In English

Безопасность ИТ: общих стандартов мало

22.03.2004, Петренко Сергей
Издание: IT Manager
В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам информационной безопасности компании. Для обеспечения комплексной защиты информационных систем общие рекомендации, перечисленные в международных и национальных стандартах, необходимо дополнить рядом собственных корпоративных методик.

Как закалялся стандарт

История развития стандартов защиты информации началась в 1990 году, когда Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (ТЕС) составили специализированную систему мировой стандартизации, a ISO начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные Common Criteria for Information Technology Security Evaluation или просто Common Criteria. В их разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).

В соответствии с международными и национальными стандартами ISO 15408, ISO 17799 (BS7799), BSI; COBIT, SAC, COSO, SAS 78/94 обеспечение информационной безопасности в любой компании предполагает следующее:
  • определение целей обеспечения информационной безопасности компьютерных систем;
  • создание эффективной системы управления информационной безопасностью;
  • расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;
  • применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
  • использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения информационной безопасности, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
В дальнейшем «Общие критерии» неоднократно редактировались. В результате 8 июня 1999 года был утвержден Международный стандарт ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий» (ОК). Документ обобщил содержание и опыт использования Оранжевой книги, развил европейские и канадские критерии, и воплотил в реальные структуры концепцию типовых профилей защиты федеральных критериев США. В ОК проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства ОК — полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.

Использование стандартного подхода

Использование методик данного стандарта позволяет определить для компании те критерии, которые могут быть использованы в качестве основы для выработки оценок защитных свойств продуктов и систем информационной технологии. Кроме того, эти методики позволяют проводить наиболее полное сравнение результатов оценки защитных свойств корпоративных информационных систем с помощью общего перечня (набора) требований для функций защиты продуктов и систем, а также методов точных измерений, которые проводятся во время получения оценок защиты.

Основываясь на этих требованиях, в процессе выработки оценки уровня защиты устанавливается уровень доверия. Результаты оценок позволяют определить для компании достаточность защиты корпоративной информационной системы. Вместе с тем в ОК главное внимание уделено защите от несанкционированного доступа (НСД). Модификации или потери доступа к информации в результате случайных или преднамеренных действий и ряд других аспектов информационной безопасности остался не рассмотренным. Например, оценка административных мер безопасности, оценка безопасности от побочных электромагнитных излучений, методики оценки различных средств и мер безопасности, критерии для оценки криптографических методов защиты информации.

Собственные методики защиты

Общепринятые критерии оценки безопасности необходимо адаптировать под специфические требования конкретной отрасли, что требует дополнить их рядом своих собственных апробированных методик оценки важнейших элементов защиты. Дополненные таким образом ОК можно использовать как при задании требований к продуктам и системам информационных технологий, так и при оценке их безопасности на всех этапах жизненного цикла корпоративной информационной системы. Только такой гибкий подход позволяет на практике реализовать следующие ключевые аспекты обеспечения безопасности ИТ.

1. Охватить весь спектр ИТ и учесть особенности каждой конкретной системы при задании требований по безопасности.

Предлагаемые адаптированные ОК предназначены для оценки безопасности как систем ИТ, разрабатываемых для автоматизации в конкретной области применения, так и отдельных продуктов ИТ, которые имеют универсальное предназначение. Такие ОК применимы к оценке безопасности как аппаратных средств, так и программного обеспечения ИТ.

2. Избежать жесткой классификации ИТ по уровню безопасности.

Вместо жесткой классификации становится возможным использовать сформированные по определенным правилам типовые наборы требований по различным видам ИТ, уровням ЗИ и другим классификационным признакам. Перечень типовых требований не регламентируется — они формируются по результатам прохождения определенной процедуры согласования и апробации. С целью оптимального сочетания типовых требований с требованиями, учитывающими особенности конкретной области применения ИТ, используются два ключевых понятия: профиль защиты и задание по безопасности.

Профиль защиты представляет собой функционально полный, прошедший апробацию, стандартизованный набор требований, предназначенный для многократного использования. Задание по безопасности — это полная комбинация требований, являющихся необходимыми для создания и оценки ИБ конкретной системы или продукта ИТ.

Таким образом, работы по анализу требований, реализуемые на основе стандарта ОК, позволяют грамотно задать требования к безопасности ИТ. Результаты работы могут также использоваться для сравнительного анализа различных систем и продуктов ИТ. В целом же предоставляется развитая система структурированных требований для выбора механизмов обеспечения безопасности при проектировании и разработке ИТ.

3. Предложить широкий спектр, детальность и структурированность требований к механизмам безопасности, мерам и средствам обеспечения их реализации.

Предлагаемые адаптированные ОК содержат две категории требований: функциональные и требования гарантированности. Первые описывают функции, которые должны быть реализованы в ИТ для обеспечения их безопасности. Вторые определяют меры и средства, которые должны быть использованы в процессе создания ИТ для получения необходимой уверенности в правильности реализации механизмов безопасности и в их эффективности. Все требования ОК разбиваются по классам, семействам, компонентам и элементам с определением зависимостей одних компонентов от других. Определяются допустимые действия над компонентами, которые могут применяться для конкретизации задаваемых требований безопасности.

4. Охватить весь жизненный цикл ИТ, начиная от формирования целей и требований обеспечения безопасности и кончая поставкой и наладкой ИТ на конкретном объекте.

5. Реализовать возможность формирования наборов требований по уровням безопасности ИТ, сопоставимых с другими системами оценки. Преемственность предлагаемых оценок безопасности достигается за счет возможности формирования профилей защиты, соответствующих наборам требований, которые определяют уровни безопасности ИТ в других системах.

6. Обеспечить комплексность подхода к обеспечению безопасности ИТ.

Адаптация ОК позволяет обеспечить безопасность ИТ на всех этапах жизненного цикла КИС, от этапа анализа требований (на этапе формирования замысла информационной системы) до реализации, эксплуатации и сопровождения системы. Здесь предусматриваются следующие уровни рассмотрения безопасности ИТ:
  • безопасность окружающей среды (законы, нормативные документы, организационные меры, физическое окружение, определяющие условия применения ИТ, а также существующие и возможные угрозы безопасности ИТ);
  • цели безопасности (намерения, определяющие направленность мер по противодействию выявленным угрозам и обеспечению безопасности);
  • требования безопасности (полученный в результате анализа целей безопасности набор технических требований для механизмов безопасности и гарантированности их реализации, обеспечивающий достижение сформулированных целей);
  • спецификации безопасности (проектное представление механизмов безопасности, реализация которых гарантирует выполнение требований безопасности);
  • разработка (реализация механизмов безопасности со спецификациями).
7. Обеспечение комплексности оценки безопасности ИТ.

Адаптация ОК позволяет оценивать безопасность ИТ в процессе их разработки на наиболее важных этапах. Предусмотрены следующие стадии оценки:
  • профиля защиты;
  • задания по безопасности;
  • реализованных механизмов безопасности.
В первом случае устанавливается, что сформированный профиль является полным, последовательным, технически правильным и пригодным для использования в качестве типового для определенного класса ИТ. Использование оцененных, апробированных и стандартизованных профилей защиты дает возможность избежать затрат на разработку требований по информационной безопасности к создаваемым системам и изделиям и исключить дополнительные затраты на их обоснование. Вторая стадия призвана установить, что задание соответствует требованиям профиля защиты и содержит полный, последовательный и технически правильный набор требований, необходимых для обеспечения безопасности конкретного объекта. Задание по безопасности подлежит согласованию на предприятии и является в дальнейшем основным документом, в соответствии с которым оценивается безопасность разрабатываемой ИС. Наконец, цель третьей стадии — установить, что механизмы безопасности обеспечивают выполнение всех требований, содержащихся в задании по безопасности.

8. Предусмотреть расширяемость требований к безопасности ИТ.

Адаптация ОК позволяет предложить наиболее полный на настоящее время набор критериев в области безопасности ИТ, который удовлетворяет потребностям основных категорий и групп пользователей и разработчиков информационных систем. Интересно отметить, что в настоящее время Европейской ассоциацией производителей компьютерной техники ЕСМА уже проводятся проекты по разработке стандарта «Расширенный коммерческий функциональный класс оценки безопасности (E-COFC)». В этом документе принятый в 1993 г. стандарт ЕСМА-205 «Коммерческий функциональный класс оценки безопасности (COFC)» перерабатывается в соответствии с требованиями и терминологией ОК. Если данный подход дополнить еще анализом требований по организации режима информационной безопасности компании, то получится достаточно мощный инструмент для оценки безопасности информационных технологий отечественных компаний.

Cтандарты ISO/IEC 17799:2002 (BS 7799:2000)

В настоящее время Международный стандарт ISO/IEC 17799:2000 (BS 7799–1:2000) «Управление информационной безопасностью — Информационные технологии. — Information technology- Information security management» является наиболее известным стандартом в области защиты информации.

Данный стандарт был разработан на основе первой части Британского стандарта BS 7799–1:1995 "Практические рекомендации по управлению информационной безопасностью и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем. Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799–1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
  • Необходимость обеспечения информационной безопасности
  • Основные понятия и определения информационной безопасности
  • Политика информационной безопасности компании
  • Организация информационной безопасности на предприятии
  • Классификация и управление корпоративными нформационными ресурсами
  • Кадровый менеджмент и информационная безопасность
  • Физическая безопасность
  • Администрирование безопасности корпоративных информационных систем
  • Управление доступом
  • Требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения
  • Управление бизнес-процессами компании с точки зрения информационной безопасности
  • Внутренний аудит информационной безопасности компании
Вторая часть стандарта BS 7799–2:2000 "Спецификации систем управления информационной безопасностью определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов, изданных в период 1995–2003 в виде следующей серии:
  • Введение в проблему управления информационной безопасности;
  • Возможности сертификации на требования стандарта BS 7799;
  • Руководство BS 7799 по оценке и управлению рисками;
  • Готовы ли вы к аудиту на требования стандарта BS 7799;
  • Руководство для проведения аудита на требования стандарта;
  • Практические рекомендации по управлению безопасностью информационных технологий;
  • Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов (British Standards Institution), и в частности служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасностью в соответствии со стандартом ВS ISO/IEC 7799:2000 (BS 7799–1:2000). Сертификаты, выданные этими органами, признаются во многих странах.
Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт ВS ISO/IEC 7799:2000 (BS 7799–1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках.

Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту ВS ISO/IEC 7799:2000 (BS 7799–1:2000). При этом в планах совместного тестирования должно быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.

Ниже приведено сравнение содержания стандартов ISO 17799 (BS 7799) разных версий и ISO 9001, в котором рассматривается близкий круг вопросов управления информационной безопасностью.

<Сравнение содержания стандартов ISO 17799 и ISO 9001>

В сентябре 2002 года международный стандарт ISO 17799 (BS7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта много внимания уделено вопросам повышения культуры защиты информации в различных международных компаниях, в том числе вопросам обучения и изначальной интеграции процедур и механизмов оценки и управления информационной безопасности в информационные технологии корпоративных систем.

По мнению специалистов, обновление международного стандарта ISO 17799 (BS7799) позволит не только создать новую культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.

Германский стандарт BSI

В отличие от ISO 17799 германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасности компании.

Руководство по защите информационных технологий вышло в 1998 г. и представляет собой гипертекстовый электронный учебник. Общая структура германского стандарта BSI приведена ниже.

<Структура германского стандарта BSI>

Таким образом, в германском стандарте BSI представлены:
  • Общая метод управления информационной безопасностью (организация менеджмента в области ИБ, методология использования руководства).
  • Описания компонентов современных информационных технологий:
  • Описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса ).
  • Характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны).
  • Характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и сервера под управлением операционных систем семейства DOS, Windows и UNIX).
  • Характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).
  • Характеристика активного и пассивного телекоммуникационного оборудования ведущих вендоров, например Cisco Systems.
  • Подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
  • Существенно, что вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании — возможные угрозы и уязвимости безопасности -возможные меры и средства контроля и защиты.


Стандарт COBIT

Основная идея стандарта COBIT заключается в следующем: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. Итак, что же такое COBIT и его третья редакция?

К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий.

<Сравнение некоторых стандартов аудита>

Ассоциация ISACA, в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969 году и в настоящее время объединяет более 23000 членов из более чем 100 стран, в том числе и России. Ассоциация ISACA координирует деятельность более чем 26000 аудиторов информационных систем (CICA — Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.

Ассоциация ISACA под аудитом информационной безопасности в информационной системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятии в части эффективности информационных технологий.

По заявлениям руководящих органов ISACA основная цель ассоциации — исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.

В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности.

На основе этой концепции описываются элементы информационной технологии, даются рекомендации по компании управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition (Control Objectives for Information and related Technology), который состоит из четырех частей.

Часть № 1: Краткое описание концепции (Executive Summary).

Часть № 2: Определения и основные понятия (Framework). Помимо требований и основных понятий в этой части сформулированы требования к ним.

Часть № 3: Спецификации управляющих процессов и возможный инструментарий (Control Objectives).

Часть № 4: Рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines).

Третья часть этого документа в некотором смысле аналогична международному стандарту ВS ISO/IEC 7799:2000 (BS 7799–1:2000). Примерно также подробно приведены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT (Control Objectives for Information and related Technology — контрольные объекты информационной технологии) — пакет открытых документов, первое издание которого было опубликовано в 1996 году.

Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией.

<Процессы управление ресурсами информационной системы>

В модели COBIT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования cгруппированы следующим образом.

Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности.

<Объекты контроля и управления информационными технологиями.>

Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например: стиль, удобство интерфейсов. Характеристики доставки информации получателю — показатели, в обобщенном виде входящие в показатели доступности и частично в показатели конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии.

Во-вторых, доверие к технологии — группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность. В третьих, показатели информационной безопасности — конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Российская специфика

Новое поколение стандартов в области защиты информации отличается как от предыдущего, так и от Руководящих документов Гостехкомиссии России 1992–1998 годов, большей формализацией процесса обеспечения безопасности и более детальным комплексным учетом качественно и количественно проверяемых и управляемых показателей информационной безопасности компании.

Комплексный учет показателей предполагает комплексный подход к управлению безопасности, когда на соответствие определенным правилам проверяется не только программно-техническая составляющая защиты информации компании, но и организационно-административные меры по ее обеспечению. Вместе с тем необходимо учитывать следующее.

В противоположность германскому стандарту BSI, предоставляющему возможность использовать конкретные «частные» сценарии защиты информационных активов компании, стандарты ISO 15408, ISO 17799 и COBIT позволяют рассмотреть только наиболее общие принципы управления информационной безопасностью, характер¬ные для процессов защиты информации в целом.

Однако названные подходы обладают определенными ограничениями. Ограничением германского стандарта BSI является невозможность распространить рекомендации этого стандарта на защиту информационных активов российских компаний, которые от¬личаются по своей структуре и специфике бизнес деятельности от ранее рассмотренных примеров организации режима информационной безопасности.

Ограничением стандартов ISO 17799 и COBIT является трудность перехода от общих принципов и вопросов защиты информации к частным практическим процессам обеспечения информационной безопасности в российских компаниях.

Основная причина этого заключается в том, что защита информационных активов любой российской компании до¬полнительно характеризуется определенными индивидуальными специфическими условиями бизнес деятельности в условиях ограничений и регулирования российской нормативной базы в области защиты информации.

Другими словами, только совместно используя сильные стороны рассмотренных международных стандартов, а также адаптировав полученные рекомендации в соответствии с требованиями российской нормативной базы в области защиты информации можно эффективно обеспечить защиту информационных активов конкретной российской компании.

Центральный федеральный округ