Основы информационной безопасности

Сканирование дозвоном (War dialing). Простые программы, которые используются для дозвона по последовательным телефонным номерам для определения модемов.

Поиск на местности доступной беспроводной сети (War driving). Метод проникновения в беспроводные компьютерные сети, используя переносной компьютер, антенны и беспроводной сетевой адаптер, с помощью проверки на местности для получения неавторизованного доступа.

Червь. Независимая компьютерная программа, которая репродуцирует себя копированием из одной системы в другую через сеть. В отличие от компьютерных вирусов, черви не требуют привлечения человека для размножения.

В настоящее время предложен ряд перечней угроз. В качестве примера можно привести перечень угроз, содержащийся в германском стандарте по информационной безопасности «Руководство по базовой защите информационных технологий» (BSI IT baseline protection manual). Этот перечень, возможно, является наиболее полным из существующих. Все угрозы в каталоге угроз [Catalogues of Threats 2004] разбиты на 5 следующих групп.

Т 1. Угрозы в связи с форс-мажорными обстоятельствами. (T1.1 -T1.15).

Т 2. Угрозы на организационном уровне. ( T2.1 - T1.101).

Т 3. Угрозы, связанные с ошибками людей. (T3.1 - T3.76).

Т 4. Угрозы, связанные с неисправностями техники. (T4.1 - T4.52).

Т 5. Угрозы, вызванные злонамеренными действиями. (T5.1 - T3.126).

Всего рассмотрено 370 угроз. При ближайшем рассмотрении многие из приведенных в каталоге угроз можно отнести скорее к уязвимостям.

Немецкий стандарт «Руководство по обеспечению безопасности ИТ» (IT Baseline Protection Manual) разрабатывается в BSI (Bundesamt fьr Sicherheit in der Informationstechnik (German Information Security Agency), www.bsi.bund.de). Он имеется в свободном доступе в сети Интернет по следующему адресу: http://www.bsi.bund.de/gshb/english/menue.htm , (http://www.bsi.bund.de/english/gshb/index.htm).

Данный стандарт постоянно совершенствуется с целью обеспечения его соответствия текущему состоянию дел в области ИТ и ИБ. К настоящему времени накоплена уникальная база знаний, содержащая информацию по угрозам и контрмерам в хорошо структурированном виде: http://www.bsi.bund.de/english/gshb/index.htm

Приведем классификаторы угроз некоторых фирм.

1. Схема классификации угроз Digital Security

1. Внешняя среда и инфраструктура. Отсутствие физической защиты здания, дверей и окон (может быть использовано, например, угрозой хищения). Неадекватное или небрежное использование физического управления доступом к зданиям и помещениям (может быть использовано, например, угрозой намеренного повреждения). Нестабильная электрическая сеть (может быть использована, например, угрозой колебаний напряжения). Размещение в местности, предрасположенной к наводнениям (может быть использовано, например, угрозой затопления).

2. Аппаратные средства. Отсутствие программ периодической замены (может быть использовано, например, угрозой ухудшения состояния носителей данных). Чувствительность к колебаниям напряжения (может быть использована, например, угрозой колебаний напряжения). Чувствительность к колебаниям температуры (может быть использована, например, угрозой экстремальных показателей температуры). Чувствительность к влажности, пыли, загрязнению (может быть использована, например, угрозой пылеобразования). Чувствительность к электромагнитному излучению (может быть использована, например, угрозой электромагнитного излучения).

Недостаточное техническое обслуживание/неправильная установка носителей данных (может быть использовано, например, угрозой ошибки технического обслуживания). Отсутствие эффективного контроля изменений конфигурации (может быть использовано, например, угрозой ошибок операционного персонала).

3. Программные средства. Нечеткие или неполные спецификации для разработчиков (могут быть использованы, например, угрозой сбоя программы). Отсутствующее или недостаточное тестирование программных средств (может быть использовано, например, угрозой использования программных средств неуполномоченными пользователями). Сложный пользовательский интерфейс (может быть использован, например, угрозой ошибок операционного персонала). Отсутствие механизмов идентификации и аутентификации, таких как аутентификация пользователей (может быть использовано, например, угрозой имитации личности пользователя). Отсутствие контрольного журнала (может быть использовано, например, угрозой использования программных средств несанкционированным образом). Широко известные дефекты программных средств (могут быть использованы, например, угрозой использования программных средств неуполномоченными пользователями). Незащищенные таблицы паролей (могут быть использованы, например, угрозой имитации личности пользователя). Плохой менеджмент паролей (легко отгадываемые пароли, хранение паролей в незашифрованном виде, недостаточная частота смены паролей) (может быть использован, например, угрозой имитации личности пользователя). Неверное распределение прав доступа (может быть использовано, например, угрозой использования программных средств несанкционированным образом). Неконтролируемая загрузка и использование программных средств (может быть использована, например, угрозой вредоносного программного обеспечения). Отсутствие «конца сеанса», покидая рабочую станцию (может быть использовано, например, угрозой использования программных средств неуполномоченными пользователями). Отсутствие эффективного контроля изменений (может быть использовано, например, угрозой сбоя программы). Отсутствие документации (может быть использовано, например, угрозой ошибок операционного персонала). Отсутствие резервных копий (может быть использовано, например, угрозой вредоносного программного обеспечения или угрозой пожара). Списание или повторное использование носителей данных без надлежащего стирания (может быть использовано, например, угрозой использования программных средств неуполномоченными пользователями). Активированные ненужные службы (могут быть использованы, например, угрозой использования несанкционированного программного обеспечения). Недоработанное или новое программное обеспечение (может быть использовано, например, угрозой некомпетентного или неадекватного тестирования). Широко распределенное программное обеспечение (может быть использовано, например, угрозой потери целостности в процессе распределения).

4. Система связи. Незащищенные линии связи (могут быть использованы, например, угрозой подслушивания). Плохая разводка кабелей (может быть использована, например, угрозой проникновения в систему связи). Отсутствие идентификации и аутентификации отправителя и получателя (может быть использовано, например, угрозой имитации личности пользователя). Передача паролей в незашифрованном виде (может быть использована, например, угрозой получения сетевого доступа неуполномоченными пользователями). Отсутствие подтверждения отправления или получения сообщения (может быть использовано, например, угрозой отрицания). Коммутируемые линии (могут быть использованы, например, угрозой получения сетевого доступа неуполномоченными пользователями). Незащищенный значимый трафик (может быть использован, например, угрозой подслушивания). Неадекватный сетевой менеджмент (устойчивость маршрутизации) (может быть использован, например, угрозой перегрузки трафика). Незащищенные соединения сети общего пользования (могут быть использованы, например, угрозой использования программных средств неуполномоченными пользователями). Ненадежная сетевая архитектура (может быть использована, например, угрозой вторжения).

5. Документы. Незащищенное хранение (может быть использовано, например, угрозой хищения). Беззаботность при устранении (может быть использована, например, угрозой хищения). Неконтролируемое копирование (может быть использовано, например, угрозой хищения).

6. Персонал. Отсутствие персонала (может быть использовано, например, угрозой нехватки персонала). Безнадзорная работа внешнего персонала или персонала, занимающегося уборкой (может быть использована, например, угрозой хищения). Недостаточное обучение по безопасности (может быть использовано, например, угрозой ошибок операционного персонала). Отсутствие осознания безопасности (может быть использовано, например, угрозой ошибок пользователей). Ненадлежащее использование программных и аппаратных средств (может быть использовано, например, угрозой ошибок операционного персонала). Отсутствие механизмов мониторинга (может быть использовано, например, угрозой использования программных средств несанкционированным образом). Отсутствие политик по правильному использованию телекоммуникационной среды и обмена сообщениями (может быть использовано, например, угрозой использования сетевых средств несанкционированным образом). Неадекватные процедуры набора персонала (могут быть использованы, например, угрозой намеренного повреждения).

7. Процедурные. Отсутствие санкционирования средств обработки информации (может быть использовано, например, угрозой намеренного повреждения). Отсутствие формального процесса санкционирования общедоступной информации (может быть использовано, например, угрозой ввода искаженных данных). Отсутствие формального процесса проверки прав доступа (надзора) (может быть использовано, например, угрозой несанкционированного доступа). Отсутствие формальной политики по использованию портативных компьютеров (может быть использовано, например, угрозой хищения). Отсутствие формальной процедуры контроля документации системы менеджмента информационной безопасности (может быть использовано, например, угрозой ввода искаженных данных). Отсутствие формальной процедуры надзора за записями системы менеджмента информационной безопасности (может быть использовано, например, угрозой ввода искаженных данных). Отсутствие формальной процедуры регистрации и отмены регистрации пользователей (может быть использовано, например, угрозой несанкционированного доступа). Отсутствие контроля за резервными активами (может быть использовано, например, угрозой хищения). Отсутствующее или неудовлетворительное соглашение об уровне сервиса (может быть использовано, например, угрозой ошибок технического обслуживания). Отсутствующие или недостаточные положения (касающиеся безопасности) в договорах с клиентами и/или третьими сторонами (могут быть использованы, например, угрозой несанкционированного доступа). Отсутствующие или недостаточные положения (касающиеся безопасности) в договорах со служащими (могут быть использованы, например, угрозой мошенничества и хищения). Отсутствие надлежащего распределения обязанностей по обеспечению информационной безопасности (может быть использовано, например, угрозой отрицания). Отсутствие политики по использованию электронной почты (может быть использовано, например, угрозой неправильной маршрутизации сообщений). Отсутствие процедур идентификации и оценки риска (может быть использовано, например, угрозой несанкционированного доступа к системе). Отсутствие процедур обращения с секретной информацией (может быть использовано, например, угрозой ошибок пользователей).

Отсутствие процедур обеспечения соблюдения прав на интеллектуальную собственность (может быть использовано, например, угрозой хищения информации). Отсутствие процедур сообщения о слабых местах безопасности (может быть использовано, например, угрозой использования сетевых средств несанкционированным образом). Отсутствие процедуры контроля изменений (может быть использовано, например, угрозой ошибки технического обслуживания). Отсутствие регулярных аудитов (надзора) (может быть использовано, например, угрозой несанкционированного доступа). Отсутствие регулярных проверок, проводимых руководством (может быть использовано, например, угрозой злоупотребления ресурсами). Отсутствие обязанностей по обеспечению информационной безопасности в перечнях служебных обязанностей (может быть использовано, например, угрозой ошибок пользователей). Отсутствие зафиксированных в журнале регистрации администратора и оператора сообщений об ошибках (может быть использовано, например, угрозой использования программных средств несанкционированным образом). Отсутствие записей в журнале регистрации администратора и оператора (может быть использовано, например, угрозой ошибок операционного персонала). Отсутствие оговоренного дисциплинарного процесса в случае инцидента безопасности (может быть использовано, например, угрозой хищения информации).

8. Обычные уязвимости обработки бизнес-приложений. Неверная установка параметров (может быть использована, например, угрозой ошибок пользователей). Применение прикладных программ к неверным данным с точки зрения времени (может быть использовано, например, угрозой недоступности данных). Неспособность создания административных отчетов (может быть использована, например, угрозой несанкционированного доступа). Неверные даты (могут быть использованы, например, угрозой ошибок пользователей).

9. Общеприменимые уязвимости. Единичная точка сбоя (может быть использована, например, угрозой сбоя услуг связи). Неадекватное реагирование технического обслуживания (может быть использовано, например, угрозой сбоев аппаратных средств). Неправильно разработанные, несоответствующим образом выбранные или плохо управляемые защитные меры (могут быть использованы, например, угрозой проникновения в систему связи).

Методы оценки уязвимостей. Тестирование информационной системы

Профилактические методы, такие как тестирование информационной системы, могут быть использованы для эффективной идентификации уязвимостей в зависимости от самой системы и доступных ресурсов (например, выделенных фондов, доступной технологии, лиц, обладающих компетентностью для проведения тестирования).

Методы тестирования включают:

- автоматические инструментальные средства поиска уязвимостей;

- тестирование и оценивание безопасности (STE);

- тестирование на проникновение.

Автоматические инструментальные средства поиска уязвимостей используются для просмотра сети на предмет известных уязвимых сервисов (например, система разрешает анонимный протокол передачи файлов [FTP], ретрансляцию отправленной почты).

Следует, однако, отметить, что некоторые из потенциальных уязвимостей, идентифицированных автоматическими инструментальными средствами поиска уязвимостей, могут не представлять реальных уязвимостей в контексте среды системы. Например, некоторые из этих средств поиска определяют потенциальные уязвимости, не учитывая среду и требования сайта. Некоторые из уязвимостей, отмеченных автоматическими инструментальными средствами поиска уязвимостей, могут в действительности не быть уязвимостями для конкретного сайта, а быть сконфигурированными таким образом, потому что этого требует среда. Таким образом, этот метод может давать ошибочные результаты исследования.

Другой метод, который может использоваться для определения уязвимостей системы ИКТ во время процесса оценки риска, - тестирование и оценивание безопасности. Он включает разработку и выполнение плана тестирования (например, сценарий тестирования, процедуры тестирования и ожидаемые результаты тестирования).

Цель тестирования безопасности системы состоит в тестировании эффективности средств контроля безопасности системы, которые были применены в операционной среде. Задача заключается в том, чтобы удостовериться, что применяющиеся средства контроля соответствуют утвержденной спецификации безопасности для программных и аппаратных средств, обеспечивают выполнение политики безопасности

организации или соответствуют отраслевым стандартам. Тестирование на проникновение может использоваться как дополнение к проверке средств контроля безопасности и гарантирование того, что защита различных аспектов системы обеспечена. Когда тестирование на проникновение используется в процессе оценки риска, оно может применяться для оценки способности системы противостоять умышленным попыткам обойти средства контроля безопасности системы. Его задача состоит в тестировании системы с точки зрения источника угрозы, и в идентификации потенциальных сбоев в структурах защиты системы.

ЛЕКЦИЯ 5. СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В настоящее время все вопросы, связанные со стандартизацией в Российской Федерации, регулируются Федеральным законом «О техническом регулировании».

Статья 11 Закона определяет цели стандартизации: повышение уровня безопасности жизни или здоровья граждан, имущества, экологической безопасности, повышение уровня безопасности объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера; техническая и информационная совместимость и т.д.

Статья 13 Закона определяет виды документов в области стандартизации, к ним отнесены: национальные стандарты; правила стандартизации, нормы и рекомендации в области стандартизации; применяемые в установленном порядке классификации, общероссийские классификаторы технико-экономической и социальной информации; стандарты организаций.

Статья 14 Закона определяет статус национального органа Российской Федерации по стандартизации и технических комитетов по стандартизации. В соответствии с данной статьей на указанный орган возложено выполнение следующих задач:

- утверждение национальных стандартов;

- принятие программы разработки национальных стандартов;

- организация экспертизы проектов национальных стандартов;

- обеспечение соответствия национальной системы стандартизации интересам национальной экономики;

- создание технических комитетов по стандартизации и координация их деятельности;

- участие в соответствии с уставами международных организаций в разработке международных стандартов и обеспечение учета интересов Российской Федерации при их принятии и иные моменты.

В соответствии с постановлениями Правительства РФ от 16 июня 2004 г. № 284 и от 17 июня 2004 г. № 294 функции федерального органа по техническому регулированию и национального органа по стандартизации осуществляет Федеральное агентство по техническому регулированию и метрологии. (Ростехрегулирование, ФАТР и М).

Официальным изданием является «Вестник технического регулирования», зарегистрированный под номером ПИ № 77-16464 от 22 сентября 2003 года.

Основополагающим государственным стандартом Российской Федерации в области защиты информации является ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения» (принят постановлением Госстандарта РФ от 5 июня 2003 г. № 181-ст). Он устанавливает цель и задачи системы стандартов по защите информации, объекты стандартизации, структуру, состав и классификацию входящих в нее стандартов и правила их обозначения.

В соответствии с данным стандартом система стандартов по защите информации (ССЗИ) может включать в себя следующие нормативные документы: регламенты; стандарты; правила, нормы и рекомендации по стандартизации; общероссийские классификаторы технико-экономической информации; нормативно-технические документы (НТД) системы общих технических требований к вооружению и военной технике (ОТТ).

В зависимости от объекта стандартизации в области ЗИ и требований, предъявляемых к нему, устанавливают стандарты следующих видов: основополагающие; на продукцию; на процессы; на технологию, включая в том числе информационные технологии; на услуги; на методы контроля; на документацию; на термины и определения.

Стандарты по ЗИ подразделяют на следующие категории: международные (ГОСТ ИСО); межгосударственные (ГОСТ); государственные стандарты Российской Федерации, оформленные на основе аутентичного текста международного стандарта (ГОСТ Р ИСО/МЭК); государственные стандарты Российской Федерации (ГОСТ Р);

государственные военные стандарты Российской Федерации (ГОСТ РВ); стандарты отраслей, в том числе и на оборонную продукцию (ОСТ); стандарты предприятий.

Стандарты и спецификации можно условно разделить на два вида:

- оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;

- технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры.

Технические спецификации имеют ряд положительных и отрицательных аспектов. Главные достоинства этих стандартов состоят в следующем:

- стандарт гарантирует большой сектор рынка для определенного типа оборудования или программного обеспечения;

- стандарт обеспечивает взаимодействие устройств, разработанных различными производителями, что обеспечивает большую гибкость при выборе и использовании оборудования.

Основные недостатки технических стандартов: стандартизация ведет к замораживанию технологии. За то время пока стандарт разрабатывается, проходит проверку, согласуется, пересматривается и, наконец, публикуется, могут появиться новые, более эффективные технологии.

Следует различать следующие три понятия: добровольные стандарты; регулирующие стандарты; регулятивное использование добровольных стандартов.

Добровольные стандарты разрабатываются организациями, производящими стандарты. Они являются добровольными в том смысле, что их существование не делает обязательным их применение. То есть, производители добровольно создают продукт, соответствующий стандарту, если они видят в этом выгоду для самих себя.

Эти стандарты также являются добровольными в том смысле, что они были разработаны добровольцами, предпринимаемые усилия которых не оплачивались организацией, производящей стандарты и управляющей этим процессом. Работоспособность добровольных стандартов объясняется тем, что, как правило, эти стандарты разрабатывались на основе широкого консенсуса и что потребительский спрос на стандартизированные продукты поощрял применение этих стандартов производителями.

Регулирующие стандарты, напротив, разрабатываются государственными регулятивными управлениями для достижения определенной общественной цели, например, в области безопасности. Эти стандарты обладают регулятивной силой и должны выполняться производителями в контексте применения данных предписаний. Но предписания могут применяться к широкому спектру продуктов, включая компьютеры и средства связи.

Регулятивное использование добровольных стандартов - относительно новое явление. Типичный пример этого - предписание, требующее от государственных организаций, чтобы они приобретали только продукт, соответствующий некоторому набору добровольных стандартов. У такого подхода есть ряд достоинств:

- уменьшает бремя производства стандартов, лежащее на государственных организациях;

- поощряет сотрудничество между государством и организациями по стандартизации в области производства стандартов широкого применения;

- уменьшает число стандартов, которые должны выполнять производители.

Исторически первым широко распространившимся документом, получившем статус стандарта, были Критерии безопасности компьютерных систем Министерства обороны США. Впоследствии они были приняты другими ведомствами этой страны и даже другими государствами либо в исходном виде, либо после переработки с учетом развития информационных технологий. Так появились Европейские, Федеральные, Канадские критерии безопасности компьютерных систем. В настоящее время в большинстве стран, в том числе и в России, силу стандарта приобрели так называемые Общие критерии.

Критерии безопасности компьютерных систем Министерства обороны

США - «Оранжевая книга» - критерии безопасности компьютерных систем (TCSEC - Trusted Computer System Evaluation Criteria), получившие неформальное, но прочно закрепившееся название «Оранжевая книга» (по цвету изданной брошюры), были разработаны Министерством обороны США в 1983 г. С целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения.

Согласно «Оранжевой книге» безопасная компьютерная система - это система, поддерживающая управление доступом к обрабатываемой в ней информации таким образом, что только соответствующим образом авторизованные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию.

В «Оранжевой книге» предложены три категории требований безопасности - политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних - на качество самих средств защиты.

Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности. Возможность осуществления субъектами доступа к объектам должна определяться на основании их идентификации и набора правил управления доступом, позволяющая эффективно реализовать разграничение доступа к категорированной информации.

Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа. Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности объекта и/или режимы доступа к этому объекту.

Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификация) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения.

Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность.

Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные функции защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.

Требование 6. Непрерывность защиты. Все средства защиты (в т.ч. и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одним из ключевых аспектов формального доказательства безопасности системы.

Приведенные выше базовые требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем, определяющую семь классов безопасности. Все системы в соответствии с «Оранжевой книгой» распределяются по следующим классам защищенности (в порядке возрастания защищенности, более защищенный класс включает в себя все требования

предыдущих классов):

Класс D - минимальная защита. Зарезервирован для отнесения систем, не удовлетворяющих ни одному из других классов защиты.

Класс С1 - защита, основанная на разграничении доступа. Обеспечивается разграничение пользователей и данных.

Класс С2 - защита, основанная на управляемом контроле доступом. Наличие усовершенствованных средств управления доступом и распространения прав, аудит событий, имеющих отношение к безопасности системы и разделению ресурсов. Общие ресурсы должны очищаться перед повторным использование другими процессами.

Класс В1 - мандатная защита, основанная на присваивании меток объектам и субъектам.

Класс В2 - структурированная защита. Управление доступом распространяется на все субъекты и объекты системы. Анализ побочных каналов утечки информации. Специальные процедуры изменения конфигурации. Возможность тестирования и полного анализа.

Класс В3 - домены безопасности. Реализация концепции монитора обращений, который гарантированно защищен от несанкционированного доступа, порчи и подделки, обрабатывает все обращения, прост для анализа и тестирования (предоставляется полная система тестов, полнота которой доказана).

Класс А1 - верифицированный проект. Проект должен быть представлен в виде формализованной и верифицированной математическими методами спецификации.

Выбор класса защиты системы рекомендуется осуществлять на основе режима её функционирования. Определяется пять таких режимов:

1. Режим, в котором система постоянно обрабатывает ценную информацию одного класса в окружении, которое обеспечивает безопасность для работы с этим классом.

2. Режим особой секретности самой системы. Все пользователи и элементы системы имеют один класс и могут получить доступ к любой информации.

3. Многоуровневый режим. Обработка информации разных классов, не все пользователи имеют доступ ко всем классам информации.

4. Контролирующий режим. Многоуровневый режим, в котором защищенность полностью не гарантируется.

5. Режим изолированной безопасности. Изолированная обработка информации различных классов. Например, защищаться может лишь один класс информации, а остальные нет.

Основой для выбора класса является индекс риска: разность между максимальным классом (грифом) информации и минимальным классом пользователей. Чем выше разность, тем больший класс защиты требуется.

Вслед за выходом «Оранжевой книги» страны Европы разработали согласованные «Критерии безопасности информационных технологий» (Information Technology Security Evaluation Criteria, далее - Европейские критерии). Европейские критерии рассматривают следующие задачи средств информационной безопасности:

- защита информации от несанкционированного доступа с целью обеспечения ее конфиденциальности;

- обеспечение целостности информации посредством защиты от ее несанкционированной модификации или уничтожения;

- обеспечение доступности компьютерных систем с помощью противодействия угрозам отказа в обслуживании.

Для решения этих проблем в Европейских критериях вводится понятие адекватности (assurance) средств защиты.

Адекватность включает в себя два аспекта: эффективность, отражающую соответствие средств безопасности решаемым задачам, и корректность, характеризующую процесс их разработки и функционирования. Эффективность определяется соответствием между задачами, поставленными перед средствами безопасности, и реализованным набором функций защиты - их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Под корректностью понимается правильность и надежность реализации функций безопасности.

Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адекватности их реализации.

Американские Федеральные критерии безопасности информационных технологий: федеральные критерии безопасности информационных технологий (Federal Criteria for Information Technology Security) разрабатывались как одна из составляющих Американского федерального стандарта по обработке информации (Federal Information Processing Standart), призванного заменить «Оранжевую книгу». Разрботчиками стандарта выступили Национальный институт стандартов и технологий США (National Institute of Standarts and Technology - NIST) и Агенство национальной безопасности США (National Security Agency).

Создание Федеральных критериев безопасности информационных технологий преследовало следующие цели:

1. Определение универсального и открытого для дальнейшего развития базового набора требований безопасности, предъявляемых к современным информационным технологиям. Требования к безопасности и критерии оценки уровня защищенности должны соответствовать современному уровню развития информационных технологий и учитывать его прогресс в будущем.

2. Совершенствование существующих требований и критериев безопасности.

3. Приведение в соответствие принятых в разных странах требований и критериев безопасности информационных технологий.

4. Нормативное закрепление основополагающих принципов информационной безопасности.

Федеральные критерии безопасности информационных технологий охватывают практически полный спектр проблем, связанных с защитой и обеспечением безопасности, т.к. включают все аспекты обеспечения конфиденциальности, целостности и доступности. Основными объектами применения требований безопасности Федеральных критериев являются продукты информационных технологий (Information Technology Products) и системы обработки информации (Information Technology Systems).

Федеральные критерии представляют процесс разработки систем обработки информации, начинающийся с формулирования требований потребителями и заканчивающийся введением в эксплуатацию, в виде следующих основных этапов:

1. Разработка и анализ профиля защиты. Требования, изложенные в профиле защиты, определяют функциональные возможности ИТ-продуктов по обеспечению безопасности и условия эксплуатации, при соблюдении которых гарантируется соответствие предъявляемым требованиям. Кроме требований безопасности, профиль защиты содержит требования по соблюдению технологической дисциплины в процессе разработки, тестирования и квалификационного анализа ИТ-продукта. Профиль защиты анализируется на полноту, непротиворечивость и техническую корректность.

2. Разработка и квалификационный анализ ИТ-продуктов. Разработанные ИТ-продукты подвергаются независимому анализу, целью которого является определение степени соответствия характеристик продукта сформулированным в профиле защиты требованиям и спецификациям.

3. Компоновка и сертификация системы обработки информации в целом. Успешно прошедшие квалификацию уровня безопасности ИТ-продукты интегрируются в систему обработки информации. Полученная в результате система должна удовлетворять заявленным в профиле защиты требованиям при соблюдении указанных в нем условий эксплуатации.

Общие критерии безопасности информационных технологий (Common Criteria for Information Technology Security Evaluation, (далее - Общие критерии) являются результатом совместных усилий авторов Европейских критериев безопасности информационных технологий, американских Федеральных критериев безопасности информационных технологий и Канадских критериев безопасности компьютерных систем, направленных на объединение основных положений этих документов и создание единого международного стандарта безопасности информационных технологий. Версия данного стандарта утверждена Международной организацией по стандартизации (ISO) в 1999 г. в качестве международного стандарта информационной безопасности ISO/IEC 15408. Общие критерии разрабатывались в расчете на то, чтобы удовлетворить запросы трех групп специалистов, в равной степени являющихся пользователями таких документов: производителей и потребителей продуктов информационных технологий, а также экспертов по оценке уровня их безопасности.

Общие критерии рассматривают информационную безопасность, во-первых, как совокупность конфиденциальности и целостности обрабатываемой ИТ-продуктом информации, а также доступности ресурсов и, во-вторых, ставят перед средствами защиты задачу противодействия угрозам, актуальным для среды эксплуатации этого продукта и реализации политики безопасности, принятой в этой среде эксплуатации.

Общие критерии регламентируют все стадии разработки, квалификационного анализа и эксплуатации ИТ-продуктов, используя схему, заимствованную из Федеральных критериев. В целом требования Общих критериев охватывают практически все аспекты безопасности ИТ-продуктов и технологии их создания, а также содержат все исходные материалы, необходимые потребителям и разработчикам для формирования соответствующих документов.

ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» относится к разновидности стандартов, оформленных на основе аутентичного текста. Основой для него стал международный стандарт ISO/IEС 15408-99 «Общие критерии безопасности информационных технологий».

Общие критерии (ОК) состоят из 3-х частей:

1. Введение и общая модель.

2. Функциональные требования безопасности.

3. Требования доверия к безопасности.

К числу основных пользователей ОК относит следующих физических и юридических лиц:

1. Сотрудников служб безопасности (СБ), ответственных за определение и выполнение политики и требований безопасности организации в области ИТ.

2. Сотрудников, ответственных за техническое состояние оборудования.

3. Аудиторов (внешних и внутренних).

4. Проектировщиков систем безопасности, ответственных за спецификацию систем безопасности и продуктов ИТ.

5. Аттестующих, ответственных за приемку системы ИТ в эксплуатацию в конкретной среде.

6. Заявителей, заказывающих оценку и обеспечивающих ее проведение.

7. Органы оценки, ответственных за руководство и надзор за программами проведения оценок безопасности ИТ.

Часть 1 стандарта включает методологию оценки безопасности ИТ, определяет виды требований безопасности (функциональные и доверия), основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах трех категорий пользователей: потребителей, разработчиков и оценщиков продуктов и систем ИТ. Определено, от чего надо защищать информацию: от несанкционированного раскрытия (конфиденциальность); от модификации (целостность); от потери возможности ее использования (доступность).

Часть 2 стандарта включает универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.

Часть 3 стандарта включает систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.

Стандарт не содержит критериев оценки безопасности, касающихся административных мер безопасности (организационные меры, управление персоналом, физическая защита и процедурный контроль), непосредственно не относящихся к мерам безопасности ИТ.

Стандарты ISO/IEC 17799:2002 (BS 7799:2000) - ГОСТ Р ИСО/МЭК 17799. Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью - Информационные технологии» (Information technology - Information security management») является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» (Information security management - Part 1: Code of practice for information security management») и относится к новому поколению стандартов информационной безопасности компьютерных ИС.

Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

* необходимость обеспечения информационной безопасности;

* основные понятия и определения информационной безопасности;

* политика информационной безопасности компании;

* организация информационной безопасности на предприятии;

* классификация и управление корпоративными информационными ресурсами;

* кадровый менеджмент и информационная безопасность;

* физическая безопасность;

* администрирование безопасности КИС;

* управление доступом;

* требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;

* управление бизнес-процессами компании с точки зрения информационной безопасности;

* внутренний аудит информационной безопасности компании.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов - British Standards Institution (BSI), изданные в 1995-2003 гг. в виде следующей серии:

* «Введение в проблему управления информационной безопасностью» (Information security managment: an introduction»);

* «Возможности сертификации на требования стандарта BS 7799» («Preparing for BS 7799 sertification»);

* «Руководство BS 7799 по оценке и управлению рисками» («Guide to BS 7799 risk assessment and risk management);

* «Руководство для проведения аудита на требования стандарта» («BS 7799 Guide to BS 7799 auditing»);

* «Практические рекомендации по управлению безопасностью информационных технологий» («Code of practice for IT management).

В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях.

Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, шкалы и измерения, а также руководство по внедрению.

Германский стандарт BSI - германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.

В германском стандарте BSI представлены:

* общая методика управления информационной безопасностью (организация менеджмента в области информационной безопасности, методология использования руководства);

* описания компонентов современных ИТ;

* описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);

* характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);

* характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение);

* характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).

* характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;

* подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).

Комплекс стандартов Банка России СТО БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» состоит из базового стандарта СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской федерации. Общие положения».

Стандарт основывается на риск-ориентированном подходе, суть которого заключается в том, что деятельность организации БС РФ подвержена рискам, так как на бизнес-процессы организации БС РФ и вовлеченные в них активы могут воздействовать различного рода угрозы.

В соответствии с риск-ориентированным подходом в организации БС РФ необходимо реализовать процессы руководства и управления в отношении риска (управление риском), направленные на минимизацию риска или снижение риска до допустимого уровня. Управление риском включает в себя определение допустимого (приемлемого) уровня риска, оценку риска (включая сравнение полученного риска с допустимым) и обработку риска (процесс выбора и осуществления защитных мер, снижающих риски ИБ до приемлемого уровня, или мер по переносу, принятию или уклонению от риска). С целью снижения рисков организация предпринимает комплекс контрмер различного характера (организационных, технических и др.). Необходимо учитывать тот факт, что понизить риски можно лишь до определенного остаточного уровня. Оставшаяся (остаточная) часть риска, определяемая факторами среды деятельности организации БС РФ, на которые организация не в силах влиять, должна быть признана приемлемой и принята либо отклонена.

Система ИБ организации БС РФ (СИБ) представляет собой совокупность защитных мер, реализующих обеспечение ИБ организации БС РФ, и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.

Система менеджмента ИБ (СМИБ) организации БС РФ представляет собой совокупность процессов менеджмента ИБ, включая ресурсное и административное (организационное) обеспечение этих процессов.

Для реализации и поддержания ИБ в организации БС РФ необходима реализация четырех групп процессов:

- планирование СОИБ организации БС РФ (планирование);

- реализация СОИБ организации БС РФ (реализация);

- мониторинг и анализ СОИБ организации БС РФ (проверка);

- поддержка и улучшение СОИБ организации БС РФ (совершенствование).

Организация и выполнение процессов СМИБ необходимы, в том числе, для обеспечения уверенности в том, что хороший практический опыт организации БС РФ документируется, становится обязательным к применению, а СОИБ совершенствуется.

Результаты мониторинга, анализа защитных мер, оценки ИБ (самооценки и аудита ИБ) используются при проведении анализа СОИБ (в том числе со стороны руководства). Анализ СОИБ позволяет выявлять новые угрозы ИБ и факторы рисков ИБ, уязвимости СОИБ. Результаты анализа СОИБ используются для управления рисками ИБ, для принятия решений по тактическим и стратегическим улучшениям СОИБ, по повышению эффективности СОИБ (совершенствование СОИБ организации БС РФ).

Согласно Стандарту, для обеспечения согласованности, целенаправленности, планомерности деятельности по обеспечению ИБ эта деятельность должна быть документирована. Разработку и коррекцию внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в организации БС РФ рекомендуется проводить с учетом рекомендаций по стандартизации Банка России РС БР ИББС- 2.0

«Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», которые определяют состав и структуру документов, а также процессы менеджмента документов по обеспечению ИБ организации БС РФ.

Стандарты информационной безопасности в Интернете

В Интернете уже давно существует ряд комитетов, в основном из организаций-добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть рабочей группы инженеров Интернета IETF (Internet Engineering Task Force), провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете. Непосредственными результатами усилий IETF являются такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а также SNMP (Simple Network Management Protocol) для управления сетью. Фактическая разработка новых стандартов и протоколов для Интернета выполняется рабочими группами, создаваемыми по разрешению группы IETF. Членство в рабочей группе является добровольным; участвовать может любая заинтересованная организация.

При разработке спецификации рабочая группа создает документ под названием «Проект стандарта для Интернета» (Internet draft) и размещает его в Интернете для всеобщего доступа. Этот документ может оставаться проектом до шести месяцев, и заинтересованные стороны могут рецензировать и комментировать его. В течение этого времени группа IESG может одобрить публикацию проекта в виде документа RFC (Request for Comment -- запрос комментариев). Если проект не приобретает статуса документа RFC в течение шестимесячного периода, он теряет также статус проекта стандарта для Интернета. Однако впоследствии рабочая группа может опубликовать переработанную версию проекта.

Группа IETF публикует документы RFC с одобрения группы IEsG. Документы RFC представляют собой рабочие записи сообщества исследователей и разработчиков Интернета. Документ этой серии может быть чем угодно - от доклада о собрании до спецификации стандарта.

В Интернете популярны протоколы безопасной передачи данных, а именно SSL, SET, IPSec. Перечисленные протоколы появились в Интернете сравнительно недавно как необходимость защиты ценной информации и сразу стали стандартами де-факто. Протокол SSL (Secure Socket Layer) - популярный сетевой протокол с шифрованием данных для безопасной передачи по сети. Он позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи. Протокол SSL обеспечивает защиту данных между сервисными протоколами (такими как HTTP, FTP и др.) и транспортными протоколами (TCP/IP) с помощью современной криптографии.

Протокол SET (Security Electronics Transaction) - перспективный стандарт безопасных электронных транзакций в сети Интернет, предназначенный для организации электронной торговли через сеть Интернет. Протокол SET основан на использовании цифровых сертификатов по стандарту Х.509.

Протокол выполнения защищенных транзакций SET является стандартом, разработанным компаниями MasterCard и Visa при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет, используя защищенный механизм выполнения платежей.

SET является открытым стандартным многосторонним протоколом для проведения безопасных платежей с использованием пластиковых карточек в Интернете. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET более правильно можно назвать стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет. SET позволяет потребителям и продавцам подтверждать подлинность всех участников сделки, происходящей в Интернете, с помощью криптографии, в том числе применяя цифровые сертификаты. SET обеспечивает следующие специальные требования защиты операций электронной коммерции:

* секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;