10.1 Основные положения государственной информационной политики Российской Федерации
Защищенная система обработки информации – это система отвечающая тому или иному стандарту информационной безопасности.
Главная задача стандартов информационной безопасности – создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности.
Потребители:
Требования потребителей: «Мы хотим, чтобы у нас все было защищено для обработки совершенно секретной информации».
Производителинуждаются:
Требования должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т.д.; не должны противоречить существующим парадигмам обработки информации, архитектуре вычислительных систем и технологиям создания информационных продуктов.
Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор. Производители в результате квалификации уровня безопасности получают объективную оценку возможностей своего продукта.
Эксперты по квалификации находятся в двойственном положении: с одной стороны они, как и производители заинтересованы в четких и простых критериях, а с другой стороны должны дать обоснованный ответ пользователям – удовлетворяет продукт их нужды, или нет, ведь именно они принимают на себя ответственность за безопасность продукта, получившего квалификацию уровня безопасности и прошедшего сертификацию.
Наиболее значимыми стандартами ИБ являются:
«Критерии безопасности компьютерных систем» (Trusted Computer System Evaluation Criteria), получившие неформальное, но прочно закрепившееся название «Оранжевая книга», были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения.
Согласно "Оранжевой книге" безопасная компьютерная система – это система, поддерживающая управление доступом к обрабатываемой в ней информации, таким образом, что только соответствующим образом авторизованные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию.
Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.
Классы безопасности компьютерных систем
Группа D. Минимальная защита
Класс D. Минимальная защита
Группа С. Дискреционная защита
Класс С1. Дискреционная защита
Класс С2. Управление доступом
Группа В. Мандатная защита
Класс В1. Защита с применением меток безопасности
Класс В2. Структурированная защита
Класс В3. Домены безопасности
Группа А. Верифицированная защита
Класс А1. Формальная верификация
Опубликование "Оранжевой книги" стало важным этапом и сыграло значительною роль в развитии технологий обеспечения безопасности компьютерных систем.
Круг специфических вопросов по обеспечению безопасности компьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Национальным центром компьютерной безопасности США в виде дополнений к "Оранжевой книге" - "Интерпретация для компьютерных сетей" (Trusted Network Interpretation) и "Интерпретация для систем управления базами данных" (Trusted Database Management System Interpretation). Эти документы содержат трактовку основных положений "Оранжевой книги" применительно к соответствующим классам систем обработки информации.
Для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений "Оранжевой книги", адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, возник целый ряд сопутствующих "Оранжевой книге" документов, многие их которых стали ее неотъемлемой частью.
Стандарт ISO 17799
В 1995 году, BSI (British Standards Institute) выпустил в свет стандарт - BS 7799. Этот стандарт предназначался для определения норм безопасности при ведении коммерческой деятельности через Интернет. Однако, он не получил широкого распространения.
В мае 1999 года BSI выпускает вторую версию BS 7799, представляющую собой кардинально пересмотренное первое издание. Эта версия содержала множество поправок и улучшений по сравнению со своей предшественницей. Как раз в это время ISO обратила внимание на усилия британцев и подключилась к работе над пересмотром BS 7799.
В декабре 2000 года ISO заимствовала и опубликовала от своего имени первую часть стандарта BS7799 , назвав его ISO 17799.
ISO 17799 представляет собой набор рекомендаций по применению лучших практик обеспечения безопасности, подходящий любому типу организации независимо от ее размера и направления деятельности.
Рекомендации, приведенные в ISO 17799, остаются нейтральными по отношению к технологической стороне дела, и не могут помочь в оценке или понимании механизма действия того или иного современного средства защиты информации.
Но гибкость и неопределенность ISO 17799 являются вполне преднамеренными, поскольку едва ли возможно создать единый стандарт для всех информационных инфраструктур, способный к тому же подстраиваться под быстро меняющуюся технологическую среду. В задачи этого стандарта входит создание системы правил, регламентирующих тот вид деятельности, где ранее никаких правил вообще не было.
10 зон под контролем ISO 17799
1. Политика безопасности. Политика нужна для того, чтобы определить задачи организации в области защиты информации, а также служить ориентиром и точкой опоры для менеджмента, призванного эту задачу решать. Политика, помимо прочего, может к тому же служить основой для регулярного контроля и оценки систем безопасности.
2. Организация безопасности. Эта процедура помогает создать структуры менеджмента, распределить ответственность за отдельные зоны контроля между группами, и выработать инструкции для действий в чрезвычайных ситуациях.
3. Контроль активов и их классификация. Требуемая в данном случае ревизия информационных активов компании позволяет в дальнейшем гарантировать надлежащий уровень защиты для каждого из них.
4. Безопасность персонала. В согласии с регламентируемыми в этом пункте процедурами, компания должна уведомлять (и, если надо – обучать) действующих и потенциальных сотрудников об всем, что касается их участия в обеспечении безопасности и конфиденциальности корпоративной информации. Одним из наиболее важных требований здесь является наличие отлаженного механизма создания отчетов о происшествиях.
5. Безопасность рабочего окружения и защита на физическом уровне. Здесь затрагиваются вопросы обеспечения защиты охраняемых зон предприятия и оборудования, а также устанавливаются общие нормы корпоративной безопасности.
6. Управление передачей информации и правилами работы с ней. В этой секции указывается на необходимость соблюдения следующих принципов:
7. Контроль доступа. Подчеркивается важность наблюдения и контроля за доступом в сеть и к приложениям, позволяющих защитить их как от попыток вторжения извне, так и от внутреннего недобросовестного использования.
8. Создание систем и их поддержка. В этом разделе внимание акцентируется на том, что любые проекты в области IT всегда должны воплощаться и в дальнейшем использоваться с учетом требований безопасности на каждом этапе.
9. Обеспечение бесперебойной деятельности предприятия. Здесь говорится о необходимости быть всесторонне подготовленным к возможности внезапного нарушения жизнедеятельности организации и быть готовым защитить наиболее важные с точки зрения бизнеса процессы в случае бедствия или серьезной аварийной ситуации.
10. Соответствие. Советует организациям оценить, насколько требования стандарта ISO 17799 сочетаются в каждом конкретном случае с другими юридическими нормами, такими, например, как Директива Европейского Союза о собственности. Кроме этого, в данной секции содержатся рекомендации, касающиеся необходимости пересмотра политик безопасности, степени технического соответствия и принципов проверок всей системы, гарантирующих, что компания использует ее максимально эффективно.
ISO 17799 в России
В России стандарт ISO 17799 пока не является общепринятым документом, в отличии от стандартов ГТК и ФАПСИ. Однако стандарты ГТК на практике применяются обычно только к программным продуктам, стандарты ФАПСИ регламентируют, в основном, применение криптографических средств. Применение этих стандартов к системе управления информационной безопасности компании практически не возможно, так как сами стандарты предназначались, скорее, для программного обеспечения и сертифицировать всю ИТ систему компании на соответствие стандартам ГТК представляется достаточно сложным и не совсем неэффективным занятием.
Совершенно иным образом обстоят дела со стандартом ISO 17799. При всей своей обобщенности и отсутствии в некоторых частях стандарта конкретных деталей, сам стандарт разработан именно для применения его в сложных и разветвленных корпоративных системах и что не мало важно - ISO 17799 не противоречит существующим российским стандартам ГТК и ФАПСИ.
Характеристика Международного стандарта ISO/IEC 15408
«Общие критерии оценки безопасности информационных технологий»
Стандарты могут быть найдены по всей нашей повседневной жизни, но зачем они нам нужны?
Вместо того чтобы спрашивать, почему мы должны стандартами, мы могли бы полезно спросить себя, что мир был бы как без стандартов.
Продукция не может работать, как ожидалось. Они могут быть низкого качества и несовместимо с другим оборудованием, на самом деле они не могут даже связаться с ними, а в крайних случаях, нестандартные изделия могут быть даже опасны.
Во-первых, стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами. Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в Internet-сообществе это средство действительно работает, и весьма эффективно.
Без преувеличения можно утверждать, что в "Оранжевой книге" заложен понятийный базис ИБ. Достаточно лишь перечислить содержащиеся в нем понятия: безопасная и доверенная системы, политика безопасности, уровень гарантированности, подотчетность, доверенная вычислительная база, монитор обращений, ядро и периметр безопасности. Исключительно важно и выделение таких аспектов политики безопасности, как добровольное (дискреционное) и принудительное (мандатное) управление доступом, безопасность повторного использования объектов. Последним по порядку, но отнюдь не по значению следует назвать принципы классификации по требованиям безопасности на основе параллельного ужесточения требований к политике безопасности и уровню гарантированности.
После "Оранжевой книги" была выпущена целая "Радужная серия". С концептуальной точки зрения, наиболее значимый документ в ней - "Интерпретация "Оранжевой книги" для сетевых конфигураций" (Trusted Network Interpretation). Он состоит из двух частей. Первая содержит собственно интерпретацию, во второй описываются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.
В 2002 году Гостехкомиссия России приняла в качестве РД русский перевод международного стандарта ISO/IEC 15408:1999 "Критерии оценки безопасности информационных технологий", что послужило толчком для кардинальной и весьма своевременной со всех точек зрения переориентации (вспомним приведенный выше принцип стандартизации из закона "О техническом регулировании"). Конечно, переход на рельсы "Общих критериев" будет непростым, но главное, что он начался.
"Гармонизированные критерии Европейских стран" стали весьма передовым документом для своего времени, они подготовили появление международного стандарта ISO/IEC 15408:1999 "Критерии оценки безопасности информационных технологий" (Evaluation criteria for IT security), в русскоязычной литературе обычно (но не совсем верно) именуемого "Общими критериями" (ОК).
На сегодняшний день "Общие критерии" - самый полный и современный оценочный стандарт. На самом деле, это метастандарт, определяющий инструменты оценки безопасности ИС и порядок их использования; он не содержит предопределенных классов безопасности. Такие классы можно строить, опираясь на заданные требования.
ОК содержат два основных вида требований безопасности:
функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
требования доверия, соответствующие пассивному аспекту; они предъявляются к технологии и процессу разработки и эксплуатации.
Требования безопасности формулируются, и их выполнение проверяется для определенного объекта оценки - аппаратно-программного продукта или информационной системы.
Подчеркнем, что безопасность в ОК рассматривается не статично, а в соответствии с жизненным циклом объекта оценки. Кроме того, последний предстает в контексте среды безопасности, характеризующейся определенными условиями и угрозами.
"Общие критерии" способствуют формированию двух базовых видов используемых на практике нормативных документов - это профиль защиты и задание по безопасности.
Структура стандарта
Ч.1 определяет виды требований безопасности, основные конструкции представления требований безопасности и содержит основные методические положения по оценке безопасности ИТ.
Ч.2 содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.
Ч.3 содержит систематизированный каталог требований доверия к безопасности и оценочные уровни доверия, определяющие меры, которые должны быть приняты на всех этапах жизненного цикла продуктов или систем ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным требованиям.
ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности ИТ» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем.
Он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов.
Сфера приложения «Общих критериев» — защита информации от НСД, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
Для структуризации пространства требований в " Общих критериях " введена иерархия класс - семейство - компонент - элемент.
Классы определяют наиболее общую (как правило, предметную) группировку требований.
Семейства в пределах класса различаются по строгости и другим характеристикам требований.
Компонент - минимальный набор требований, фигурирующий как целое.
Элемент - неделимое требование.
Между компонентами могут существовать зависимости. Они возникают, когда компонент сам по себе недостаточен для достижения цели безопасности. Соответственно, при включении такого компонента необходимо добавить всю "гроздь" его зависимостей.
Описание обоих типов требований выполнено в едином стиле: они организованы в иерархию "класс - семейство - компонент - элемент". Термин "класс" используется для наиболее общей группировки требований безопасности, а элемент - самый нижний, неделимый уровень требований безопасности.

Рисунок 10.1 – Организация и структура требований
"Общие критерии " содержат два основных вида требований безопасности:
Библиотека функциональных требований составляет вторую часть " Общих критериев ", а каталог требований доверия - третью (первая часть содержит изложение основных концепций ОК).
"Общие критерии" предусматривают наличие двух типов требований безопасности - функциональных и доверия. Функциональные требования относятся к сервисам безопасности, таким как идентификация, аутентификация, управление доступом, аудит и т.д. Требования доверия к безопасности относятся к технологии разработки, тестированию, анализу уязвимостей, поставке, сопровождению, эксплуатационной документации и т.д.
стандартом взаимосвязь высокоуровневых понятий в области ИБ. Безопасность связана с защитой активов ИС от угроз. За сохранность рассматриваемых активов отвечают их владельцы, для которых эти активы имеют ценность. Существующие или предполагаемые нарушители также могут придавать значение этим активам и стремиться использовать их вопреки интересам их владельца. Владельцы будут воспринимать подобные угрозы как потенциал воздействия на активы, приводящего к понижению их ценности для владельца.
Владельцы активов будут анализировать возможные угрозы, чтобы решить, какие из них действительно присущи их среде. В результате анализа определяются риски. Анализ может помочь при выборе контрмер для противостояния угрозам и уменьшения рисков до приемлемого уровня.
Контрмеры предпринимают для уменьшения уязвимостей и выполнения политики безопасности владельцев активов (прямо или косвенно распределяя между этими составляющими). Но и после введения этих контрмер могут сохраняться остаточные уязвимости. Такие уязвимости могут использоваться нарушителями, представляя уровень остаточного риска для активов. Владельцы будут стремиться минимизировать этот риск, задавая дополнительные ограничения.

Рисунок 10.2 – Общие понятия безопасности и их взаимосвязь
Рекомендация Х.805
В последнее время международное сообщество приняло ряд общих документов, в том числе Рекомендацию МСЭ – Х.805. Целью её разработки являлось концептуальное решение общих вопросов защиты поставщиков услуг, предприятий и потребителей применительно к любым типам телекоммуникационных сетей и систем. Архитектурный подход направлен на обеспечение комплексной защиты передаваемого трафика «из конца в конец» и может применяться к элементам сети, услугам и приложениям, с тем, чтобы прогнозировать, вовремя обнаруживать и локализовывать уязвимости защиты (рисунок 10.3).

Рисунок 10.3 - Применение измерений защиты к уровням защиты
Рекомендация применима на всех уровнях эталонной модели взаимодействия открытых систем (ЭМ ВОС). А проектирование сетей с её учетом может позволить получать всестороннюю архитектуру безопасности системы и информации передаваемой этой системой, независимо от области применения, что не давали ранее разработанные нормативные документы.
В рекомендации вводится терминология и предлагается архитектура безопасности для систем, обеспечивающих связь между оконечными устройствами. В качестве центрального понятия фигурирует термин «измерение защиты».
Среди них:
Архитектура логически делит сложный набор сквозных, связанных с защитой, характеристик на отдельные архитектурные компоненты, что позволяет системно подойти к сквозной защите и в дальнейшем использовать в любых инженерных целях, в том числе, и для оценки защищенности ТКС. В основу положено взаимодействие трёх уровней и трёх плоскостей защиты, а их пересечение определено как модуль. В модуль входят 8 измерений защиты. Рекомендация описывает функционал каждого из измерений в каждом из модулей.

Рисунок 10.4 – Представление содержимого модуля 1
Представлены также типовые классы угроз и их взаимосвязь с измерениями защиты (рисунок 10.5). Рекомендация Х.805, по сути, является каркасом системы обеспечения безопасности, внутри которого могут использоваться любые стандарты защиты информации.

Рисунок 10.5 – Табличная форма представления взаимосвязи угроз и измерений защиты (параметров)
Из выше изложенного вытекает, что рекомендация Х.805 дает идеологию построения системы и не содержит конкретных указаний, в том числе и по определению защищенности ТКС.