- •Проблемы информационной безопасности и пути их решения
- •Современное состояние информационной безопасности в России
- •Основные термины и определения из области информационной безопасности.
- •Принципы построения системы информационной безопасности объекта
- •Последовательность действий при разработке системы обеспечения информационной безопасности объекта.
- •Международный стандарт "Общие критерии оценки безопасности информационных технологий"
- •Часть 1. Представление и общая модель.
- •Часть 2. Требования к функциям безопасности.
- •Часть 3. Требования гарантированности безопасности. Требования к гарантиям безопасности, критерии оценки для профилей защиты и заданий по безопасности.
- •П Рис. 1орядок и методические указания по формированию перечня сведений, составляющих служебную или коммерческую тайну организации
Последовательность действий при разработке системы обеспечения информационной безопасности объекта.
Прежде, чем приступать к разработке системы информационной безопасности, необходимо определить, что же для организации (физического лица) является интеллектуальной собственностью.
С точки зрения делового человека, интеллектуальной собственностью являются информационные ресурсы, знания, которые помогают ему эффективно разрабатывать и изготавливать новую продукцию, выгодно продавать товар или каким-то другим образом увеличивать свою прибыль. Способ управления производством, технологический процесс, список клиентов профиль научных исследований, анализ конкурентоспособности – лишь некоторые примеры тому.
Незнание того, что составляет интеллектуальную собственность — уже шаг к потерям финансовым, моральным и материальным. Именно с этого надо начинать создание системы защиты информации.
Дальнейшими этапами, вне зависимости от размеров организации и специфики ее информационной системы, в том или ином виде должны быть:
определение границ управления информационной безопасностью объекта;
анализ уязвимости;
выбор контрмер, обеспечивающих информационную безопасность; определение политики информационной безопасности;
проверка системы защиты;
составление плана защиты;
реализация плана защиты (управление системой защиты).
Любые действия по созданию системы информационной безопасности должны заканчиваться определенными результатами в виде документа или технического решения (смотри схему 1).
Как показывает разработка реальных систем, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации. Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволит с наибольшей эффективностью обеспечить решение постоянной задачи.
Методологические основы обеспечения информационной безопасности являются достаточно общими рекомендациями, базирующимися на мировом опыте создания подобных систем. Задача каждого специалиста по защите информации преломить абстрактные положения к своей конкретной предметной области (предприятию, организации, банка), в которых всегда найдутся свои особенности и тонкости этого не простого ремесла.
Международный стандарт "Общие критерии оценки безопасности информационных технологий"
Для рыночных условий важна юридическая силаэлектронных документов, которая достигается с помощью средств защиты информации (ЗИ). В частности, активно развивается процесс электронной торговли с использованием последних достижений микроэлектроники и средств телекоммуникаций.Страны ЕС и США договорились и ведут беспошлинную электронную торговлю с 1 января 1998 г.
Всемирная Торговая Организация, членом которой является Россия, в мае 1998 г. приняла решение о введении беспошлинной электронной торговли.
В связи с этим, важным направлением международного взаимодействия является формирование открытых систем. Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого обеспечивается соответствием требованиям стандартов, прежде всего международных.
Такой подход связан с необходимостью увязать в единую систему большое разнообразие технических средств и программ, используемых в вычислительных системах или сетях. Термин "открытые" подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится к механизмам криптографической ЗИ и к защите от НСД.
При создании и выборе средств и систем ЗИ даже для одной предметной области возникает вопрос о том, как оценить или сравнить между собой различные средства ЗИ. Проблема еще более обостряется из-за того, что ИТ очень много, они соприкасаются и пересекаются между собой. Поэтому для их сравнения и стыковки необходимы некоторые критерии.
Следуя по пути интеграции, в 1990 г. Международная организация по стандартизации (ISO), a также Международная Электротехническая комиссия (ТЕС) составили специализированную систему по мировой стандартизации, a ISO начала создавать международные стандарты по критериям оценки безопасности ИТ для общего использования, названные Common Criteria или "Общие критерии оценки безопасности информационных технологий". В их разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).
За прошедшее десятилетие лучшими специалистами мира "Общие критерии" неоднократно редактировались. Международный стандарт ISO/IEC 15408 был подготовлен Техническим комитетом ISO/IEC JTC 1 по информационным технологиям совместно с Комитетом по реализации общих критериев, являющимся органом, состоящим из членов спонсорских организаций Проекта общих критериев, и под названием "Общие критерии оценки безопасности информационных технологий" (ОК) 8 июня 1999 г. утвержден ISO. Ведущие мировые производители оборудования ИТ основательно подготовились к этому моменту и сразу будут поставлять заказчикам любые средства, полностью отвечающие требованиям ОК.
ОК обобщили содержание и опыт использования Оранжевой книги, развили европейские критерии, критерии Канады и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. В ОК проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства ОК — полнота и систематизация требований безопасности, гибкость в применении и открытость для последующего развития.
Появление международного стандарта ОК является качественно новым этапом в развитии нормативной базы оценки безопасности ИТ.
К рассматриваемым в ОК аспектам безопасности относятся: защита от НСД, модификации или потери доступа к информации при воздействии угроз, являющихся результатом случайных или преднамеренных действий.
Некоторые аспекты безопасности ИТ находятся вне рамок ОК:
оценка административных мер безопасности;
оценка технических аспектов безопасности ИТ типа побочных электромагнитных излучений;
методики оценки;
критерии для оценки криптографических методов ЗИ.
ОК предполагается использовать как при задании требований к продуктам и системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла.
ОК состоят из следующих частей: