- •Лекція 4 стандарти інформаційної безпеки
- •4.1. Роль стандартів інформаційної безпеки
- •4.2. Міжнародні стандарти інформаційної безпеки
- •4.2.1. Стандарти iso/iec 17799:2002(bs 7799:2000)
- •4.2.2. Германський стандарт bsi
- •4.2.3. Міжнародний стандарт iso 15408 «Загальних критеріїв безпеки інформаційних технологій»
- •4.2.4. Стандарти для безпровідних мереж
- •4.2.5. Стандарти інформаційної безпеки в Інтернеті
- •4.3. Вітчизняні стандарти безпеки інформаційних технологій
Лекція 4 стандарти інформаційної безпеки
Проблемою інформаційної комп'ютерної безпеки почали займатися з того моменту, коли комп'ютер став обробляти дані, цінність яких висока для користувача. З розвитком комп'ютерних мереж і зростанням попиту на електронні послуги ситуація у сфері інформаційної безпеки серйозно загострилася, а питання стандартизації підходів до її рішення стало особливо актуальним як для розробників, так і для користувачів IT засобів.
4.1. Роль стандартів інформаційної безпеки
Головне завдання стандартів інформаційної безпеки — створити основу для взаємодії між виробниками, споживачами і експертами по кваліфікації продуктів ИТ. Кожна з цих груп має свої інтереси і свої погляди на проблему інформаційної безпеки.
Споживачі зацікавлені в методиці, що дозволяє обгрунтовано вибрати продукт, що відповідає їх потребам і вирішальний їх проблеми, для чого їм потрібна шкала оцінки безпеки. Споживачі також потребують інструменту, за допомогою якого вони могли б формулювати свої вимоги виробникам. При цьому споживачів цікавлять виключно характеристики і властивості кінцевого продукту, а не методи і засоби їх досягнення. На жаль, багато споживачів не розуміють, що вимоги безпеки обов'язково суперечать функціональним вимогам(зручності роботи, швидкодії і т. д.), накладають обмеження на сумісність і, як
правило, змушують відмовитися від широко поширених і тому незахищених прикладних програмних засобів.
Виробники потребують стандартів як засобу порівняння можливостей своїх продуктів, в застосуванні процедури сертифікації як механізму об'єктивної оцінки їх властивостей, а також в стандартизації певного набору вимог безпеки, який міг би обмежити фантазію замовника конкретного продукту і змусити його вибирати вимоги з цього набору. З точки зору виробника вимоги безпеки мають бути максимально конкретними і регламентувати необхідність застосування тих або інших засобів, механізмів, алгоритмів і т. д. Крім того, вимоги не повинні суперечити існуючим парадигмам обробки інформації, архітектурі обчислювальних систем і технологіям створення інформаційних продуктів. Проте такий підхід також не можна визнати в якості домінуючого, оскільки він не враховує потреб користувачів і намагається підігнати вимоги захисту під існуючі системи і технології.
Експерти по кваліфікації і фахівці з сертифікації розглядають стандарти як інструмент, що дозволяє їм оцінити рівень безпеки, що забезпечується продуктами ИТ, і надати споживачам можливість зробити обгрунтований вибір. Експерти по кваліфікації знаходяться в подвійному положенні: з одного боку, вони, як і виробники, зацікавлені в чітких і простих критеріях, над якими не потрібно сушити голову, як їх застосувати до конкретного продукту, а з іншого боку, вони повинні дати обгрунтовану відповідь користувачам — задовольняє продукт їх нужди або ні.
Таким чином, перед стандартами інформаційної безпеки стоїть непросте завдання — примирити три різні точки зору і створити ефективний механізм взаємодії усіх сторін. Причому утиск потреб хоч би однієї з них приведе до неможливості взаєморозуміння і взаємодії
і, отже, не дозволить вирішити загальне завдання — створення захищеної системи обробки інформації.
Необхідність в таких стандартах була усвідомлена досить давно, і в цьому напрямі досягнутий істотний прогрес, закріплений в документах розробки 1990х рр. Першим і найбільш відомим документом була Помаранчева книга(за кольором обкладинки) «Критерії безпеки комп'ютерних систем» Міністерства оборони США. У цьому документі визначені 4 рівні безпеки — D, З, В і А. У міру переходу від рівня D до А до надійності системи пред'являються усе більш жорсткі вимоги. Рівні З і В підрозділяються на класи(З 1, С2, В1, В2, ВЗ). Щоб система в результаті процедури сертифікації могла бути віднесена до деякого класу, її захист повинен задовольняти обумовленим вимогам. До інших важливих стандартів інформаційної безпеки цього покоління відносяться: «Керівні документи Гостехкомісії Росії», «Європейські критерії безпеки інформаційних технологій», «Федеральні критерії безпеки інформаційних технологій США», «Канадські критерії безпеки комп'ютерних систем» [30, 63].
Останнім часом в різних країнах з'явилося нове покоління стандартів, присвячених практичним питанням управління інформаційною безпекою компанії. Це передусім міжнародні стандарти управління інформаційною безпекою ISO 15408, ISO 17799 і деякі інші. Представляється доцільним проаналізувати найбільш важливі з цих документів, зіставити вимоги, що містяться в них, і критерії, а також оцінити ефективність їх практичного застосування.