Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

используя сильные стороны рассмотренных международных

стандартов, а также адаптировав полученные рекомендации в

соответствии с требованиями российс кой нормативной базы в

области защиты информации мож но эффективно обеспечить

защиту информационных активов конкретной российской компании.

6.2 Отечественная нормативная база информационной

безопасности

Одним из важных направлений обеспечения информацион ной

безопасности Российской Федерации является разви тие и со-

вершенствование отечественной нормативной базы на средства и

методы противодействия угрозам информационной сфере.

При реализации государственной политики в этой области

учитывается решимость России стать полноправным участником

глобального информационного сообщества, что нашло отражение в

подписанной Президентом Российской Федера ции Окинавской

хартии 2000 года, а также стремление Рос сии вступить во

Всемирную Торговую Организацию (ВТО) [61].

Одним из главных условий интеграции России в мировое

информационное сообщество и вс тупления в ВТО является

гармонизация отечественных и международных стандартов, что

также распространяется и на область информационной

безопасности.

В настоящее время в стране создана и действует норма тивная

база в области информационной безопасности [41]:

- 26 государственных и межгосударственных стандартов

(ГОСТ и ГОСТ Р);

- 8 руководящих документов (РД) Гостехкомиссйи России;

- более 40 отраслевых стандартов в оборонных отраслях

промышленности и Министерстве обороны России.

Действующая отечественная нормативная база в области

информационной безопасности позволяет в целом решать про-

блемы защиты информации в автоматизированных системах

управления, информационных системах, вычислительных и

телекоммуникационных сетях, позволяет обеспечи вать проведение

сертификации средств и систем информационных тех нологий на

соответствие требованиям информационной безо пасности. Однако

анализ состояния отечественной и международной нормативной

базы в области информационной безопасности показывает, что

отечественная нормативная база:

- отстает от современного уровня развития информацион ных

технологий и требуемого нормативного обеспечения;

- не отвечает современному уровню развития международной

нормативной базы, не учитывает зарубежный опыт и методологию

разработки нормативных документов в области безопасности

информационных технологий (более 60-ти международных

«базовых стандартов» ИСО/МЭК, более 30-ти «функциональных

стандартов» на стандартизованные профили защиты на

конкретные средства и системы информационных технологий,

более 50-ти национальных стандартов США, Англии, Франции и

других стран).

С целью ликвидации отставания отечественной норматив ной

базы от международного и зарубежного уровня с 2001 года

Гостехкомиссия России и Госстандарт России совместно с другими

заинтересованными министерствами и ведомствами предприняли

ряд серьезных шагов по развитию и совершенствованию

нормативной базы в данной области:

1. Утверждены три государственных стандарта ГОСТ Р

ИСО/МЭК 15408-2002 (части 1, 2, 3), опред еляющие критерии

оценки безопасности информационных технологий, которые

позволяют определить требования по формированию заданий по

безопасности в соответствии с положениями меж дународных

стандартов (прямое внедрение стандарта ИСО/ МЭК 15408 -2000

(части 1, 2, 3), называемого «Общие критерии»).

2. Сформированы, зарегистрированы в Госстандарте Рос сии в

установленном порядке и функционируют 6 Систем сер тификации

в области информационной безопасности, в том числе [61]:

- система сертификации средств защиты информации по

требованиям безопасности информации;

- система сертификации средств криптографической защи ты

информации;

-система сертификации средств и систем информатизации.

3. В развитие государственных стандартов разработаны

руководящие документы Гостехкомиссии России [41]:

- руководство по разработке профилей защиты и заданий

безопасности;

- руководство по регистрации профилей защиты.

Разрабатываются РД Гостехкомиссии России:

- методология оценки безопасности информационных тех-

нологий;

- автоматизированный комплекс разработки профилей защиты

и заданий по безопасности.

Указанные 4 руководящих документа представляют собой

прямое внедрение международных стандартов ИСО/МЭК.

- 6 профилей защиты информации на операционные системы,

межсетевые экраны, системы управления базами данных,

автоматизированные системы учета и контроля ядер ных

материалов и другие. Профили защиты разработаны с учетом

профилей защиты, разработанных в США и других странах.

4. Утвержден государственный стандарт Российской Феде-

рации, определяющий процессы формирования и проверки

электронной цифровой подписи. В настоящее время прово дятся

работы по переводу данного с тандарта в категорию меж-

государственного.

5. В 2003 году разработаны:

- проект Классификатора техники защиты информации

(средства защиты информации, средства контроля эффективности

защиты информации, средства и системы управления);

- проект государственного стандарта, определяющего общие

положения по формированию системы управления каче ством при

разработке, изготовлении, внедрении и эксплуатации техники

защиты информации. Внедрение этих нормативных документов

позволит обеспечить единую классификацию и кодирование

техники защиты информации, основные характеристики систем

качества техники защиты информации, что уменьшит

разобщенность разработчиков и изготовителей, позволит

скоординировать их работу по разработке систем качества.

6. Для обеспечения системного подхода в решении проблемы

нормативного обеспечения информационной безопаснос ти

разрабатываются специальные целевые программы:

I. В 2002 году была у тверждена «Программа комплексной

стандартизации в области защиты информации на 2002 2010

годы», направленная на создание в стране Государственной

системы защиты информации. При разработке данной про граммы

были использованы основные принципы стандартизации:

- системность разработки государственных стандартов;

- гармонизация стандартов с международными;

- централизованное планирование и финансирование раз -

работки стандартов. Программа предусматривает разработку 38

ГОСТ Р.

II. Разрабатывается проект «Программы комплексной

стандартизации в области защиты информации, составля ющей

государственную тайну», предусматривающий раз работку

национальных стандартов и других нормативных документов,

направленных на регламентацию общих норм, требований по

защите объектов информатизации и защите образцов вооружений

и военной техники. Основной целью проекта Программы является

совершенствование системы защиты государственной тайны

Российской Федерации на основе законодательства о техническом

регулировании и внедрения технических регламентов, нацио-

нальных стандартов и других документов по стандартиза ции,

установленных в ФЗ «О техническом регулировании». Проект этой

Программы предусматривает разработку 35 проектов

национальных стандартов и рекомендаций по стандартизации.

III. Разработан и представлен на утверждение в Прави тельство

Российской Федерации проект «Программы разра ботки

технических регламентов на период 2003-2010 годы» с

обеспечением госбюджетного финансирования разработки тех-

нических регламентов. В данную Программу включена разработка

технических регламентов в области защиты инфор мации:

- общий технический регламент «Безопасность информа -

ционных технологий»;

- общий технический регламент «Требования к средствам и

системам безопасности информационных технологий»;

- общий технический регламент «Требования по защите

информации, обрабатываемой на объектах информатизации».

Разработчики Гостехкомиссия России, Минсвязи России. Срок

разработки: 2004-2005 годы.

В настоящее время подготовлены предложения по разра ботке

технических регламентов в области защиты информации,

составляющей государственную тайну:

- общий технический регламент «Безопасность информа ции,

составляющей государственную тайну»;

- общий технический регламент «Безопасность техники

защиты объектов, как носителей информации, составляющей

государственную тайну»;

- специальный технический регламент «Безопасность ин-

формации, составляющей государственную тайну, для инфор-

мационных и телекоммуникационных технологий»;

- специальный технический регламент «Безопасность ин-

формации, составляющей государственную тайну, для сис тем

управления военного назначения».

В настоящее время предложения по указанным техническим

регламентам рассматриваются в заинтересованных ми-

нистерствах и ведомствах (Гостехкомиссии России, Минобороны

России, Минатома России, ФСБ России, СВР России и других)

совместно с проектом Программы комплексной стан дартизации в

области защиты информации, составляющей государственную

тайну. После рассмотрения и согласования с заинтересованными

министерствами и ведомствами предложений по разработке

технических регламентов, они будут дополнительно включены в

Программу разработки технических регламентов на период 2003~

2010 годы»

Внедрение государственных стандартов, разработанных путем

прямого внедрения стандартов ИСО и МЭК, разработка

технических регламентов и реализация программ комп лексной

стандартизации позволит:

- выйти на современный уровень разработки безопасных

информационных технологий и оценки их по ГОСТ Р ИСО/ МЭК

15408-2002 («Общие критерии»);

- разработать на единой основе новое поколение норматив ных

документов в области информационной безопасности в развитие

положений ФЗ «О техническом регулировании» и ГОСТ Р ИСО/МЭК

15408-2002;

- обеспечить возможность признания сертификатов соот-

ветствия на средства и системы информационных технологий в

различных национальных системах сертификации Рос сии, США и

странах Европы (сертификация по «Общим критериям»), что

позволит сэкономить значительные финансо вые средства.

Действующие национальные стандарты и другие нормативные

документы по стандартизации в области информаци онной

безопасности позволяют решать проблемы защиты ин формации в

автоматизированных системах, информационных системах,

вычислительных и телекоммуникационных сетях, обеспечивать

проведение испытаний и сертификацию компонентов и средств

информационных технологий на соответствие требованиям

информационной безопасности.

Изложенный системный подход по применению современ ных

методов и средств стандартизации позволит решить про блему

совершенствования и развития нормативной базы в области

информационной безопасности.

Раздел 2 Безопасность информации в

корпоративных информационно-

вычислительных сетях

Введение

Развитие современных информационных технологий ведет к

тому, что происходит переход к объединению автономных

компьютеров и локальных сетей в единую корпоратив ную сеть

организации. Помимо явных преимуществ такой переход несет с

собой и ряд проблем, специфичных дли корпоративных сетей. С

этими проблемами приходится сталкиваться как специалистам

служб безопасности, так и сотрудникам управлений автоматизации.

К причинам, приводящим к возникновению таких проблем, можно

отнести сложность и разнородность используемого программного и

аппаратного обеспечения, большое число узлов корпоративн ой

сети, их территориальная распределенность и отсутствие времени

для контроля всех настроек, подключение корпоративной сети к

сети Internet и доступ внешних пользователей (клиентов, парт-

неров и пр.) в корпоративную сеть.

В настоящий момент очень трудно вс третить сети, построен-

ные на основе только одной сетевой операционной системы. Боль-

шое число конфигурационных параметров используемого про-

граммного и аппаратного обеспечения затрудняет его эффек-

тивную настройку и эксплуатацию. Уже не редкость, когда узлы,

объединенные в корпоративную сеть, разбросаны по разным

территориям не только одного города, но и региона. Эта особен-

ность, а также отсутствие времени на контроль всех настроек, не

позволяет администраторам лично и своевременно контро лировать

деятельность пользователей системы на всех узлах кор поративной

сети и соответствия настроек программного и аппа ратного

обеспечения заданным значениям. Подключение корпоративной

сети к сети Internet приводит к тому, что, зачастую, очень трудно

определить границы сети и всех, подключенных к ней

пользователей, что может привести к попыткам несанкцио-

нированного доступа к защищаемой информации.

Технический прогресс, развивается настолько стремитель но,

что некоторые его последствия осознаются обществом слишком

поздно, когда для исправления ситуации требуются уже

значительные усилия. Существует даже мнение, что при переходе

некоторой критической точки прогресс начинает работать уже на

уничтожение человечества. Такая ситуация сложилась, например, с

экологией и, к сожалению, складывается и в области

информационных технологий.

Постоянно растет [17] число пользователей сети Интернет. В

США их уже 158 миллионов, в Европе - девяносто пять, в Азии - 90,

в Латинской Америке - четырнадцать, а в Африке -три. В России, по

разным оценкам, количество пользователей Интернет составляет

от 3,5 до 8 миллионов человек.

Сегодня можно говорить, что Интернет охватывает все стра ны

мира, так как с применением новых технологий (использо вание

мобильных спутниковых устройств связи) возможно подключение к

сети Интернет с любой точки земного шара. Если же говорить о

развернутой инфраструктуре, то в таком контекс те Интернет

охватывает сегодня более 150 стран мира.

Внедрение современных информационных технологий,

привело, к сожалению, к появлению новых видов преступлений,

таких как компьютерная преступность и компьютерный терроризм -

незаконное вмешательство в работу электронно-вычислительных

машин, систем и компьютерных сетей, хищение, присвоение,

вымогательство компьютерной информации. Кибертерроризм - это

новая форма терроризма, которая для достижения своих

террористических целей использует компьютеры и электронные

сети, современные информационные технологии [87]. По своему

механизму, способам совершения и сокрытия компьютерные

преступления имеют определенную специфику, характеризуются

высоким уровнем латентности и низким уровнем раскрываемости.

По данным экспертов Совета Европы, только аферы с кре-

дитными картами уносят ежегодно около 400 миллионов дол ларов.

Убытки от вирусов составляют около 12 миллиардов, а нарушение

прав собственности наносит ущерб в 250 милли ардов долларов.

Internet не только возводит мосты между странами и кон-

тинентами, но и приближает преступника к жертве. Одними из

ведущих проблем в области информационной безопасное-ти стали

атаки на платежные системы, дискредитация ком паний (отказ в

обслуживании), производственный саботаж, вскрытие

корпоративных секретов, нарушение прав интеллектуальной

собственности.

Одной из важных проблем, возникающей вследствие дей ствия

названных причин, является увеличение числа уязви-мостей

корпоративной сети. Поэтому для их устранения и обеспечения

надлежащего уровня защищенности информации, циркулирующей

в корпоративной сети, применяются различные механизмы и

средства обеспечения безопасности. Соответствующая настройка

этих средств зависит от технологии обработки информации,

принятой в организации, по рядка и правил обращения с

защищаемой информацией.

При оценке возможности информационной системы про-

тивостоять угрозам безопасности применяются следующие

категории [40] - надежность, точность, контроль доступа, кон-

тролируемость, контроль идентификации, устойчивость к

умышленным сбоям. Надежность - гарантия того, что система в

нормальном и внештатном режимах ведет себя так, как

запланировано. Точность - гарантия точного и полного выполнения

всех команд. Контроль доступа - гарантия того, что в любой момент

может быть произведена полноценная проверка любого

компонента программного комплекса. Контроль идентификации -

гарантия того, клиент, подключенный в данный момент к системе,

является именно тем, за кого он себя выдает. Устойчивость к

умышленным сбоям - гарантия того, что при умышленном внесении

ошибок в пределе заранее оговоренных норм система будет вести

себя нормально.

Глава 7 Организация защиты корпоративных

информационных сетей

7.1 Уровни информационной безопасности корпоративной

системы.

Проблема информационной безопасности корпоративной сис-

темы обычно решается в двух плоскостях: во -первых, рассмат-

риваются формальные критерии, которым должны соответствовать

защищенные информационные технологии, а во-вторых,

практический аспект - конкретный комплекс щер безопасности.

Формальные критерии являются предметом стандартиза ции

более пятнадцати лет. Во многих странах, в том числе и в России,

существуют национальные стандарты.

Наличие стандартов информационной безопасности по зволяет

оценивать состояние информационной безопасности конкретной

корпоративной системы с точки зрения комплек сного подхода.

Идеи, содержащиеся в этих документах, заключаются в

следующем. Практические правила обеспечения ИБ на всех этапах

жизненного цикла информационной технологии долж ны носить

комплексный характер и основываться на прове ренных практикой

приемах и методах. Например, обязатель но использование

некоторых средств идентификации и аутен тификации

пользователей (сервисов), средств резервного копирования,

антивирусного контроля и т. д. Режим информационной

безопасности в подобных системах обеспечивается [74]:

- на административном уровне - политикой безопасности

организации, в которой сформулированы цели в области ИБ и

способы их достижения;

- на процедурном уровне - путем разработки и выполнения

разделов инструкций для персонала, посвященных ИБ, а также

мерами физической защиты;

- на программно-техническом уровне - применением апро-

бированных и сертифицированных решений, стандартного набора

контрмер: резервного копирования, антивирусной и парольной

защиты, межсетевых экранов, шифрования данных и т.д.

При создании систем ИБ важно не упустить каких-либо

существенных аспектов - в этом случае применяемой инфор-

мационной технологии будет гарантирован некоторый мини-

мальный (базовый) уровень ИБ.

Базовый уровень ИБ (рис. 7.1) предполагает упрощенный

подход к анализу рисков, при котором рассматриваетс я стан-

дартный набор распространенных угроз безопасности без оцен ки

вероятностей этих угроз. Для нейтрализации угроз приме няется

типовой комплекс контрмер, а вопросы эффективнос ти защиты в

расчет не берутся. Подобный подход приемлем, если ценность

защищаемых ресурсов в данной организации не слишком высока.

Рис. 7.1 Схема разработки требований к ИЕ

В ряде случаев базового уровня оказывается недостаточно.

Для обеспечения повышенного уровня ИБ необходимо знать

параметры, характеризующие степень безопасности информа-

ционной системы (технологии) и количественные оценки угроз

безопасности, уязвимости, ценности информационных ресурсов. В

том или ином виде рассматриваются ресурсы, характе ристики

рисков и уязвимости информационной системы. Как правило,

проводится анализ по критерию стоимость/эффективность

нескольких вариантов защиты.

Несмотря на существенную разницу в методологии обеспе -

чения базового и повышенного уровней безопасности можно

говорить о единой концепции ИБ.

Стратегия безопасности при обеспечении базового уровня

информационной безопасности в практическом плане сводится к

следующим шагам.