Национальные стандарты информационной безопасности. Что такое стандарты информационной безопасности? риск: Влияние неопределенностей на процесс достижения поставленных целей

В данном разделе приводятся общие сведения и тексты национальных стандартов Российской Федерации в области защиты информации ГОСТ Р.

Актуальный перечень современных ГОСТов, разработанных в последние годы и планируемых к разработке. Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (ФСТЭК России). ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ПОРЯДОК СОЗДАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. Общие положения. Москва ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Дата введения 1996-01-01 Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения. Protection of information. Basic terms and definitions. Дата введения 2008-02-01 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ЗАЩИТА ИНФОРМАЦИИ. СИСТЕМА СТАНДАРТОВ. ОСНОВНЫЕ ПОЛОЖЕНИЯ (SAFETY OF INFORMATION. SYSTEM OF STANDARDS. BASIC PRINCIPLES) ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ИСПЫТАНИЯ ПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ. Типовое руководство (Information security. Software testing for the existence of computer viruses. The sample manual). Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model) ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 2. Security functional requirements) ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements) ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности. Information security of the public communications network providing system. Passport of the organization communications of information security. Дата введения в действие 30.09.2009. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. Protection of information. Information security provision in organizations. Basic terms and definitions. Дата введения в действие 30.09.2009. ГОСТ Р 53112-2008 Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний. Information protection. Facilities for measuring side electromagnetic radiation and pickup parameters. Technical requirements and test methods. Дата введения в действие 30.09.2009. ГОСТ Р 53115-2008 Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства. Information protection. Conformance testing of technical information processing facilities to unauthorized access protection requirements. Methods and techniques. Дата введения в действие 30.09.2009. ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Information technology. Protection of information technology and automated systems against security threats posed by use of covert channels. Part 2. Recommendations on protecting information, information technology and automated systems against covert channel attacks. Дата введения в действие 01.12.2009. ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. Information technology. Security techniques. Security assessment of operational systems. Дата введения в действие 30.09.2009. ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения. Information protection. Guidelines for recovery services of information and communications technology security functions and mechanisms. General. Дата введения в действие 30.09.2009. ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы. Information technology. Security techniques. A framework for IT security assurance. Part 1. Overview and framework. Дата введения в действие 01.07.2012. ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции. Information technology. Security techniques. Network security. Part 1. Overview and concepts. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems. Дата введения в действие 30.09.2009. ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. Information technology. Security techniques. Information security management. Measurement. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Information technology. Security techniques. Information security risk management. Дата введения в действие 01.12.2011. ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска (Risk management. Risk assessment methods). Дата введения в действие: 01.12.2012 ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство (Risk management. Principles and guidelines). Дата введения в действие: 31.08.2011 ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. Дата введения в действие: 30.06.1990. ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1» – вступает в силу 1 сентября 2015 г. ГОСТ Р ИСО/МЭК 27033-3-2014 «Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления» – вступает в силу 1 ноября 2015 г ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме» – вступает в силу 1 ноября 2015 г. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. Information technology. Security techniques. Code of practice for information security management. Дата введения в действие 01.01.2014. Код ОКС 35.040. ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования (Information protection. Secure Software Development. General requirements). Дата введения в действие 01.06.2017. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Information protection. Sequence of protected operational system formation. General. 01.09.2014 ГОСТ Р 7.0.97-2016 Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов (System of standards on information, librarianship and publishing. Organizational and administrative documentation. Requirements for presentation of documents). Дата введения в действие 01.07.2017. Код ОКС 01.140.20. ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер - Security of Financial (banking) Operations. Information Protection of Financial Organizations. Basic Set of Organizational and Technical Measures. ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования - Business continuity management systems. Requirements. ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению - Business continuity management systems. Guidance for implementation. ГОСТ Р ИСО/МЭК 27031-2012 Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса - Information technology. Security techniques. Guidelines for information and communication technology readiness for business continuity. ГОСТ Р МЭК 61508-1-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 1. General requirements. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-2-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 2. Requirements for systems. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-3-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ. Требования к программному обеспечению. IEC 61508-3:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 3: Software requirements (IDT). ГОСТ Р МЭК 61508-4-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ Часть 4 Термины и определения. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 4. Terms and definitions. Дата введения 2013-08-01. . ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3. IEC 61508-6:2010. Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (IDT). ГОСТ Р МЭК 61508-7-2012 Функциональная безопасность систем электрических, Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства. Functional safety of electrical electronic programmable electronic safety-related systems. Part 7. Techniques and measures. Дата введения 2013-08-01. ГОСТ Р 53647.6-2012. Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных

Важность обеспечения информационной безопасности сложно переоценить, так как необходимость хранить и передавать данные является неотъемлемой частью ведения любого бизнеса.

Различные способы информационной защиты зависят от того, в какой форме осуществляется ее хранение, однако для того, чтобы систематизировать и упорядочить данную область, необходимо установление стандартов обеспечения информационной безопасности, поскольку стандартизация является важным определителем качества в оценке предоставляемых услуг.

Любое обеспечение информационной безопасности нуждается в контроле и проверке, которая не может быть произведена только лишь методом индивидуальной оценки, без учета международных и государственных стандартов.

Формирование стандартов информационной безопасности происходит после четкого определения ее функций и границ. Информационная безопасность – это обеспечение конфиденциальности, целостности и доступности данных.

Для определения состояния информационной безопасности наиболее применима качественная оценка, так как выразить степень защищенности или уязвимости в процентном соотношении возможно, но это не дает полной и объективной картины.

Для оценки и аудита безопасности информационных систем можно применить ряд инструкции и рекомендаций, которые и подразумевают под собой нормативное обеспечение.

Государственные и международные стандарты информационной безопасности

Контроль и оценка состояния безопасности осуществляется путем проверки их соответствия стандартам государственным (ГОСТ, ИСО) и международным (Iso, Common criteris for IT security).

Международный комплекс стандартов, разработанных Международной Организацией по Стандартизации (ISO), представляет собой совокупность практик и рекомендаций по внедрению систем и оборудования информационной защиты.

ISO 27000 – один из самых применимых и распространенных стандартов оценки, включающий в себя более 15 положений, и имеющих последовательную нумерацию.

Согласно критериям оценки стандартизации ISO 27000, безопасность информации – это не только ее целостность, конфиденциальность и доступность, а также аутентичность, надежность, отказоустойчивость и идентифицируемость. Условно эту серию стандартов можно разделить на 4 раздела:

• обзор и введение в терминологию, описание терминов, применяемых в сфере обеспечения безопасности;
• обязательные требования к системе управления информационной безопасностью, подробное описание методов и средств управления системой. Является основным стандартом этой группы;
• рекомендации для аудита, руководство по мерам обеспечения безопасности;
• стандарты, рекомендующие практики внедрения, развития и усовершенствования системы управления информационной безопасностью.

К государственным стандартам обеспечения информационной безопасности относится ряд нормативных актов и документов, состоящих из более чем 30 положений (ГОСТ).

Различные стандарты направлены не только на установление общих критериев оценки, как например ГОСТ Р ИСО/МЭК 15408, содержащий методологические указания по оценке безопасности, перечень требований к системе управления. Они могут быть и специфическими, а также содержать в себе практическое руководство.

Правильная организация склада и его регулярный контроль работы поможет исключить хищение товарных и материальных ценностей, что негативно сказывается на финансовом благополучии любого предприятия, независимо от формы его собственности.

К моменту запуска система автоматизации склада проходит ещё два этапа: внутреннее тестирование и наполнение данными. После такой подготовки система запускается в полном объёме. Более подробно об автоматизации читайте тут.

Взаимосвязь и совокупность методик приводят к разработке общих положений и к слиянию международной и государственной стандартизаций. Так, ГОСТы РФ содержат дополнения и ссылки на международные стандарты ISO.

Такое взаимодействие помогает выработать единую систему контроля и оценки, что, в свою очередь, значительно повышает эффективность применения данных положений на практике, объективно оценивать результаты работы и в целом улучшать .

Сравнение и анализ национальных и международных систем стандартизации

Количество европейских норм стандартизации по обеспечению и контролю информационной безопасности значительно превышает те правовые нормы, которые устанавливает РФ.

В национальных государственных стандартах преобладающими являются положения о защите информации от возможного взлома, утечки и угроз ее потери. Иностранные системы защиты специализируются на разработке стандартов доступа к данным и осуществления аутентификации.

Различия имеются так же и в положениях, относящихся к осуществлению контроля и аудита систем . Кроме того, практика применения и внедрения системы управления информационной безопасностью европейской стандартизации проявляется практически во всех сферах жизни, а стандарты РФ в основном направлены на сохранение материального благосостояния.

Тем не менее, постоянно обновляющиеся государственные стандарты содержат необходимый минимальный набор требований, позволяющий создать грамотную систему управления информационной безопасностью.

Стандарты информационной безопасности передачи данных

Ведение бизнеса предполагает как хранение, так и обмен, и передачу данных посредством сети Интернет. В современном мире совершение валютных операций, осуществление коммерческой деятельности и перевод средств зачастую происходит в сети, и обеспечить информационную безопасность данной деятельности возможно, только лишь применяя, грамотный и профессиональный подход.

В сети интернет существует множество стандартов, обеспечивающих безопасное хранение и передачу данных, широко известные антивирусные программы защиты, специальные протоколы финансовых операций и множество других.

Скорость развития информационных технологий и систем настолько велика, что значительно опережает создание протоколов и единых стандартов для их использования.

Одним из популярных протоколов безопасной передачи данных является SSL (Secure Socket Layer), разработанный американскими специалистами. Он позволяет обеспечивать защиту данных с помощью криптографии.

Преимуществом данного протокола является возможность проверки и аутентификации, например , непосредственно перед обменом данными. Однако использование подобных систем при передаче данных является скорее рекомендательным, так как применение этих стандартов не являются обязательными для предпринимателей.

Для открытия ООО необходим устав предприятия. Процедура, которая разрабатывается в соответствии с законодательством РФ. Написать его можно самому, в качестве пособия взять типовой образец, а можно обратиться к специалистам, которые его напишут.

Начинающему бизнесмену, планирующему развивать собственный бизнес в статусе индивидуального предпринимателя, необходимо при заполнении заявления указать код экономической деятельности в соответствии с ОКВЭД. Подробности тут.

Для осуществления безопасных трансакций и операций был разработан протокол передачи SET (Security Electronic Transaction), позволяющий минимизировать риски при проведении коммерческих и торговых операций. Данный протокол является стандартом для платежных систем Visa и Master Card, позволяя использовать защитный механизм платежной системы.

Комитеты, проводящие стандартизацию интернет ресурсов, являются добровольными, поэтому осуществляемая ими деятельность не является правовой и обязательной к применению.

Однако мошенничество в сети интернет в современном мире признано одной из глобальных проблем, следовательно, обеспечить информационную безопасность без применения специальных технологий и их стандартизации просто невозможно.

Требования к знаниям и умениям

Студент должен иметь представление:

• о роли Гостехкомиссии в обеспечении информационной безопасности в РФ;

• о документах по оценке защищенности автоматизированных систем в РФ.

Студент должен знать:

• основное содержание стандартов по оценке защищенности автоматизированных систем в РФ.

Студент должен уметь:

• определять классы защищенных систем по совокупности мер защиты.

Ключевой термин

Ключевой термин: Стандарты информационной безопасности в РФ.

Стандарты информационной безопасности в РФ разрабатываются в рамках Гостехкомиссии РФ.

Второстепенные термины

• Гостехкомиссия и ее роль в обеспечении информационной безопасности в РФ.

• Документы по оценке защищенности автоматизированных систем в РФ.

Структурная схема терминов

1.7.1 Гостехкомиссия и ее роль в обеспечении информационной безопасности в РФ

В Российской Федерации информационная безопасность обеспечивается соблюдение указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов.

Наиболее общие документы были рассмотрены ранее при изучении правовых основ информационной безопасности. В РФ с точки зрения стандартизации положений в сфере информационной безопасности первостепенное значение имеют руководящие документы (РД) Гостехкомиссии России, одной из задач которой является «проведение единой государственной политики в области технической защиты информации».

Гостехкомиссия России ведет весьма активную нормотворческую деятельность, выпуская руководящие документы, играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на «Общие критерии».

За 10 лет своего существования Гостехкомиссия разработала и довела до уровня национальных стандартов десятки документов, среди которых:

• Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (Утверждено Председателем Гостехкомиссии России 25.11.1994 г.);

• Руководящий документ «Автоматизированные системы (АС). Защита от несанкционированного доступа (НСД) к информации. Классификация АС и требования к защите информации» (Гостехкомиссия России, 1997);

• Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1992 г.);

• Руководящий документ «Концепция защиты средств вычислительной техники от НСД к информации» (Гостехкомиссия России, 1992 г.);

• Руководящий документ «Защита от НСД к информации. Термины и определения» (Гостехкомиссия России, 1992 г.);

• Руководящий документ «Средства вычислительной техники (СВТ). Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997 г.);

• Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.);

• Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (Гостехкомиссия России, 2001г.).

1.7.2 Документы по оценке защищенности автоматизированных систем в РФ

Рассмотрим наиболее значимые из этих документов, определяющие критерии для оценки защищенности автоматизированных систем.

Устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Основой для разработки этого документа явилась «Оранжевая книга». Этот оценочный стандарт устанавливается семь классов защищенности СВТ от НСД к информации.

Самый низкий класс — седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

• Первая группа содержит только один седьмой класс, к которому относят все СВТ, неудовлетворяющие требованиям более высоких классов;

• Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

• Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

• Четвертая группа характеризуется верифицированной защитой и включает только первый класс.

устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

В документе определены девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

В таблице 2 приведены классы защищенности АС и требования для их обеспечения.

Таблица 1. Требования к защищенности автоматизированных систем

«-» нет требований к данному классу;

«+» есть требования к данному классу;

По существу в таблице 2 систематизированы минимальные требования, которым необходимо следовать, чтобы обеспечить конфиденциальность информации .

Требования по обеспечению целостность представлены отдельной подсистемой (номер 4).

Руководящий документ «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» является основным документом для анализа системы защиты внешнего периметра корпоративной сети. Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ.

Всего выделяется пять показателей защищенности:

• управление доступом;

• контроль целостности;

На основании показателей защищенности определяются следующие пять классов защищенности МЭ:

• простейшие фильтрующие маршрутизаторы – 5 класс ;

• пакетные фильтры сетевого уровня – 4 класс ;

• простейшие МЭ прикладного уровня – 3 класс ;

• МЭ базового уровня – 2 класс ;

• продвинутые МЭ – 1 класс .

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию «Особой важности». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки «совершенно секретной» информации и т.п.

Согласно первому из них, устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса – 3Б и 3А.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.

Выводы по теме

1. В Российской Федерации информационная безопасность обеспечивается соблюдением Указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов.

2. Стандартами в сфере информационной безопасности в РФ являются руководящие документы Гостехкомиссии России, одной из задач которой является «проведение единой государственной политики в области технической защиты информации».

3. При разработке национальных стандартов Гостехкомиссия России ориентируется на «Общие критерии».

Руководящий документ «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации» устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Этот оценочный стандарт устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты.

Руководящий документ «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

• наличие в АС информации различного уровня конфиденциальности;

• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

• режим обработки данных в АС – коллективный или индивидуальный.

Руководящий документ «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» является основным документом для анализа системы защиты внешнего периметра корпоративной сети. Данный документ определяет показатели защищенности межсетевых экранов. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

• управление доступом;

• идентификация и аутентификация;

• регистрация событий и оповещение;

• контроль целостности;

• восстановление работоспособности.

Контрольные вопросы:

1. Сколько классов защищенности СВТ от НСД к информации устанавливает РД «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации»?

2. Для создания эффективной системы защиты разработан ряд стандартов. Главная задача стандартов информационной безопасности - создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Многие правительственные организации и частные компании приобретают только такие системы, которые удовлетворяют определенным наборам требований. Наиболее значимые стандарты информационной безопасности: критерии безопасности компьютерных систем Министерства обороны США, US TCSEC (US Trusted Computer Systems Evaluation Criteria , «Оранжевая книга»; европейский Стандарт European ITSEC (Information Technology Security Evaluation Criteria ).

   Британский институт стандартов (BSI ) при участии коммерческих организаций: Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. разработал стандарт информационной безопасности. Стандарт был утвержден в 1998 г. и получил название «BS 7799 управление информационной безопасностью организации вне зависимости от сферы деятельности компании». Служба безопасности, информационный отдел, руководство компании должны работать согласно принятому регламенту. Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, Швеция и Нидерланды. В конце 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 .

   Группа государств, объединив свои усилия в рамках Международной организации по стандартизации (ISO) , разработала новый стандарт безопасности ISO 15408 , призванный отразить возросший уровень сложности технологий и растущую потребность в международной стандартизации. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации Информационных Технологий (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

   Стандарт пришел на смену старым методикам оценки. Он получил известность как Стандарт Common Criteria for Information Technology Security Evaluation (CCITSE – общие критерии оценки безопасности информационных технологий) и был утвержден в качестве международного в 1999 году. Страны, ратифицировавшие Common Criteria , рассчитывают, что использование этого стандарта приведет к повышению надежности продуктов, в которых применяются технологии защиты данных. Он поможет потребителям информационных технологий лучше ориентироваться при выборе программного обеспечения, и будет способствовать повышению уверенности пользователей в безопасности информационных продуктов.

   
   
   

   В соответствии с требованиями Common Criteria продукты определенного класса (например, операционные системы) оцениваются на соответствие ряду функциональных критериев и критериев надежности – «профилей защиты» (Protection Profiles ). Существуют различные определения профилей защиты в отношении операционных систем, брандмауэров, смарт-карт и прочих продуктов, которые должны соответствовать определенным требованиям в области безопасности. Например, профиль защиты систем с разграничением доступа (Controlled Access Protection Profile) действует в отношении операционных систем и должен заменить старый уровень защиты С2. Стандарт Common Criteria также устанавливает ряд гарантированных уровней соответствия Evaluation Assurance Levels (EAL) , используемых при оценке продуктов.

   Сертификация на более высокий уровень EAL означает более высокую степень уверенности в том, что система защиты продукта работает правильно и эффективно. Профили защиты для уровней EAL1-EAL4 являются общими для всех стран, поддерживающих стандарт Common Criteria . Для высших уровней EAL5-EAL7 профили защиты индивидуально разрабатываются каждой страной для учета национальных особенностей защиты государственных секретов. Поэтому EAL4 является высшим уровнем, которого могут достигнуть продукты, не создававшиеся изначально с учетом соответствия требованиям EAL5-EAL7 .

   Признание соответствия того или иного продукта стандарту Common Criteria происходит лишь после прохождения им весьма строгой и длительной процедуры проверки.

   Данный стандарт является гарантией качества: принимая решение о приобретении информационного продукта, пользователи могут оценить его на основе результатов строгого независимого тестирования, учитывающего весь комплекс критериев. Таким образом, стандарт Common Criteria способствует повышению требований к качеству продуктов и позволяет утверждать, что продукт обладает надежной защитой. Преимущества стандарта Common Criteria :

   Стандарт помогает пользователям объективно оценивать защищенность информационных продуктов;

   Пользователи могут применять четкие и универсальные критерии для оценки собственных потребностей и выбора необходимого уровня защиты;

   Пользователям становится проще определить, соответствует ли конкретный продукт их требованиям в области безопасности;

   Пользователи могут доверять оценкам, сделанным в ходе аттестации на соответствие стандарту, поскольку оценивание производится независимой тестирующей лабораторией; государственные структуры и крупные компании все чаще ориентируются на этот стандарт при принятии решений о покупке;

   Поскольку Common Criteria является международным стандартом, организации, использующие сертифицированные по этому стандарту продукты, будут удовлетворять требованиям безопасности, которые предъявляются к филиалам этой организации в каждой стране.

   Стандарт Common Criteria ISO 15408 является также государственным стандартом России. С 1 января 2004 года были введены в действие следующие государственные стандарты:

   ГОСТ Р ИСО/МЭК 15408-1-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель;

   ГОСТ Р ИСО/МЭК 15408-2-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2.Функциональные требования безопасности;

   ГОСТ Р ИСО/МЭК 15408-3-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3.Требования доверия к безопасности.

   Главные преимущества стандартов - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Принятие новых стандартов и взаимное международное признание сертификатов стандарта Common Criteria позволяют:

   Пользователям сократить свои затраты на сертификацию продуктов;

   Сертифицирующим органам привлечь дополнительный поток заказов на сертификацию из-за рубежа;

   Производителям российских высокотехнологичных продуктов получить международные сертификаты в России;

   Среди различных стандартов по безопасности информационных технологий, существующих в нашей стране, следует выделить ряд документов, регламентирующих защиту взаимосвязи открытых систем; нормативных документов по средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем; документов, ориентированных преимущественно на защиту государственной тайны (табл. 6.1.)

   Таблица 6.1.

   Нормативные документы, регламентирующие оценку защищенности информационных технологий

   № п/п	Номер документа	Описание
   	ГОСТ Р ИСО 7498-2-99	Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
   	ГОСТ Р ИСО/МЭК 9594-8-98	Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации
   	ГОСТ Р ИСО/МЭК 9594-9-95	Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование
   	-	Руководящий документ Гостехкоммиссии «РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997)
   	ГОСТ Р 50739-95	Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
   	ГОСТ 28147-89	Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования
   	ГОСТ Р 34.10-94	Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма
   	ГОСТ Р 34.11-94	Информационная технология. Криптографическая защита информации. Функция хэширования

   Безопасность программных продуктов начинается с качественно написанного и прошедшего всестороннее тестирование кода. Затем используются технологии поиска, исправления и ликвидации найденных уязвимых мест в системе защиты. На последнем этапе производится проверка на соответствие общепризнанным стандартам.

   Пример. В октябре 2002 года корпорация Microsoft для платформы Microsoft Windows 2000 получила международный сертификат по «Общим критериям» для самого широкого среди сертифицированных операционных систем спектра реальных сценариев применения, определенных условиями стандарта Common Criteria . 12 февраля 2004 года представителями Государственной технической комиссии при Президенте Российской Федерации операционная система Microsoft Windows XP (Service Pack 1a) была сертифицирована на соответствие российским требованиям по безопасности информации.

   ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

   ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

   Предисловие

   Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

   Сведения о стандарте

   1 РАЗРАБОТАН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»), Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл»)

   2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

   3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. № 532-ст

   4 ВВЕДЕН ВПЕРВЫЕ

   Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

   1 Область применения 3 Термины и определения 3.1 Общие понятия 3.2 Термины, относящиеся к объекту защиты информации 3.3 Термины, относящиеся к угрозам безопасности информации 3.4 Термины, относящиеся к менеджменту информационной безопасности организации 3.5 Термины, относящиеся к контролю и оценке информационной безопасности организации 3.6 Термины, относящиеся к средствам обеспечения информационной безопасности организации Алфавитный указатель терминов Приложение А (справочное)Термины и определения общетехнических понятий Приложение Б (справочное)Взаимосвязь основных понятий в области обеспечения информационной безопасности в организации Библиография

   Введение

   Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

   Для каждого понятия установлен один стандартизованный термин.

   Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы, В алфавитном указателе данные термины приведены отдельно.

   Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

   Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

   Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

   Стандартизованные термины набраны полужирным шрифтом, их краткие формы в тексте и в алфавитном указателе, в том числе аббревиатуры, - светлым, а синонимы - курсивом.

   Термины и определения общетехнических понятий, необходимые для понимания текста основной части настоящего стандарта, приведены в приложении А.