Информационная безопасность

 

  К радиоэлектронным угрозам относятся:

• внедрение электронных устройств перехвата информации в технические средства и помещения;
• перехват, расшифровка, подмена и уничтожение информации в каналах связи.

 

  К организационно-правовым угрозам относятся:

• закупки несовершенных или устаревших информационных технологий и средств информатизации;
• нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

Словарь терминов Гостехкомиссии определяет понятие угроз национальной безопасности России в информационной сфере следующим образом: 

Угрозами  национальной безопасности России в информационной сфере являются:

• стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка;
• разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем; а также сохранности информационных ресурсов, получения несанкционированного доступа к ним.

 

К мерам противодействия  указанным угрозам необходимо отнести:

• постановку и проведение научных исследований, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;
• развитие отечественной индустрии в области создания и производства оборудования элементов телекоммуникационных систем;
• минимизацию числа иностранных фирм - поставщиков;
• координацию действий по проверке надежности указанных фирм;
• уменьшению номенклатуры поставляемого оборудования;
• переходу от поставок оборудования к поставкам комплектующих на элементарном уровне;
• установлению приоритета в использовании отечественных средств защиты этих систем.

 
 

8. Стандарты безопасности Гостехкомиссии. 

    РД  Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.

    Критерии  для оценки механизмов защиты программно-технического уровня, используемые при анализе  защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации". 

1. РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" 

    РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к  информации" устанавливает классификацию  СВТ по уровню защищенности от НСД  к информации на базе перечня показателей  защищенности и совокупности описывающих  их требований. (Основным "источником вдохновения" при разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты: 

Первая  группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;

Вторая  группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

Третья  группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

Четвертая группа характеризуется верифицированной защитой содержит только первый класс. 

2. РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" 

    РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает  классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

• наличие в АС информации различного уровня конфиденциальности;
• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
• режим обработки данных в АС - коллективный или индивидуальный.

    Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс  характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС. 

3. РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" 

    При анализе системы защиты внешнего периметра корпоративной сети в  качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

• Управление доступом;
• Идентификация и аутентификация;
• Регистрация событий и оповещение;
• Контроль целостности;
• Восстановление работоспособности.

 

    На  основании показателей защищенности определяются следующие пять классов  защищенности МЭ:

• Простейшие фильтрующие маршрутизаторы - 5 класс;
• Пакетные фильтры сетевого уровня - 4 класс;
• Простейшие МЭ прикладного уровня - 3 класс;
• МЭ базового уровня - 2 класс;
• Продвинутые МЭ - 1 класс.

 

    МЭ  первого класса защищенности могут  использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму  классу защищенности МЭ соответствует  класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.

    Также к стандартам России в области информационной безопасности относятся:

• Гост 28147-89 – блочный шифр с 256-битным ключом;
• Гост Р 34.11-94 –функция хэширования;
• Гост Р 34.10-94 –алгоритм цифровой подписи.

 

9. Европейские стандарты безопасности. 

ISO 15408: Common Criteria for Information Technology Security Evaluation

    Наиболее  полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном  стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

    Общие критерии оценки безопасности информационных технологий (далее "Общие критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

    Хотя  применимость "Общих критериев" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

    Первая  часть "Общих критериев" содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

    Требования  к функциональности средств защиты приводятся во второй части "Общих критериев" и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.

    Третья  часть "Общих критериев" содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

• Наличие побочных каналов утечки информации;
• Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;
• Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;
• Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.

 

ISO 17799: Code of Practice for Information Security Management 

    Наиболее  полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.

    ISO 17799 содержит практические правила  по управлению информационной  безопасностью и может использоваться  в качестве критериев для оценки  механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

    Практические  правила разбиты на следующие 10 разделов:

• Политика безопасности;
• Организация защиты;
• Классификация ресурсов и их контроль;
• Безопасность персонала;
• Физическая безопасность;
• Администрирование компьютерных систем и вычислительных сетей;
• Управление доступом;
• Разработка и сопровождение информационных систем;
• Планирование бесперебойной работы организации;
• Контроль выполнения требований политики безопасности.

    В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира.

    Десять  средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

    Ключевыми являются следующие средства контроля:

• Документ о политике информационной безопасности;
• Распределение обязанностей по обеспечению информационной безопасности;
• Обучение и подготовка персонала к поддержанию режима информационной безопасности;
• Уведомление о случаях нарушения защиты;
• Средства защиты от вирусов;
• Планирование бесперебойной работы организации;
• Контроль над копированием программного обеспечения, защищенного законом об авторском праве;
• Защита документации организации;
• Защита данных;
• Контроль соответствия политике безопасности.

    Процедура аудита безопасности АС включает в  себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.