Гармонизированные критерии европейских стран
Следуя по пути интеграции, европейские страны приняли согласованные критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC), опубликованные в июне 1991 года от имени соответствующих органов четырех стран – Франции, Германии, Нидерландов и Великобритании. Выгода от использования согласованных критериев очевидна для всех – и для производителей, и для потребителей, и для самих органов сертификации.
Европейские критерии включают следующие основные составляющие информационной безопасности:
· конфиденциальность, то есть защиту от несанкционированного получения информации;
· целостность, то есть защиту от несанкционированного изменения информации;
· доступность, то есть защиту от несанкционированного удержания информации и ресурсов.
В критериях проводится различие между системами и продуктами. Система – это конкретная аппаратно-программная конфигурация, построенная с вполне определенными целями и функционирующая в известном окружении. Продукт – это аппаратно-программный "пакет", который можно купить и по своему усмотрению встроить в ту или иную систему. Таким образом, с точки зрения информационной безопасности, основное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое можно определить и изучить сколь угодно детально, а продукт должен быть рассчитан на использование в различных условиях. Угрозы безопасности системы носят вполне конкретный и реальный характер. Относительно угроз продукту можно лишь строить предположения. Разработчик может специфицировать условия, пригодные для функционирования продукта; дело покупателя – обеспечить выполнение этих условий.
Из практических соображений важно обеспечить единство критериев оценки продуктов и систем, например, чтобы облегчить и удешевить оценку системы, составленной из ранее сертифицированных продуктов. В этой связи для систем и продуктов вводится единый термин – объект оценки. В соответствующих местах делаются оговорки, какие требования относятся исключительно к системам, а какие – только к продуктам.
Каждая система и/или продукт предъявляет свои требования к обеспечению конфиденциальности, целостности и доступности. Чтобы удовлетворить эти требования, необходимо предоставить соответствующий набор функций (сервисов) безопасности, таких как идентификация и аутентификация, управление доступом или восстановление после сбоев.
Сервисы безопасности реализуются посредством конкретных механизмов.
Чтобы объект оценки можно было признать надежным, необходима определенная степень уверенности в наборе функций и механизмов безопасности. Степень уверенности в предлагаемом стандарте называется гарантированностью. Гарантированность может быть большей или меньшей в зависимости от тщательности проведения оценки.
Гарантированность затрагивает два аспекта – эффективность и корректность средств безопасности. При проверке эффективности анализируется соответствие между целями, сформулированными для объекта оценки, и имеющимся набором функций безопасности. Точнее говоря, рассматриваются вопросы адекватности функциональности, взаимной согласованности функций, простоты их использования, а также возможные последствия эксплуатации известных слабых мест защиты. Кроме того, в понятие эффективности входит способность механизмов защиты противостоять прямым атакам (мощность механизма). Определяются три градации мощности – базовая, средняя и высокая.
Они определяют следующее:
Базовый – способность противостоять отдельным случайным атакам;
Средний – способность противостоять злоумышленникам с ограниченными ресурсами и возможностями;
Высокий – механизм может быть побежден только злоумышленником высокой квалификации с набором возможностей и ресурсов, выходящих за пределы практичности.
В критериях вводят термин – корректность, под которой понимается правильность реализации функций и механизмов безопасности. Используется семь возможных уровней гарантированности корректности – от Е0до Е6 (в порядке возрастания). Уровень Е0 обозначает гарантированное отсутствие (аналог уровня D "Оранжевой книги"). При проверке корректности анализируется весь жизненный цикл объекта оценки – от проектирования до эксплуатации и сопровождения.
Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности корректности. Теоретически эти два аспекта независимы, хотя на практике нет смысла проверять правильность реализации "по высшему разряду", если механизмы безопасности не обладают даже средней мощностью.
В европейских критериях средства, имеющие отношение к информационной безопасности, рассматриваются на трех уровнях детализации. Наиболее абстрактный взгляд касается лишь целей безопасности. На этом уровне получают ответ на вопрос, зачем нужны функции безопасности. Второй уровень содержит спецификации функций безопасности. Здесь определяется, какая функциональность на самом деле обеспечивается. Наконец, на третьем уровне содержится информация о механизмах безопасности. Таким образом, показывается декларированная функциональность анализируемой системы.
Спецификации функций безопасности – важнейшая часть описания объекта оценки. Критерии рекомендуют выделить в этих спецификациях разделы со следующими заголовками [1]:
· Идентификация и аутентификация.
· Управление доступом.
· Точность информации.
· Надежность обслуживания.
· Обмен данными.
Под идентификацией и аутентификацией понимается не только проверка подлинности пользователей в узком смысле, но и функции для регистрации новых пользователей и удаления старых, а также функции для генерации, изменения и проверки аутентификационной информации, в том числе средства контроля целостности. Сюда же относятся функции для ограничения числа повторных попыток аутентификации.
Средства управления доступом также трактуются европейскими критериями достаточно широко. В этот раздел попадают, помимо прочих, функции, обеспечивающие временное ограничение доступа к совместно используемым объектам с целью поддержания целостности этих объектов – мера, типичная для систем управления базами данных. В этот же раздел попадают функции для управления распространением прав доступа и для контроля за получением информации путем логического вывода и агрегирования данных (что также типично для Систем управления базами данных (СУБД)).
Под точностью в критериях понимается поддержание определенного соответствия между различными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникаций). Точность выступает как один из аспектов целостности информации.
Функции надежности обслуживания должны гарантировать, что действия, критичные по времени, будут выполнены ровно тогда, когда нужно – не раньше и не позже, и что некритичные действия нельзя перевести в разряд критичных. Должна быть гарантия, что авторизованные пользователи за разумное время получат запрашиваемые ресурсы. Сюда же относятся функции для обнаружения и нейтрализации ошибок, необходимые для минимизации простоев, а также функции планирования, позволяющие гарантировать время реакции на внешние события.
К области обмена данными относятся функции, обеспечивающие коммуникационную безопасность, то есть безопасность данных, передаваемых по каналам связи.
Германский стандарт BSI
В 1998 году в Германии вышло "Руководство по защите информационных технологий для базового уровня". Руководство представляет собой гипертекст объемом около 4 МБ (в формате HTML).
В дальнейшем оно было оформлено в виде германского стандарта BSI. В его основе лежит общая методология и компоненты управления информационной безопасностью [1]:
· Общий метод управления информационной безопасностью (организация менеджмента в области ИБ, методология использования руководства).
· Описания компонентов современных информационных технологий.
· Основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях).
· Инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа).
· Клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы).
· Сети различных типов (соединения «точка-точка», сети Novell NetWare, сети с OC ONIX и Windows, разнородные сети).
· Элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.).
· Телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы).
· Стандартное ПО.
· Базы данных.
· Описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса).
· Характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны).
· Характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и сервера под управлением операционных систем семейства DOS, Windows и UNIX).
· Характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).
· Характеристика активного и пассивного телекоммуникационного оборудования ведущих вендоров, например Cisco Systems.
· Подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
Все виды угроз в стандарте BSI разделены на следующие классы:
· Форс-мажорные обстоятельства.
· Недостатки организационных мер.
· Ошибки человека.
· Технические неисправности.
· Преднамеренные действия.
Аналогично классифицированы контрмеры:
· Улучшение инфраструктуры;
· Административные контрмеры;
· Процедурные контрмеры;
· Программно-технические контрмеры;
· Уменьшение уязвимости коммуникаций; планирование действий в чрезвычайных ситуациях.
Все компоненты рассматриваются и описываются по следующему плану:
1) общее описание;
2) возможные сценарии угроз безопасности (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);
3) возможные контрмеры (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);
Британский стандарт BS 7799
Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. разработал стандарт информационной безопасности, который в 1995 г. был принят в качестве национального стандарта BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании.
В соответствии с этим стандартом любая служба безопасности, IT -отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также Швеция и Нидерланды. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO.
Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран. Он состоит из двух частей.
В "Части 1: Практические рекомендации" (1995г.) определяются и рассматриваются следующие аспекты ИБ:
· Политика безопасности.
· Организация защиты.
· Классификация и управление информационными ресурсами.
· Управление персоналом.
· Физическая безопасность.
· Администрирование компьютерных систем и сетей.
· Управление доступом к системам.
· Разработка и сопровождение систем.
· Планирование бесперебойной работы организации.
· Проверка системы на соответствие требованиям ИБ.
"Часть 2: Спецификации системы" (1998г) рассматривает эти же аспекты с точки зрения сертификации информационной системы на соответствие требованиям стандарта.
Она определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.
Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов – British Standards Institution(BSI) http://www.bsi-giobal.com/, изданные в период 1995-2003 в виде следующей серии:
· Введение в проблему управления информационной безопасности – Information security managment: an introduction.
· Возможности сертификации на требования стандарта BS 7799 -Preparing for BS 7799 sertification.
· Руководство BS 7799 по оценке и управлению рисками -Guide to BS 7799 risk assessment and risk management.
· Готовы ли вы к аудиту на требования стандарта BS 7799-Are you ready for a BS 7799 audit?
· Руководство для проведения аудита на требования стандарта -BS 7799Guide to BS 7799 auditing.
· Практические рекомендации по управлению безопасностью информационных технологий -Code of practice for IT management.
Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution(BSI) – (www.bsi-global.com), и в частности служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасностью в соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах [1].
Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.