Similar presentations:
Стандарты информационной безопасности иностранных государств
1. Стандарты информационной безопасности иностранных государств
2. Стандарты информационной безопасности
Международныйстандарт ISO 17799;
Международный стандарт ISO 15408 «Общие
критерии»;
Стандарт COBIT «Управление и аудит
информационных технологий»;
Стандарт «Критерии надежности компьютерных
систем» («Оранжевая книга»);
Германский стандарт BSI;
Британский стандарт BS 7799;
Гармонизированные критерии европейских стран.
3. Международный стандарт ISO 17799
Ключевые средства контроля:документ о политике информационной безопасности;
распределение обязанностей по обеспечению информационной безопасности;
обучение и подготовка персонала к поддержанию режима информационной
безопасности;
уведомление о случаях нарушения защиты;
средства защиты от вирусов;
планирование бесперебойной работы организации;
контроль над копированием программного обеспечения, защищенного
законом об авторском праве;
защита документации организации;
защита данных;
контроль соответствия политике безопасности.
4. Международный стандарт ISO 17799
Практические правила:Политика безопасности.
Организация защиты.
Классификация ресурсов и их контроль.
Безопасность персонала.
Физическая безопасность объекта.
Администрирование компьютерных систем и вычислительных
сетей.
Управление доступом.
Разработка и сопровождение информационных систем.
Планирование бесперебойной работы организации.
Контроль выполнения требований политики безопасности.
5. Международный стандарт ISO 15408 – «Общие критерии»
Основные цели стандарта ISO 15408:унификация национальных стандартов в области
оценки безопасности ИТ;
повышение уровня доверия к оценке
безопасности ИТ;
сокращение затрат на оценку безопасности ИТ на
основе взаимного признания сертификатов.
6. Международный стандарт ISO 15408 – «Общие критерии»
Перваячасть «Общих критериев» содержит
определение общих понятий, концепции,
описание модели и методики проведения оценки
безопасности ИТ.
Требования к функциональности средств защиты
приводятся во второй части «Общих критериев»
и могут быть непосредственно использованы при
анализе защищенности для оценки полноты
реализованных в ИС функций безопасности.
7. Международный стандарт ISO 15408 – «Общие критерии»
Третья часть «Общих критериев», наряду сдругими требованиями к адекватности
реализации функций безопасности, содержит
класс требований по анализу уязвимостей средств
и механизмов защиты под названием AVA:
Vulnerability Assessment. Данный класс
требований определяет методы, которые должны
использоваться для предупреждения, выявления и
ликвидации уязвимостей.
8. Международный стандарт ISO 15408 – «Общие критерии»
Типы уязвимостей:наличие побочных каналов утечки информации;
ошибки в конфигурации, либо неправильное использование
системы, приводящее к переходу системы в небезопасное
состояние;
недостаточная надежность (стойкость) механизмов
безопасности, реализующих соответствующие функции
безопасности;
наличие уязвимостей («дыр») в средствах защиты
информации, позволяющих пользователям получать НСД к
информации в обход существующих механизмов защиты.
9. Международный стандарт ISO 15408 – «Общие критерии»
Особенности «Общий критериев»:наличие определенной методологии и системы формирования требований и оценки безопасности ИТ.
Системность прослеживается начиная от терминологии и уровней абстракции представления требований и
заканчивая их использованием при оценке безопасности на всех этапах жизненного цикла изделий ИТ;
общие критерии, которые характеризуются наиболее полной на сегодняшний день совокупностью
требований безопасности ИТ;
четкое разделение требований безопасности на функциональные требования и требования доверия к
безопасности. Функциональные требования относятся к сервисам безопасности (идентификации,
аутентификации, управлению доступом, аудиту и т.д.), а требования доверия – к технологии разработки,
тестированию, анализу уязвимостей, эксплуатационной документации, поставке, сопровождению, то есть ко
всем этапам жизненного цикла изделий ИТ;
общие критерии, включающие шкалу доверия к безопасности (оценочные уровни доверия к безопасности),
которая может использоваться для формирования различных уровней уверенности в безопасности продуктов
ИТ;
систематизация и классификация требований по иерархии «класс – семейство – компонент – элемент» с
уникальными идентификаторами требований, которые обеспечивают удобство их использования;
компоненты требований в семействах и классах, которые ранжированы по степени полноты и жесткости, а
также сгруппированы в пакеты требований;
гибкость в подходе к формированию требований безопасности для различных типов изделий ИТ и условий
их применения обеспечиваемые возможностью целенаправленного формирования необходимых наборов
требований в виде определенных в ОК стандартизованных структурах (профиля защиты и заданий по
безопасности);
общие критерии обладают открытостью для последующего наращивания совокупности требований.
10. Стандарт COBIT «Управление и аудит информационных технологий»
Аудит информационной безопасности - независимая экспертизаотдельных областей функционирования организации. Различают
внешний и внутренний аудит.
Внешний аудит – разовое мероприятие, проводимое по инициативе
руководства организации или акционеров. Рекомендуется проводить
внешний аудит регулярно, а для многих финансовых организаций и
акционерных обществ это является обязательным требованием со
стороны их учредителей и акционеров.
Внутренний аудит - непрерывная деятельность, которая
осуществляется на основании «Положения о внутреннем аудите» и в
соответствии с планом, подготовка которого осуществляется
подразделениями службы безопасности и утверждается руководством
организации.
11. Стандарт COBIT «Управление и аудит информационных технологий»
Цели проведения аудита безопасности:анализ рисков, связанных с возможностью осуществления
угроз безопасности в отношении ресурсов;
оценка текущего уровня защищенности ИС;
локализация узких мест в системе защиты ИС;
оценка соответствия ИС существующим стандартам в
области информационной безопасности;
выработка рекомендаций по внедрению новых и
повышению эффективности существующих механизмов
безопасности ИС.
12. Стандарт COBIT «Управление и аудит информационных технологий»
Этапы проведения аудита:Подписание договорной и исходноразрешительной документации;
Сбор информации;
Анализ исходных данных;
Выработка рекомендаций;
Контроль за выполнением рекомендаций;
Подписание отчетных актов.
13. Стандарт COBIT «Управление и аудит информационных технологий»
Стадии жизненного цикла информационныхтехнологий в модели COBIT:
Планирование и организация работы;
Приобретение и ввод в действие;
Поставка и поддержка;
Мониторинг.
14. Стандарт COBIT «Управление и аудит информационных технологий»
Отличительные черты COBIT:Большая зона охвата (все задачи от
стратегического планирования и
основополагающих документов до анализа
работы отдельных элементов ИС);
Перекрестный аудит (перекрывающиеся зоны
проверки критически важных элементов);
Адаптируемый, наращиваемый стандарт.
15. Стандарт «Критерии надежности компьютерных систем»
Степень доверия оценивается по двум основным критериям:Политика безопасности – набор законов, правил и норм поведения,
определяющих, как организация обрабатывает, защищает и
распространяет информацию. В частности, правила определяют, в каких
случаях пользователь может оперировать конкретными наборами данных.
Чем выше степень доверия в системе, тем строже и многообразнее
должна быть политика безопасности.
Политика безопасности — это активный аспект защиты, включающий в
себя анализ возможных угроз и выбор мер противодействия.
Уровень гарантированности – мера доверия, которая может быть
оказана архитектуре и реализации ИС. Доверие безопасности может
проистекать как из анализа результатов тестирования, так и из проверки
общего замысла и реализации системы в целом и отдельных ее
компонентов. Уровень гарантированности показывает, насколько
корректны механизмы, отвечающие за реализацию политики
безопасности.
16. Стандарт «Критерии надежности компьютерных систем»
Качества монитора обращений:Изолированность. Возможность отслеживания
работы монитора.
Полнота. Вызов монитора при каждом обращении.
Не должно быть способов обойти его.
Верифицируемость. Компактность монитора,
чтобы его можно было проанализировать и
протестировать, будучи уверенным в полноте
тестирования.
17. Стандарт «Критерии надежности компьютерных систем»
Политика безопасности включать в себяследующие элементы:
◦
◦
◦
◦
произвольное управление доступом;
безопасность повторного использования объектов;
метки безопасности;
принудительное управление доступом.
18. Стандарт «Критерии надежности компьютерных систем»
Произвольное управление доступом – это методразграничения доступа к объектам, основанный на
учете личности субъекта или группы, в которую
входит субъект.
Безопасность повторного использования
объектов – важное дополнение средств
управления доступом, предохраняющее от
случайного или преднамеренного извлечения
конфиденциальной информации из «мусора».
19. Стандарт «Критерии надежности компьютерных систем»
Метка объекта – степень конфиденциальности содержащейсяв нем информации. Согласно «Оранжевой книге», метки
безопасности состоят из двух частей – уровня секретности и
списка категорий. Уровни секретности образуют
упорядоченное множество, а списки категорий –
неупорядоченное.
Принудительный способ управления доступом не зависит
от воли субъектов (даже системных администраторов). После
того, как зафиксированы метки безопасности
субъектов/объектов, оказываются зафиксированными и права
доступа.
20. Стандарт «Критерии надежности компьютерных систем»
Гарантированность – это мера уверенности с которой можно утверждать, что для воплощения вжизнь сформулированной политики безопасности выбран подходящий набор средств, и что
каждое из этих средств правильно исполняет отведенную ему роль.
Виды гарантированности:
Операционная гарантированность– это способ убедиться в том, что архитектура системы и ее
реализация действительно реализуют избранную политику безопасности . Операционная
гарантированность включает в себя проверку следующих элементов:
- архитектура системы;
- целостность системы;
- проверка тайных каналов передачи информации;
- доверенное администрирование;
- доверенное восстановление после сбоев.
Технологическая гарантированность охватывает весь жизненный цикл системы, то есть
периоды проектирования, реализации, тестирования, продажи и сопровождения. Все
перечисленные действия должны выполняться в соответствии со стандартами, чтобы
исключить утечку информации и нелегальные «закладки».
21. Стандарт «Критерии надежности компьютерных систем»
Согласно "Оранжевой книге", в комплектдокументации надежной системы должны
входить следующие тома:
Руководство пользователя по средствам
безопасности;
Руководство администратора по средствам
безопасности;
Тестовая документация;
Описание архитектуры.
22. Стандарт «Критерии надежности компьютерных систем»
Классы защищенности:Группа Д - Minimal Protection (минимальная защита) - объединяет компьютерные системы, не
удовлетворяющие требованиям безопасности высших классов. В данном случае группа и класс
совпадают;
Группа С - Discretionary Protection (избирательная защита) - объединяет системы, обеспечивающие
набор средств защиты, применяемых пользователем, включая средства общего контроля и учета
субъектов и их действий. Эта группа имеет два класса:
1) класс С1 - Discretionary Security Protection (избирательная защита безопасности) - объединяет
системы с разделением пользователей и данных;
2) класс С2 - Controlled Access Protection (защита контролируемого доступа) - объединяет системы,
обеспечивающие более тонкие средства защиты по сравнению с системами класса С1, делающие
пользователей индивидуально различимыми в их действиях посредством процедур контроля входа и
контроля за событиями, затрагивающими безопасность системы и изоляцию данных.
* Примечание: Компьютерные системы, которые могут быть использованы для нужд министерства
обороны США, должны как минимум иметь рейтинг безопасности С2.
23. Стандарт «Критерии надежности компьютерных систем»
Классы защищенности:Группа В - Mandatory Protection (полномочная защита) - имеет три класса:
1) класс В1 - Labeled Security Protection (меточная защита
безопасности) - объединяет системы, удовлетворяющие всем
требованиям класса С2, дополнительно реализующие заранее
определенную модель безопасности, поддерживающие метки
субъектов и объектов, полный контроль доступа. Вся выдаваемая
информация регистрируется, все выявленные при тестировании
недостатки должны быть устранены;
24. Стандарт «Критерии надежности компьютерных систем»
Классы защищенности:2) класс В2 - Structured Protection (структурированная защита) - объединяет системы, в
которых реализована четко определенная и задокументированная формализованная
модель обеспечения безопасности, а меточный механизм разделения и контроля доступа,
реализованный в системах класса В1, распространен на всех пользователей, все данные и
все виды доступа. По сравнению
с классом В1 ужесточены требования по идентификации пользователей, контролю за
исполнением команд управления, усилена поддержка администратора и операторов
системы. Должны быть проанализированы и перекрыты все возможности обхода защиты.
Системы класса В2 считаются "относительно неуязвимыми" для несанкционированного
доступа;
25. Стандарт «Критерии надежности компьютерных систем»
Классы защищенности:3) класс В3 - Security Domains (области безопасности) - объединяет системы,
имеющие специальные комплексы безопасности. В системах этого класса
должен быть механизм регистрации всех видов доступа любого субъекта к
любому объекту. Должна быть полностью исключена возможность
несанкционированного доступа. Система безопасности должна иметь
небольшой объем и приемлемую сложность для того, чтобы пользователь мог
в любой момент протестировать механизм безопасности. Системы этого
класса должны иметь средства поддержки администратора безопасности;
механизм контроля должен быть распространен вплоть до сигнализации о
всех событиях, затрагивающих безопасность; должны быть средства
восстановления системы. Системы этого класса считаются устойчивыми к
несанкционированному доступу.
26. Стандарт «Критерии надежности компьютерных систем»
Классы защищенности:Группа А - Verified Protection (проверяемая защита) - объединяет системы,
характерные тем, что для проверки реализованных в системе средств защиты
обрабатываемой или хранимой информации применяются формальные методы.
Обязательным требованием является полная документированность всех аспектов
проектирования, разработки и исполнения систем. Выделен единственный класс:
класс А1 - Verified Desing (проверяемая разработка) - объединяющий системы,
функционально эквивалентные системам класса В3 и не требующие каких-либо
дополнительных средств. Отличительной чертой систем этого класса является
анализ формальных спецификаций проекта системы и технологии исполнения,
дающий в результате высокую степень гарантированности корректного
исполнения системы. Кроме этого, системы должны иметь мощные средства
управления конфигурацией и средства поддержки администратора безопасности.
27. Германский стандарт BSI
Общая методология и компоненты управления информационной безопасностью:Общий метод управления информационной безопасностью (организация менеджмента в
области ИБ, методология использования руководства).
Описания компонентов современных информационных технологий.
Основные компоненты (организационный уровень ИБ, процедурный уровень, организация
защиты данных, планирование действий в чрезвычайных ситуациях).
Инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа).
Клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты,
прочие типы).
Сети различных типов (соединения «точка-точка», сети Novell NetWare, сети с OC ONIX и
Windows, разнородные сети).
Элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и
т.д.).
28. Германский стандарт BSI
Общая методология и компоненты управления информационной безопасностью:Телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие
телекоммуникационные системы).
Стандартное ПО.
Базы данных.
Описания основных компонентов организации режима информационной безопасности (организационный и
технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка
непрерывности бизнеса).
Характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны).
Характеристики основных информационных активов компании (в том числе аппаратное и программное
обеспечение, например рабочие станции и сервера под управлением операционных систем семейства DOS,
Windows и UNIX).
Характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare,
сети UNIX и Windows).
Характеристика активного и пассивного телекоммуникационного оборудования ведущих вендоров, например
Cisco Systems.
Подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
29. Германский стандарт BSI
Все виды угроз в стандарте BSI разделены на следующие классы:Форс-мажорные обстоятельства.
Недостатки организационных мер.
Ошибки человека.
Технические неисправности.
Преднамеренные действия.
Аналогично классифицированы контрмеры:
Улучшение инфраструктуры;
Административные контрмеры;
Процедурные контрмеры;
Программно-технические контрмеры;
Уменьшение уязвимости коммуникаций; планирование действий в
чрезвычайных ситуациях.
30. Германский стандарт BSI
Все компоненты рассматриваются и описываются поплану:
общее описание;
возможные сценарии угроз безопасности (перечисляются
применимые к данной компоненте угрозы из каталога угроз
безопасности);
возможные контрмеры (перечисляются применимые к
данной компоненте угрозы из каталога угроз безопасности).
31. Британский стандарт BS 7799
Британский стандарт BS 7799Часть 1 «Практические рекомендации»:
Политика безопасности;
Организация защиты;
Классификация и управление информационными ресурсами;
Управление персоналом;
Физическая безопасность;
Администрирование компьютерных систем и сетей;
Управление доступом к системам;
Разработка и сопровождение систем;
Планирование бесперебойной работы организации;
Проверка системы на соответствие требованиям ИБ.
32. Британский стандарт BS 7799
Британский стандарт BS 7799Часть 2 «Спецификации системы»:
определяет возможные функциональные спецификации
корпоративных систем управления информационной безопасностью с
точки зрения их проверки на соответствие требованиям первой части
данного стандарта. В соответствии с положениями этого стандарта
также регламентируется процедура аудита информационных
корпоративных систем.
33. Гармонизированные критерии европейских стран
Гармонизированные критерииевропейских стран
"Европейские Критерии" рассматривают следующие
составляющие информационной безопасности:
- конфиденциальность - защита от
несанкционированного получения информации;
- целостность - защита от несанкционированного
изменения информации;
- доступность - защита от несанкционированного
удержания информации и ресурсов.
34. Гармонизированные критерии европейских стран
Гармонизированные критерииевропейских стран
Система
- это конкретная аппаратнопрограммная конфигурация, построенная с
вполне определенными целями и
функционирующая в известном окружении.
Продукт - это аппаратно-программный
"пакет", который можно купить и по своему
усмотрению встроить в ту или иную систему.
35. Гармонизированные критерии европейских стран
Гармонизированные критерииевропейских стран
Спецификации:
Идентификация и аутентификация.
Управление доступом.
Подотчетность.
Аудит.
Повторное использование объектов.
Точность информации.
Надежность обслуживания.
Обмен данными.
36. Гармонизированные критерии европейских стран
Гармонизированные критерииевропейских стран
Для получения гарантий эффективности средств безопасности
рассматриваются следующие вопросы:
- Соответствие набора функций безопасности провозглашенным целям, то есть их
пригодность для противодействия угрозам, перечисленным в описании объекта оценки;
- Взаимная согласованность различных функций и механизмов безопасности;
- Способность механизмов безопасности противостоять прямым атакам;
- Возможность практического использования слабостей в архитектуре объекта оценки,
то есть наличие способов отключения, обхода, повреждения и обмана функций
безопасности;
- Возможность небезопасного конфигурирования или использования объекта оценки при
условии, что администраторы и/или пользователи имеют основание считать ситуацию
безопасной;
- Возможность практического использования слабостей в функционировании объекта
оценки.