Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

стандарта ISO 15408: Common Criteria for Information Technology

Security Evaluation и который может послужить основой при

проектировании защищенных информационных систем.

Общие критерии оценки безопасности информационных

технологий (далее «Общие критерии») определяют функцио-

нальные требования безопасности (security functional requirements)

и требования к адекватности реализации функ ций безопасности

(security assurance requirements).

Стандарт широко распространен на Западе. Так, например,

США в 2001 году полностью перешли на оценку безопасности

информационных технологий по Общим критериям, а в Англии,

Германии и Франции по некоторым оценкам более 50 %

разработанных в последние годы изделий информаци онных

технологий оцениваются по Общим критериям [61].

«Общие критерии» (ОК) обобщили содержание и опыт ис-

пользования Оранжевой книги, развили европейские и ка надские

критерии, и воплотили в реальные структуры концепцию типовых

профилей защиты федеральных критериев США. В ОК проведена

классификация широкого набора требований безопасности ИТ,

определены структуры их группирования и принципы

использования [60]. Главные достоинства ОК - полнота

требований безопасности и их систематизация, гибкость в

применении и открытость для последующего развития.

Использование методик данного стандарта позволяет оп -

ределить для компании те критерии, которые могут быть ис-

пользованы в качестве основы для выработки оценок защитных

свойств продуктов и систем информационной техноло гии. Кроме

того, эти методики позволяют проводить наиболее полное

сравнение результатов оценки защитных свойств корпоративных

информационных систем с помощью общего перечня (набора)

требований для функций защиты продуктов и систем, а также

методов точных измерений, которые проводятся во время

получения оценок защиты. Основываясь на этих требованиях, в

процессе выработки оценки уровня защиты устанавливается

уровень доверия.

Результаты оценок защиты позволяют определить для ком -

пании достаточность защиты корпоративной информационной

системы.

На основе мирового опыта можно сказать, что система

обеспечения безопасности информации должна включать не

сколько различных подсистем, которые позволяют удобно

сгруппировать классы функций безопасности, рекомендуемых

стандартом ИСО/МЭК 15408 99. Эти подсистемы тесно взаи-

модействуют друг с другом и позволяют осуществлять эф-

фективное управление [81]:

- контролем доступа;

- процессом идентификации;

- информационными потоками;

- целостностью среды;

- аудитом безопасности.

Сами подсистемы являются по своей сути тоже достагоч-но

сложными системами, реализующими заданные функпии защиты.

Такой подход строится на анализе назначения объек та защиты,

условий среды его использования, определение актуальных угроз

информационной безопасности и формиро вании архитектуры

защиты с учетом полного жизненного цикла.

При проведении работ по анализу защищенности ИС, «Об-

щие критерии» целесообразно использовать в качестве оснсв ных

критериев, позволяющих оценить уровень защищенности АС с

точки зрения полноты реализованных в ней функций безопасности

и надежности реализации этих функций.

Хотя применимость «Общих критериев» ограничивается

механизмами безопасности программно-технического уровня, в них

содержится определенный набор требований к механизмам

безопасности организационного уровня и требований по

физической защите, которые непосредственно связаны с

описываемыми функциями безопасности [4].

Первая часть «Общих критериев» содержит определение

общих понятий, концепции, описание модели и методики про-

ведения оценки безопасности ИТ. В ней вводится понятийный

аппарат, и определяются принципы формализации предметной

области.

Требования к функциональности средств защиты приво дятся

во второй части «Общих критериев» и могут быть не посредственно

использованы при анализе защищенности для оценки полноты

реализованных в ИС функций безопасности.

Третья часть «Общих критериев», наряду с другими тре-

бованиями к адекватности реализации функций безопаснос ти,

содержит класс требований по анализу уязвимостей средств и

механизмов защиты под названием AVA: Vulnerability Assessment.

Данный класс требований определяет методы, которые должны

использоваться для предупреждения, выявления и ликвидации

следующих типов уязвимостей:

- наличие побочных каналов утечки информации;

- ошибки в конфигурации, либо неправильн ое использование

системы, приводящее к переходу системы в небезопасное

состояние;

- недостаточная надежность (стойкость) механизмов безо-

пасности, реализующих соответствующие функции безопас ности;

- наличие уязвимостей («дыр») в средствах защиты ин-

формации, позволяющих пользователям получать НСД к ин-

формации в обход существующих механизмов защиты.

При проведении работ по аудиту безопасности, данные тре -

бования могут использоваться в качестве руководства и кри териев

для анализа уязвимостей ИС.

Вместе с тем в «Общих критериях» главное внимание уделено

защите от несанкционированного доступа [60]. Модифи кации или

потери доступа к информации в результате с лучайных или

преднамеренных действий и ряд других аспектов информационной

безопасности остался не рассмотренным. Например, оценка

административных мер безопасности, оценка безопасности от

побочных электромагнитных излучений, методики оценки

различных средств и мер безопасности, критерии для оценки

криптографических методов защиты информации.

6.1.3 Стандарт SysTrust

По существу, аудит в области информационных техноло гий,

хотя и не имеет никакого отношения к финансовому ауди ту, часто

является дополнением к нему в качестве коммер ческой услуги,

предлагаемой аудиторскими фирмами своим клиентам, в связи с

повышением зависимости бизнеса клиентов от ИТ. Идея

заключается в том, что использование надежных и безопасных ИТ

систем до определенной степени гарантирует надежность

финансовой отчетности организации. Хорошие результаты ИТ

аудита в некоторых случаях позволяют проводить финансовый

аудит в сокращенном варианте экономя время и деньги клиентов.

Отвечая потребностям бизнеса, Американским Инсти тутом

Сертифицированных Публичных Бухгалтеров (American Institute of

Certified Public Accountants (AICPA)) и Канадским Институтом

Общественных Бухгалтеров (Canadian Institute of Chartered

Accountants (CICA)) разработали стандарт SysTrust для проведения

ИТ аудита, кото рый является дополнением к финансовому аудиту.

SysTrust позволяет финансовым аудиторам расширить область

своей деятельности, путем использования простого и понятно го

набора требований для оценки надежности и безопасности ИС.

В стандарте SysTrust ИС оценивается в терминах ее дос-

тупности (Availability), безопасности (Security), целостности

(Integrity) и эксплуатационной надежности (Maintainability),

Под доступностью традиционно понимается возможность ИС

предоставлять информационные сервисы в любых режимах

функционирования и при любых нагрузках, предусмотренных

условиями ее эксплуатация, с задержками, не превышающими

установленные требования.

Под безопасностью понимается защищенность ИС от фи-

зического и логического несанкционированного доступа. В качестве

средств обеспечения безопасности в основном рас сматриваются

средства разграничения физического и логического доступа к

ресурсам ИС.

Под целостностью понимается возможность ИС обеспечить

сохранение таких свойств обрабатываемой в системе инфор мации

как полнота, точность, актуальность, своевременность и

аутентичность.

Эксплуатационная надежность ИС определяется возмож-

ностью изменения конфигурации и обновления системы для

обеспечения таких ее свойств как доступность, безопасность и

целостность.

Критерии для оценки описанных четырех свойств ИС оп -

ределены в документе «AICPA/CICA SysTrust Principles and Criteria

for Systems Reliability, Version 2.0» (Принципы и жри-терии для

оценки надежности систем).

В ходе сертификации по требованиям стандарта SysTrust

(SysTrust engagement) аудитор оценивает соответствие ИС

критериям доступности, безопасности, целостности и эксплу-

атационной надежности (SysTrust Principles and Criteria), проверяя

наличие в системе необходимых механизмов контроля. Затем

аудитор производит тестирование механизмов контро ля с целью

определения их работоспособности и эффективности. Если в

результате тестирования подтверждается соответствие ИС

критериям SysTrust, аудитор выпускает отчет по аттестации

(unqualified attestation report). В отчете формулируется выводы

относительно полноты и эффективности реализации руководством

организации механизмов контроля в аттестуемой ИС. В

дополнение к отчету по аттестации, аудитор готовит общее

описание обследуемой ИС. Во многих случаях также готовится

утверждение руководс тва организации (management's assertion)

относительно эффективности механизмов контроля, позволяющих

обеспечить соответствие ИС критериям SysTrust. Обследование

ИС и оценка ее соответствия критериям SysTrust производится в

соответствии с «Руководством по Проведению Аттестации»

(«Statement on Standards for Attestation Engagements (SSAE) No. 10,

Attestation Standards, AT sec. 101 «Attest Engagements»».)

Примером проведения аудита крупнейшей компании на

соответствие требованиям стандарта SysTrust может служить

сертификация аудиторской фирмой Ernst&Young системы

BeeOffice, принадлежащей компании АО «Вымпелком» [119].

6.1.4 Стандарт BSI\IT Baseline Protection Manual

Немецкий стандарт «Руководство по обеспечению безопас-

ности ИТ базового уровня» (IT Baseline Protection Manual)

разрабатывается Агенством Информационной Безопасность

Германии (BSI - Bundesamt fbr Sicherheit in der Informationstechnik

(German Information Security Agency).

Этот документ является, пожалуй, самым содержатель ным

руководством по информационной безопасности и по многим

параметрам превосходит все остальные стандарты. Приятен также

тот факт, что этот ценнейший для аудитора источник информации

имеется в свободном доступе в сети Интернет. В нем содержаться

подробные руководства по обес печению информационной

безопасности применительно к различным аспектам

функционирования ИС и различным областям ИТ.

В стандарте BSI представлены [60]:

- Общий метод управления информационной безопаснос тью

(организация менеджмента в области ИБ, методология

использования руководс тва).

- Описания компонентов современных информационных

технологий.

- Описания основных компонентов организации режима

информационной безопасности (организационный и техничес кий

уровни защиты данных, планирование действий в чрез вычайных

ситуациях, поддержка непрерывности бизнеса).

- Характеристики объектов информатизации (здания,

помещения, кабельные сети, контролируемые зоны).

- Характеристики основных информационных активов ком-

пании (в том числе аппаратное и программное обеспечение,

например рабочие станции и сервера под управлением опера-

ционных систем семейства DOS, Windows и UNIX).

- Характеристики компьютерных сетей на основе различ ных

сетевых технологий, например сети Novell NetWare, сети UNIX и

Windows).

- Характеристика активного и пассивного телекоммуника-

ционного оборудования ведущих вендоров, например Cisco

Systems.

- Подробные каталоги угроз безопасности и мер контроля

(более 600 наименований в каждотд каталоге).

Существенно, что вопросы защиты приведенных инфор-

мационных активов компании рассматриваются по опреде ленному

сценарию: общее описание информационного ак тива компании -

возможные угрозы и уязвимости безопасности -возможные меры и

средства контроля и защиты. С версиями этого стандарта на

немецком и английском языках можно познакомиться подробнее на

Web-сервере BSI (www.bci.de).

Стандарт в настоящее время занимает три тома и содер жит

около 1600 страниц текста [4]. «BSI\IT Baseline Protection Manual»

постоянно совершенствуется с целью обеспечения его

соответствия текущему состоянию дел в области безопаснос ти ИТ.

К настоящему времени накоплена уникальная база знаний,

содержащая информацию по угрозам и контрмерам в хорошо

структурированном виде.

6.1.5 Стандарт COBIT 3

Edition

К настоящему времени аудиторскими компаниями обра зованы

различные государственные и негосударственные ассоциации,

объединяющие профессионалов в области аудита

информационных систем, которые занимаются созданием и

сопровождением, как правило, закрытых, тщательно охраняемых от

посторонних глаз стандартов аудиторской деятельности в области

информационных технологий

Ассоциация ISACA, в отличие от других, занимается открытым

аудитом информационных систем. Она основана в 1969 году и в

настоящее время объединяет более 23000 чле нов из более чем

100 стран, в том числе и России [60]. Ассоциация ISACA

координирует деятельность более чем 26000 аудиторов

информационных систем (CICA - Certified Information System

Auditor), имеет свою систему стандартов в этой области, ведет

исследовательские работы, занимается подготовкой кадров,

проводит конференции.

Ассоциация ISACA под аудитом информационной безопас-

ности в информационной системе понимает процесс сбора све-

дений, позволяющих установить, обеспечиваются ли безопас ность

ресурсов компании, необходимые параметры целостности и

доступности данных, достигаются ли цели предприятии в части

эффективности информационных технологий.

По заявлениям руководящих органов ISACA основная цель

ассоциации исследование, разработка, публикация и продвижение

стандартизованного набора документов по уп равлению

информационной технологией для ежедневного использования

администраторами и аудиторами информа ционных систем. В

интересах профессиональных аудиторов, руководителей

информационных систем, администраторов и всех

заинтересованных лиц ассоциация развивает свою концепцию

управления информационными технологиями в соответствии с

требованиями информационной безопасности. На основе этой

концепции описываются элементы информационной технологии,

даются рекомендации по компании управления и обеспечению

режима информационной безопасности. Концепция изложена в

документе под названием «COBIT 3

Edition» (Control Objectives for

Information and related Technology), который состоит из четырех

частей.

Часть № 1: Краткое описание концепции (Executive Summary).

Часть № 2: Определения неосновные понятия (Framework).

Помимо требований и основных понятий в этой части сфор-

мулированы требования к ним.

Часть № 3: Спецификации управляющих процессов и воз -

можный инструментарий (Control Objectives).

Часть № 4: Рекомендации по выполнению аудита компью-

терных информационных систем (Audit Guidelines).

Третья часть этого документа в некотором смысле анало гична

международному стандарту BS ISO/IEC 17799:2000 (BS 7799-

1:2000). Примерно также подробно приведены практические

рекомендации по управлению информационной безопасностью, но

модели систем управления в сравниваемых стан дартах сильно

различаются. Стандарт COBIT (Control Objectives for Information and

related Technology - контрольные объекты информационной

технологии) пакет открытых документов, первое издание которого

было опубликовано в 1996 году.

Кратко основная идея стандарта COBIT выражается сле-

дующим образом: все ресурсы информационной системы должны

управляться набором естественно сгруппированных процессов для

обеспечения компании необходимой и надежной информацией.

В модели COBIT присутствуют ресурсы информационных

технологий, являющиеся источником информации, которая

используется в бизнес - процессе. Информационная технология

должна удовлетворять требованиям бизнес процесса. Эти

требования сгруппированы следующим образом

Во-первых, требования к качеству технологии составляют

показатели качества и стоимости обработки информации, ха-

рактеристики ее доставки получателю. Показатели качества

подробно описывают возможные негативные аспекты, кото рые в

обобщенном виде входят в понятия целостности и дос тупности.

Кроме того, в эту группу включаются показатели, относящиеся к

субъективным аспектам обработки информа ции, например: стиль,

удобство интерфейсов. Характеристики доставки информации

получателю - показатели, в обобщенном виде входящие в

показатели доступности и частично в показатели

конфиденциальности и целостности. Рассмотренная система

показателей используется при управлении рисками и оценке

эффективности информационной технологии.

Во-вторых, доверие к технологии - группа показателей,

описывающих соответствие компьютерной информационной

системы принятым стандартам и требованиям, достоверность

обрабатываемой в системе информации, ее действенность. В

третьих, показатели информационной безопасности - конфи-

денциальность, целостность и доступность обрабатываемой в

системе информации.

6.1.6 Стандарты SCORE и программа сертификации SANS/GIAC

Site Certification

SCORE (Security Consensus Operational Readiness Evaluation)

является совместным проектом институ та SANS и Центра

безопасности Интернет (Center for Internet Security(CIS)).

Профессионалы-практики в области информационной

безопасности из различных организаций объе динились в рамках

проекта SCORE с целью разработки базового (минимально

необходимого) набора практичес ких стандартов и руководств по

обеспечению безопасности для различных операционных

платформ. Требования и рекомендации, предлагаемые для

включения в стандарты, широко обсуждаются и проверяются

участниками проекта SCORE, и только после их одобрения всеми

участниками, передаются в CIS, который занимается их форма-

лизацией и оформлением, а также разрабатывает про граммные

средства (minimum standards benchmarks) для оценки соответствия

операционных платформ предложенным стандартам.

Разработанные базовые стандарты вместе с руководства ми по

обеспечению соответствия этим стандартам и средства ми

тестирования публикуются на Интернет сайте CIS.

Программа сертификации Интернет сайтов (GIAC Site

Certification program), предложенная институ том SANS, позволяет

организациям проводить аудит безопасности сегмен тов

компьютерной сети, непосредственно подключенных к сети

Интернет, в соответствии со стандартами SCORE.

Программа сертификации «GIAC Site Certification» определяет

три уровня защищенности Интернет сайтов. На практике, в

настоящее время, используются только первые два из них.

Сертификация сайта на первом уровне предполагает проверку

внешних сетевых адресов организации, видимых из сети Интернет,

на предмет уязвимости соответствующих хостов в отношении

сетевых атак. На этом уровне должна быть обеспечена защита

сайта от наиболее распространенных атак. Требуется отсу тствие

наиболее серьезных и часто встречаю щихся уязвимостей защиты.

Предъявляются также определенные требования к уровню

квалификации специалистов, отвечающих за обеспечение

безопасности сайта.

На втором уровне требуется проведение всех проверок и

соблюдение всех требований первого уровня, а кроме того

требуется осуществлять периодический пересмотр политики и

процедур обеспечения сетевой безопасности. Также на втором

уровне производится проверка защищенности сайта от сетевых

атак путем осуществления попыток проникновения и взлома

систем, подключенных к сети Интернет.

На третьем уровне, помимо обеспечения соответствия всем

требованиям второго уровня, требуется также регулярно про водить

сканирование сети изнутри с целью защиты от угроз со стороны

внутренних нарушителей, а также внешних зло умышленников,

пытающихся преодолеть механизмы защиты внешнего периметра

сети путем использования продвину тых методов, включая методы

социального инженеринга.

От уровня к уровню ужесточаются требования, предъяв ляемые

к квалификации специалистов, организационной структуре

подразделений, занимающихся вопросами защиты, наличию

формальных политик и процедур, а также строгости и глубине

тестов, используемых для проверки механиз мов защиты Интернет-

сайта организации.

Выводы

Международные стандарты IS017799 и ISO15408 с лужат

основой для проведения любых работ в области информационной

безопасности, в том числе и аудита. IS017799 сосредоточен на

вопросах организации и управления безопасностью, в то время как

ISO15408 определяет детальные требования, предъявляемые к

программно-техническим механизмам защиты информации.

Спецификация SysTrust в настоящее время достаточно широко

используется аудиторскими компаниями, традици онно

выполняющими финансовый аудит для своих клиентов и

предлагающих услугу ИТ аудита в качестве дополнения к

финансовому аудиту.

Немецкий стандарт «BSI\IT Baseline Protection Manual»

является наиболее содержательным руководством по обеспе чению

безопасности ИТ и представляет несомненную практическую

ценность для всех специалистов, занимающихся воп росами

информационной безопасности.

Практические стандарты и руководства по обеспечению

информационной безопасности, разрабатываемые в рамках

проекта SCORE, ориентированны на технических специалис тов и

являются в техническом плане наиболее совершенными.

Программа сертификации Интернет сайтов по требовани ям

информационной безопасности и соотве тствующая спецификация

«SANS/GIAC Site Certification», предложенная институтом SANS,

безусловно, заслуживает внимания в связи с неизменно

возрастающей актуальностью вопросов защиты ИС организаций от

атак со стороны сети Интернет и увеличением доли

соответствующих работ при проведении аудита безо пасности.

В противоположность германскому стандарту BSI, предо-

ставляющему возможность использовать конкретные «частные»

сценарии защиты информационных активов компании, стандарты

ISO 15408, ISO 17799 и COBIT позволяют рассмотреть только

наиболее общие принципы управления информационной

безопасностью, характерные для процессов защиты информации в

целом. Однако названные подходы обладают определенными

ограничениями.

Ограничением германского стандарта BSI является невоз-

можность распространить рекомендации этого стандарта на защиту

информационных активов российских компаний, ко торые

отличаются по своей структуре и специфике бизнес деятельности

от ранее рассмотренных примеров организации режима

информационной безопасности.

Ограничением стандартов ISO 17799 и COBIT является

трудность перехода от общих принципов и вопросов защиты

информации к частным практическим процессам обеспече ния

информационной безопасности в российских компаниях.

Основная причина этого заключается в том, что защита

информационных активов любой российской компании до-

полнительно характеризуется определенными индивидуаль ными

специфическими условиями бизнес деятельности в ус ловиях

ограничений и регу лирования российской норматив ной базы в

области защиты информации. Другими словами, только совместно