Стандарты информационной безопасности

06.09.11 (лекция)

Тема 1. Общие сведения о стандартах в  области ИБ.

Основные  определения и понятия 

Понятие стандарта в области ИБ

Обоснование необходимости использования ИБ, их классификация

Национальная  безопасность

Информационная безопасность                 Пожарная безопасность

Экологическая безопасность                       Продуктовая безопасность

Военная безопасность                                  Транспортная безопасность 

Стандарт – подразумевают документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации выполнения работ или оказания услуг.  

Важное  замечание: стандарты являются одним  из основных механизмов обеспечения  совместимости продуктов и систем, это их основное предназначение (решение  вопросов стандартизации).  

Стандарты ИБ, главная задача: создание основ  взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий.  

Стандарты являются одним из основных механизмов обеспечения совместимости продуктов  и систем.

Главная задача стандартов ИБ заключается в  создании основ взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий.

Требования  по безопасности должны быть предельно  краткими и конкретными. 

Общая классификация.

Общепринятая  классификация стандартов в области  ИБ:

Оценочные стандарты:

Оранжевая книга (русское название – критерии оценки доверенных компьютерных систем);

Общие критерии (ГОСТ ИСО/МЭК 15408-2002);

РД ФСТЭК России.

Спецификации:

Инфраструктура открытых ключей X.509;

Симметричный криптографический алгоритм ГОСТ 28147-89;

Управленческий стандарт ISO 17799;

Управленческий стандарт ISO 27001;

ГОСТ 3410-2001;

ГОСТ 4311-94.

Предназначены для оценки и классификации автоматизированных систем и СЗИ по требованиям безопасности.

В оранжевой  книге определены 4 уровня безопасности:

D – минимальная защита:

Класс D – минимальная защита, сюда относятся все ситемы подвергнутые оценке но не отвечающие ни одному из вышеперечисленных классов;

C – индивидуальная защита:

Класс С1 – (средства контроля и управления доступом) защита основанная на индивидуальных мерах, сюда относятся системы обеспечивающие разделение пользователей и данных;

С2 – (управление доступом) защита основанная на управляемом доступе, сюда относятся системы не только разделяющие пользователей и данные, но и разделение по действиям;

B – мандатная защита:

B1 – (защита с применением меток безопасности) защита основанная на присвоении имен отдельным средствам безопасности, все системы которые удовлетворяют классам C, но они также должны быть проименованы;

B2 – структурированная защита, сюда относятся системы построенные на основе определенных моделей и формально задокументированные, с мандатным управлением доступом ко всем субъектам и объектам, располагают усиленными средствами тестирования и защиты и средствами управления со стороны администрации;

B3 – домены безопасности, системы в которых существует монитор контролирующий все запросы, предусматривает средства сигнализации о всех попытках НСД;

A – верифицированная защита:

A1 (верифицированная защита) – верификационный проект, сюда относятся все системы функционально эквивалентные требованиям класса B3, но верификация которых осуществляется по специальным процедурам, обязательно наличие администратора безопасности.

По мере перехода от уровня к уровня ужесточаются требования к безопасности. Разделение на классы сделано, чтобы система при сертификации могла быть отнесена к определенному классу. 

Тема 2. Международные  стандарты информационной безопасности.

Международные стандарты:

1. Стандарты ISO/IEС 17799-2005;
2. Британский стандарт BSI;
3. Общие критерии безопасности ИТ ISO 15408;
4. Стандарты для беспроводных сетей;
5. Стандарты в сети Internet.

Обеспечение ИБ в любой организации достигается:

1. Определение целей обеспечения ИБ КИС;
2. Создание эффективной системы управления ИБ;
3. Расчет совокупности детализированных качественных и количественных показателей для оценки соответствия ИБ поставленным целям;
4. Применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
5. Использование методик управления безопасностью, которые позволяют объективно оценить защищенность информационных активов и управлять безопасностью компании.

Наиболее  распространенными управленческими  стандартами в настоящее время  являются документы, разработанные  британским институтом стандартов (BSI), к ним относятся:

BS 7799-1 – имеет международный статус;

BS 7799-2 – имеет международный статус;

BS 7799-3.

Последние версии этих стандартов имеют другое обозначение ISO/IEС 17799-2005, ISO/IEС 27001-2005.

Данные  документы представляют собой набор  практических рекомендаций по формирования и поддержанию системы управления информационной безопасностью (СУИБ). Носят неформальный характер. 

ISO/IEС 17799-2005 «Информационные технологии. Методы обеспечения безопасности. Практические руководства по управлению ИИБ»

Представляет  собой набор практических рекомендаций по построению комплексной корпоративной  системы управления ИБ.

Представляет  собой: процесс защиты активов организации  от различных видов угроз, который  достигается путем реализации определенных механизмов контроля.

Требования  к системе безопасности определяются: по результатам предварительно проведенного анализа рисков. Механизмы контроля выбирают так, чтобы минимизировать информационные риски.

Основное  содержание стандарта: каталог рекомендуемых  механизмов контроля безопасности.

Механизмы безопасности сгруппированы по тематическим разделам:

1. Политика безопасности;
2. Организация ИБ;
3. Управление активами;
4. Безопасность людских ресурсов;
5. Физическая безопасность;
6. Управление телекоммуникациями;
7. Управление доступом;
8. Управление инцидентами ИБ;
9. Управление непрерывностью бизнеса;
10. Соответствие;
11. Приобретение, разработка и внедрение ИС.

Для каждого  механизма в стандарте приведены  определения. 

06.09.11 (практика)

Стандарт  ISO/IEC 27001-2005. «Информационные технологии. Методы обеспечения безопасности системы управления ИБ. Требования»

Устанавливает требования по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и  совершенствованию корпоративных СУИБ.

Реализация  осуществляется путем внедрения  четырехфазной модели:

 

В качестве исходных данных выступают требования по ИБ и ожидания заинтересованных сторон.

Путем применения специальных мер и механизмов реализуют требуемый уровень  безопасности. 

Британский  стандарт BS 7799-3 от 2006. «Системы управления ИБ. Часть третья: руководство по управлению рисками в информационной безопасности.»

Набор руководств и рекомендаций, направленных на удовлетворение требований стандарта  ISO/IEC 27001-2005 в части управления рисками.

Данный стандарт не содержит определенной методики, здесь предъявляются лишь требования к методике:

Возможность определения критериев для принятия риска;

Возможность идентификации приемлемых уровней риска;

Возможность проведения идентификации и оценки рисков;

Покрытие всех недостающих аспектов в СУИБ.

Процесс оценки рисков в общем случае включает в себя анализ и вычисление этих рисков. По результатам анализа рисков выбирается одна из 4 возможных стратегий  управления рисками:

Уменьшение риска;

Осознанное и обоснованное принятие риска;

Передача риска;

Избежание риска.

Деятельность связанная с реализацией результатов управления рисками должна сопровождаться разработкой плана управления рисками. Непрерывный процесс управления рисками должен контролироваться специалистами в организации.

Результаты  первоначальной оценки рисков должны накапливаться в базе знаний. 

Германский  стандарт BSI. «Руководство по защите ИТ для базового уровня защищенности.»

Посвящен детальному рассмотрению частных вопросов управления ИБ компании.

В стандарте  представлены:

1. Общая методика утверждения ИБ;
2. Описание компонентов современных ИТ;
3. Описание основных пунктов организации режима ИБ;
4. Характеристики объектов информатизации;
5. Характеристика основных информационных компаний;
6. Характеристики компьютерных сетей на основе сетевых технологий;
7. Подробные каталоги угроз;
8. Характеристика активного и пассивного телекоммуникационного оборудования (Cisco Systems).

Вопросы защиты приведенных информационных активов компании рассматриваются  по определенному сценарию:

Осуществляется общее описание информационного актива компании;

Представляются возможные и уязвимости безопасности;

Представляются возможные меры и средства контроля защиты. 

Стандарт  ISO/IEC 15408-1999. «Общие критерии»