Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 677
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
§
- 5
и
§ £
*
S | - S
а-S о. эс
Е—
„ к Л
О Й
И
S н s О
S
“
S S
и
Щ
W &
о. 3
si!
і 5 I с
> . О ° ^
н >> = S
О й S ч
О S о ,* *
е* со * и
I
CQ
СО
3
* а.
о. и
со О,
Ш с
О о
&*
^ <и
с? S
S 31
^ ss
Л CQ
н о
л ю
Е-*
е=! о
С
X
о <и
* 3 n а
* 8
5 8
>*
*
§ из
« S
s со
х ю
из
5 I
X
Ч
S|
8 1
ш о
S О.
л
н
о
о
X
СО
X 5
<и н
Д- W
о О
S
СЗ ^
а. £
09 W
О S
£І
5
1
5 °
о I о
S S >»
EJ о s
5 о, s
5 s S
O s
со §
о 3
>4 ЭС
a s
*
О*
<и
I
с
н к
<
и ЕГ
Я Й
.
S - s
s J3
S
I § з
1 X S
2 s 5
О О. s
>» с
а
со
аэ
о
§
аэ
О
>»
О- X
№ к s s
5 =J
5 ^
SS м
m s
О х
н 2
а. мз
ю S
л
Ё
С
О
X
р
о
к
СО
х
§
&
х
>>
5
S
н
о
о
X
о
.
03 [П
о S
го
и
ю s
5 g аі
к
СО
а
о
I м
I X
§ г
с о >; ш ѳ
05
ш
о
S
S
со
ffl
н
о
п
(U
о.
о
VD >>
СО
н
о
ю
со
О .
• ГО
СО СО
С о.
&■«
О I
* 5
J3 н
с?
Rv&
£ І
о сх
с
LO
S
s
S
со
Я I
< S
«и И
s х
X S
s s
s 5
S. w
R 03
.¾ л
^ о О .
О с
S >>
(D
S
СО
«
I
О о о я
X Ь
<и
S
X
5
S.
S ѵВ О
о
S О
о
о.
С
05
s 2
= S
СО
*
03 х
о
Ю О ,
(D
>=1
О . ^
f—
х
н “
<у
-
СО
О
м £
х и
і
а
СЗ ^
а. £
09 W
О S
£І
5
1
5 °
о I о
S S >»
EJ о s
5 о, s
5 s S
O s
со §
о 3
>4 ЭС
a s
*
О*
<и
I
с
н к
<
и ЕГ
Я Й
.
S - s
s J3
S
I § з
1 X S
2 s 5
О О. s
>» с
а
со
аэ
о
§
аэ
О
>»
О- X
№ к s s
5 =J
5 ^
SS м
m s
О х
н 2
а. мз
ю S
л
Ё
С
О
X
р
о
к
СО
х
§
&
х
>>
5
S
н
о
о
X
о
.
03 [П
о S
го
и
ю s
5 g аі
к
СО
а
о
I м
I X
§ г
с о >; ш ѳ
05
ш
о
S
S
со
ffl
н
о
п
(U
о.
о
VD >>
СО
н
о
ю
со
О .
• ГО
СО СО
С о.
&■«
О I
* 5
J3 н
с?
Rv&
£ І
о сх
с
LO
S
s
S
со
Я I
< S
«и И
s х
X S
s s
s 5
S. w
R 03
.¾ л
^ о О .
О с
S >>
(D
S
СО
«
I
О о о я
X Ь
<и
S
X
S.
S ѵВ О
о
S О
о
о.
С
05
s 2
= S
СО
*
03 х
о
Ю О ,
(D
>=1
О . ^
f—
х
н “
<у
-
СО
О
м £
х и
і
а
<и
S s
* I
СО С
СО
>> п
5 S
^ X
<Т) СО
СО
н
о
э
Q .
О
с£
о
5 из
2 S
х -
CJ <и
0 5 1
S
OQ r t о С с >>
а
со
*
S
■Ѳ
S
н
Q .
<и
О
05
СО
X
§
сх
со
X
>.
из
X
>>
U
к 2
S S
S х
Й СО
оз cd-
О со
ю о
о о
Н «
=J
2
2*
ч
с
о
(Г)
2
из s
> > 03
^ S
^ 5
S X
X
со
>>
ю
СО о
н s
S 5
о s
03
СО
о О
^ о.
>»
о
О
^
(D
S О.
2
S
X
о . -
Q.U3
g s
СО ( J
S ^
0 * .
1 &«Ь
X §
s
о § >
S с и
>> го
^
05
О ю
О
из
S
>»
и
ь
S
Й
СО
S
S
X
X
сх
со
ч Э
(D М
^
S
И 3
О
из Q*
мире стандартов по организационным основам ИБ серии 270хх.
Технический комитет по стандартизации ТК-362, который уже много лет занимается вопросами адаптации указанных стандар
тов, в мае 2007 г. подготовил первые версии проектов ГОСТ 17799 и 27001 (табл. 1.1).
При внедрении организационных стандартов появляется воз
можность добровольной сертификации не только систем качества
(как это сейчас происходит, на соответствие стандартам серии
9000), но и СУИБ. Зачастую такие требования уже выдвигают за
падные партнеры наших предприятий.
Кроме того, проведение сертификации СУИБ компании по
зволяет: обосновать затраты на эту систему; оценить ее эффек
тивность; определить приоритеты КСЗИ.
Например, в ряде случаев уровень безопасности можно значи
тельно повысить организационными мерами, не прибегая при этом к существенным капиталовложениям.
Особую актуальность внедрению организационных стандартов
И Б придает развитие нового вида услуг в данной области — стра
хование рисков ИБ. Имеются данные, что организации, обладаю
щие международными сертификатами соответствия стандартам
СУИБ, получают скидки, сопоставимые с затратами на проведе
ние сертификации [5].
В настоящее время комитетом ISO/IEC JTC 1/SC27 ведется разработка стандартов для систем управления информационной безопасностью (СУИБ) серии 2700х. Разработаны и планирова
лось разработать следующие стандарты (сведения на лето 2007 г.):
• IS027000 — определения и основные принципы СУИБ;
• IS027001: 2005 — этот стандарт уже внедряется фирмами в
РФ, которые не дожидаются его перевода;
• IS027002 — в апреле 2007 г. заменяет ISO 17799:2005;
• IS027003 — руководство по внедрению СУИБ (2007 г.);
• IS027004 — оценка эффективности СУИБ (2007 г.);
• IS027005 — управление рисками ИБ (в его основе лежит
BS 7799-3: 2006, планируемый выпуск — в 2007 г.).
Осенью 2006 г. был опубликован ГОСТ Р ИСО/МЭК 17799 —
2005, являющийся переводом стандарта ISO 17799: 2000 (к сожа
лению, его, а не более современного 17799:2005). По мнению аналитиков известного Интернет-ресурса CNews, качество рус
ского текста оставляет желать лучшего, так что рекомендуется читать ISO 17799 : 2005, причем в оригинале.
Кроме того, в 2007 г. в РФ планировались перевод и прямое применение следующих стандартов:
• ISO/IEC 18045 : 2005 — методология оценки безопасности ИТ;
• ISO/IEC TR 18044:2004 — управление инцидентами ИБ;
. ISO/PRF TR 13569.2, ISO/TR 13569:1997 - рекомендации по И Б при предоставлении финансовых услуг.
Технический комитет по стандартизации ТК-362, который уже много лет занимается вопросами адаптации указанных стандар
тов, в мае 2007 г. подготовил первые версии проектов ГОСТ 17799 и 27001 (табл. 1.1).
При внедрении организационных стандартов появляется воз
можность добровольной сертификации не только систем качества
(как это сейчас происходит, на соответствие стандартам серии
9000), но и СУИБ. Зачастую такие требования уже выдвигают за
падные партнеры наших предприятий.
Кроме того, проведение сертификации СУИБ компании по
зволяет: обосновать затраты на эту систему; оценить ее эффек
тивность; определить приоритеты КСЗИ.
Например, в ряде случаев уровень безопасности можно значи
тельно повысить организационными мерами, не прибегая при этом к существенным капиталовложениям.
Особую актуальность внедрению организационных стандартов
И Б придает развитие нового вида услуг в данной области — стра
хование рисков ИБ. Имеются данные, что организации, обладаю
щие международными сертификатами соответствия стандартам
СУИБ, получают скидки, сопоставимые с затратами на проведе
ние сертификации [5].
В настоящее время комитетом ISO/IEC JTC 1/SC27 ведется разработка стандартов для систем управления информационной безопасностью (СУИБ) серии 2700х. Разработаны и планирова
лось разработать следующие стандарты (сведения на лето 2007 г.):
• IS027000 — определения и основные принципы СУИБ;
• IS027001: 2005 — этот стандарт уже внедряется фирмами в
РФ, которые не дожидаются его перевода;
• IS027002 — в апреле 2007 г. заменяет ISO 17799:2005;
• IS027003 — руководство по внедрению СУИБ (2007 г.);
• IS027004 — оценка эффективности СУИБ (2007 г.);
• IS027005 — управление рисками ИБ (в его основе лежит
BS 7799-3: 2006, планируемый выпуск — в 2007 г.).
Осенью 2006 г. был опубликован ГОСТ Р ИСО/МЭК 17799 —
2005, являющийся переводом стандарта ISO 17799: 2000 (к сожа
лению, его, а не более современного 17799:2005). По мнению аналитиков известного Интернет-ресурса CNews, качество рус
ского текста оставляет желать лучшего, так что рекомендуется читать ISO 17799 : 2005, причем в оригинале.
Кроме того, в 2007 г. в РФ планировались перевод и прямое применение следующих стандартов:
• ISO/IEC 18045 : 2005 — методология оценки безопасности ИТ;
• ISO/IEC TR 18044:2004 — управление инцидентами ИБ;
. ISO/PRF TR 13569.2, ISO/TR 13569:1997 - рекомендации по И Б при предоставлении финансовых услуг.
1.6. Цели и задачи защиты информации
в автоматизированных системах
Современный бизнес немыслим без широкого использования автоматизированной обработки информации, средств вычислитель
ной техники, связи. Создаваемые на основе этих информацион
ных технологий системы и сети носят глобальный, территориаль
но распределенный характер. В компьютерах на носителях дан
ных накапливаются значительные объемы информации, зачастую носящей конфиденциальный характер или представляющей боль
шую ценность для ее владельца. Однако компьютерная обработка информации, при всех ее положительных сторонах, порождает целый ряд сложных и крупномасштабных проблем. Одной из та
ких проблем является надежное обеспечение сохранности и уста
новленного статуса использования информации, циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях, автоматизированных системах. Для решения этой пробле
мы разрабатывается система защиты информации (СЗИ) в АС.
СЗИ включает меры по защите процессов создания данных, их ввода, хранения, обработки и вывода. СЗИ должна обезопасить ценности системы, защитить и гарантировать точность и целост
ность информации, минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разру
шена. Зашита информации требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспе
чивается доступ или она распространяется.
Защита информации направлена на достижение следующих целей:
• конфиденциальность критической информации;
• целостность информации и связанных с ней процессов (со
здания, ввода, обработки и вывода);
• доступность информации, когда она нужна;
• учет всех процессов, связанных с информацией (например, неотказуемость авторства).
Работы по защите информации у нас в стране ведутся доста
точно интенсивно и уже продолжительное время. Накоплен опре
деленный опыт. Его анализ показал, что весь период работ по защите информации в АС достаточно четко делится на три этапа, каждый из которых характеризуется своими особенностями в прин
ципиальных подходах к защите информации.
Первый этап характеризуется упрощенным подходом к самой проблеме, порожденным убеждением, что уже сам факт представ
ления информации в ЭВМ в закодированном виде и обработки ее по специфическим алгоритмам является серьезным защитным средством. Поэтому для обеспечения защиты информации впол
не достаточно включить в состав АС некоторые технические и программные средства и осуществить ряд организационных ме
роприятий. Надежды эти не оправдались, специалисты пришли к выводу о том, что для зашиты информации требуется некоторая вполне организованная система со своим управляющим элемен
том. Такой элемент получил название ядра защиты, или ядра без
опасности. Тем не менее, все еще сохранялась надежда, что си
стема защиты с ядром в дальнейшем будет обеспечивать надеж
ную защиту во все время функционирования АС, хотя существен
но повысилось внимание к организационным мероприятиям.
Изложенный подход был характерен и для второго этапа. Од
нако нарушения в организации безопасности информации неу
клонно росли, что вызывало серьезную озабоченность, поскольку могло стать серьезным препятствием на пути внедрения вычисли
тельной техники. Усиленные поиски выхода из такой почти кри
зисной ситуации привели к выводу, что зашита информации в современных АС есть не одноразовая акция, а непрерывный про
цесс, целенаправленно осуществляемый во все время создания и функционирования систем с комплексным применением всех имеющихся средств, методов и мероприятий. Сделанный вывод знаменовал начало третьего этапа в развитии подходов к защите информации, который осуществляется и в настоящее время. Так в самых общих чертах может быть охарактеризовано существо за
рубежного и отечественного опыта защиты информации в АС.
На основе сказанного, теоретических исследований и практи
ческих работ в области защиты информации сформулирован так называемый системно-концептуальный подход к защите инфор
мации в АС.
Под системностью как составной частью системно-концепту- ального подхода понимается [6]:
• во-первых, системность целевая, т.е. защищенность инфор
мации рассматривается как составная часть общего понятия каче
ства информации;
• во-вторых, системность пространственная, предполагающая взаимоувязанное решение всех вопросов защиты во всех компо
нентах отдельно взятой АС, во всех АС учреждения (заведения, ведомства), расположенных на некоторой территории;
• в-третьих, системность временная, означающая непрерывность работ по защите информации, осуществляемых по взаимоувязан
ным планам;
• в-четвертых, системность организационная, означающая един
ство организации всех работ по защите информации и управле
ния их осуществлением. Она предопределяет объективную необ
ходимость создания в общегосударственном масштабе стройной системы органов, профессионально ориентированных на защиту информации, несущих полную ответственность за оптимальную
роприятий. Надежды эти не оправдались, специалисты пришли к выводу о том, что для зашиты информации требуется некоторая вполне организованная система со своим управляющим элемен
том. Такой элемент получил название ядра защиты, или ядра без
опасности. Тем не менее, все еще сохранялась надежда, что си
стема защиты с ядром в дальнейшем будет обеспечивать надеж
ную защиту во все время функционирования АС, хотя существен
но повысилось внимание к организационным мероприятиям.
Изложенный подход был характерен и для второго этапа. Од
нако нарушения в организации безопасности информации неу
клонно росли, что вызывало серьезную озабоченность, поскольку могло стать серьезным препятствием на пути внедрения вычисли
тельной техники. Усиленные поиски выхода из такой почти кри
зисной ситуации привели к выводу, что зашита информации в современных АС есть не одноразовая акция, а непрерывный про
цесс, целенаправленно осуществляемый во все время создания и функционирования систем с комплексным применением всех имеющихся средств, методов и мероприятий. Сделанный вывод знаменовал начало третьего этапа в развитии подходов к защите информации, который осуществляется и в настоящее время. Так в самых общих чертах может быть охарактеризовано существо за
рубежного и отечественного опыта защиты информации в АС.
На основе сказанного, теоретических исследований и практи
ческих работ в области защиты информации сформулирован так называемый системно-концептуальный подход к защите инфор
мации в АС.
Под системностью как составной частью системно-концепту- ального подхода понимается [6]:
• во-первых, системность целевая, т.е. защищенность инфор
мации рассматривается как составная часть общего понятия каче
ства информации;
• во-вторых, системность пространственная, предполагающая взаимоувязанное решение всех вопросов защиты во всех компо
нентах отдельно взятой АС, во всех АС учреждения (заведения, ведомства), расположенных на некоторой территории;
• в-третьих, системность временная, означающая непрерывность работ по защите информации, осуществляемых по взаимоувязан
ным планам;
• в-четвертых, системность организационная, означающая един
ство организации всех работ по защите информации и управле
ния их осуществлением. Она предопределяет объективную необ
ходимость создания в общегосударственном масштабе стройной системы органов, профессионально ориентированных на защиту информации, несущих полную ответственность за оптимальную
организацию надежной защиты во всех АС, обладающих необхо
димыми полномочиями. Главной целью указанной системы орга
нов должна быть реализация в общегосударственном масштабе принципов системно-концептуального подхода к защите инфор
мации как государственного, так и коммерческого характера.
Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взгля
дов, положений и решений, необходимых и достаточных для оп
тимальной организации и обеспечения надежности защиты ин
формации, а также для целенаправленной организации всех ра
бот по ее защите. Разработка такой концепции в настоящее время находится в стадии завершения, и ее содержание охватывает все направления обеспечения надежной защиты информации.
Комплексность системы защиты информации достигается охва
том всех возможных угроз и согласованием между собой разно
родных методов и средств, обеспечивающих защиту всех элемен
тов АС.
Основные требования к комплексной системе защиты инфор
мации в АС:
• должна обеспечивать выполнение АС своих основных функ
ций без существенного ухудшения характеристик последней;
• должна быть экономически целесообразной, так как стоимость системы защиты информации включается в стоимость АС;
• должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;
• в систему защиты информации должны быть заложены воз
можности ее совершенствования и развития в соответствии с усло
виями эксплуатации и конфигурации АС;
• должна обеспечивать в соответствии с установленными пра
вилами разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;
• при взаимодействии защищаемой АС с незащищенными АС должна обеспечивать соблюдение установленных правил разгра
ничения доступа;
• должна позволять проводить учет и расследование случаев нарушения безопасности информации в АС;
• не должна своим применением ухудшать экологическую об
становку, быть сложной для пользователя, вызывать психологи
ческое противодействие и желание обойтись без нее.
Перечень основных задач, которые должны решаться систе
мой защиты информации в АС:
• управление доступом пользователей к ресурсам АС с целью ее защиты от неправомерного случайного или умышленного вме
шательства в работу системы и несанкционированного (с превы
димыми полномочиями. Главной целью указанной системы орга
нов должна быть реализация в общегосударственном масштабе принципов системно-концептуального подхода к защите инфор
мации как государственного, так и коммерческого характера.
Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взгля
дов, положений и решений, необходимых и достаточных для оп
тимальной организации и обеспечения надежности защиты ин
формации, а также для целенаправленной организации всех ра
бот по ее защите. Разработка такой концепции в настоящее время находится в стадии завершения, и ее содержание охватывает все направления обеспечения надежной защиты информации.
Комплексность системы защиты информации достигается охва
том всех возможных угроз и согласованием между собой разно
родных методов и средств, обеспечивающих защиту всех элемен
тов АС.
Основные требования к комплексной системе защиты инфор
мации в АС:
• должна обеспечивать выполнение АС своих основных функ
ций без существенного ухудшения характеристик последней;
• должна быть экономически целесообразной, так как стоимость системы защиты информации включается в стоимость АС;
• должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;
• в систему защиты информации должны быть заложены воз
можности ее совершенствования и развития в соответствии с усло
виями эксплуатации и конфигурации АС;
• должна обеспечивать в соответствии с установленными пра
вилами разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;
• при взаимодействии защищаемой АС с незащищенными АС должна обеспечивать соблюдение установленных правил разгра
ничения доступа;
• должна позволять проводить учет и расследование случаев нарушения безопасности информации в АС;
• не должна своим применением ухудшать экологическую об
становку, быть сложной для пользователя, вызывать психологи
ческое противодействие и желание обойтись без нее.
Перечень основных задач, которые должны решаться систе
мой защиты информации в АС:
• управление доступом пользователей к ресурсам АС с целью ее защиты от неправомерного случайного или умышленного вме
шательства в работу системы и несанкционированного (с превы
шением предоставленных полномочий) доступа к ее информаци
онным, программным и аппаратным ресурсам со стороны посто
ронних лиц, а также лиц из числа персонала организации и пользо
вателей;
• защита данных, передаваемых по каналам связи;
• регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отноше
ние к ее безопасности;
• контроль работы пользователей системы со стороны админис
трации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
• контроль и поддержание целостности критичных ресурсов системы защиты и среды исполнения прикладных программ;
• обеспечение замкнутой среды проверенного программного обеспечения с целью зашиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут со
держаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распро
странения компьютерных вирусов;
• управление средствами защиты информации.
Поскольку субъектам информационных отношений ущерб мо
жет быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, становится очевидной необходимость обеспечения защиты всей системы об
работки и передачи данной информации от несанкционирован
ного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.
Поэтому под безопасностью автоматизированной системы обработки информации (компьютерной системы) понимается за
щищенность всех ее компонентов (технических средств, програм
много обеспечения, данных и персонала) от подобного рода не
желательных для соответствующих субъектов информационных от
ношений воздействий.
1.7. Современное понимание методологии
защиты информации
1.7.1. Особенности национального технического
регулирования
Под методологией защиты информации понимается использо
вание совокупности необходимых и достаточных моделей, мето
дов, методик. Подходы к моделированию КСЗИ, применяемые в
онным, программным и аппаратным ресурсам со стороны посто
ронних лиц, а также лиц из числа персонала организации и пользо
вателей;
• защита данных, передаваемых по каналам связи;
• регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отноше
ние к ее безопасности;
• контроль работы пользователей системы со стороны админис
трации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
• контроль и поддержание целостности критичных ресурсов системы защиты и среды исполнения прикладных программ;
• обеспечение замкнутой среды проверенного программного обеспечения с целью зашиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут со
держаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распро
странения компьютерных вирусов;
• управление средствами защиты информации.
Поскольку субъектам информационных отношений ущерб мо
жет быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, становится очевидной необходимость обеспечения защиты всей системы об
работки и передачи данной информации от несанкционирован
ного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.
Поэтому под безопасностью автоматизированной системы обработки информации (компьютерной системы) понимается за
щищенность всех ее компонентов (технических средств, програм
много обеспечения, данных и персонала) от подобного рода не
желательных для соответствующих субъектов информационных от
ношений воздействий.
1.7. Современное понимание методологии
защиты информации
1.7.1. Особенности национального технического
регулирования
Под методологией защиты информации понимается использо
вание совокупности необходимых и достаточных моделей, мето
дов, методик. Подходы к моделированию КСЗИ, применяемые в
ней методы и методики будут рассмотрены в следующих главах.
Здесь мы остановимся на проектах двух документов в этой облас
ти, которые отражают современную систему взглядов на пробле
му защиты информации, — проектах технических регламентов.
В случае их принятия они будут иметь силу закона.
С принятием в 2002 г. Федерального закона «О техническом регулировании» началась новая эра в области задания требований к продукции и оценке ее соответствия. Целью данного закона было снятие излишних, искусственно воздвигнутых барьеров на пути изделий отечественных (и не только) производителей, лик
видация разнородных и иногда противоречивых требований, за
ложенных в отечественных стандартах. Отныне все обязательные требования разрешается излагать только в технических регламен
тах (ТР), а следование стандартам — дело добровольное. При этом и в ТР можно предъявлять не произвольные требования, а лишь касающиеся «защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муни
ципального имущества; охраны окружающей среды, жизни или здоровья животных и растений; предупреждения действий, вво
дящих в заблуждение приобретателей».
В ст. 7 упомянутого закона приведены различные виды без
опасности, которые обеспечиваются выполнением минимальных требований регламентов: механическая, пожарная, промышлен
ная, ...Обращает на себя внимание отсутствие такого важного вида, как информационная безопасность.
Существуют мнения о необходимости внесения в закон соот
ветствующих поправок, но в настоящее время решили идти «околь
ным» путем. Влияет информационная безопасность на жизнь лю
дей, на сохранность имущества? В какой-то степени, да. Поэтому было решено разработать и принять два специальных техничес
ких регламента (СТР-45 и СТР-46) в этой области, а в преамбуле написать, что принимаются данные регламенты в целях, указан
ных в ФЗ «О техническом регулировании», которые приведены выше.
Надо сказать, что СТР-45 («О безопасности информационных технологий») и СТР-46 («О требованиях к средствам обеспечения безопасности информационных технологий») должны были быть приняты еще в 2005 г. На момент написания книги (2008 г.) их судьба все еще неясна, тем не менее целесообразно изучить мето
дологический подход, заложенный в проектах этих регламентов.
Здесь мы остановимся на проектах двух документов в этой облас
ти, которые отражают современную систему взглядов на пробле
му защиты информации, — проектах технических регламентов.
В случае их принятия они будут иметь силу закона.
С принятием в 2002 г. Федерального закона «О техническом регулировании» началась новая эра в области задания требований к продукции и оценке ее соответствия. Целью данного закона было снятие излишних, искусственно воздвигнутых барьеров на пути изделий отечественных (и не только) производителей, лик
видация разнородных и иногда противоречивых требований, за
ложенных в отечественных стандартах. Отныне все обязательные требования разрешается излагать только в технических регламен
тах (ТР), а следование стандартам — дело добровольное. При этом и в ТР можно предъявлять не произвольные требования, а лишь касающиеся «защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муни
ципального имущества; охраны окружающей среды, жизни или здоровья животных и растений; предупреждения действий, вво
дящих в заблуждение приобретателей».
В ст. 7 упомянутого закона приведены различные виды без
опасности, которые обеспечиваются выполнением минимальных требований регламентов: механическая, пожарная, промышлен
ная, ...Обращает на себя внимание отсутствие такого важного вида, как информационная безопасность.
Существуют мнения о необходимости внесения в закон соот
ветствующих поправок, но в настоящее время решили идти «околь
ным» путем. Влияет информационная безопасность на жизнь лю
дей, на сохранность имущества? В какой-то степени, да. Поэтому было решено разработать и принять два специальных техничес
ких регламента (СТР-45 и СТР-46) в этой области, а в преамбуле написать, что принимаются данные регламенты в целях, указан
ных в ФЗ «О техническом регулировании», которые приведены выше.
Надо сказать, что СТР-45 («О безопасности информационных технологий») и СТР-46 («О требованиях к средствам обеспечения безопасности информационных технологий») должны были быть приняты еще в 2005 г. На момент написания книги (2008 г.) их судьба все еще неясна, тем не менее целесообразно изучить мето
дологический подход, заложенный в проектах этих регламентов.
1 2 3 4 5 6 7 8 9 ... 41
1.7.2. Что понимается под безопасностью ИТ?
Несмотря на свое довольно широкое название, проект СТР-45 рассматривает в основном только одну сторону обеспечения без
опасности ИТ — защиту от НСД в АС. Кроме того, изложены
требования к физической защите и защите среды ИТ (пожарная, электробезопасность и т.д.). При этом, чтобы хоть как-то соот
ветствовать своему названию, вместо термина АС по тексту ис
пользуется термин «ИТ» — упорядоченная совокупность аппарат
ных, программных, аппаратно-программных средств, систем и ин
формационных процессов. На наш взгляд, определение не очень удачное, так как из него не видно, как связаны информационные процессы с «железом». Кроме того, непонятно, что относится к
ИТ. Например, мобильный телефон — это тоже упорядоченная совокупность программных и аппаратных средств и информаци
онных процессов, нарушение безопасности которых вполне мо
жет повлечь существенный ущерб.
Большая часть рассматриваемого регламента посвящена требо
ваниям к безопасности при эксплуатации ИТ. В проекте указаны стадии жизненного цикла ИТ: подготовка к эксплуатации, ввод в эксплуатацию, эксплуатация, снятие с эксплуатации, и для каж
дой стадии приведен перечень необходимых мероприятий.
Первое, что необходимо выполнить при подготовке к эксплуа
тации, — это категорирование по безопасности ИТ. СТР-45 вво
дит 6 категорий ИТ, в зависимости от того, какой ущерб возмо
жен при нарушении безопасности (табл. 1.2). К данным, приве
денным в таблице, надо применять операцию «или».
Размер ущерба от нарушения безопасности будет определяться после выполнения анализа и оценки рисков, правила выполне
ния которых приведены в Приложении В к проекту СТР-45.
Кроме категорирования по безопасности в проекте СТР-45 предусмотрена еще и классификация ИТ, но для чего она выпол-
Т а б л и ц а 1.2. Категорирование по безопасности ИТ
Категория
ИТ
(уровень ущерба)
Материальный ущерб,
МРОТ
Нарушены условия жизнедеятель
ности, человек
Постра
дало,
человек
Размер зоны чрезвычайной ситуации
1-я
4 0 1 -5 0 0 2 - 1 0
—
—
2-я
5 0 1 -1 0 0 0 1 1 -1 0 0 1 - 1 0
Территория объекта
3-я
1 0 0 1 -5 0 0 0 10 1 -3 0 0 1 1 - 5 0
Населенный пункт, район
4-я
5001—0,5 млн
3 0 1 -5 0 0 5 1 -5 0 0
Субъект РФ
5-я
0,5 млн — 5 млн
5 0 1 - 1000 5 1 - 5 0 0 2 субъекта РФ
6-я
> 5 млн
> 1000
>500
> 2 субъектов
РФ
ветствовать своему названию, вместо термина АС по тексту ис
пользуется термин «ИТ» — упорядоченная совокупность аппарат
ных, программных, аппаратно-программных средств, систем и ин
формационных процессов. На наш взгляд, определение не очень удачное, так как из него не видно, как связаны информационные процессы с «железом». Кроме того, непонятно, что относится к
ИТ. Например, мобильный телефон — это тоже упорядоченная совокупность программных и аппаратных средств и информаци
онных процессов, нарушение безопасности которых вполне мо
жет повлечь существенный ущерб.
Большая часть рассматриваемого регламента посвящена требо
ваниям к безопасности при эксплуатации ИТ. В проекте указаны стадии жизненного цикла ИТ: подготовка к эксплуатации, ввод в эксплуатацию, эксплуатация, снятие с эксплуатации, и для каж
дой стадии приведен перечень необходимых мероприятий.
Первое, что необходимо выполнить при подготовке к эксплуа
тации, — это категорирование по безопасности ИТ. СТР-45 вво
дит 6 категорий ИТ, в зависимости от того, какой ущерб возмо
жен при нарушении безопасности (табл. 1.2). К данным, приве
денным в таблице, надо применять операцию «или».
Размер ущерба от нарушения безопасности будет определяться после выполнения анализа и оценки рисков, правила выполне
ния которых приведены в Приложении В к проекту СТР-45.
Кроме категорирования по безопасности в проекте СТР-45 предусмотрена еще и классификация ИТ, но для чего она выпол-
Т а б л и ц а 1.2. Категорирование по безопасности ИТ
Категория
ИТ
(уровень ущерба)
Материальный ущерб,
МРОТ
Нарушены условия жизнедеятель
ности, человек
Постра
дало,
человек
Размер зоны чрезвычайной ситуации
1-я
4 0 1 -5 0 0 2 - 1 0
—
—
2-я
5 0 1 -1 0 0 0 1 1 -1 0 0 1 - 1 0
Территория объекта
3-я
1 0 0 1 -5 0 0 0 10 1 -3 0 0 1 1 - 5 0
Населенный пункт, район
4-я
5001—0,5 млн
3 0 1 -5 0 0 5 1 -5 0 0
Субъект РФ
5-я
0,5 млн — 5 млн
5 0 1 - 1000 5 1 - 5 0 0 2 субъекта РФ
6-я
> 5 млн
> 1000
>500
> 2 субъектов
РФ
няется, разработчики написать «забыли». Требования к ИТ предъявляются лишь исходя из категории безопасности ИТ.
В соответствии с духом ГОСТ 15408, все требования подразделя
ются на функциональные и требования доверия к безопасности.
Функциональные требования, в свою очередь, подразделяются на требования к организационным мерам и требования к техниче
ским мерам и средствам обеспечения безопасности ИТ.
Из описания организационных мер обеспечения безопасности видно, что авторы СТР-45 учли прогрессивные международные стандарты и рекомендации «наилучшей практики», такие как ISO
17799, BSI, COBIT и др., в том числе корпоративные стандарты.
Оргмеры включают не только традиционные мероприятия по за
щите, но и реагирование на инциденты безопасности, действия в непредвиденных ситуациях (т.е. обеспечение непрерывности ве
дения бизнеса), оценку рисков, информирование и обучение пользователей.
Функциональные требования помимо прочего включают срав
нительно новые для наших пользователей детализированные тре
бования к аудиту безопасности ИТ, требования к защите комму
никаций. Введение последней категории требований показывает, что разработчики учли распределенный характер современных ИТ.
Требования доверия к безопасности менее многочисленны, чем функциональные, и включают в основном требования к сопро
вождению ИТ, внесению изменений в ее конфигурацию, требова
ния к персоналу и к документации.
По-видимому, болезненный для многих потребителей вопрос связан с аттестацией ИТ. Согласно существующей нормативной базе, аттестация ИТ внешней комиссией выполняется лишь в слу
чае «обработки гостайны». В проекте СТР-45 предусмотрены две формы оценки соответствия ИТ требованиям безопасности: атте
стация ИТ и государственный контроль (надзор). При этом для
ИТ 3 —6-й категорий аттестация осуществляется аккредитован
ными органами по аттестации, для первой и второй категорий — своими силами. Государственный контроль (надзор) выполняется пока неназванными уполномоченными органами, правила его про
ведения и периодичность пока также не указаны. Тем не менее, по результатам контроля процесс эксплуатации ИТ в случае обна
ружения нарушений СТР-45 может быть остановлен.
1.7.3. Документы пользователя
Согласно СТР-45, на этапе ввода ИТ в эксплуатацию необхо
димо разработать большое количество документов. Часть из них будут новыми для отечественных потребителей. К таким доку
ментам относятся следующие:
В соответствии с духом ГОСТ 15408, все требования подразделя
ются на функциональные и требования доверия к безопасности.
Функциональные требования, в свою очередь, подразделяются на требования к организационным мерам и требования к техниче
ским мерам и средствам обеспечения безопасности ИТ.
Из описания организационных мер обеспечения безопасности видно, что авторы СТР-45 учли прогрессивные международные стандарты и рекомендации «наилучшей практики», такие как ISO
17799, BSI, COBIT и др., в том числе корпоративные стандарты.
Оргмеры включают не только традиционные мероприятия по за
щите, но и реагирование на инциденты безопасности, действия в непредвиденных ситуациях (т.е. обеспечение непрерывности ве
дения бизнеса), оценку рисков, информирование и обучение пользователей.
Функциональные требования помимо прочего включают срав
нительно новые для наших пользователей детализированные тре
бования к аудиту безопасности ИТ, требования к защите комму
никаций. Введение последней категории требований показывает, что разработчики учли распределенный характер современных ИТ.
Требования доверия к безопасности менее многочисленны, чем функциональные, и включают в основном требования к сопро
вождению ИТ, внесению изменений в ее конфигурацию, требова
ния к персоналу и к документации.
По-видимому, болезненный для многих потребителей вопрос связан с аттестацией ИТ. Согласно существующей нормативной базе, аттестация ИТ внешней комиссией выполняется лишь в слу
чае «обработки гостайны». В проекте СТР-45 предусмотрены две формы оценки соответствия ИТ требованиям безопасности: атте
стация ИТ и государственный контроль (надзор). При этом для
ИТ 3 —6-й категорий аттестация осуществляется аккредитован
ными органами по аттестации, для первой и второй категорий — своими силами. Государственный контроль (надзор) выполняется пока неназванными уполномоченными органами, правила его про
ведения и периодичность пока также не указаны. Тем не менее, по результатам контроля процесс эксплуатации ИТ в случае обна
ружения нарушений СТР-45 может быть остановлен.
1.7.3. Документы пользователя
Согласно СТР-45, на этапе ввода ИТ в эксплуатацию необхо
димо разработать большое количество документов. Часть из них будут новыми для отечественных потребителей. К таким доку
ментам относятся следующие:
• планы, обеспечения безопасности ИТ; действий в непредви
денных ситуациях;
• политики: безопасности информационных технологий; реа
гирования на инциденты нарушения безопасности; оценки рис
ков; защиты носителей информации; обеспечения целостности
ИТ и информации; физической защиты и защиты среды ИТ; обес
печения безопасности эксплуатирующего персонала; обучения
(тренинга) безопасности (для ИТ 2 категории и выше); иденти
фикации и аутентификации; управления доступом; аудита и обес
печения подотчетности (политика регистрации и учета); зашиты
ИТ и коммуникаций; сопровождения ИТ; управления конфигу
рацией;
• руководства: по использованию беспроводных технологий
(для ИТ 3-й и последующих категорий); по использованию пор
тативных и мобильных устройств (для ИТ 3-й и последующих категорий); по использованию технологий мобильного кода (для
ИТ 2-й и следующих категорий); по использованию технологии передачи речи по IP-сетям (ІР-телефонии);
• списки: персонала, уполномоченного на выполнение действий по сопровождению ИТ; ключевых компонентов ИТ (для ИТ 2-й и следующих категорий); доступа эксплуатирующего персонала на объекты ИТ;
• журналы, доступа посетителей; регистрации действий по со
провождению ИТ (для ИТ 3-й и следующих категорий);
• правила поведения эксплуатирующего персонала в отно
шении обеспечения безопасности ИТ\
• соглашения о доступе',
• базовая конфигурация ИТ\
• реестр компонентов ИТ.
В тексте СТР-45 очень кратко упоминается о том, что должен содержать каждый из перечисленных документов. Учитывая от
сутствие необходимой методической базы, можно полагать, что разработка документации по ИТ будет непростым делом для по
требителей.
Организационно-распорядительная документация по примене
нию мер и средств обеспечения безопасности ИТ должна отно
ситься к информации ограниченного доступа.
1.7.4. Требования к средствам обеспечения
безопасности
Проект СТР-46 использует в основном ту же терминологию, что и СТР-45. Под средствами обеспечения безопасности инфор
мационных технологий (СОБИТ) авторы проекта понимают сред
ства, реализующие совокупность функций, обеспечивающих БИТ.
Нам это определение представляется довольно расплывчатым. На
пример, система пожаротушения тоже реализует указанные функ
ции (и в СТР-45 приведены требования к ней), но она не являет
ся предметом рассмотрения данного проекта регламента. Дума
ется, что будет правильным ставить знак равенства между исполь
зующимся сейчас термином «средства защиты информации» и
СОБИТ. Разработчики обещают в следующих версиях проекта СТР привести исчерпывающий список средств, относящихся к СОБИТ.
Категория СОБИТ устанавливается исходя из того, в ИТ какой максимальной категории его можно использовать. В зависимости от категории к СОБИТ предъявляется определенный набор тре
бований доверия к безопасности. Сравнение с ГОСТ 15408 пока
зывает, что эти наборы требований для различных категорий не совпадают с требованиями оценочных уровней доверия ОК. Та
ким образом, СОБИТ наивысшей категории не сможет быть авто
матически сертифицирован на соответствие ОК даже по самому низкому уровню доверия. Верно и обратное: выполнение требо
ваний ОК недостаточно для того, чтобы СОБИТ соответствовали
СТР-46.
Функциональные требования безопасности к СОБИТ не уста
навливаются в связи с их многообразием. Состав этих требований будет определять разработчик, исходя из парируемых средством угроз, условий применения и его категории. В приложении к проек
ту СТР-46 приведен перечень основных функциональных требо
ваний с пояснениями, что можно рассматривать в качестве мето
дического пособия по данной теме. Между тем, непонятно, для чего эти материалы предлагается включить в текст закона.
Подтвердить соответствие СОБИТ требованиям безопасности предполагается двумя формами: декларированием соответствия и обязательной сертификацией (для СОБИТ трех старших катего
рий).
Интересным, но до конца непродуманным предложением ав
торов является открытое опубликование результатов сертифика
ционных испытаний. Очевидно, что для СОБИТ высших катего
рий такое опубликование не только нецелесообразно, но и может привести к разглашению государственной тайны.
По аналогии с ИТ, в отношении СОБИТ предлагается прово
дить государственный контроль и надзор. При этом контролю подвергаются не только разработчики и продавцы СОБИТ, но и пользователи, что, по нашему мнению, неверно. Дело в том, что защищаемые активы появляются только в ИТ, и именно ИТ целе
сообразно подвергать контролю (надзору), как это и предусмот
рено СТР-45.
Разработка технических регламентов по информационной без
опасности является, скорее всего, первым опытом открытой раз
работки документов по защите информации. Нельзя сказать, что
«первый блин вышел комом», но существующие варианты проек
тов пока еще очень далеки от совершенства, в связи с чем не
однократно происходит перенос сроков представления регламен
тов в правительственные органы.
Остается неясным вопрос, насколько оправданно создание тех
нических регламентов по информационной безопасности? На наш взгляд, вместо этого было бы правильным внести в ст. 1 ФЗ
«О техническом регулировании» абзац, где бы говорилось об от
дельном регулировании такой чувствительной области, по анало
гии с тем, как это сделано в этом законе для единой сети связи.
Г л а в а 2
Принципы организации и этапы
разработки КСЗИ
2.1. Методологические основы
организации КСЗИ
При создании КСЗИ необходимо учитывать, что информа
цию следует защищать во всех видах ее существования — доку
ментальном (бумажные документы, микрофильмы и т.п.), элек
тронном, содержащемся и обрабатываемом в автоматизирован
ных системах (АС) и отдельных средствах вычислительной тех
ники (СВТ); это относится к персоналу, который обрабатывает информацию. Необходимо также принимать меры по защите информации от утечки по техническим каналам. При этом тре
буется защищать информацию не только от несанкционирован
ного доступа (НСД) к ней, но и от неправомерного вмешатель
ства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности АС и СВТ, воздействия на пер
сонал и т.п. Должны быть обеспечены конфиденциальность, целостность и доступность информации. Таким образом, защи
щать необходимо все компоненты информационной структуры предприятия — помещения, аппаратуру, информационные си
стемы, документы на бумажных и электронных носителях, сети связи, персонал и т.д.
Целью проводимых работ должно являться построение комп
лексной системы зашиты информации. Это предполагает необхо
димость использования, создания и разработки совокупности ме
тодологических, организационных и технических элементов КСЗИ, взаимообусловленных и взаимоувязанных, и базируется на исполь
зовании методологии построения комплексной системы защиты информации.
Можно выделить три направления работ по созданию КСЗИ:
• методическое, в рамках которого создаются методологиче
ские компоненты КСЗИ, разрабатывается замысел ее построения, прорабатываются правовые вопросы;
• организационное, в ходе которого разрабатываются распоря
дительные документы, проводится обучение и инструктаж персо
нала и т.п.;