Стандарты безопасности

1.

Тема 1.2. Стандарты безопасности
Раздел 1. Основные принципы программной и программно-аппаратной защиты
информации
Преподаватель: Попов Никита Вячеславович.
01

2.

Введение
В настоящий момент существует большое количество подходов к обеспечению и управлению
информационной безопасностью. Наиболее эффективные из них формализованы в стандарты.
Международные стандарты и методологии в области ИБ и управления ИТ являются ориентиром при
построении информационной безопасности, а также помогают в решении связанных с этой
деятельностью задач всех уровней, как стратегических и тактических, так и операционных.
Попробуем разобраться в идеях популярных зарубежных стандартов и в том, как они могут
применяться в российской практике.
02

3.

Зачем нужны ИБ-стандарты
Каждому специалисту, имеющему отношение к информационной безопасности, желательно
ознакомиться с наиболее известными методологиями в области ИБ, а также научиться применять их
на практике. Изучение лучших практик дает возможность узнать:
терминологию в сфере ИБ;
общие подходы к построению ИБ;
общепринятые процессы ИБ и рекомендации по их выстраиванию;
конкретные меры защиты — контроли ИБ;
роли и зоны ответственности при построении процессов ИБ;
подходы к измерению зрелости процессов ИБ;
и многое другое.
03

4.

Какие бывают ИБ-стандарты
Существует множество систем взглядов и разных способов группировки стандартов. Методы
классификации различаются по целям и задачам применения.
Рассмотрим стандарты с прикладной и процессной точек зрения. Стандарты можно поделить на:
1. Технические или контрольные (control), регламентирующие различные аспекты реализации мер
защиты.
2. Процессно-ориентированные, описывающие поход к выстраиванию процессов и построению ИБ
в целом.
Технические стандарты помогают провести выстраивание технической защиты информации —
выбрать необходимый комплекс защитных мер и провести их грамотную настройку.
Процессно-ориентированные стандарты описывают поход к выстраиванию отдельных процессов.
Если процессно-ориентированные стандарты позволяют ответить на вопросы «что делать?», то
технические дают практические рекомендации и отвечают на вопрос «как это реализовать?».
К процессно-ориентированным стандартам относятся: серия ISO/IEC 27XXX, руководство ITIL,
методология COBIT и так далее.
04

5.

Международные ИБ-стандарты
Международная ассоциация ISACA (Information Systems Audit and Control Association), известная
разработкой стандартов по управлению ИТ в корпоративной среде и проводимыми сертификациями
(например, CISA, CISM, CRISC), и Институт руководства ИТ (IT Governance Institute — ITGI)
совместно разработали подход к управлению информационными технологиями. В 1996 году на его
основе организация ISACF выпустила первую версию стандарта COBIT. С течением времени и с
развитием подходов к управлению ИТ концепция COBIT пересматривалась и расширялась. Сегодня
самой новой версией методологии является COBIT 2019, ставшая продуктом эволюции пятой версии
стандарта (пересмотр состоялся в декабре 2018 года). COBIT 2019 описывает набор процессов,
лучших практик и метрик для выстраивания эффективного управления и контроля, а также
достижения максимальной выгоды от использования ИТ.
Основой стандарта являются 40 высокоуровневых целей контроля, сгруппированных в четыре
домена, два из которых посвящены информационной безопасности):
05

6.

Международные ИБ-стандарты
Библиотека инфраструктуры информационных технологий или ITIL (The IT Infrastructure Library) —
это набор публикаций (библиотека), описывающий общие принципы эффективного использования
ИТ-сервисов. Библиотека ITIL применяется для практического внедрения подходов IT Service
Management (ITSM) — проектирования сервисов и ИТ-инфраструктуры компании, а также
обеспечения их связности.
ITIL можно рассматривать в том числе с точки зрения информационной безопасности, так как для
успешного использования ИТ и поддерживаемых услуг необходимо обеспечивать доступность,
целостность и конфиденциальность ИТ-инфраструктуры. Это достигается правильным управлением
ИТ-безопасностью. Библиотека содержит раздел, посвященный вопросам безопасности в структуре
процессов ITIL. В материалах ITIL не прописаны конкретные требования к средствам защиты, а
лишь дается описание общей организации безопасной работы ИТ-сервисов. В библиотеке можно
найти как основные принципы выстраивания самого процесса управления ИБ, так и ключевые
рекомендации по поддержанию СУИБ — Системы управления информационной безопасностью
(Information Security Management System или ISMS).
06

7.

Международные ИБ-стандарты
Если COBIT определяет ИТ-цели, то ITIL указывает шаги на уровне процессов. Кроме того,
библиотека содержит рекомендации по выстраиванию смежных процессов, например, по
управлению инцидентами, что позволяет комплексно взглянуть на выстраивание процессов и их
интеграцию в ИТ-среду. Библиотека ITIL полезна специалистам, в задачи которых входит
выстраивание процесса управления ИТ-услугами и интеграция ИБ в этот подход. Знание документа
позволяет им разговаривать с ИТ-службой на одном языке — языке ИТ-сервисов.
07

8.

Международные ИБ-стандарты
Наиболее известным и популярным набором стандартов среди как зарубежных, так и
российских ИБ-специалистов, к которому обращаются в первую очередь при внедрении СУИБ,
являются документы из серии ИБ-стандартов ISO/IEC 27XXX.
Самый известный стандарт серии — ISO/IEC 27001:2013, определяющий аспекты менеджмента
информационной безопасности и содержащий лучшие практики по выстраиванию процессов для
повышения эффективности управления ИБ. Стандарт декларирует риск-ориентированный подход,
который позволяет выбрать необходимые меры и средства защиты, наилучшим образом
соответствующие потребностям и интересам бизнеса. По результатам внедрения стандарта ISO/IEC
27001:2013 компания может пройти сертификацию. Так же, как и концепция ITIL, ISO/IEC 27001:2013
в качестве модели управления качеством берет за основу Цикл Деминга-Шухарта PDCA (англ. «PlanDo-Check-Act» — «планирование-действие-проверка-корректировка»), что означает непрерывное
совершенствование ИБ-процессов.
Стандарт ISO/IEC 27001:2013 состоит из двух частей:
1. Описание подхода к созданию СУИБ;
2. Приложение А (требования ИБ и средства их реализации , структурированные по разделам).
Стандарт ISO/IEC 27001:2013 имеет российский аналог ГОСТ Р ИСО/МЭК 27001.
08

9.

Международные ИБ-стандарты
Также специалисты часто обращаются к стандарту ISO/IEC 27002:2013 (ранее выходил под
номером ISO/IEC 17799), более подробно раскрывающему высокоуровневые требования ISO/IEC
27001:2013 к выстраиванию процессов в СУИБ. Документ описывает рекомендуемые практические
меры в области управления информационной безопасностью.
09

10.

Международные ИБ-стандарты
Еще одним стандартом, применяемым зарубежными ИБ-специалистами, является ISO 15408,
состоящий из трех частей:
1. ISO/IEC 15408-1:2009 Evaluation criteria for IT security — Part 1: Introduction and general model —
«Общие критерии оценки безопасности информационных технологий».
2. ISO/IEC 15408-2:2008 Evaluation criteria for IT security — Part 2: Security functional components
model — «Функциональные компоненты безопасности».
3. ISO/IEC 15408-3:2008 Evaluation criteria for IT security — Part 3: Security assurance components —
«Компоненты доверия к безопасности».
Первая часть стандарта содержит единые критерии оценки безопасности ИТ-систем на
программно-аппаратном уровне (по аналогии с документом «Критерии оценки пригодности
компьютерных систем Министерства обороны» (Department of Defence Trusted Computer System
Evaluation Criteria - TCSEC), также известным как «Оранжевая книга» из стандартов «Радужной
серии» Министерства обороны США). Стандарт ISO/IEC 15408-1:2009 определяет полный перечень
объектов анализа и требований к ним, не заостряя внимания на методах создания, управления и
оценки системы безопасности.
10

11.

Международные ИБ-стандарты
Вторая часть приводит требования к функциональности средств защиты, которые могут быть
использованы при анализе защищенности для оценки полноты реализованных функций
безопасности.
Третья часть серии содержит обоснования угроз, политик и требований. Стандарт определяет
компоненты доверия к безопасности, каталогизирует наборы компонентов и классов доверия.
ISO/IEC 15408-3:2008 включает в себя оценочные уровни доверия, определяющие шкалу измерения
и компоненты доверия, а также критерии оценки профилей защиты и заданий безопасности.
В целом эти стандарты содержат техническую часть, не акцентируя внимание на вопросах
управления информационной безопасностью.
На основании данного стандарта в свое время был разработан руководящий документ ФСТЭК
(Приказ председателя Гостехкомиссии России от 19 июня 2002 г. № 187).
11

12.

Международные ИБ-стандарты
NIST — National Institute of Standards and Technology — американский национальный институт
стандартизации, аналог отечественного Госстандарта. В состав института входит Центр по
компьютерной безопасности, который публикует с начала 1990-х годов Стандарты (FIPS), а также
детальные разъяснения/рекомендации (Special Publications) в области информационной
безопасности.
Для рекомендаций в области ИБ (Special Publications) в NIST выделили специальную серию с
кодом 800, состоящую из десятков рекомендаций.
Серия содержит документы, описывающие подходы к управлению информационной безопасностью,
и освещает технические вопросы ее обеспечения (обеспечение безопасности мобильных устройств,
защита облачных вычислений, требования к аутентификации, удаленному доступу и т. д.).
12

13.

Международные ИБ-стандарты
Ниже приведен краткий перечень наиболее популярных документов:
13

14.

Международные ИБ-стандарты
SANS — организация по обучению и сертификации в области ИБ, наиболее известна своими
руководствами по безопасной настройке различных систем (Benchmarks) и перечнем ключевых мер
защиты Top 20 Critical Security Controls (CSC), включающим 20 рекомендаций по защите ИТинфраструктуры. ИБ-специалисты могут использовать этот документ как контрольный список при
проверке безопасности систем.
Международное ИТ-сообщество CIS (Center for Internet Security) регулярно обновляет рекомендации
с лучшими практиками мер защиты от актуальных ИБ-угроз. Меры разделены на три группы
реализации в зависимости от особенностей организации. Наиболее удобным является
ранжирование CIS Controls — порядок реализации мер, начиная с наиболее важных.
14

15.

Международные ИБ-стандарты
Руководства CIS Benchmarks — очень полезный инструмент при настройке или проверке различных
элементов ИТ-инфраструктуры на предмет защищенности. Полный перечень включает около 140
наставлений, сгруппированных по разным темам: .
• Desktops & Web Browsers
• Mobile Devices
• Network Devices
• Security Metrics
• Servers – Operating Systems
• Servers – Other
• Virtualization Platforms & Cloud
• другие.
Помимо этого, CIS Benchmarks дает рекомендации по настройке конфигураций для систем Linux,
Windows, Checkpoint, Cisco, Apache, MySQL, Oracle, VMware, а также содержит инструкции по
настройке набирающих популярность Docker и Kubernetes.
15

16.

Международные ИБ-стандарты
При формировании требований безопасности необходимо учитывать уровень зрелости компании —
уровень ее организационного и технологического развития. Для эффективного использования ИБ
необходимо применять модель зрелости процессов. Она позволяет оценить уровень зрелости ИБпроцессов и определить приоритетные направления развития безопасности в компании.
Модель О-ISM3 (Open Information Security Management Maturity Model) разработана независимым
консорциумом The Open Group и позволяет провести оценку зрелости функционирования
существующих процессов СУИБ компании.
Модель О-ISM3 оперирует четырьмя уровнями управления СУИБ: базовый, стратегический,
тактический и операционный. Согласно модели О-ISM3, процессы СУИБ классифицируются по пяти
уровням зрелости:
1. Начальный (Initial)
2. Управляемый (Managed)
3. Описанный (Defined)
4. Контролируемый (Controlled)
5. Оптимизированный (Optimized)
Уровень определяется аудитором на основании предопределенных метрик и документации.
Существует большое количество инструментов для оценки зрелости процессов (CMMI, NIST, BPM от
Gartner и др.), и каждый определяет свой подход, к которому ИБ-специалисту необходимо
обращаться при построении модели зрелости.
16

17.

ФСТЭК
Вопросы в области технической защиты информации в России регулирует Федеральная служба по
техническому и экспортному контролю (ФСТЭК). Служба определяет классы защиты информации,
разрабатывает рекомендации и требования по защите данных от несанкционированного доступа,
проводит сертификацию средств по обеспечению безопасности сведений в информационных
системах.
Ведется государственный реестр сертифицированных средств защиты информации ФСТЭК России
за № РОСС RU.0001.01БИ00. Также существует добровольная сертификация средств технической
защиты информации, например, Certified by AM Test Lab, сертификатами которых отмечены такие
продукты как Kaspersky Industrial CyberSecurity for Networks, Solar Dozor UBA, Indeed PAM, DLPсистема СёрчИнформ КИБ и многие другие.
17

18.

Требования ФСТЭК по защите информации
Документация государственного регулирования устанавливает минимальные требования защиты от
несанкционированного доступа к данным. Для противодействия киберугрозам ФСТЭК регулярно
обновляет базу уязвимостей, вносит новые рекомендации в аттестацию, сертификацию
оборудования, программного обеспечения.
Выполнение требований регулятора по технической защите информации обязательно при:
оказании услуг информационной безопасности (ТЗКИ, СКЗИ);
проведении работ по обеспечению государственной и банковской тайн;
выполнении обязанностей оператора персональных данных (ПНд);
передаче информации посредством сети Интернет.
18

19.

Требования ФСТЭК по защите информации
Требования ФСТЭК по технической защите информации распространяются на:
программное обеспечения и оборудование;
внешние носители;
средства связи и шифровки/дешифровки данных;
операционные системы;
прочие технические средства хранения, обработки, передачи сведений;
персональные данные;
специалистов по обеспечению информационной безопасности.
19

20.

Требования ФСТЭК по защите информации
Так, в состав мер по защите персональных данных согласно требованиям ФСТЭК входят:
• использование системы идентификации и аутентификации (авторизации) субъектов, имеющих
доступ к ПНд, и объектов ПНд;
• возможность ограничения и управления правами доступа к персональной информации;
• физическая и программная защита носителей информации;
• регистрация событий безопасности и ведение их журнала;
• применение средств антивирусной защиты;
• регулярный контроль защищенности ПНд;
• обнаружение и предотвращение вторжений, несанкционированного доступа;
• обеспечение доступности хранимых сведений, их и информационной системы, базы данных
доступности;
• соблюдение требований по защите среды виртуализации, технических средств, информационной
системы (ИС), ее средств, каналов и линий связи и передачи данных.
Также требованиями ФСТЭК России по защите персональных данных предусмотрено наличие
возможности управления конфигурацией ИС, своевременного выявления инцидентов, способных
привести к сбоям в работе ИС, возникновению угроз безопасности ПНд.
20

21.

Требования ФСТЭК по защите информации
Требования ФСТЭК к специалистам по защите информации включают в себя понимание:
• основных законодательных и нормативных актов в области информационной безопасности и
защиты персональных данных;
• в области сертификации средств защиты информации;
• о государственной системе противодействия иностранным техническим разведкам.
К профессиональным знаниям специалистов относится:
подготовка в части работы с каналами и линиями связи (предотвращение утечки информации);
ориентация в сфере комплексных СЗИ;
понимание основ методологии построения СЗИ;
умение работать со средствами контроля защищенности баз данных (БД) и т.д.
Требования ФСТЭК по защите конфиденциальной информации направлены на исключение
неправомерного доступа, копирования, передачи или распространения сведений. Для обеспечения
требований по безопасности конфиденциальной информации проводится оценка возможных
уязвимостей ИС для внешних и внутренних нарушителей, возможных средств реализации этих
уязвимостей.
21

22.

Меры по защите информации ФСТЭК
Меры защиты информации в информационных системах согласно требованиям ФСТЭК должны
обеспечивать необходимый уровень безопасности при взаимодействии защищаемых ИС с другими
ИС, при обработке и хранении информации. При этом предлагаемые на этапе проектирования меры
должны быть реализуемы в конкретной ИС.
Методы и средства технической защиты информации подбираются с учетом структуры СЗИ, состава
и мест размещения ее элементов. Если защищаемая ИС проектируется в составе центра обработки
данных (ЦОД) рекомендуется использовать уже имеющиеся в ЦОД средства, меры защиты данных.
Выстраивание защиты в государственных информационных системах (ГИС) предполагает ряд
нюансов:
1. К работе допускаются только компании, имеющие лицензию на деятельность по технической
защите конфиденциальной информации;
2. Требования по охране данных и информации базируются на ряде ГОСТов.
3. Структурирование классов защиты информации для государственных учреждений – жесткое
(всего три класса из семи возможных, используемых в работе частных операторов персональных
данных).
4. Модели угроз основываются на документах и баз ФСТЭК.
22

23.

Меры по защите информации ФСТЭК
Организационные мероприятия предотвращают неправомерные:
доступ, хищение и распространение закрытых данных;
уничтожение/изменение целостности данных;
препятствие получению информации, нарушающее права пользователей.
Важное значение имеет разработка пакета организационных и распорядительных документов
для:
регламентации процесса безопасности хранения данных;
порядка выявления инцидентов безопасности;
регламентации управления конфигурированием информационных систем по защите данных;
установления методов мониторинга информсистем.
Существует регламентация разработки систем и введения их в эксплуатацию, разграничения
уровней доступности, проведения проверок и анализ реакций, ответственных за организацию
защиты специалистов. Лишь после проведения совокупности мероприятий информационная
система аттестуется, вводясь в эксплуатацию.
23

24.

Меры по защите информации ФСТЭК
Технические меры защиты обязывают госструктуры использовать сертифицированные средства,
соответствующие классу защиты с функциями:
идентификации, аутентификации;
управления доступом к данным с возможностью контроля;
ограничений по использованию программ;
защиты всех информационных носителей;
ведение регистрационного учета инцидентов в сфере безопасности;
отслеживания вторжений извне;
обеспечения целостности находящейся на хранении и обрабатываемой информации;
защиты в облачной среде.
Для частных компаний это допустимо с более урезанным функционалом, используемым при
обработке массива персональных данных.
24

25.

Рекомендации ФСТЭК по защите информации
Методические рекомендации ФСТЭК по защите данных предусматривают использование:
• межсетевых экранов, фильтрующих информацию по установленным критериям;
• средств, направленных на обнаружение, нейтрализацию и анализ вторжений;
• антивирусных программ, выявляющих, блокирующих и нейтрализующих несанкционированные
действия;
• доверенной загрузки;
• контроля за съемными носителями.
ФСТЭК рекомендует использовать такие методы по защите информации как контроль доступа к
носителям данных и ИС (физический, аппаратный, программный и т.д.), шифрование передаваемых
сведений.
25

26.

Методические документы и приказы ФСТЭК по защите
информации
Существует огромный перечень подзаконных актов и документов, определяющих порядок
организации информационной защиты и позволяющих эффективно применять разработанную
систему информационной безопасности.
Так, положения о защите технической информации разрабатываются организациями
самостоятельно. Отдельные положения выносятся местными органами власти. ФСТЭК выпускает
приказы, уточняющие требования в сфере защиты информации, например, Приказ ФСТЭК России
от 23 марта 2017 г. N 49, от 15 февраля 2017 г. N 27 и т.д.
Детальнее:
1. Приказы ФСТЭК по защите информации;
2. Положение ФСТЭК о защите информации;
3. Документы ФСТЭК по защите персональных данных базируются на Федеральном законе о
персональных данных;
4. Одним из основных документов для операторов является положение о лицензировании
технической защиты конфиденциальной информации.
5. Методические рекомендации и руководящие документов по технической защите информации.
26

27.

Методические документы и приказы ФСТЭК по защите
информации
Техническая защита информации затрагивает вопросы сбора, обработки, передачи, хранения,
распространения информации с соответствующим классу защищенности обеспечением ее
безопасности на предприятиях. Система документов по технической защите информации строится
на основополагающих элементах:
• федеральное законодательство;
• распоряжения и указы Президента РФ;
• постановления правительства РФ;
• документация ФСБ, ФСТЭК, Роскомнадзора;
• общероссийские стандарты;
• документы руководящие, нормативно-методические.
Документы ФСТЭК по технической защите информации ложатся в основу проектирования и
исполнения информсистем, защищенных от проникновения на любых уровнях. Вся документация
размещается по мере обновления на официальном сайте и является обязательной к исполнению.
В нормативных руководящих документах ФСТЭК по защите информации содержатся принципы
разноуровневой защиты по шкале важности сведений, степени конфиденциальности, предписаний
по оценке защищенности от несанкционированных действий злоумышленников, регламенты работ
для сотрудников сферы защиты данных.
27

28.

Сертифицированные средства защиты ФСТЭК
Функции ФСТЭК в области сертификации средств защиты информации заключаются в:
• создании системы сертификации средств защиты информации в соответствии с требованиям по
обеспечению информационной безопасности;
• формировании правил проведения сертификации средств защиты данных;
• аккредитации органов по сертификации и испытательных лабораторий и разработке правил
аккредитации;
• выборе способов подтверждения соответствия СЗИ требования нормативных документов;
• выдаче сертификатов и лицензий на использование знаков соответствия;
• ведении государственного реестра участников сертификации и реестра сертифицированных
средств защиты информации;
• осуществлении государственного надзора над соблюдением участниками правил сертификации,
инспекционного контроля – над сертифицированными средствами защиты;
• рассмотрении апелляций по вопросам сертификации;
• утверждении нормативных документов с требованиями к средствам и системам защиты
информации, методических документов по проведению испытаний.
28

29.

Сертифицированные средства защиты ФСТЭК
Также ФСТЭК исполняет функции центрального органа системы сертификации средств защиты
информации (либо может делегировать их другой организации по необходимости). ФСТЭК может
приостанавливать или отменять действие сертификатов.
Система сертификации средств защиты информации ФСТЭК включает в себя органы по
сертификации (работающие с определенными видом продукции), испытательные лаборатории. В
структуру системы сертификации ФСТЭК также входят заявители (предприятия, организации,
компании) и центральный орган, в роли которой выступает сама ФСТЭК.
29

30.

Классы средств защиты информации ФСТЭК
Регулятор выделил семь классов защищенности, где первый класс соответствует наивысшей
степени защиты, а седьмой (для госструктур – третий) является низшей. Комплекс требований по
защите средств вычислительной техники и автоматизированных систем формируют градацию
классов.
Сертификаты соответствия ФСТЭК России на средства защиты информации подтверждают, что
организация соответствует действующим нормативно-правовым актам РФ и имеет высокий уровень
защищенности от кибер-угроз. Выбор оптимального защитного средства зависит напрямую от класса
системы. В ситуациях значительного превышения стоимости программного обеспечения нужного
класса допустимо, согласовав с территориальным органом ФСТЭК, устанавливать иные средства
защиты.
30

31.

Госреестр средств защиты информации ФСТЭК России
Государственный реестр сертифицированных средств защиты информации ФСТЭК постоянно
обновляется, находясь в открытом доступе. В нем содержится информация об аккредитациях,
сертификатах (в т.ч. двойного назначения), лицензиях, разрешениях. Программы и средства
информационной защиты в обязательном порядке проходят обязательную регистрацию, с
занесением в реестр и выдачей сертификата.
31

32.

Лицензирование деятельности по технической защите
информации ФСТЭК
Лицензия ФСТЭК на техническую защиту конфиденциальной информации включает средства
информационной защиты, их установку и эксплуатацию. Выдача предприятию лицензии для работы
с конфиденциальными сведениями и по оказанию телематических услуг означает корректную работу
системы безопасности данных на основе рекомендаций, требований, положений и приказов ФСТЭК.
Отказ от получения допуска чреват жесткими проверками с возможной приостановкой работы,
отзывом разрешительных документов и административным наказанием.
Виды лицензий, связанных с деятельностью:
• по предотвращению утечек по различным каналам, бесконтрольного проникновения,
видоизменения информации как в системах, так и помещениях, где они размещаются;
• на услуги мониторинга информбезопасности, аттестации на соответствие требованиям защиты
информации, проектирования систем информатизации в защищаемых помещениях, монтажа,
отладки, проведению испытаний и ремонтных работ;
• на разработку и производство средств безопасности;
• на выстраивание мероприятий по сохранности гостайны.
• При оформлении лицензии используются только некриптографические методы.
Срок оформления лицензии составляет 30 дней, хотя зачастую готовое разрешение удается
получить только спустя два месяца. Действие лицензии бессрочное.
32