опоиб. Информация как объект правоотношений
 Скачать 0.51 Mb.
|
13. Критерии безопасности компьютерных систем США: «Оранжевая книга»Данные критерии или стандарт TCSEC, получившие название «Оранжевая книга», ориентированы на обеспечение безопасности информации в компьютерных системах. При этом понятие «обеспечение безопасности информации» основывается на следующем предположении: компьютерная система является безопасной, если она обеспечивает контроль за доступом к информации так, что только надлежащим образом уполномоченные лица или процессы, функционирующие от их имени, имеют право читать, писать, создавать или уничтожать информацию. Критерии безопасности, изложенные в «Оранжевой книге», ориентированы в основном на разработку и сертификацию многопользовательских операционных систем и требуют определенной интерпретации для применения в других областях, например для баз данных и сетей. «Критерии безопасности компьютерных систем» (Trusted Computer System Evalualion Сriteria) были разработаны и опубликованы Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному программному и информационному обеспечению компьютерных систем и выработки методики и технологии анализа степени поддержки политики безопасности в компьютерных системах в основном военного назначения. Без преувеличения можно утверждать, что в «Оранжевой книге» заложен понятийный базис информационной безопасности. Достаточно лишь перечислить содержащиеся в нем понятия: безопасная и доверенная системы; монитор обращений; ядро и периметр безопасности; критерии (требования), политика, уровни и классы безопасности. Безопасная система – система, управляющая доступом к информации таким образом, что только авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию. Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе. Доверенная система – система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа. Одна из ключевых функций доверенной системы – выполнение функции монитора обращений, т. е. контроля допустимости выполнения субъектами (активными сущностями ИС, действующими от имени пользователей) определенных операций над объектами (пассивными сущностями). Реализация монитора обращений называется ядром безопасности, а граница доверенной системы – периметром безопасности. Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности. В «Оранжевой книге» предложены три критерия требований безопасности: политика безопасности; аудит; корректность, и сформулированы шесть базовых требований безопасности. Первые четыре требования касаются того, что необходимо предусмотреть для управления доступом к информации, а два последних призывают обеспечить гарантию того, что система удовлетворяет требованиям с первого по четвертое. Требования приведены в таблице.
Группы безопасности компьютерных систем Согласно «Оранжевой книге» для оценки защищенности информационных систем рассматриваются четыре группы безопасности, соответствующие различным степеням защищенности: от формально доказанной (группа A) до минимальной (группа D). В некоторых случаях группы безопасности A, B, C, D делятся на классы безопасности, например, B1, B2, B3. D; C1, C2; B1, B2, B3; A. Уровень безопасности возрастает от группы D к группе A, а внутри группы с возрастанием номера класса. Группа D. Минимальная защита Класс D – к этому классу относятся все системы, которые не удовлетворяют требованиям других классов. Группа C. Произвольное управление доступом (дискреционная защита) и регистрация действий субъектов Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделение пользователей и информации и включают средства контроля и управления доступом. Классрассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиденциальности. Класс C2. Управление доступом. Осуществляется более гибкое управление доступом.Для этого применяются средства индивидуального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов. Группа B. Мандатная защита Основные требования к классам этой группы: нормативное управление доступом с использованием меток безопасности; поддержка модели и политики безопасности; наличие спецификаций на функции достоверной вычислительной базы (ТСВ) – монитор взаимодействий (МБО) должен контролировать все потоки (события) в системе. Класс В1. Защита с применением меток безопасности. Системы класса В1 должны соответствовать всем требованиям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформальную модель безопасности, маркировку данных и нормативное управление доступом. При экспорте из системы информация должна подвергаться маркировке. Обнаруженные в процессе тестирования недостатки должны быть устранены. Класс В2. Структурированная защита. Доверенная вычислительная база (ТСВ) должна поддерживать формально определенную и четко документированнуюмодель безопасности, предусматривающую произвольное и нормативное управление доступом, которое распространяется на все субъекты. В системе должен осуществляться контроль скрытых каналов утечки информации. В структуре ядра защиты должны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс ТСВ должен быть четко определен, а ее архитектура и реализация должны быть выполнены с учетом возможности проведения типовых испытаний. По сравнению с классом В1 должны быть усилены средства аутентификации. Управление безопасностью должно осуществляться администратором системы. Кроме того, должны быть предусмотрены средства управления конфигураций. Класс В3. Домены безопасности. Ядро защиты системы должно включать монитор взаимодействии, который контролирует все типы доступа субъектов к объектам (т. е. требуется гарантирование заданной политики безопасности). Кроме того, из ядра защиты должны быть исключены подсистемы, не отвечающие за реализацию функций защиты, а само ядро должно быть достаточно компактным для эффективного тестирования и анализа. В ходе разработки и реализации ядра защиты должны применяться методы и средства, направленные на минимизацию его сложности. Средства аудита должны включать механизмы оповещения администратора при возникновении событий, имеющих значение для безопасности системы. Требуется наличие средств восстановления работоспособности системы. Группа А. Верифицированная защита Верификация – проверка правильности (соответствия некоторым требованиям (критериям), процесс сравнения. Группа характеризуется применением формальных методов верификации корректности работы механизмов управления доступом (произвольного и нормативного). Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ядра защиты отвечают требованиям безопасности. Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам класса В3, и к ним не предъявляются никаких дополнительных функциональных требований. Отличие состоит в том, что в ходе разработки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получать корректную реализацию функций защиты. Процесс доказательства адекватности реализации начинается на ранней стадии проектирования с построения формальной модели политики безопасности. Для обеспечения эффективности применения методов верификации системы класса А1 должны содержать более мощные средства управления конфигурацией и защищенную процедуру дистрибуции (установки и распространения). Приведенные классы безопасности надолго определили основные концепции безопасности и ход развития средств защиты. Выводы. «Критерии безопасности компьютерных систем» Министерства Обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на проектировщиков, разработчиков, потребителей и специалистов по сертификации систем безопасности компьютерных систем. В свое время этот документ явился значительным шагом в области безопасности информационных технологий и послужил отправной точкой для многочисленных исследований и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного применения, причем в основном на операционные системы. Это предопределено доминирование требований, направленных на обеспечение конфиденциальности обрабатываемой информации, и исключение возможностей ее разглашения. Большое внимание уделено меткам конфиденциальности (грифом секретности) и правилам экспорта секретной информации. Требования по гарантированию политики безопасности отражены поверхностно, соответствующий раздел по существу ограничивается требованиями контроля целостности средств защиты и поддержанию их работоспособности, чего явно недостаточно. "Оранжевая книга" послужила основой для разработки всех остальных стандартов информационной безопасности, в том числе Российских стандартов, принятых Гостехкомиссией, и современных международных критериев безопасности информационных технологий, и до сих пор используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации. 14. Лицензирование деятельности в сфере ИБ.Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135). Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии. Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом. Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют: · государственные органы по лицензированию; · лицензионные центры; · предприятия-заявители. Государственные органы по лицензированию: · организуют обязательное государственное лицензирование деятельности предприятий; · выдают государственные лицензии предприятиям-заявителям; · согласовывают составы экспертных комиссий, представляемые лицензионными центрами; · осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации. Лицензионные центры: · формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ; · планируют и проводят работы по экспертизе предприятий-заявителей; · контролируют полноту и качество выполненных лицензиатами работ. Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации. Лицензированию ФСТЭК России подлежат: · сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности; · аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации; · разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных программных средств обработки, защиты и контроля защищенности информации; · проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ; · проектирование объектов в защищенном исполнении. На орган по лицензированию возлагается: · разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования; · осуществление научно-методического руководства лицензионной деятельностью; · публикация необходимых сведений о системе лицензирования; · рассмотрение заявлений организаций и воинских частей о выдаче лицензий; · согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации; · согласование состава экспертных комиссий; · организация и проведение специальных экспертиз; · принятие решения о выдаче лицензии; · выдача лицензий; · принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании; · ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий; · приобретение, учет и хранение бланков лицензий; · организация работы аттестационных центров; · осуществление контроля за полнотой и качеством проводимых лицензиатами работ. В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации): · деятельность по распространению шифровальных (криптографических) средств; · деятельность по техническому обслуживанию шифровальных (криптографических) средств; · предоставление услуг в области шифрования информации; · разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем; · деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации; · деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них: · Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»; · Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»; · Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности. Для нормального функционирования систем электронного документооборота (ЭДО) необходимо разработать процедуры разрешения возможных конфликтов. Стороной таких конфликтов, кроме участников ЭДО и фирмы-провайдера, может быть и фирма-разработчик программного обеспечения. Предполагается, что договор с фирмой-разработчиком учитывает наличие эталонного образца программного обеспечения, который может храниться только у фирмы - провайдера или у всех участников ЭДО. Для этого требуется выполнение двух основных условий: должно быть документально подтверждено, что каждому участнику системы ЭДО (включая фирму - провайдер) установлено программное, соответствующее эталонному образцу; хранение эталонных образцов организуется таким образом, чтобы исключить возможность изменения эталонного образца программного обеспечения без ведома сторон. Такой режим может быть обеспечен системой из нескольких открытых ключей. Сегодня, когда современные информационные технологии интенсивно внедряются во все сферы жизни и деятельности общества, национальная, и как ее часть экономическая безопасность государства начинает напрямую зависеть от обеспечения информационной безопасности. Именно поэтому с целью создания гарантий по обеспечению необходимой стойкости средств защиты информации государство берет на себя ответственность за лицензирование деятельности организаций, занимающихся защитой информации, и сертификацию соответствующих технических средств. Сегодняшний уровень защиты от внешних информационных угроз в глобальных открытых сетях не может быть сочтен удовлетворительным: до сих пор в России отсутствует всеобъемлющая и технически выверенная стратегия в этой области. С целью изменения ситуации должен быть безотлагательно разработан и осуществлен комплекс мер в области законодательства и стандартизации средств, обеспечивающих информационную безопасность России. К первоочередным задачам в этом направлении относятся: · принятие специального закона, аналогичного "Computer Security Act" в США, возлагающего на конкретные госструктуры ответственность за методологическую поддержку работ в области информационной безопасности; · выработку унифицированных подходов к обеспечению безопасности для организаций различного профиля, размера и форм собственности; · обеспечение появления на рынке достаточного числа разнообразных сертифицированных средств для решения задач информационной безопасности. | ||||||||||||||||||||||||||||||||||||||||