, відповідальним за безпеку інформаційних технологій, визначити потенційні сфери застосування засобів захисту.
Ці критерії визначають: (1) різні типи мережних з’єднань, (2) різні мережні характеристики та відповідні споріднені взаємозв’язки та (3) типи потенційних ризиків безпеки, пов’язаних з мережними з’єднаннями (та використанням послуг, які надаються через ці з’єднання). Результати об’єднання цих критеріїв потім використовують для визначення потенційних сфер застосування засобів захисту. Згодом наводять короткий вступний опис потенційних сфер застосування засобів захисту з посиланням на джерела, що містять ґрунтовий опис.
У цьому стандарті наведено настанову з керування безпекою інформаційних технологій для організації, яка приєднує свої інформаційні системи до мереж. Далі цей стандарт описує три простих критерії для допомоги особам, які відповідають за інформаційну безпеку в частині потенційних сфер застосування засобів захисту.
До них належать:
-різні типи мережних з’єднань;
-різні мережні характеристики та пов’язані довірчі стосунки;
-потенційні типи ризиків безпеки, пов’язані з мережними з’єднаннями та використанням служб, які надають послуги через ці з’єднання.
Після цього критерії вибору заносять у матрицю, яка використовується для показу потенційних сфер застосування засобів захисту. Згодом для
150