Информационная безопасность

·  предупреждение, выявление  и пресечение правонарушений, связанных  с посягательствами на законные интересы граждан, общества и государства  в информационной сфере, на осуществление  судопроизводства по делам о преступлениях  в этой области;

·  развитие отечественной  информационной инфраструктуры, а также  индустрии телекоммуникационных и  информационных средств, повышение  их конкурентоспособности на внутреннем и внешнем рынке;

·  проведение единой технической  политики в области обеспечения  информационной безопасности Российской Федерации;

·  организация фундаментальных  и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;

·  защита государственных  информационных ресурсов, прежде всего  в федеральных органах государственной  власти и органах государственной  власти субъектов Российской Федерации, на предприятиях оборонного комплекса;

·  обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;

·  осуществление международного сотрудничества в сфере обеспечения  информационной безопасности, представление  интересов Российской Федерации  в соответствующих международных  организациях.

Компетенция федеральных  органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения  информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.

Функции органов, координирующих деятельность федеральных органов  государственной власти, органов  государственной власти субъектов  Российской Федерации, других государственных  органов, входящих в состав системы  обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации.

Информационная безопасность Российской Федерации затрагивает  все сферы общественной жизни.

 

1.4.  Стандарты безопасности  Гостехкомиссии. Стандарты Европы и США

РД Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.

Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".

РД "СВТ. Защита от НСД  к информации. Показатели защищенности от НСД к информации"

РД "СВТ. Защита от НСД  к информации. Показатели защищенности от НСД к информации" устанавливает  классификацию СВТ по уровню защищенности от НСД к информации на базе перечня  показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при  разработке этого документа послужила  знаменитая американская "Оранжевая  книга"). Устанавливается семь классов  защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

Первая группа содержит только один седьмой класс, к которому относят  все СВТ, не удовлетворяющие требованиям  более высоких классов;

Вторая группа характеризуется  дискреционной защитой и содержит шестой и пятый классы;

Третья группа характеризуется  мандатной защитой и содержит четвертый, третий и второй классы;

Четвертая группа характеризуется верифицированной защитой содержит только первый класс.

РД "АС. Защита от НСД к  информации. Классификация АС и требования по защите информации"

РД "АС. Защита от НСД к  информации. Классификация АС и требования по защите информации" устанавливает  классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

·  наличие в АС информации различного уровня конфиденциальности;

·  уровень полномочий субъектов доступа АС на доступ к  конфиденциальной информации;

·  режим обработки  данных в АС - коллективный или индивидуальный.

Устанавливается девять классов  защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три  группы, отличающиеся особенностями  обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации"

При анализе системы защиты внешнего периметра корпоративной  сети в качестве основных критериев  целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к  информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего  выделяется пять показателей защищенности:

·  Управление доступом;

 

·  Идентификация и  аутентификация;

·  Регистрация событий  и оповещение;

·  Контроль целостности;

·  Восстановление работоспособности.

На основании показателей  защищенности определяются следующие  пять классов защищенности МЭ:

·  Простейшие фильтрующие маршрутизаторы - 5 класс;

·  Пакетные фильтры сетевого уровня - 4 класс;

·  Простейшие МЭ прикладного  уровня - 3 класс;

·  МЭ базового уровня - 2 класс;

·  Продвинутые МЭ - 1 класс.

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.

Также к стандартам России в области информационной безопасности относятся:

·  Гост 28147-89 – блочный  шифр с 256-битным ключом;

·  Гост Р 34.11-94 –функция хэширования;

·  Гост Р 34.10-94 –алгоритм цифровой подписи.

Существует много защит  информационной безопасности.

Европейские стандарты безопасности

ISO 15408: Common Criteria for Information Technology Security Evaluation

Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

Общие критерии оценки безопасности информационных технологий (далее "Общие  критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

Хотя применимость "Общих  критериев" ограничивается механизмами  безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно  связаны с описываемыми функциями  безопасности.

Первая часть "Общих  критериев" содержит определение  общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части "Общих критериев" и могут  быть непосредственно использованы при анализе защищенности для  оценки полноты реализованных в АС (СВТ) функций безопасности.

Третья часть "Общих  критериев" содержит классы требований гарантированности оценки, включая  класс требований по анализу уязвимостей  средств и механизмов защиты под  названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

·  Наличие побочных каналов  утечки информации;

·  Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;

·  Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции  безопасности;

·  Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям  получать НСД к информации в обход  существующих механизмов защиты.

ISO 17799: Code of Practice for Information Security Management

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.

ISO 17799 содержит практические  правила по управлению информационной  безопасностью и может использоваться  в качестве критериев для оценки  механизмов безопасности организационного  уровня, включая административные, процедурные и физические меры  защиты.

Практические правила  разбиты на следующие 10 разделов:

·  Политика безопасности;

·  Организация защиты;

·  Классификация ресурсов и их контроль;

·  Безопасность персонала;

·  Физическая безопасность;

·  Администрирование  компьютерных систем и вычислительных сетей;

·  Управление доступом;

·  Разработка и сопровождение  информационных систем;

·  Планирование бесперебойной  работы организации;

·  Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее  время в правительственных и  коммерческих организациях во многих странах мира.

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в  данном контексте понимаются механизмы  управления информационной безопасностью  организации.

Ключевыми являются следующие  средства контроля:

·  Документ о политике информационной безопасности;

·  Распределение обязанностей по обеспечению информационной безопасности;

·  Обучение и подготовка персонала к поддержанию режима информационной безопасности;

·  Уведомление о случаях  нарушения защиты;

·  Средства защиты от вирусов;

·  Планирование бесперебойной  работы организации;

·  Контроль над копированием программного обеспечения, защищенного  законом об авторском праве;

·  Защита документации организации;

·  Защита данных;

·  Контроль соответствия политике безопасности.

Процедура аудита безопасности АС включает в себя проверку наличия  перечисленных ключевых средств  контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в  данной среде функционирования. Составной  частью работ по аудиту безопасности АС также является анализ и управление рисками.

 

Стандарты безопасности США

"Оранжевая книга "

"Department of Defense Trusted Computer System Evaluation Criteria"

OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное

название документа "Department of Defense Trusted Computer System Evaluation Criteria".

OK предназначается для  следующих целей:

·  Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные  системы, удовлетворяющие требованиям  гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия  данных) для использования при  обработке ценной информации;

·  Предоставить DOD метрику  для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;

·  Обеспечить базу для  исследования требований к выбору защищенных систем.

Рассматривают два типа оценки:

·  без учета среды, в которой работает техника;

·  в конкретной среде (эта процедура называется аттестованием).

Во всех документах DOD, связанных  с ОК, принято одно понимание фразы обеспечение безопасности информации. Это понимание принимается как аксиома и формулируется следующим образом: безопасность = контроль за доступом.

Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.

1.  Класс (D): Минимальная защита

2.  Класс (C1): Защита, основанная  на разграничении доступа (DAC)

3.  Класс (С2): Защита, основанная на управляемом контроле доступом

4.  Класс(B1): Мандатная  защита, основанная на присваивании  меток объектам и субъектам,  находящимся под контролем ТСВ

5.  Класс (B2): Структурированная  защита

6.  Класс (ВЗ): Домены  безопасности

7.  Класс (A1): Верифицированный  проект

FIPS 140-2 "Требования безопасности  для криптографических модулей"

В федеральном стандарте  США FIPS 140-2 "Требования безопасности для криптографических модулей" под криптографическим модулем  понимается набор аппаратных и/или  программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические  алгоритмы, генерацию и распределение  криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.