3. Последовательность действий при разработке системы обеспечения информационной безопасности объекта.

Прежде, чем приступать к разработке системы информационной безопасности, необходимо определить, что же для организации (физического лица) является интеллектуальной собственностью.

С точки зрения делового человека, интеллектуальной собствен­ностью являются информационные ресурсы, знания, которые помогают ему эффективно разра­батывать и изготавливать новую продукцию, выгодно продавать товар или каким-то другим образом увеличивать свою прибыль. Способ управления производством, технологический процесс, список клиен­тов профиль научных исследований, анализ конкурентоспособно­сти – лишь некоторые примеры тому.

Незнание того, что составляет интеллектуальную собствен­ность — уже шаг к потерям финансовым, моральным и материальным. Именно с этого надо начинать создание системы защиты информации.

Дальнейшими этапами, вне зависимости от размеров организации и специфики ее информационной системы, в том или ином виде должны быть:

• определение границ управления информационной безопасностью объекта;

• анализ уязвимости;

• выбор контрмер, обеспечивающих информационную безопасность; определение политики информационной безопасности;

• проверка системы защиты;

• составление плана защиты;

• реализация плана защиты (управление системой защиты).

Любые действия по созданию системы информационной безопасности должны заканчиваться определенными результатами в виде документа или технического решения (смотри схему 1).

Как показывает раз­работка реальных систем, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не явля­ется надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации. Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволит с наибольшей эффективностью обеспечить решение постоянной задачи.

Методологические основы обеспечения информационной безопасности являются достаточно общими рекомендациями, базирующимися на мировом опыте создания подобных систем. Задача каждого специалиста по защите информации преломить абстрактные положения к своей конкретной предметной области (предприятию, организации, банка), в которых всегда найдутся свои особенности и тонкости этого не простого ремесла.

4. Международный стандарт "Общие критерии оценки безопасности информационных технологий"

Для рыночных условий важ­на юридическая силаэлектронных документов, которая достигается с помощью средств защиты информации (ЗИ). В частности, активно разви­вается процесс электронной торговли с использо­ванием последних достижений микроэлектроники и средств телекоммуникаций.Страны ЕС и США договорились и ведут беспошлинную электронную торговлю с 1 января 1998 г.

Всемирная Торговая Организация, членом которой является Россия, в мае 1998 г. приняла решение о введении бес­пошлинной электронной торговли.

В связи с этим, важным направлением международного взаимодействия является формирование открытых систем. Под открытыми системами пони­мают совокупности всевозможного вычислитель­ного и телекоммуникационного оборудования раз­ного производства, совместное функционирование которого обеспечивается соответствием требова­ниям стандартов, прежде всего международных.

Такой подход связан с необходимостью увязать в единую систему большое разнообразие техниче­ских средств и программ, используемых в вычис­лительных системах или сетях. Термин "открытые" подразумевает также, что если вы­числительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стан­дартам. Это, в частности, относится к механизмам криптографической ЗИ и к защите от НСД.

При создании и выборе средств и си­стем ЗИ даже для одной предметной области воз­никает вопрос о том, как оценить или сравнить между собой различные средства ЗИ. Проблема еще более обостряется из-за того, что ИТ очень много, они соприкасаются и пересекаются между собой. Поэтому для их сравнения и стыковки необходимы некоторые критерии.

Следуя по пути интеграции, в 1990 г. Между­народная организация по стандартизации (ISO), a также Международная Электротехническая ко­миссия (ТЕС) составили специализированную систему по мировой стандартизации, a ISO начала создавать международные стандарты по критери­ям оценки безопасности ИТ для общего использо­вания, названные Common Criteria или "Общие критерии оценки безопасности информационных технологий". В их разработке участвовали: На­циональный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Ка­нада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполне­ния Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).

За прошедшее десятилетие лучшими специа­листами мира "Общие критерии" неоднократно редактировались. Международный стандарт ISO/IEC 15408 был подготовлен Техническим комитетом ISO/IEC JTC 1 по информационным технологиям совместно с Комитетом по реализа­ции общих критериев, являющимся органом, со­стоящим из членов спонсорских организаций Проекта общих критериев, и под названием "Общие критерии оценки безопасности информа­ционных технологий" (ОК) 8 июня 1999 г. утвержден ISO. Ведущие мировые производители оборудования ИТ основательно подготовились к этому моменту и сразу будут поставлять заказчикам любые средства, полностью отвечающие требованиям ОК.

ОК обобщили содержание и опыт использова­ния Оранжевой книги, развили европейские критерии, критерии Канады и вопло­тили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. В ОК проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы исполь­зования. Главные достоинства ОК — полнота и систематизация требований безопасности, гибкость в применении и открытость для последующего развития.

Появление международного стандарта ОК является качественно новым этапом в развитии нормативной базы оценки безопасности ИТ.

К рассматриваемым в ОК аспектам безопас­ности относятся: защита от НСД, модификации или потери доступа к информации при воз­действии угроз, являющихся результатом случай­ных или преднамеренных действий.

Некоторые аспекты безопасности ИТ находятся вне рамок ОК:

оценка административных мер безопасности;

оценка технических аспектов безопасности ИТ типа побочных электромагнитных излучений;

методики оценки;

критерии для оценки криптографических мето­дов ЗИ.

ОК предполагается использовать как при зада­нии требований к продуктам и системам ИТ, так и при оценке их безопасности на всех этапах жиз­ненного цикла.

ОК состоят из следующих частей: