Главная

Необходимость создания политики безопасности

Как обосновать затраты на информационную безопасность?

Нормативная база анализа защищенности информационных технологий

Методика анализа защищенности информационных технологий

Программные средства проверки политики безопасности на соответствие требованиям ISO 17799

Протоколирование и аудит

Методы проведения активного аудита

Стандарты в области активного аудита

Примеры систем активного аудита

Наиболее значимыми нормативными документами, определяющими критерии оценки защищенности и требования, предъявляемые к механизмам защиты, являются «Общие критерии оценки безопасности информационных технологий» (The Common Criteria for Information Technology Security Evaluation/ISO 15408) и «Практические правила управления информационной безопасностью» (Code of practice for Information security management/ISO 17799). Кроме этого, в нашей стране первостепенное значение имеют Руководящие документы Гостехкомиссии. В других странах их место занимают соответствующие национальные стандарты.

ISO 15408

Наиболее полно критерии оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408, принятом в 1999 году. «Общие критерии» определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements). «Общие критерии» целесообразно использовать для оценки уровня защищенности с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.

Хотя применимость «Общих критериев» ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Первая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части стандарта и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных функций безопасности.

Третья часть содержит требования к адекватности реализации функций безопасности — так называемые требования гарантированности оценки. С точки зрения оценки защищенности АС особый интерес представляет класс требований по анализу уязвимостей средств и механизмов защиты (Vulnerability Assessment). Он определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

• наличия побочных каналов утечки информации;
• ошибки в конфигурации, либо неправильном использовании системы, приводящем к ее переходу в небезопасное состояние;
• недостаточной стойкости механизмов безопасности, реализующих соответствующие функции;
• наличие уязвимостей в средствах защиты информации, позволяющих пользователям получать доступ к информации в обход существующих механизмов защиты.

Соответствующие требования гарантированности оценки содержатся в следующих четырех семействах требований:

• Covert Channel Analysis (анализе каналов утечки информации);
• Misuse (ошибке в конфигурации, либо неправильном использовании системы, приводящем к переходу системы в небезопасное состояние);
• Strength of TOE Security Functions (стойкость функций безопасности, обеспечиваемая их реализацией);
• Vulnerability Analysis (анализ уязвимостей).

При проведении работ по аудиту безопасности, перечисленные семейства требований могут использоваться в качестве руководства и критериев для анализа уязвимостей.

ISO 17799

Несколько лет назад Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и других, занялся разработкой стандарта информационной безопасности. В 1995 году был принят национальный стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. Служба безопасности, IT-отдел, руководство компаний начали работать согласно общему регламенту. Неважно, шла ли речь о защите бумажного документооборота или электронных данных.

Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В 2000 году международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799. Можно сказать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание.

Ниже приведены основные разделы стандарта ISO 17799:

1. Политика безопасности
2. Организационные меры по обеспечению безопасности
   • Управление форумами по информационной безопасности
   • Координация вопросов, связанных с информационной безопасностью
   • Распределение ответственности за обеспечение безопасности
3. Классификация и управление ресурсами
   • Инвентаризация ресурсов
   • Классификация ресурсов
4. Безопасность персонала
   • Безопасность при выборе и работе с персоналом
   • Тренинги персонала по вопросам безопасности
   • Реагирование на секьюрити инциденты и неисправности
5. Физическая безопасность
6. Управление коммуникациями и процессами
   • Рабочие процедуры и ответственность
   • Системное планирование
   • Защита от злонамеренного программного обеспечения (вирусов, троянских коней)
   • Управление внутренними ресурсами
   • Управление сетями
   • Безопасность носителей данных
   • Передача информации и программного обеспечения
7. Контроль доступа
   • Бизнес требования для контроля доступа
   • Управление доступом пользователя
   • Ответственность пользователей
   • Контроль и управление удаленного (сетевого) доступа
   • Контроль доступа в операционную систему
   • Контроль и управление доступом к приложениям
   • Мониторинг доступа и использования систем
   • Мобильные пользователи
8. Разработка и техническая поддержка вычислительных систем
   • Требования по безопасности систем
   • Безопасность приложений
   • Криптография
   • Безопасность системных файлов
   • Безопасность процессов разработки и поддержки
9. Управление непрерывностью бизнеса
   • Процесс управления непрерывного ведения бизнеса
   • Непрерывность бизнеса и анализ воздействий
   • Создание и внедрение плана непрерывного ведения бизнеса
   • Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса
10. Соответствие системы основным требованиям
    • Соответствие требованиям законодательства
    • Анализ соответствия политики безопасности
    • Анализ соответствия техническим требованиям
    • Анализ соответствия требованиям системного аудита

В этих разделах содержится описание механизмов организационного уровня, реализуемых в настоящее время в государственных и коммерческих организациях во многих странах.

Десять ключевых средств контроля (механизмов управления информационной безопасностью), предлагаемых в ISO 17799, считаются особенно важными. При использовании некоторых из средств контроля, например, шифрования, могут потребоваться советы специалистов по безопасности и оценка рисков. Для обеспечения защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799.

Ключевые средства контроля представляют собой либо обязательные требования (например, требования действующего законодательства), либо считаются основными структурными элементами информационной безопасности (например, обучение правилам безопасности). Эти средства актуальны для всех организаций и составляют основу системы управления информационной безопасностью. Они служат в качестве основы для организаций, приступающих к реализации средств управления информационной безопасностью. К ключевым отнесены следующие средства контроля:

• документ о политике информационной безопасности;
• распределение обязанностей по обеспечению информационной безопасности;
• обучение и подготовка персонала к поддержанию режима информационной безопасности;
• уведомление о случаях нарушения защиты;
• средства защиты от вирусов;
• планирование бесперебойной работы организации;
• контроль над копированием программного обеспечения, защищенного законом об авторском праве;
• защита документации организации;
• защита данных;
• контроль соответствия политике безопасности.

Процедура аудита безопасности АС по стандарту ISO 17799 включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту также является анализ и управление рисками.

ISO 17799 в странах СНГ и России

В последние несколько лет ISO 17799 начал уверенно продвигаться в странах СНГ. В Молдове, например, благодаря позиции Национального Банка уже более года все банки проходят регулярную проверку на соответствие ISO 17799. В ближайшее время в Молдове ISO 17799 получит статус государственного стандарта.

В Украине также существуют планы принятия данного стандарта в качестве государственного — эту позицию озвучил представитель Службы Безопасности Украины, выступавший в 2002 году в Киеве на одном из семинаров компании Digital Security.

В России стандарт ISO 17799 пока не имеет статус государственного. Однако можно ждать изменения в скором будущем подобной ситуации. Государственная Техническая Комиссия при Президенте РФ уже отказалась от использования собственных стандартов защищенности автоматизированных систем и принимает ГОСТ 15408 (ISO 15408). Возможно, что то же самое в ближайшие годы произойдет и с ISO 17799 и нам следует готовиться к появлению в России ГОСТа 17799.

Преимущества, получаемые компанией после прохождения сертификации по ISO 17799

Какие преимущества получает компания, которая провела аудит безопасности своих информационных ресурсов и получила сертификат соответствия системы управления информационной безопасности по стандарту ISO 17799?

Прежде всего, после проведения аудита информационная система компании становится «прозрачнее» для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и по устранению недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью, как для повышения реального уровня защищенности, так и для соответствия стандарту.

Сертификация на соответствие стандарту ISO 17799 (BS 7799) позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. Это обеспечивает компании дополнительное конкурентное преимущество.

Кроме того, говоря о сертификации по ISO 17799, стоит принять во внимание согласованную с ВТО процедуру принятия России в данную организацию. Эта процедура потребует адекватной реакции от наиболее значимых в экономике России структур и адаптации стратегии развития в области информационных технологий с учетом международных стандартов безопасности, таких как ISO 17799.

Практика прохождения аудита и получения сертификата ISO 17799

Для получения сертификата соответствия ISO 17799 компания должна пройти процедуру аудита информационной безопасности, провести подготовку информационной системы на соответствие требованиям стандарта, внедрить изменения и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов.

Предварительный этап заключается в проведении аудита, на основании которого производится подготовка необходимых изменений системы управления информационной безопасностью. Его может выполнить специализированная компания, имеющая опыт в проведение подобных работ.

Затем, после подготовки комплекта необходимых документов и внесения изменений в систему, необходимо провести итоговую проверку соответствия стандарту ISO 17799, для чего требуется участие специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при United Kingdom Accreditation Service (UKAS), уполномоченном государственном органе Великобритании. Также, отметим, что в настоящее время до выхода 2-ой части ISO 17799 — требования к аудиторам, которая намечена на 2004 год, официальная сертификация возможно только по BS 7799. Однако между ISO и UKAS существует соглашение, согласно которому после принятия второй части ISO 17799 все сертификаты BS 7799 автоматически получат статус ISO 17799.

Руководящие документы Гостехкомиссии

В общем случае, в нашей стране при решении задач защиты информации должно обеспечиваться соблюдение указов Президента, федеральных законов, постановлений Правительства, Руководящих документов Гостехкомиссии, ФАПСИ и других нормативных документов.

Критерии оценки механизмов защиты программно-технического уровня выражены в Руководящих документах Гостехкомиссии «АС. Защита от НСД к информации. Классификация АС и требования по защите информации», «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации», а также «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации». Однако сегодня эти Руководящие документы уже устарели, и содержащуюся в них классификацию нельзя признать состоятельной. Достаточно заметить, что классификация разрабатывалась без учета распределенной природы современных АС, а все современные коммерческие системы по своим возможностям превосходят требования первого класса защищенности за исключением требования по использованию сертифицированных криптографических алгоритмов. Развитием нормативной базы является разработка «Профилей защиты» для различных классов систем на базе «Общих критериев». К настоящему времени создано уже значительное количество англоязычных профилей защиты; усилия в этом направлении предпринимаются и в России.

Проект Руководящих документов «Специальные требования и рекомендации по защите конфиденциальной информации» (СТР-К), официально еще не принятый, содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой информации, информации, обрабатываемой средствами вычислительной техники, а также по защите информации при подключении к сетям общего пользования. Рассматриваются, в частности, следующие вопросы:

• защита информации на рабочих местах на базе автономных ПК;
• защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПК;
• защита информации в локальных сетях;
• защита информации при межсетевом взаимодействии;
• защита информации при работе с системами управления базами данных.

СТР-К может использоваться при проведении аудита и аттестации безопасности АС для оценки полноты и правильности реализации организационных мер защиты информации.

Аттестация АС и сертификация средств вычислительной техники по требованиям безопасности информации, аудит и обследование безопасности в отдельных случаях предполагают использование и других нормативных документов; их полный набор можно найти на официальном сайте Гостехкомиссии.

(Источник информации: www.osp.ru Александр Астахов  — сотрудник компании United Financial Group (Москва);

www.ixbt.com Илья Медведовский - директор компании Digital Security)