Требования потребителей: «Мы хотим, чтобы у нас все было защищено для обработки совершенно секретной информации».

Производители  нуждаются:

Требования должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т.д.; не должны противоречить существующим парадигмам обработки информации, архитектуре вычислительных систем и технологиям создания информационных продуктов.

Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор. Производители в результате квалификации уровня безопасности получают объективную оценку возможностей своего продукта.

Эксперты по квалификации находятся в двойственном положении: с одной стороны они, как и производители заинтересованы в четких и простых критериях, а с другой стороны должны дать обоснованный ответ пользо-вателям – удовлетворяет продукт их нужды, или нет, ведь именно они принимают на себя ответственность за безопасность продукта, получившего квалификацию уровня безопасности и прошедшего сертификацию.

Наиболее значимыми стандартами ИБ являются:

«Оранжевая книга»

«Критерии безопасности компьютерных систем» (Trusted Computer System Evaluation Criteria), получившие неформальное, но прочно закрепившееся название «Оранжевая книга», были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения.

Согласно "Оранжевой книге" безопасная компьютерная система – это система, поддерживающая управление доступом к обрабатываемой в ней информации, таким образом, что только соответствующим образом авторизованные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию.

  Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.

Классы безопасности компьютерных систем

Группа D. Минимальная защита

  Класс D. Минимальная защита

Группа С. Дискреционная защита

  Класс С1. Дискреционная защита

  Класс С2. Управление доступом

Группа В. Мандатная защита

  Класс В1. Защита с применением меток безопасности

  Класс В2. Структурированная защита

  Класс В3. Домены безопасности

Группа А. Верифицированная защита

  Класс А1. Формальная верификация

Опубликование "Оранжевой книги" стало важным этапом и сыграло значительною роль в развитии технологий обеспечения безопасности компьютерных систем.

  Круг специфических вопросов по обеспечению безопасности компьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Национальным центром компьютерной  безопасности США в виде дополнений к "Оранжевой книге" - "Интерпретация  для компьютерных сетей" (Trusted  Network Interpretation) и "Интерпретация для систем управления базами данных" (Trusted Database Management System Interpretation). Эти документы содержат трактовку основных положений "Оранжевой книги" применительно к соответствующим классам систем обработки информации.

Для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений "Оранжевой книги", адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, возник целый ряд сопутствующих "Оранжевой книге" документов, многие их которых стали ее неотъемлемой частью.

Стандарт ISO 17799

В 1995 году, BSi (British Standards Institute)  выпустил в свет стандарт - BS 7799. Этот стандарт предназначался для определения норм безопасности при ведении коммерческой деятельности через Интернет. Однако, он не получил широкого распространения.

В мае 1999 года BSi выпускает вторую версию BS 7799, представляющую собой кардинально пересмотренное первое издание. Эта версия содержала множество поправок и улучшений по сравнению со своей предшественницей. Как раз в это время ISO обратила внимание на усилия британцев и подключилась к работе над пересмотром BS 7799.

В декабре 2000 года ISO заимствовала и опубликовала от своего имени первую часть стандарта BS7799 , назвав его ISO 17799.

ISO 17799 представляет собой набор рекомендаций по применению лучших практик обеспечения безопасности, подходящий любому типу организации независимо от ее размера и направления деятельности.

Рекомендации, приведенные в ISO 17799, остаются нейтральными по отношению к технологической стороне дела, и не могут помочь в оценке или понимании механизма действия того или иного современного средства защиты информации.

  Но гибкость и неопределенность ISO 17799 являются вполне преднамеренными, поскольку едва ли возможно создать единый стандарт для всех информационных инфраструктур, способный к тому же подстраиваться под быстро меняющуюся технологическую среду. В задачи этого стандарта входит создание системы правил, регламентирующих тот вид деятельности, где ранее никаких правил вообще не было.

10 зон под контролем ISO 17799

1   Политика безопасности. Политика нужна для того, чтобы определить задачи организации в области защиты информации, а также служить ориентиром и точкой опоры для менеджмента, призванного эту задачу решать. Политика, помимо прочего, может к тому же служить основой для регулярного контроля и оценки систем безопасности.

2   Организация безопасности. Эта процедура помогает создать структуры менеджмента, распределить ответственность за отдельные зоны контроля между группами, и выработать инструкции для действий в чрезвычайных ситуациях.

3   Контроль активов и их классификация. Требуемая в данном случае ревизия информационных активов компании позволяет в дальнейшем гарантировать надлежащий уровень защиты для каждого из них.

4   Безопасность персонала. В согласии с регламентируемыми в этом пункте процедурами, компания должна уведомлять (и, если надо – обучать) действующих и потенциальных сотрудников об всем, что касается их участия в обеспечении безопасности и конфиденциальности корпоративной информации. Одним из наиболее важных требований здесь является наличие отлаженного механизма создания отчетов о происшествиях.

5   Безопасность рабочего окружения и защита на физическом уровне. Здесь затрагиваются вопросы обеспечения защиты охраняемых зон предприятия и оборудования, а также устанавливаются общие нормы корпоративной безопасности.

6   Управление передачей информации и правилами работы с ней. В этой секции указывается на необходимость соблюдения следующих принципов:

7 Контроль доступа. Подчеркивается важность наблюдения и контроля за доступом в сеть и к приложениям, позволяющих защитить их как от попыток вторжения извне, так и от внутреннего недобросовестного использования.

8   Создание систем и их поддержка. В этом разделе внимание акцентируется на том, что любые проекты в области IT всегда должны воплощаться и в дальнейшем использоваться с учетом требований безопасности на каждом этапе.

9   Обеспечение бесперебойной деятельности предприятия. Здесь говорится о необходимости быть всесторонне подготовленным к возможности внезапного нарушения жизнедеятельности организации и быть готовым защитить наиболее важные с точки зрения бизнеса процессы в случае бедствия или серьезной аварийной ситуации.

10  Соответствие. Советует организациям оценить, насколько требования стандарта ISO 17799 сочетаются в каждом конкретном случае с другими юридическими нормами, такими, например, как Директива Европейского Союза о собственности. Кроме этого, в данной секции содержатся рекомендации, касающиеся необходимости пересмотра политик безопасности, степени технического соответствия и принципов проверок всей системы, гарантирующих, что компания использует ее максимально эффективно.

ISO 17799 в России

В России стандарт ISO 17799 пока не является общепринятым документом, в отличии от стандартов ГТК и ФАПСИ. Однако стандарты ГТК на практике применяются обычно только к программным продуктам, стандарты ФАПСИ регламентируют, в основном, применение криптографических средств. Применение этих стандартов к системе управления информационной безопасности компании практически не возможно, так как сами стандарты предназначались, скорее, для программного обеспечения и сертифицировать всю ИТ систему компании на соответствие стандартам ГТК представляется достаточно сложным и не совсем неэффективным занятием.

Совершенно иным образом обстоят дела со стандартом ISO 17799. При всей своей обобщенности и отсутствии в некоторых частях стандарта конкретных деталей, сам стандарт разработан именно для применения его в сложных и разветвленных корпоративных системах и что не мало важно - ISO 17799 не противоречит существующим российским стандартам ГТК и ФАПСИ.