Світові стандарти забезпечення інформаційної безпеки

2.Вдосконалення правових механізмів регулювання суспільних відносин, що виникають в інформаційній сфері, є пріоритетним напрямом державної політики у сфері забезпечення інформаційної безпеки України, передбачає:

оцінку ефективності застосування чинних законодавчих та інших нормативних правових актів в інформаційній сфері й вироблення програми їх удосконалення;

створення організаційно-правових механізмів забезпечення інформаційної безпеки;

визначення правового статусу всіх суб'єктів відносин в інформаційній сфері, в т.ч. користувачів інформаційних і телекомунікаційних систем, та встановлення їхньої відповідальності за дотримання законодавства України в даній сфері;

створення системи збору й аналізу даних про джерела загроз інформаційній безпеці України, а також про наслідки їх здійснення;

розробку нормативних правових актів, що обумовлюють організацію наслідків і процедуру судового розгляду по фактах протиправних дій в інформаційній сфері, а також порядок ліквідації наслідків цих протиправних дій;

подальше вдосконалення фабул складів правопорушень і злочинів;

вдосконалення системи підготовки кадрів, використовуваних у галузі забезпечення інформаційної безпеки України.

3. Правове забезпечення інформаційної безпеки України має ґрунтуватися насамперед на дотриманні принципів законності, балансу інтересів громадян, суспільства і держави в інформаційній сфері:

дотримання принципу законності вимагає від органів державної влади України при вирішенні конфліктів, що виникають в інформаційній сфері, неухильно керуватися законодавчими та іншими нормативно-правовими актами, що регулюють відносини у цій сфері;

дотримання принципу балансу інтересів громадян, суспільства і держави в інформаційній сфері передбачає законодавче закріплення пріоритету цих інтересів у різних галузях життя та діяльності суспільства, а також використання форм суспільного контролю діяльності органів державної влади України. Реалізація гарантій конституційних прав і свобод людини і громадянина, що стосується діяльності в інформаційній сфері, є найважливішим завданням держави в галузі інформаційної безпеки.

РОЗДІЛ 2. СВІТОВІ СТАНДАРТІВ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

2.1 Стандарти інформаційної безпеки. Загальна характеристика

Головна задача стандартів інформаційної безпеки - узгодженість позицій та запитів виробників, споживачів і аналітиків класифікаторів продуктів інформаційних технологій. Кожна з категорій фахівців оцінює стандарти та вимоги і критерії, які в них існують, за своїми особистими параметрами. Для споживачів найбільшу роль грає простота критеріїв та однозначність параметрів вибору захищеної системи, а для найбільш кваліфікованої частини споживачів - гнучкість вимог та можливість їх застосування до специфічних ІТ- продуктів та середовища експлуатації. Виробники потребують від стандартів максимальної конкретності та спільних вимог і критеріїв з сучасними архітектурами ВР та з розповсюдженими ОС.

Експерти по кваліфікації мріють про стандарти, які детально регламентують процедуру кваліфікаційного аналізу, та про чіткі, прості, однозначні і легкі критерії які споживаються. Очевидно, що подібний ідеал є недосяжним, і реальність його потребує від кожної сторони визначених компромісів. Через це не будемо проводити суб'єктивний аналіз стандартів з точки зору кожного з тих що беруть участь в створенні захищених систем, а спробуємо ввести загальні для всіх “об'єктивні” критерії зіставлення.

У якості загальних показників, стандарти які характеризують інформаційну безпеку і мають значення для трьох груп, можливо назвати такі як універсальність, гнучкість, гарантованість, реалізація та актуальність.

Універсальність стандарту визначається множиною типів ВР та областей їх споживання, до котрих може бути коректно застосовані його положення. Це дуже важлива характеристика стандарту, так як інформаційні технології переживають період бурхливого розвитку, архітектура комп'ютерних систем постійно удосконалюється, а сфера їх споживання постійно розширюється.

Стандарти інформаційної безпеки у своєму розвитку не провині залишатися від інформаційних технологій, що тільки може бути забезпечено гнучкістю вимог і критеріїв які пропонуються.

Під гнучкістю стандарту визначається можливість та зручність його застосування до постійно розвитку інформаційних технологій, а також час, на протязі якого він зберігає свою актуальність. Гнучкість може бути досягнута виключно через фундаментальність вимог та критеріїв і їх інваріантність по відношенню до механізму реалізації та технологіям створення ІТ- продуктів. Однак очевидно, що надмірна абстрактність вимог і відірваність їх від практики знижує їх реалізацію.

Гарантованість визначає міцність передбачених стандартом методів та засобів затвердження надійності підсумків кваліфікаційного аналізу. Спочатку цьому питанню не приділялося багато уваги, але аналіз опиту споживання перших стандартів інформаційної безпеки показав, що для досягнення передбачених цілей аналітики - класифікатори повинні мати можливість обґрунтувати свої висновки, а розробники потребують механізмів, з допомогою котрих вони могли би підтвердити коректність своїх домагань і представити споживачам визначені гарантії.

Реалізація - це можливість адекватної реалізації вимог і критеріїв стандарту на практиці, з урахуванням витрат на цей процес. Реалізація дуже пов'язана з універсальністю та гнучкістю, але відображає чисто практичні та технологічні аспекти реалізації положень стандарту.

Актуальність відображає відповідальність вимогам та критеріям стандарту множені загроз безпеки які постійно розвиваються та найновішим методам та засобам, які використовуються злочинцями. Ця характеристика, поряд з універсальністю, є одною з найбільш важливих, так як здібність протистояти загрозам та прогнозувати їх розвиток фактично визначає придатність стандарту і є вирішальним чинником при визначені його придатності.

Класифікація розглянутих стандартів інформаційної безпеки запропонованими показникам надана в таблиці.

Стандарти безпеки	Показники зіставлення стандартів інформаційної безпеки
	Універсальність	Гнучкість	Гарантованість	Реалізація	Актуальність
“Оранжева книга” (1983 р.)	обмежена	обмежена	Обмежена	скроні (за виключенням класу А)	помірна
Європейські критерії (1986 р.)	Помірна	помірна	помірна	висока	помірна
Документи ГКТ (1992 р.)	обмежена	обмежена	відсутня	висока	обмежена
“Федеральні критерії” (1992 р.)	висока	відмінна	достатня	висока	Висока
Канадські критерії (1993 р.)	Помірна	достатня	достатня	достатня	середня
“Єдині критерії” (1996 р.)	чудові	чудові	чудові	чудові	чудові

Ступень відповідності стандартів запропонованим показникам визначається по наступній якісній шкалі:

- обмежена - недостатня відповідальність, при споживанні стандарту виникають суттєві труднощі;

- помірна - відповідає в мінімальної ступені, при споживанні стандарту в більшості випадків суттєвих труднощів не виникає;

- достатня - задовільна відповідальність, при вживанні стандартів у більшості випадків не виникає ніяких труднощів, однак ефективність рішень, які пропонуються, не гарантується;

- висока - стандарт пропонує спеціальні механізми та процедури, направлені на поліпшення даного показника, застосування якого дозволяє получати достатньо ефективні рішення;

- чудові - поліпшення даного показника розглядалося автором стандарту в якості одній з основних цілей його розробки, що забезпечує ефективність споживання рішень які пропонуються.

Розглянемо, у якій степені стандарти інформаційної безпеки відповідають показникам, які пропонуються, та останнім направлення, за якими йшов їх розвиток.

Універсальність

На етапі початкового становлення та розвитку стандартів інформаційної безпеки універсальності приділялося мало уваги, так як, по-перше, розробникам стандартів здавалося, що в забезпечені безпеки потребує тільки обмежене коло споживачів, які знаходяться в урядових та воєнних сферах, по-друге, темпи інформатизації тоді були відносно невеликі. Тому перший стандарт безпеки - “Оранжева книга” - призначалась для систем воєнного споживання, заснованих у ті роки виключно на мейнфреймах, і його адаптація для розподільних систем та баз даних потребувала розробки додаткових документів. Враховуючи цей досвід сфера застосування “Європейських критеріїв”, які були виданні декількома роками пізніше, значно розширена - вже на рівні базового документа в цей стандарт увійшли розподілені системи, сеті, системи телекомунікацій та СУБД. Однак у цьому документі так саме обмовлена архітектура та призначення систем, до котрих вони можуть застосуватись, та ніяк не регламентується середа їх експлуатації. “Федеральні критерії” підняли область застосування стандартів на новий рівень, почав розглядати інформаційні технології, незалежно від їх призначення, проводячи розходження тільки меж характеристиками середовища їх експлуатації. “Канадські критерії” розглядають у якості області свого застосування усі типи комп'ютерних систем. І нарешті “Єдині критерії” увінчали процес розширення сфери застосування стандартів інформаційної безпеки, проголосив себе невід'ємним компонентом інформаційних технологій.



Гнучкість.

Гнучкість положень стандарту визначає зручність його користування споживачами та виробниками систем обробки інформації. Можливо, саме тому вимоги першого стандарту (“Оранжева книга”) були достатньо гнучкими, але занадто абстрактними для безпосереднього застосування в багатьох випадках, що зажадало їх коментування, доповнення та розширення.

“Європейські критерії” успадкували цей стиль викладання вимог та пішли по шляху екстенсивного розвитку, передбачив спеціальні рівні і вимоги, розраховані на типові системи (СУБД, телекомунікації та т.д.).

Керівні документи ГТК за конкретністю своїх вимог переросли навіть рівень “Оранжевої книги”, так як докладно регламентують реалізацію функцій захисту (наприклад, це єдиний стандарт, котрий в ультимативній формі потребує споживання криптографії), що значно знижує зручність їх використання, у конкретних ситуаціях багато вимог часто виявляються збитковими та непотрібними. Більш того, обмеження області застосування даного стандарту класом систем, орієнтованих на кінцевого користувача, ставить вітчизняних розроблювачів і експертів по сертифікації в скрутне положення при застосуванні цих документів, скажемо, до програмного забезпечення маршрутизатора або файэррвола (у цих систем у принципі немає користувачів, що є фізичними особами).

“Федеральні критерії” забезпечують гнучкість на якісно новому в порівнянні з попередніми стандартами рівні, уперше запропонувавши механізм профілів захисту, за допомогою яких можна створювати спеціальні набори вимог, що відповідають запитам споживачів конкретного продукту і погрозам середовища його експлуатації.

“Канадські критерії” не розглядають профіль захисту в якості обов'язкового елемента безпеки інформаційних технологій, а також мають визначену специфіку у своєму підході до основних понять безпеки, тому їхню гнучкість можна оцінювати тільки як достатню.

Нарешті, “Єдині критерії” мають практично зроблену гнучкість, тому що дозволяють споживачам висловити свої вимоги за допомогою механізму профілів захисту, у формі інваріантної до механізмів реалізації, а виробникам - продемонструвати за допомогою проекту захисту, як ці вимоги перетворяться в задачі захисту і реалізуються на практикці. У цьому випадку процес кваліфікації рівня безпеки ІТ - продукту являє собою перевірку взаємної відповідності профілю захисту, проекту захисту і реалізованого ІТ - продукту, а також їхньої відповідності “Єдиним критеріям”.

Гарантованість.

Гарантованість забезпечуваного рівня захисту спочатку розглядалася розроблювачами стандартів тільки для вищих рівнів безпеки. Тому “Оранжева книга” передбачала обов'язкове застосування формальних методів вєріфікації тільки при створенні систем вищого класу захищеності (клас А).

Проте необхідність контролю коректності реалізації і підтвердження ефективності засобів захисту для систем усіх рівнів була усвідомлена достатньо швидко. Вже в “Європейських критеріях” з'являється спеціальний розділ вимог - вимоги адекватності, що регламентують технологію і середовище розробки, а також контроль за цим процесом. На жаль, документи ГТК практично цілком проігнорували цей, на наш погляд ключовий, аспект безпеки інформаційних технологій і обминули дане питання мовчанням.

“Федеральні критерії” містять два спеціальних розділи вимог, присвячених рішенню цієї проблеми: вимоги до технології розробки і до процесу кваліфікаційного аналізу.

“Канадські критерії” включають поділ вимог адекватності, кількісно і якісно ні в чому не поступаються розділу функціональних вимог.

“Єдині критерії” забезпечують адекватність задач захисту вимогам споживачів, проекту захисту “Єдиним критеріям” і ІТ- продукту проекту захисту за допомогою багатоетапного контролю.



Реалізація

Погані показники реалізації говорять про практичну марність стандарту, тому всі розглянуті документи відповідають цьому показнику в достатньому або високому ступеню. Реалізація вимог “Оранжевої книги”, за винятком вищого класу (класу А), великої складності не подає. Це підтверджується великим числом систем, сертифіковані на відповідність класу В та С (біля 30 систем). Авторам відомі тільки дві системи сертифіковані на відповідність класу А, причому політика безпеки в однієї з них реалізована на апаратному рівні за допомогою контролю операндів кожної інструкції, тобто розроблювачам прийшлося спроектувати і реалізувати спеціальний процесор.

Інші стандарти вирішували цю проблему за рахунок гнучкості запропонованих вимог і критеріїв. Про “Канадські критерії” варто згадати особисто - своїм нетрадиційним тлумаченням поняття “об'єкт” і “суб'єкт” вони ускладняють розроблювачам процес реалізації запропонованих у них вимог, що визначає рівень їхньої відповідності даному показнику тільки як достатній.

“Єдині критерії” і тут виявилися на практично недосяжному для інших стандартів висот за рахунок приголомшливого ступеня подробиці функціональних вимог (76 вимог), які фактично служать вичерпним керівництвом для розробки засобів захисту. Відзначимо, що це єдиний показник, по якому документи ГТК не відстають від інших стандартів інформаційної безпеки.

Актуальність.

Актуальність стандартів інформаційної безпеки підвищувалась з розширенням сфери їх застосування і появою досвіду їх використання. “Оранжева книга”, хоча і містить передумови для протидії всім основним видам погроз, містить вимоги, в основному спрямовані на протидію погрозам конфідеційності, що пояснюється її орієнтованістю на системи військового призначення.

“Європейські критерії” знаходяться приблизно на тому ж рівні, хоча і приділяють погрозам цілісності набагато більше уваги. Документи ГТК із погляду цього показника виглядають найбільше відсталими - вже в самій їхній назві визначена єдина аналізована в них погроза - несанкціонований доступ.

“Федеральні критерії” розглядають усі види погроз достатньо докладно і пропонують механізм профілів захисту для опису погроз безпеки, відповідних середовищу експлуатації конкретного ІТ- продукту, що дозволяє враховувати специфічні види погроз.

“Канадські критерії” обмежуються типовим набором погроз безпеки.

“Єдині критерії” ставлять в основу задоволення потреб користувачів і пропонують для цього відповідні механізми, що дозволяє говорити про якісно новий підхід до проблеми безпеки інформаційних технологій.

У якості основних тенденцій розвитку стандартів інформаційної безпеки можна зазначити:

1. Розвиток стандартів дозволяє простежити прямування від єдиної шкали ранжування вимог і критеріїв до множини незалежних приватних показників і введенню частково упорядкованих шкал.

2. Неухильне зростання ролі вимог адекватності до реалізації засобів захисту і політики безпеки свідчить про переваження “якості” забезпечення захисту над її “кількістю”

3. Визначення ролей виробників, споживачів і експертів по кваліфікації ІТ - продуктів і поділу безпеки інформаційних технологій.

4. Поділ ролей учасників процесу створення й експлуатації захищених систем, застосування відповідних механізмів і технологій призводить до розумного розподілу відповідальності між всіма учасниками цього процесу.

5. Інтернаціоналізація стандартів відбиває сучасні тенденції до об'єднання і прагнення до створення безпечного всесвітнього інформаційного простору.



2.2 Європейські стандарти забезпечення інформаційної безпеки

Європейські стандарти безпеки

ISO 15408: Common Criteria for Information Technology Security Evaluation

Найбільш повно критерії для оцінки механізмів безпеки програмно-технічного рівня представлені в міжнародному стандарті ISO 15408: Common Criteria for Information Technology Security Evaluation (Загальні критерії оцінки безпеки інформаційних технологій), прийнятому в 1999 році.

Загальні критерії оцінки безпеки інформаційних технологій (далі "Загальні критерії") визначають функціональні вимоги безпеки (security functional requirements) і вимоги до адекватності реалізації функцій безпеки (security assurance requirements).

Хоча застосовність "Загальних критеріїв" обмежується механізмами безпеки програмно-технічного рівня, в них міститься певний набір вимог до механізмів безпеки організаційного рівня і вимог з фізичного захисту, які безпосередньо пов'язані з описаними функціями безпеки.

Перша частина "Загальних критеріїв" містить визначення загальних понять, концепції, опис моделі і методики проведення оцінки безпеки ІТ. У ній вводиться понятійний апарат, і визначаються принципи формалізації предметної області.

Вимоги до функціональності засобів захисту наводяться у другій частині "Загальних критеріїв" і можуть бути безпосередньо використані при аналізі захищеності для оцінки повноти реалізованих в АС (СВТ) функцій безпеки.

Третя частина "Загальних критеріїв" містить класи вимог гарантованості оцінки, включаючи клас вимог з аналізу вразливостей засобів і механізмів захисту під назвою AVA: Vulnerability Assessment. Даний клас вимог визначає методи, які повинні використовуватися для попередження, виявлення та ліквідації таких типів загроз:

Наявність побічних каналів витоку інформації;

Помилки в конфігурації або неправильне використання системи, що приводить до переходу в небезпечний стан;

Недостатня надійність (стійкість) механізмів безпеки, що реалізують відповідні функції безпеки;

Наявність "дірок" в засобах захисту інформації, які дають можливість користувачам отримувати НСД до інформації в обхід існуючих механізмів захисту.

ISO 17799: Code of Practice for Information Security Management

Найбільш повно критерії для оцінки механізмів безпеки організаційного рівня представлені в міжнародному стандарті ISO 17799: Code of Practice for Information Security Management (Практичні правила управління інформаційною безпекою), прийнятому в 2000 році. ISO 17799 є ні чим іншим, як міжнародною версією британського стандарту BS 7799.

ISO 17799 містить практичні правила з управління інформаційною безпекою і може використовуватися в якості критеріїв для оцінки механізмів безпеки організаційного рівня, включаючи адміністративні, процедурні та фізичні заходи захисту.

Практичні правила розбиті на наступні 10 розділів:

* Політика безпеки;

* Організація захисту;

* Класифікація ресурсів та їх контроль;

* Безпека персоналу;

* Фізична безпека;

* Адміністрування комп'ютерних систем і обчислювальних мереж;

* Управління доступом;

* Розробка та супровід інформаційних систем;

* Планування безперебійної роботи організації;

* Контроль виконання вимог політики безпеки.

У цих розділах міститься опис механізмів безпеки організаційного рівня, що реалізуються в даний час в урядових і комерційних організаціях у багатьох країнах світу.

Десять засобів контролю, які пропонуються в ISO 17799 (вони позначені як ключові), вважаються особливо важливими. Під засобами контролю в даному контексті розуміються механізми управління інформаційною безпекою організації.

Ключовими є наступні засоби контролю:

* Документ про політику інформаційної безпеки;

* Розподіл обов'язків щодо забезпечення інформаційної безпеки;

* Навчання і підготовка персоналу до підтримання режиму інформаційної безпеки;

* Повідомлення про випадки порушення захисту;

* Засоби захисту від вірусів;

* Планування безперебійної роботи організації;

* Контроль над копіюванням програмного забезпечення, захищеного законом про авторське право;

* Захист документації організації;

* Захист даних;

* Контроль відповідності політики безпеки

Процедура аудиту безпеки АС включає в себе перевірку наявності перелічених ключових засобів контролю, оцінку повноти та правильності їх реалізації, а також аналіз їх адекватності ризикам, які існують в даному середовищі функціонування. Складовою частиною робіт з аудиту безпеки АС також є аналіз і управління ризиками.

Міжнародний стандарт ISO 17799 як управлінська складова в галузі менеджменту інформаційної безпеки.

Cтандарти безпеки містять рекомендації з управління інформаційною безпекою, призначені для співробітників, відповідальних за створення, впровадження й підтримку заходів, що забезпечують безпеку в організації. Вони повинні послужити основою для розробки стандартів безпеки й ефективних методів управління безпекою в конкретній організації. Крім того, допоможуть підтримати взаємну довіру при контактах між організаціями.

ISO/IEC 17799 2005 призначений для використання будь-якою організацією, котра планує встановити систему ефективного інформаційного захисту або покращувати існуючі методи інформаційного захисту [14].

Однак, це не свідчить, що всі рекомендації стандарту повинні бути обов'язково прийняті. Все залежить від конкретних місцевих інформаційних ризиків та вимог.

Стандарт складається з 13 розділів [14]:

Загальна частина

Терміни та визначення

Політика безпеки

Організовані методи забезпечення інформаційної безпеки

Управління ресурсами

Користувачі інформаційної системи

Фізична безпека

Управління комунікаціями та процесами

Контроль доступу

Придбання та розробка інформаційних систем

Управління інцидентами інформаційної безпеки

Управління безперервністю ведення бізнесу

Відповідність вимогам

Кожен із розділів має таку структуру:

Мета - вказує, яка мета повинна бути досягнута

Управління - вказує, як цілі можуть бути досягнуті

Керівництво - вказує, як управління може бути реалізовано та Додатки.

Зокрема в термінах і визначеннях позиціонуються такі поняття, як [15]:

інформаційна безпека (збереження конфіденційності, цілісності й доступності інформації), конфіденційність (забезпечення доступу до інформації тільки для авторизованих користувачів, що мають право на доступ до неї), цілісність (захист точності й повноти інформації й методів її обробки), доступність (забезпечення доступності інформації й пов'язаних з нею ресурсів авторизованим користувачам за необхідності) тощо.

Також визначається політика безпеки. Опис політики інформаційної безпеки - документ, що містить опис політики інформаційної безпеки, повинен бути схвалений керівництвом, опублікований й відповідно до необхідності розповсюджений серед всіх співробітників. Цей документ повинен виражати підтримку керівництва компанії й визначати підхід до управління інформаційною безпекою, що буде застосовуватися в організації як мінімум цей документ повинен включати такі відомості:

визначення інформаційної безпеки, її загальні цілі й галузь дії, а також відомості про важливість безпеки як механізм, що робить можливим спільне використання інформації;

заява про наміри керівництва, яка висвітлює цілі й принципи управління інформаційною безпекою;

короткий опис політики безпеки, принципів, стандартів і нормативних вимог, що мають певне значення для організації, наприклад: відповідність вимогам законодавства й умовам контрактів; вимоги до освітньої підготовки в галузі безпеки; захист від вірусів й інших зловмисних програм; підтримка безперервності бізнесу; наслідки порушення політики безпеки; визначення загальних і приватних обов'язків з управління інформаційною безпекою, у тому числі надання відомостей про інциденти; посилання на документацію, що може доповнювати опис політики, наприклад, більш докладні описи політик й інструкцій для конкретних інформаційних систем або правила безпеки, які повинні дотримуватися користувачами. Ций опис політики необхідно поширити серед користувачів у всій організації в придатному для них вигляді.

Необхідно призначити співробітника, відповідального за підтримку політики та її оновлення відповідно до прийнятої процедури. Ця процедура повинна гарантувати перегляд політики у відповідь на будь-які зміни, що впливають на основу вихідної оцінки ризиків - наприклад, великі інциденти, пов'язані з безпекою, нові вразливості або зміни в організаційній або технічній інфраструктурі. Крім того, необхідно створити графік періодичної переоцінки таких критеріїв: ефективність політики, яка демонструється на основі типів, кількості й збитку від зареєстрованих інцидентів; вартість і вплив заходів безпеки на ефективність діяльності організації; вплив технологічних змін.

2.3 Стандарти забезпечення інформаційної безпеки в США

З 1983 по 1988 рік Міністерство оборони США і Національний комітет комп'ютерної безпеки розробили систему стандартів у галузі комп'ютерної безпеки, яка включає більше десяти документів. Цей список очолюють "Критерії оцінки безпеки комп'ютерних систем", які за кольором обкладинки частіше називають "Помаранчевою книгою". У 1995 році Національний центр комп'ютерної безпеки США опублікував "Пояснення до критеріїв безпеки комп'ютерних систем", які об'єднали всі наявні на той момент доповнення та роз'яснення до "Помаранчевої книги".[17]

Повна назва документа "Department of Defense Trusted Computer System Evaluation Criteria".

Oранжева Kнига призначається для наступних цілей:

* Надати виробникам стандарт, який встановлює, якими засобами безпеки слід оснащувати свої нові й плановані продукти, щоб поставляти на ринок доступні системи, що задовольняють вимогам гарантованої захищеності (маючи на увазі, перш за все, захист від розкриття даних) для використання при обробці цінної інформації;

* Надати DOD метрику для військової приймання та оцінки захищеності ЕСОД, призначених для обробки службової та іншої цінної інформації;

* Забезпечити базу для дослідження вимог до вибору захищених систем.

Розглядають два типи оцінки:

* без урахування середовища, в якому працює техніка;

* в конкретному середовищі (ця процедура називається атестування).

В "Помаранчевої книзі" надійна система визначається як "система, яка використовує достатні апаратні і програмні засоби, щоб забезпечити одночасну обробку інформації різного ступеня таємності групою користувачів без порушення прав доступу".

Надійність систем оцінюється за двома основними критеріями:

Політика безпеки - набір законів, правил і норм поведінки, що визначають, як організація обробляє, захищає і поширює інформацію. Зокрема, правила визначають, в яких випадках користувач має право оперувати з певними наборами даних. Чим надійніше система, тим суворіше і різноманітніше повинна бути політика безпеки. В залежності від сформульованої політики можна вибирати конкретні механізми, що забезпечують безпеку системи. Політика безпеки - це активний компонент захисту, що включає в себе аналіз можливих загроз і вибір заходів протидії.

Гарантованість - міра довіри, яка може бути надана архітектурі і реалізації системи. Гарантованість можна визначити тестуванням системи в цілому та її компонентів. Гарантованість показує, наскільки коректні механізми, що відповідають за проведення в життя політики безпеки. Гарантованість можна вважати пасивним компонентом захисту, що наглядає за самими захисниками. Важливим засобом забезпечення безпеки є механізм підзвітності (протоколювання). Надійна система повинна фіксувати всі події, що стосуються безпеки. Ведення протоколів повинно доповнюватися аудитом, тобто аналізом реєстраційної інформації.

При оцінці ступеня гарантованості, з якою систему можна вважати надійною, центральною є концепція надійної обчислювальної бази. Обчислювальна база - це сукупність захисних механізмів комп'ютерної системи (включаючи апаратне і програмне забезпечення), що відповідають за проведення в життя політики безпеки. Надійність обчислювальної бази визначається виключно її реалізацією і коректністю вихідних даних, які вводить адміністративний персонал (наприклад, це можуть бути дані про ступінь благонадійності користувачів).[17]

Основне призначення надійної обчислювальної бази - виконувати функції монітора звернень, тобто контролювати допустимість виконання суб'єктами певних операцій над об'єктами. Кожне звернення користувача до програм або даними перевіряється на предмет узгодженості із списком дій, допустимих для користувача.

Від монітора звернень потрібне виконання двох властивостей:

Ізольованість. Монітор повинен бути захищений від відстеження своєї роботи;

Повнота. Монітор повинен викликатися при кожному зверненні, не повинно бути способів його обходу;

Основні елементи політики безпеки

Згідно "Помаранчевої книги", політика безпеки повинна включати в себе принаймні такі елементи:

довільне керування доступом;

безпека повторного використання об'єктів;

мітки безпеки;

примусове управління доступом.

Розглянемо перераховані елементи докладніше.

Довільне керування доступом

Довільне керування доступом - це метод обмеження доступу до об'єктів, заснований на обліку особистості суб'єкта або групи, в яку суб'єкт входить. Довільність управління полягає в тому, що деякий особа (зазвичай власник об'єкта) може на свій розсуд давати іншим суб'єктам або відбирати у них права доступу до об'єкта.

Поточний стан прав доступу при довільному управлінні описується матрицею, в рядках якої перераховані суб'єкти, а у стовпцях - об'єкти. У клітинах, розташованих на перетині рядків і стовпців, записуються способи доступу, допустимі для суб'єкта по відношенню до об'єкта, наприклад: читання, запис, виконання, можливість передачі прав іншим суб'єктам і т.п.

Очевидно, прямолінійне уявлення подібної матриці неможливо (оскільки вона дуже велика), та й не потрібно (оскільки вона розріджена, тобто більшість клітин в ній порожні). В операційних системах більш компактне представлення матриці доступу ґрунтується або на структуруванні сукупності суб'єктів (власник / група / інше в ОС UNIX), або на механізмі списків управління доступом, тобто на уявленні матриці по стовпцях, коли для кожного об'єкта перераховуються суб'єкти разом з їх правами доступу. За рахунок використання метасимволів можна компактно описувати групи суб'єктів, утримуючи тим самим розміри списків управління доступом в розумних рамках.

Більшість операційних систем і систем управління базами даних реалізують саме довільне керування доступом. Головна його перевага - гнучкість, головні недоліки - розосередження управління і складність централізованого контролю, а також відірваність прав доступу від даних, що дозволяє копіювати секретну інформацію в загальнодоступні файли.[17]

Безпека повторного використання об'єктів

Безпека повторного використання об'єктів - важливе на практиці додаток засобів управління доступом, що охороняє від випадкового або навмисного вилучення секретної інформації з "сміття". Безпека повторного використання повинна гарантуватися для областей оперативної пам'яті, зокрема для буферів з образами екрана, розшифрованими паролями і т.п., для дискових блоків і магнітних носіїв в цілому.

Важливо звернути увагу на наступний момент. Оскільки інформація про суб'єктів також являє собою об'єкт, необхідно подбати про безпеку "повторного використання суб'єктів". Коли користувач залишає організацію, слід не тільки позбавити його можливості входу в систему, але і заборонити доступ до всіх об'єктів. В іншому випадку новий співробітник може отримати раніше використовувався ідентифікатор, а з ним і всі права свого попередника.

Сучасні інтелектуальні периферійні пристрої ускладнюють забезпечення безпеки повторного використання об'єктів. Дійсно, принтер може буферизують кілька сторінок документа, які залишаться в пам'яті навіть після закінчення друку. Необхідно вжити спеціальні заходи, щоб "виштовхнути" їх звідти.

Втім, іноді організації захищаються від повторного використання занадто ревно - шляхом знищення магнітних носіїв. На практиці завідомо досить триразової записи випадкових послідовностей біт.[17]

Класи інформаційної безпеки

Сама оцінка безпеки ґрунтується, як уже згадувалося, на іерарархіческой класифікації. В оригінальному тексті кожен клас кожного рівня описується з нуля, тобто успадковані вимоги з більш низьких класів кожен раз повторюються. Для скорочення далі наведено лише відмінності, що з'являються за зростанням рівня «доверяемості». Усього введено чотири рівні довіри - D, C, B і A, які поділяються на класи. Класів безпеки всього шість - C1, C2, B1, B2, B3, A1 (перераховані в порядку посилення вимог).

Рівень D.

Даний рівень призначений для систем, визнаних незадовільними - «завалили екзамен».

Рівень C.

Інакше - довільне керування доступом.

Клас C1

Політика безпеки і рівень гарантованості для даного класу повинні задовольняти наступним найважливішим вимогам:

1. довірена обчислювальна база повинна управляти доступом іменованих користувачів до іменованих об'єктів;

2. користувачі повинні ідентифікувати себе, причому аутентифікаційні інформація повинна бути захищена від несанкціонованого доступу;

3. довірена обчислювальна база повинна підтримувати область для власного виконання, захищену від зовнішніх впливів;

4. повинні бути в наявності апаратні або програмні засоби, що дозволяють періодично перевіряти коректність функціонування апаратних і мікропрограмних компонентів довіреної обчислювальної бази;

5. захисні механізми повинні бути протестовані (немає способів обійти або зруйнувати засоби захисту довіреної обчислювальної бази);

6. повинні бути описані підхід до безпеки та його застосування при реалізації довіреної обчислювальної бази.

Приклади продуктів: деякі старі версії UNIX, IBM RACF.

Клас C2 (на додаток до C1):

1. права доступу повинні гранулювати з точністю до користувача. Всі об'єкти повинні піддаватися контролю доступу.

2. при виділенні зберігається об'єкта з пулу ресурсів довіреної обчислювальної бази необхідно ліквідувати всі сліди його використання.

3. кожен користувач системи повинен унікальним чином ідентифікуватися. Кожне реєстроване дія повинна асоціюватися з конкретним користувачем.

4. довірена обчислювальна база повинна створювати, підтримувати і захищати журнал реєстраційної інформації, що відноситься до доступу до об'єктів, що контролюються базою.

5. тестування має підтвердити відсутність очевидних недоліків в механізмах ізоляції ресурсів і захисту реєстраційної інформації.

Приклади продуктів: практично всі нині поширені ОС і БД -

Windows NT (а значить сюди можна віднести і всі його нащадки аж до Vista), ще сюди б потрапили всі сучасні UNIX-системи, так само DEC VMS, IBM OS/400, Novell NetWare 4.11, Oracle 7, DG AOS / VS II.[17].



Рівень B.

Також іменується - примусове управління доступом.

клас B1 (на додаток до C2):

1. довірена обчислювальна база повинна управляти мітками безпеки, асоційованими з кожним суб'єктом і збереженим об'єктом.

2. довірена обчислювальна база повинна забезпечити реалізацію примусового управління доступом всіх суб'єктів до всіх збереженим об'єктах.

3. довірена обчислювальна база повинна забезпечувати взаємну ізоляцію процесів шляхом розділення їх адресних просторів.

4. група фахівців, повністю розуміють реалізацію довіреної обчислювальної бази, повинна піддати опис архітектури, вихідні і об'єктні коди ретельному аналізу і тестування.

5. повинна існувати неформальна або формальна модель політики безпеки, підтримуваної довіреної обчислювальної базою.

Приклади продуктів: сюди відносяться набагато більш спеціалізовані Осі - HP-UX BLS, Cray Research Trusted Unicos 8.0, Digital SEVMS, Harris CS / SX, SGI Trusted IRIX.

Клас B2 (на додаток до B1):

1. забезпечуватися мітками повинні всі ресурси системи (наприклад, ПЗУ), прямо або побічно доступні суб'єктам.

2. до довіреної обчислювальної базі повинен підтримуватися довірений комунікаційний шлях для користувача, що виконує операції початкової ідентифікації і аутентифікації.

3. повинна бути передбачена можливість реєстрації подій, пов'язаних з організацією таємних каналів обміну з пам'яттю.

4. довірена обчислювальна база повинна бути внутрішньо структурована на добре визначені, відносно незалежні модулі.

5. системний архітектор повинен ретельно проаналізувати можливості організації таємних каналів обміну з пам'яттю і оцінити максимальну пропускну здатність кожного виявленого каналу.[17]

6. повинна бути продемонстрована відносна стійкість довіреної обчислювальної бази до спроб проникнення.

7. модель політики безпеки повинна бути формальною. Для довіреної обчислювальної бази повинні існувати описові специфікації верхнього рівня, точно і повно визначають її інтерфейс.

Клас B3 (На додаток до B2):

1. для довільного управління доступом мають обов'язково використовуватися списки управління доступом із зазначенням дозволених режимів.

2. повинна бути передбачена можливість реєстрації появи або накопичення подій, що несуть загрозу політиці безпеки системи. Адміністратор безпеки повинен негайно сповіщатися про спроби порушення політики безпеки, а система, у разі продовження спроб, повинна припиняти їх найменш болючим способом.

3. довірена обчислювальна база повинна бути спроектована і структурована таким чином, щоб використовувати повний і концептуально простий захисний механізм з точно визначеною семантикою.

4. процедура аналізу повинна бути виконана для тимчасових таємних каналів.

5. повинна бути специфікована роль адміністратора безпеки. Отримати права адміністратора безпеки можна тільки після виконання явних, протоколюються дій.

6. повинні існувати процедури та / або механізми, що дозволяють зробити відновлення після збою або іншого порушення роботи без ослаблення захисту.

7. повинна бути продемонстрована стійкість довіреної обчислювальної бази до спроб проникнення.

Приклади продуктів: єдина система - Getronics / Wang Federal XTS-300.[17]

FIPS 140-2 "Вимоги безпеки для криптографічних модулів"

У федеральному стандарті США FIPS 140-2 "Вимоги безпеки для криптографічних модулів" під криптографічним модулем розуміється набір апаратних і / або програмних (у тому числі вбудованих) компонентів, що реалізують затверджені функції безпеки (включаючи криптографічні алгоритми, генерацію та розподіл криптографічних ключів, аутентифікацію) і ув'язнених в межах явно визначеного, безперервного периметра.

У стандарті FIPS 140-2 розглядаються криптографічні модулі, призначені для захисту інформації обмеженого доступу, що не є секретною. Тобто мова йде про промислових виробах, що представляють інтерес для основної маси організацій. Наявність подібного модуля - необхідна умова забезпечення захищеності скільки розвиненою інформаційної системи, а проте, щоб виконувати призначену йому роль, сам модуль також потребує захисту, як власними коштами, так і засобами оточення (наприклад, операційної системи).[18].

Стандарт шифрування DES.

Також до стандартів інформаційної безпеки США відноситься алгоритм шифрування DES, що був розроблений в 1970-х роках, і який базується на алгоритмі DEA.

Вихідні ідеї алгоритму шифрування даних DEA (data encryption algorithm) були запропоновані компанією IBM ще в 1960-х роках і базувалися на ідеях, описаних Клодом Шенноном в 1940-х роках. Спочатку ця методика шифрування називалася lucifer (розробник Хорст Фейштель), назва dea вона отримала лише в 1976 році. Lucifer був першим блоковим алгоритмом шифрування, він використовував блоки розміром 128 біт і 128-бітовий ключ. По суті цей алгоритм був прототипом DEA.

Головна задача стандартів інформаційної безпеки - узгодженість позицій та запитів виробників, споживачів і аналітиків класифікаторів продуктів інформаційних технологій. Кожна з категорій фахівців оцінює стандарти та вимоги і критерії, які в них існують, за своїми особистими параметрами. Для споживачів найбільшу роль грає простота критеріїв та однозначність параметрів вибору захищеної системи, а для найбільш кваліфікованої частини споживачів - гнучкість вимог та можливість їх застосування до специфічних ІТ- продуктів та середовища експлуатації. Виробники потребують від стандартів максимальної конкретності та спільних вимог і критеріїв з сучасними архітектурами ВР та з розповсюдженими ОС.

У якості загальних показників, стандарти які характеризують інформаційну безпеку і мають значення для трьох груп, можливо назвати такі як універсальність, гнучкість, гарантованість, реалізація та актуальність

Перший стандарт безпеки - “Оранжева книга” - призначалась для систем воєнного споживання, заснованих у ті роки виключно на мейнфреймах, і його адаптація для розподільних систем та баз даних потребувала розробки додаткових документів.

«Oранжева книга» призначається для наступних цілей:

* Надати виробникам стандарт, який встановлює, якими засобами безпеки слід оснащувати свої нові й плановані продукти, щоб поставляти на ринок доступні системи, що задовольняють вимогам гарантованої захищеності (маючи на увазі, перш за все, захист від розкриття даних) для використання при обробці цінної інформації;

* Надати DOD метрику для військової приймання та оцінки захищеності ЕСОД, призначених для обробки службової та іншої цінної інформації;

* Забезпечити базу для дослідження вимог до вибору захищених систем.

В “Європейських критеріях” з'являється спеціальний розділ вимог - вимоги адекватності, що регламентують технологію і середовище розробки, а також контроль за цим процесом.

Актуальність стандартів інформаційної безпеки підвищувалась з розширенням сфери їх застосування і появою досвіду їх використання. “Оранжева книга”, хоча і містить передумови для протидії всім основним видам погроз, містить вимоги, в основному спрямовані на протидію погрозам конфідеційності, що пояснюється її орієнтованістю на системи військового призначення.

“Європейські критерії” знаходяться приблизно на тому ж рівні, хоча і приділяють погрозам цілісності набагато більше уваги. Документи ГТК із погляду цього показника виглядають найбільше відсталими - вже в самій їхній назві визначена єдина аналізована в них погроза - несанкціонований доступ.

“Федеральні критерії” розглядають усі види погроз достатньо докладно і пропонують механізм профілів захисту для опису погроз безпеки, відповідних середовищу експлуатації конкретного ІТ- продукту, що дозволяє враховувати специфічні види погроз.

“Канадські критерії” обмежуються типовим набором погроз безпеки.

“Єдині критерії” ставлять в основу задоволення потреб користувачів і пропонують для цього відповідні механізми, що дозволяє говорити про якісно новий підхід до проблеми безпеки інформаційних технологій.

У якості основних тенденцій розвитку стандартів інформаційної безпеки можна зазначити:

1. Розвиток стандартів дозволяє простежити прямування від єдиної шкали ранжування вимог і критеріїв до множини незалежних приватних показників і введенню частково упорядкованих шкал.

2. Неухильне зростання ролі вимог адекватності до реалізації засобів захисту і політики безпеки свідчить про переваження “якості” забезпечення захисту над її “кількістю”.

3. Визначення ролей виробників, споживачів і експертів по кваліфікації ІТ - продуктів і поділу безпеки інформаційних технологій.

4. Поділ ролей учасників процесу створення й експлуатації захищених систем, застосування відповідних механізмів і технологій призводить до розумного розподілу відповідальності між всіма учасниками цього процесу.

5. Інтернаціоналізація стандартів відбиває сучасні тенденції до об'єднання і прагнення до створення безпечного всесвітнього інформаційного простору.

Ми роздивилися стандарти інформаційної безпеки, починаючи від найперших і закінчуючи самим сучасним, що увібрали в себе весь досвід застосування попередніх йому документів.

По-перше, ми прояснили задачі, що повинні бути вирішені в ході створення захищеної системи (задачі захисту): ефективне протистояння погрозам безпеки, що діють в середовищі її експлуатації, і коректна реалізація політики безпеки.

По-друге, визначається набір функціональних можливостей, що повинні (або можуть) бути реалізовані в захищеній системі, Він поданий у виді таксономії функціональних вимог або критеріїв, приведеної для кожного стандарту.

По-третє, вперше у вітчизняній літературі подані найбільше істотні елементи сучасних технологій створення захищених систем - механізми профілю захисту і проекту захисту.

Все це дозволяє сформулювати задачі кожного з учасників процесу створення захищених систем (споживачі, виробники, експерти по кваліфікації), що повинні бути вирішені для досягнення пребаченої цілі.

Поряд із дослідженням коректної реалізації моделей безпеки, розглянутий матеріал є основою для технології створення захищених систем.



РОЗДІЛ 3. ВПРОВАДЖЕННЯ МІЖНАРОДНИХ СТАНДАРТІВ ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ В УКРАЇНІ

3.1 Проблемні питання впровадження міжнародних стандартів забезпечення інформаційної безпеки на підприємствах в Україні (на прикладі ІSO/ІEC 17799:2007)

Перехід до системи демократичних цінностей, відкритого суспільства,

європейська та євроатлантична спрямованість України примушують державу та суспільство звертатися до системи міжнародних стандартів у такій делікатній галузі як безпека.

При цьому безпека розуміється в широкому сенсі - це і безпека держави, і безпека особистості, і безпека суспільної організації держави, і безпека міждержавних об'єднань, таких як ЄС та НАТО.

Відносини, пов'язані з діяльністю у сфері стандартизації та застосування її результатів, регулюються Законом України «Про стандартизацію» від 17.05.2001 [20]. Цей Закон встановлює правові та організаційні засади стандартизації в Україні та спрямований на забезпечення єдиної політики у цій сфері.

Об'єктом стандартизації є продукція, процеси та послуги, зокрема матеріали, приміщення, обладнання, системи, їх сумісність, правила, процедури, форми методи чи взагалі діяльність.

Метою стандартизації в України є забезпечення безпеки життя та здоров'я людини, тварин, рослин, а також майна та охорони довкілля, створення умов для раціонального використання всіх видів національних ресурсів та відповідності об'єктів стандартизації своєму призначенню, сприяння усуненню технічних бар'єрів у торгівлі [ 20].



Державна політика у сфері стандартизації базується на таких принципах:

- забезпечення участі фізичних і юридичних осіб у розробленні стандартів та у вільному виборі ними видів стандартів при виробництві чи постачанні продукції;

- відкритість та прозорість процедур розроблення та прийняття стандартів з урахуванням інтересів усіх зацікавлених сторін, підвищення конкурентоспроможності продукції вітчизняних виробників;

- доступність стандартів та інформації щодо них для користувачів;

- відповідність стандартів законодавству;

- адаптація до сучасних досягнень науки і техніки з урахуванням стану

національної економіки;

- пріоритетність прямого впровадження в Україні міжнародних та регіональних стандартів;

- дотримання міжнародних та європейських правил і процедур стандартизації;

- участь у Міжнародній (регіональній) стандартизації.

Залежно від рівня суб'єкта стандартизації, який приймає чи схвалює стандарти, розрізняють:

- національні стандарти, кодекси усталеної практики та класифікатори, прийняті чи схвалені центральним органом виконавчої влади у сфері стандартизації, видані ним каталоги та реєстри загальнодержавного застосування;

- стандарти, кодекси усталеної практики та технічні умови, прийняті чи схвалені іншими суб'єктами, що займаються стандартизацією.

Застосування стандартів чи їх окремих положень є обов'язковим для:

- всіх суб'єктів господарювання, якщо це передбачено в технічних регламентах чи інших нормативно-правових актах;

- учасників угоди (контракту) щодо розроблення, виготовлення чи постачання продукції, якщо в ній (ньому) є посилання на певні стандарти;

- виробника чи постачальника продукції, якщо він склав декларацію про відповідність продукції певним стандартам чи застосував позначення цих стандартів у її маркуванні;

- виробника чи постачальника, якщо його продукція сертифікована щодо дотримання вимог стандартів [ 20].

Міжнародні стандарти та стандарти інших країн, якщо їх вимоги не суперечать законодавству України, можуть бути застосовані в Україні в установленому порядку шляхом посилання на них у національних та інших стандартах.

Таким чином виникає питання: що ж таке ІSO? Це міжнародна організація зі стандартизації, котра була створена в 1947 р., штаб-квартира в Женеві.

Першочерговою її метою було створення лише системи стандартів, яка б сприяла міжнародній торгівлі. Більшість країн світу мають національні представництва та національні комітети в ІSO. ІSO не працює наодинці. В своїй діяльності вона взаємодіє з іншими міжнародними організаціями зі стандартизації.

В галузі інформаційної безпеки такою організацією є для неї МЕК - Міжнародна електротехнічна комісія, котра була створена ще в 1906 р., метою її є встановлення міжнародних стандартів у всіх галузях, пов'язаних з електрикою, електронікою та радіотехнікою.

Саме з цієї причини правильною та повною назвою нашого стандарту є

ISO/IEC 17799 2005 Information Security Management Standard, тобто стандарт ІСО та МЕК з управління інформаційною безпекою. ІSO взаємодіє не лише з міжнародними спеціалізованими організаціями в галузі стандартизації, але й з найбільшими національними. Із цієї причини наш стандарт виник не на порожньому місці: він розроблений на основі британського стандарту BS 7799, що призначений для управління інформаційною безпекою організації незалежно від її сфери діяльності.

Даний стандарт припускає, що служба безпеки, ІT-відділ (відділ інформаційних технологій), керівництво компанії повинні працювати відповідно до загального регламенту, незалежно від того, мова йде про захист паперового документообігу чи електронних даних.

В останні кілька років ІSO 17799 почав упевнено просуватися по країнах СНД. У Республіці Бєларусь з 01.11.2004 р. став національним державним стандартом; у Молдові, завдяки позиції Національного Банку, всі банки з 2003 р. проходять регулярну перевірку на відповідність ІSO 17799; у Росії стандарт ІSO 17799 перевтілений у держстандарт: прийняття Держстандарту 17799 відбулося в 2006 р. [21]

Сьогодні стандарт ІSO 17799 міцно ввійшов у наше життя, ставши на практиці де-факто стандартом побудови систем управління інформаційною безпекою провідних компаній як в Європі та Азії, так і в країнах СНД. До 2005 р. навчальний курс, розроблений підприємством Dіgіtal Securіty, був єдиним у СНД курсом з цього стандарту. Вартість навчання на цих курсах - від 1000 до 2000 дол. США. До теперішнього часу в країнах СНД пройшли навчання кілька тисяч фахівців різних компаній, при цьому курс неодноразово проводився в таких містах як Київ, Дніпропетровськ, Одеса, Кишинів, Рига, Таллінн, Алмати, Ташкент, Москва.

...