Физика. Лекция 3. Стандарты информационной безопасности 1 Цель лекции

ЛЕКЦИЯ №3. СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3.1 Цель лекции
Целью лекции является знакомство с международными и отечественными стандартами информационной безопасности.
3.2 Теоретические сведения
3.2.1 Роль стандартов информационной безопасности
Проблемой информационной компьютерной безопасности начали заниматься с того момента, когда компьютер стал обрабатывать данные, ценность которых высока для пользователя. С развитием компьютерных сетей и ростом спроса на электронные услуги ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей IТ-средств.
Необходимость в стандартах в области информационной безопасности стала осознана достаточно давно, и в этом направлении достигнут существенный прогресс, закрепленный в документах разработки
1990-х гг. Первым и наиболее известным документом была Оранжевая книга
«Критерии безопасности компьютерных систем» Министерства обороны
США. В этом документе определены 4 уровня безопасности - D, С, В и А. По мере перехода от уровня D до А к надежности системы предъявляются все более жесткие требования. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому уровню, ее защита должна удовлетворять оговоренным требованиям. К другим важным стандартам информационной безопасности этого поколения относятся: «Руководящие документы Гостехкомиссии России», «Европейские критерии безопасности информационных технологий», «Федеральные критерии безопасности информационных технологий США», «Канадские критерии безопасности компьютерных систем».
В последнее время в разных странах появилось новое поколение стандартов, посвященных практическим вопросам управления информационной безопасностью компании. Это, прежде всего международные стандарты управления информационной безопасностью ISO
15408, ISO 17799 и некоторые другие.
3.2.2 Международные стандарты информационной безопасности
Стандарты IS0/IЕС 17799:2002 (BS 7799:2000). Международный стандарт
ISO/IEC
17799:2000
(BS
7799-1:2000)
«Управление информационной безопасностью
-
Информационные технологии»
(«Information technology -Information security management») является одним из наиболее известных стандартов в области защиты информации.

Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
- необходимость обеспечения информационной безопасности;
- основные понятия и определения информационной безопасности;
- политика информационной безопасности компании;
- организация информационной безопасности на предприятии;
- классификация и управление корпоративными информационными ресурсами;
- кадровый менеджмент и информационная безопасность;
- физическая безопасность;
- администрирование безопасности информационных систем (ИС);
- управление доступом;
- требования по безопасности к ИС в ходе их разработки, эксплуатации и сопровождения;
- управление бизнес-процессами компании с точки зрения информационной безопасности;
- внутренний аудит информационной безопасности компании.
В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта кроме всего прочего большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях. По мнению специалистов, обновление международного стандарта ISO 17799 (BS
7799) позволит не только повысить культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.
Германский стандарт BSI. В отличие от ISO 17799 германское руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.
В германском стандарте BSI представлены:
- общая методика управления информационной безопасностью;
- описания компонентов современных информационных технологий;
- описания основных компонентов организации режима формационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях);
- характеристики объектов информатизации;
- характеристики основных информационных активов компании, в том числе аппаратное и программное обеспечение;
- характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows;
- характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;
- подробные каталоги угроз безопасности и мер контроля.

Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание формационного актива компании - возможные угрозы и уязвимости безопасности - возможные меры и средства контроля и защиты.
Международный стандарт ISO 15408 «Общие критерии безопасности
информационных
технологий».
Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. Важное место в этой системе стандартов занимает стандарт ISO 15408, известный как «Common Criteria».
В 1990 г. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки IT безопасности для общего использования. В разработке участвовали лучшие специалисты из США, Канады, Германии, Голландии, Англии, Франции.
Первые две версии документа были опубликованы соответственно в январе и мае 1998 г. Версия 2.1 этого стандарта утверждена 8 июня 1999 г. международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий», или «Common Criteria».
«Общие критерии» (ОК) обобщили содержание и опыт использования
Оранжевой книги, развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США.
В ОК проведена классификация широкого набора требований IT безопасности, определены структуры их группирования и принципы использования. Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.
Ведущие мировые производители IT оборудования сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.
ОК разрабатывались для удовлетворения запросов трех групп специалистов, в равной степени являющихся пользователями этого документа: производителей и потребителей IT продуктов, а также экспертов по оценке уровня их безопасности. ОК обеспечивают нормативную поддержку процесса выбора IT продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.
Требования ОК являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по IT безопасности.

Стандарт
ISO
15408 поднял
IT стандартизацию на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных ИС, что в свою очередь откроет новые сферы применения информационных технологий.
Стандарты в структуре информационной безопасности выступают как связующее звено между технической и концептуальной стороной вопроса.
Введение в 1999 г. Международного стандарта ISO 15408 в области обеспечения информационной безопасности имело большое значение как для разработчиков компьютерных систем, так и для их пользователей. Стандарт
ISO 15408-2002 стал своего рода гарантией качества и надежности сертифицированных по нему программных продуктов. Этот стандарт позволил потребителям лучше ориентироваться при выборе ПО и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT компаний, сертифицирующих свою продукцию в соответствии с ISO 15408.
3.2.3 Отечественные стандарты безопасности информационных технологий
Среди различных стандартов по IT безопасности, существующих в настоящее время в Казахстане, следует выделить нормативные документы по критериям оценки защищенности средств вычислительной техники и АС и документы, регулирующие информационную безопасность. К ним можно добавить нормативные документы по криптографической защите систем отработки информации и информационных технологий. В таблице 1 приведен список указанных стандартов.
Таблица 1 - Казахстанские стандарты, регулирующие информационную безопасность п/п
Стандарт
Наименование
1
СТ РК 34.026-2006
Защита информации. Термины и определения
2
СТ РК 34.022-2006
Защита информации. Требования к проектированию, установке, наладке, эксплуатации и обеспечению безопасности информационных систем
3
CT PK 34.023-2006
Информационная технология. Методика оценки соответствия информационных систем требованиям безопасности
4
CT PK 34.024-2006
Защита информации. Автоматизированные системы в защищенном исполнении. Общие технические требования

5
CT PK 34.025-2006
Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
6
СТ РК ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
7
CT PK ГОСТ Р 50739-2006 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
8
CT PK 1073-2007
Средства криптографической защиты информации. Общие технические требования
9
CT PK ИСО/МЭК 14888-1-
2006
Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 1. Общие положения
10
CT PK ИСО/МЭК 14888-2-
2006
Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 2. Механизмы, основанные на идентичности
11
CT PK ИСО/МЭК 14888-3-
2006
Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 3. Механизмы, основанные на сертификате
12
СТРК ИСО/МЭК 10118-1-
2006
Информационная технология. Методы защиты информации. Хэш- функции. Часть 1. Общие положения
13
СТРК ИСО/МЭК 10118-2-
2006
Информационная технология. Методы защиты информации. Хэш- функции. Часть 2. Хэш-функции, использующие битовый блок шифрования
14
СТРК ИСО/МЭК 10118-3-
2006
Информационная технология. Методы защиты информации. Хэш- функции. Часть 3. Специализированные хэш-функции
15
СТРК ИСО/МЭК 10118-4-
2006
Информационная технология. Методы защиты информации. Хэш- функции. Часть 4. Хэш-функции
16
СТ РК ИСО/МЭК ТО
14516-2007
Информационная технология. Методы обеспечения защиты.
Использование и управление услугами доверенной третьей стороны.
Общие требования
17
СТ РК ГОСТ Р ИСО/МЭК
15408-1-2006.
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
18
СТ РК ГОСТ Р ИСО/МЭК
15408-2-2006
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности
19
СТ РК ГОСТ Р ИСО/МЭК
15408-3-2006
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
20
СТРК 1697-2007
Защита информации. Средства защиты технических средств от утечки информации по цепям электропитания. Общие технические требования
21
СТРК 1698-2007
Защита информации. Защита информации от технических разведок и от ее утечки по техническим каналам на объекте средств вычислительной техники. Методы защиты
22
СТРК 1699-2007
Системы контроля и управления доступом. Общие технические требования

23
СТРК 1700-2007
Техническая защита информации в служебных помещениях. Общие технические требования
24
СТРК 1701-2007
Техническая защита информации в средствах вычислительной техники, автоматизированных информационных системах и сетях от утечки по средствам побочных электромагнитных излучений и наводок. Общие технические требования
25
СТ РК ГОСТ Р 51188-2007 Защита информации. Испытания программных средств на наличие компьютерных вирусов. Общие требования
3.3 Вопросы к лекции

3.3.1 Какова роль стандартов информационной безопасности?
3.3.2 Назовите международные стандарты информационной безопасности. Какие вопросы они рассматривают?

3.3.3 Какие Казахстанские стандарты регулируют информационную безопасность?