Тенденция развития стандартов и политик информационной безопасности

Первоочередными мероприятиями по реализации государственной политики обеспечения информационной безопасности Российской Федерации являются:

• разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности Российской Федерации;
• разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;
• принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, повышение правовой культуры и компьютерной грамотности граждан, развитие инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения;
• развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации;
• гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения.

Также существует система обеспечения  информационной безопасности Российской Федерации. Она предназначена для  реализации государственной политики в данной сфере.

Основными функциями системы обеспечения  информационной безопасности Российской Федерации являются:

• разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;
• создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;
• определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
• оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;
• координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;
• предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;
• развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;
• проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;
• организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;
• защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;
• обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;
• осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.

Компетенция федеральных органов  государственной власти, органов  государственной власти субъектов  Российской Федерации, других государственных  органов, входящих в состав системы  обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства  Российской Федерации.

Функции органов, координирующих деятельность федеральных органов государственной  власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации.

Информационная  безопасность Российской Федерации  затрагивает все сферы общественной жизни.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4. Стандарты безопасности Гостехкомиссии. Стандарты Европы и США

 

РД Гостехкомиссии России составляют основу нормативной  базы в области защиты от НСД к  информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются  ниже.

Критерии  для оценки механизмов защиты программно-технического уровня, используемые при анализе  защищенности АС и СВТ, выражены в  РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация  АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к  информации".

РД "СВТ. Защита от НСД  к информации. Показатели защищенности от НСД к информации"

РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ  по уровню защищенности от НСД к  информации на базе перечня показателей  защищенности и совокупности описывающих  их требований. (Основным "источником вдохновения" при разработке этого  документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый  низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

Первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;

Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

Четвертая группа характеризуется верифицированной защитой содержит только первый класс.

РД "АС. Защита от НСД  к информации. Классификация АС и  требования по защите информации"

РД "АС. Защита от НСД к информации. Классификация  АС и требования по защите информации" устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных  классов. К числу определяющих признаков, по которым производится группировка  АС в различные классы, относятся:

• наличие в АС информации различного уровня конфиденциальности;
• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
• режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс  характеризуется определенной минимальной  совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки  информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации"

При анализе  системы защиты внешнего периметра  корпоративной сети в качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

• Управление доступом;
• Идентификация и аутентификация;
• Регистрация событий и оповещение;
• Контроль целостности;
• Восстановление работоспособности.

На основании  показателей защищенности определяются следующие пять классов защищенности МЭ:

• Простейшие фильтрующие маршрутизаторы - 5 класс;
• Пакетные фильтры сетевого уровня - 4 класс;
• Простейшие МЭ прикладного уровня - 3 класс;
• МЭ базового уровня - 2 класс;
• Продвинутые МЭ - 1 класс.

МЭ первого  класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс  защищенности АС 1Б, предназначенный  для обработки "совершенно секретной" информации и т.п.

Также к  стандартам России в области информационной безопасности относятся:

• Гост 28147-89 – блочный шифр с 256-битным ключом;
• Гост Р 34.11-94 –функция кэширования;
• Гост Р 34.10-94 –алгоритм цифровой подписи.

Существует  много защит информационной безопасности.

Европейские стандарты безопасности

ISO 15408: Common Criteria for Information Technology Security Evaluation

Наиболее  полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном  стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

Общие критерии оценки безопасности информационных технологий (далее "Общие критерии") определяют функциональные требования безопасности (security functional requirements) и требования к  адекватности реализации функций безопасности (security assurance requirements).

Хотя  применимость "Общих критериев" ограничивается механизмами безопасности программно-технического уровня, в  них содержится определенный набор  требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно  связаны с описываемыми функциями  безопасности.

Первая  часть "Общих критериев" содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования  к функциональности средств защиты приводятся во второй части "Общих  критериев" и могут быть непосредственно  использованы при анализе защищенности для оценки полноты реализованных  в АС (СВТ) функций безопасности.

Третья  часть "Общих критериев" содержит классы требований гарантированности  оценки, включая класс требований по анализу уязвимостей средств  и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих  типов уязвимостей:

• Наличие побочных каналов утечки информации;
• Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;
• Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;
• Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.

ISO 17799: Code of Practice for Information Security Management

Наиболее  полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной  версией британского стандарта BS 7799.

ISO 17799 содержит  практические правила по управлению  информационной безопасностью и  может использоваться в качестве  критериев для оценки механизмов  безопасности организационного  уровня, включая административные, процедурные и физические меры  защиты.

Практические  правила разбиты на следующие 10 разделов:

• Политика безопасности;
• Организация защиты;
• Классификация ресурсов и их контроль;
• Безопасность персонала;
• Физическая безопасность;
• Администрирование компьютерных систем и вычислительных сетей;
• Управление доступом;
• Разработка и сопровождение информационных систем;
• Планирование бесперебойной работы организации;
• Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых  в настоящее время в правительственных  и коммерческих организациях во многих странах мира.

Десять  средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под  средствами контроля в данном контексте  понимаются механизмы управления информационной безопасностью организации.

Ключевыми являются следующие средства контроля: