Аспекты информационной безопасности Введение Проблема обеспечения безопасности информационных технологий занимает все более значительное место в реализации компьютерных систем и сетей по мере того, как возрастает их роль в информатизации общества. Обеспечение безопасности информационных технологий представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения информационных технологий, совершенствования методов и средств их разработки, развития системы сертификации, обеспечения соответствующих организационно-технических условий эксплуатации. Наиболее значимыми нормативными документами, определяющими критерии оценки защищенности и требования, предъявляемые к механизмам защиты, являются «Общие критерии оценки безопасности информационных технологий» (The Common Criteria for Information Technology Security Evaluation/ISO 15408) и «Практические правила управления информационной безопасностью» (Code of practice for Information security management/ISO 17799). Первый из упомянутых документов переведён на русский язык и принят в этом году в качестве Государственного стандарта ГОСТ Р ИСО/МЭК 15408– 2002. Учитывая интеграцию РФ в мировое информационное пространство, данный документ заменит руководящие документы (РД) Гостехкомиссии РФ: «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации», «Средства вычислительной техники. Защита от НСД к информации. Показатели защищённости от НСД к информации», — как устаревшие и не отвечающие мировым стандартам безопасности информационных технологий. 1. Общие критерии (ГОСТ Р ИСО/МЭК 15408–2002) Наиболее полно критерии оценки механизмов безопасности программно-технического уровня представлены в ГОСТ Р ИСО/МЭК 15408–2002, принятом в 2002 году и вступающем в действие в 2004 году. Общие критерии направлены на защиту информации от потери возможности её использования модификации или несанкционированного раскрытия. Категории защиты, относящиеся к этим трём типам нарушения безопасности, обычно называют доступностью, целостностью и конфиденциальностью соответственно. Общие критерии могут быть также применены к тем аспектам безопасности информационных технологий, которые выходят за пределы этих трёх понятий. В отличии от «Оранжевой книги» (и созданных на её основе РД Гостехкомиссии РФ), где подход к безопасности выполнен на основе универсальной шкалы классов безопасности, предлагается независимое ранжирование требований по каждой группе. Таким образом, вместо одной шкалы используется множество частных критериев, характеризующих обеспечиваемый уровень безопасности. Такой подход также называется сервисным подходом, т.е. для обеспечения безопасности используются различные сервисы или их наборы. В ОК определяют две категории требований безопасности: 1) функциональные требования и 2) требования доверия. Функциональные требования налагаются на те функции объекта оценки, которые предназначены для поддержания безопасности ИТ и определяют желательный безопасный режим функционирования объекта оценки. Примерами функциональных требований являются требования к 1) доступности, 2) целостности, 3) конфиденциальности, 4) идентификации, 5) аутентификации, 6) авторизации, 7) аудиту безопасности, 8) неотказуемости источника. Отметим, что первые три из вышеперечисленных пунктов ранее использовались как основные требования к безопасности. Теперь к ним добавлены обязательные требования по аудиту и неотказуемости источника, а также конкретизированы первые три основные требования. Доверие к тому, что цели безопасности достигаются посредством выбранных функций безопасности, зависит от следующих факторов: 1) уверенности в корректности реализации функций безопасности, т.е. оценки того, правильно ли они реализованы; 2) уверенности в эффективности функций безопасности, т.е. оценки того, действительно ли они отвечают изложенным целям безопасности. В стандарте содержатся требования к адекватности реализации функций безопасности — так называемые требования гарантированности оценки. С точки зрения оценки защищенности автоматизированных систем особый интерес представляет класс требований по анализу уязвимостей средств и механизмов защиты (Vulnerability Assessment). Он определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей: наличия побочных каналов утечки информации; ошибки в конфигурации, либо неправильном использовании системы, приводящем к ее переходу в небезопасное состояние; недостаточной стойкости механизмов безопасности, реализующих соответствующие функции; наличие уязвимостей в средствах защиты информации, позволяющих пользователям получать доступ к информации в обход существующих механизмов защиты. Соответствующие требования гарантированности оценки содержатся в следующих четырех семействах требований: анализе каналов утечки информации (Covert Channel Analysis); ошибке в конфигурации, либо неправильном использовании системы, приводящем к переходу системы в небезопасное состояние (Misuse); стойкость функций безопасности, обеспечиваемая их реализацией (Strength of TOE Security Functions); анализ уязвимостей (Vulnerability Analysis). При проведении работ по аудиту безопасности, перечисленные семейства требований могут использоваться в качестве руководства и критериев для анализа уязвимостей. 2. Практические правила управления информационной безопасностью (ISO 17799) Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в еще одном международном стандарте ISO 17799, принятом в 2000 году. Данный стандарт, являющийся международной версией британского стандарта BS 7799, содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Практические правила разбиты на десять разделов. 1. Политика безопасности. 2. Организация защиты. 3. Классификация ресурсов и их контроль. 4. Безопасность персонала. 5. Физическая безопасность. 6. Администрирование компьютерных систем и сетей. 7. Управление доступом. 8. Разработка и сопровождение информационных систем. 9. Планирование бесперебойной работы организации. 10. Контроль выполнения требований политики безопасности. Десять ключевых средств контроля (механизмов управления информационной безопасностью), предлагаемых в ISO 17799, считаются особенно важными. При использовании некоторых из средств контроля, например, шифрования, могут потребоваться советы специалистов по безопасности и оценка рисков. Для обеспечения защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799. Ключевые средства контроля представляют собой либо обязательные требования (например, требования действующего законодательства), либо считаются основными структурными элементами информационной безопасности (например, обучение правилам безопасности). Эти средства актуальны для всех организаций и составляют основу системы управления информационной безопасностью. Они служат в качестве основы для организаций, приступающих к реализации средств управления информационной безопасностью. К ключевым отнесены следующие средства контроля: документ о политике информационной безопасности; распределение обязанностей по обеспечению информационной безопасности; обучение и подготовка персонала к поддержанию режима информационной безопасности; уведомление о случаях нарушения защиты; средства защиты от вирусов; планирование бесперебойной работы организации; контроль над копированием программного обеспечения, защищенного законом об авторском праве; защита документации организации; защита данных; контроль соответствия политике безопасности. Процедура аудита безопасности автоматизированных систем по стандарту ISO 17799 включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту также является анализ и управление рисками. Заключение Таким образом, для обеспечения безопасности информационной безопасности современных продуктов информационных технологий необходимо соответствие современным международным стандартам безопасности.