Гост р - национальные стандарты российской федерации в области защиты информации. Стандарты информационной безопасности Государственные стандарты по информационной безопасности

Требования к знаниям и умениям

Студент должен иметь представление:

• о роли Гостехкомиссии в обеспечении информационной безопасности в РФ;

• о документах по оценке защищенности автоматизированных систем в РФ.

Студент должен знать:

• основное содержание стандартов по оценке защищенности автоматизированных систем в РФ.

Студент должен уметь:

• определять классы защищенных систем по совокупности мер защиты.

Ключевой термин

Ключевой термин: Стандарты информационной безопасности в РФ.

Стандарты информационной безопасности в РФ разрабатываются в рамках Гостехкомиссии РФ.

Второстепенные термины

• Гостехкомиссия и ее роль в обеспечении информационной безопасности в РФ.

• Документы по оценке защищенности автоматизированных систем в РФ.

Структурная схема терминов

1.7.1 Гостехкомиссия и ее роль в обеспечении информационной безопасности в РФ

В Российской Федерации информационная безопасность обеспечивается соблюдение указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов.

Наиболее общие документы были рассмотрены ранее при изучении правовых основ информационной безопасности. В РФ с точки зрения стандартизации положений в сфере информационной безопасности первостепенное значение имеют руководящие документы (РД) Гостехкомиссии России, одной из задач которой является «проведение единой государственной политики в области технической защиты информации».

Гостехкомиссия России ведет весьма активную нормотворческую деятельность, выпуская руководящие документы, играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на «Общие критерии».

За 10 лет своего существования Гостехкомиссия разработала и довела до уровня национальных стандартов десятки документов, среди которых:

• Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (Утверждено Председателем Гостехкомиссии России 25.11.1994 г.);

• Руководящий документ «Автоматизированные системы (АС). Защита от несанкционированного доступа (НСД) к информации. Классификация АС и требования к защите информации» (Гостехкомиссия России, 1997);

• Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1992 г.);

• Руководящий документ «Концепция защиты средств вычислительной техники от НСД к информации» (Гостехкомиссия России, 1992 г.);

• Руководящий документ «Защита от НСД к информации. Термины и определения» (Гостехкомиссия России, 1992 г.);

• Руководящий документ «Средства вычислительной техники (СВТ). Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997 г.);

• Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.);

• Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (Гостехкомиссия России, 2001г.).

1.7.2 Документы по оценке защищенности автоматизированных систем в РФ

Рассмотрим наиболее значимые из этих документов, определяющие критерии для оценки защищенности автоматизированных систем.

Устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Основой для разработки этого документа явилась «Оранжевая книга». Этот оценочный стандарт устанавливается семь классов защищенности СВТ от НСД к информации.

Самый низкий класс — седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

• Первая группа содержит только один седьмой класс, к которому относят все СВТ, неудовлетворяющие требованиям более высоких классов;

• Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

• Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

• Четвертая группа характеризуется верифицированной защитой и включает только первый класс.

устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

В документе определены девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

В таблице 2 приведены классы защищенности АС и требования для их обеспечения.

Таблица 1. Требования к защищенности автоматизированных систем

«-» нет требований к данному классу;

«+» есть требования к данному классу;

По существу в таблице 2 систематизированы минимальные требования, которым необходимо следовать, чтобы обеспечить конфиденциальность информации .

Требования по обеспечению целостность представлены отдельной подсистемой (номер 4).

Руководящий документ «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» является основным документом для анализа системы защиты внешнего периметра корпоративной сети. Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ.

Всего выделяется пять показателей защищенности:

• управление доступом;

• контроль целостности;

На основании показателей защищенности определяются следующие пять классов защищенности МЭ:

• простейшие фильтрующие маршрутизаторы – 5 класс ;

• пакетные фильтры сетевого уровня – 4 класс ;

• простейшие МЭ прикладного уровня – 3 класс ;

• МЭ базового уровня – 2 класс ;

• продвинутые МЭ – 1 класс .

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию «Особой важности». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки «совершенно секретной» информации и т.п.

Согласно первому из них, устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса – 3Б и 3А.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.

Выводы по теме

1. В Российской Федерации информационная безопасность обеспечивается соблюдением Указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов.

2. Стандартами в сфере информационной безопасности в РФ являются руководящие документы Гостехкомиссии России, одной из задач которой является «проведение единой государственной политики в области технической защиты информации».

3. При разработке национальных стандартов Гостехкомиссия России ориентируется на «Общие критерии».

Руководящий документ «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации» устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Этот оценочный стандарт устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты.

Руководящий документ «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

• наличие в АС информации различного уровня конфиденциальности;

• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

• режим обработки данных в АС – коллективный или индивидуальный.

Руководящий документ «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» является основным документом для анализа системы защиты внешнего периметра корпоративной сети. Данный документ определяет показатели защищенности межсетевых экранов. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

• управление доступом;

• идентификация и аутентификация;

• регистрация событий и оповещение;

• контроль целостности;

• восстановление работоспособности.

Контрольные вопросы:

1. Сколько классов защищенности СВТ от НСД к информации устанавливает РД «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации»?

2. В данном разделе приводятся общие сведения и тексты национальных стандартов Российской Федерации в области защиты информации ГОСТ Р.

   Актуальный перечень современных ГОСТов, разработанных в последние годы и планируемых к разработке. Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (ФСТЭК России). ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ПОРЯДОК СОЗДАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. Общие положения. Москва ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Дата введения 1996-01-01 Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения. Protection of information. Basic terms and definitions. Дата введения 2008-02-01 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ЗАЩИТА ИНФОРМАЦИИ. СИСТЕМА СТАНДАРТОВ. ОСНОВНЫЕ ПОЛОЖЕНИЯ (SAFETY OF INFORMATION. SYSTEM OF STANDARDS. BASIC PRINCIPLES) ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ИСПЫТАНИЯ ПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ. Типовое руководство (Information security. Software testing for the existence of computer viruses. The sample manual). Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model) ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 2. Security functional requirements) ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements) ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности. Information security of the public communications network providing system. Passport of the organization communications of information security. Дата введения в действие 30.09.2009. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. Protection of information. Information security provision in organizations. Basic terms and definitions. Дата введения в действие 30.09.2009. ГОСТ Р 53112-2008 Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний. Information protection. Facilities for measuring side electromagnetic radiation and pickup parameters. Technical requirements and test methods. Дата введения в действие 30.09.2009. ГОСТ Р 53115-2008 Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства. Information protection. Conformance testing of technical information processing facilities to unauthorized access protection requirements. Methods and techniques. Дата введения в действие 30.09.2009. ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Information technology. Protection of information technology and automated systems against security threats posed by use of covert channels. Part 2. Recommendations on protecting information, information technology and automated systems against covert channel attacks. Дата введения в действие 01.12.2009. ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. Information technology. Security techniques. Security assessment of operational systems. Дата введения в действие 30.09.2009. ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения. Information protection. Guidelines for recovery services of information and communications technology security functions and mechanisms. General. Дата введения в действие 30.09.2009. ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы. Information technology. Security techniques. A framework for IT security assurance. Part 1. Overview and framework. Дата введения в действие 01.07.2012. ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции. Information technology. Security techniques. Network security. Part 1. Overview and concepts. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems. Дата введения в действие 30.09.2009. ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. Information technology. Security techniques. Information security management. Measurement. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Information technology. Security techniques. Information security risk management. Дата введения в действие 01.12.2011. ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска (Risk management. Risk assessment methods). Дата введения в действие: 01.12.2012 ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство (Risk management. Principles and guidelines). Дата введения в действие: 31.08.2011 ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. Дата введения в действие: 30.06.1990. ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1» – вступает в силу 1 сентября 2015 г. ГОСТ Р ИСО/МЭК 27033-3-2014 «Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления» – вступает в силу 1 ноября 2015 г ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме» – вступает в силу 1 ноября 2015 г. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. Information technology. Security techniques. Code of practice for information security management. Дата введения в действие 01.01.2014. Код ОКС 35.040. ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования (Information protection. Secure Software Development. General requirements). Дата введения в действие 01.06.2017. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Information protection. Sequence of protected operational system formation. General. 01.09.2014 ГОСТ Р 7.0.97-2016 Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов (System of standards on information, librarianship and publishing. Organizational and administrative documentation. Requirements for presentation of documents). Дата введения в действие 01.07.2017. Код ОКС 01.140.20. ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер - Security of Financial (banking) Operations. Information Protection of Financial Organizations. Basic Set of Organizational and Technical Measures. ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования - Business continuity management systems. Requirements. ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению - Business continuity management systems. Guidance for implementation. ГОСТ Р ИСО/МЭК 27031-2012 Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса - Information technology. Security techniques. Guidelines for information and communication technology readiness for business continuity. ГОСТ Р МЭК 61508-1-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 1. General requirements. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-2-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 2. Requirements for systems. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-3-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ. Требования к программному обеспечению. IEC 61508-3:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 3: Software requirements (IDT). ГОСТ Р МЭК 61508-4-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ Часть 4 Термины и определения. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 4. Terms and definitions. Дата введения 2013-08-01. . ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3. IEC 61508-6:2010. Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (IDT). ГОСТ Р МЭК 61508-7-2012 Функциональная безопасность систем электрических, Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства. Functional safety of electrical electronic programmable electronic safety-related systems. Part 7. Techniques and measures. Дата введения 2013-08-01. ГОСТ Р 53647.6-2012. Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных

   ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

   ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

   Предисловие

   Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

   Сведения о стандарте

   1 РАЗРАБОТАН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»), Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл»)

   2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

   3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. № 532-ст

   4 ВВЕДЕН ВПЕРВЫЕ

   Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

   1 Область применения 3 Термины и определения 3.1 Общие понятия 3.2 Термины, относящиеся к объекту защиты информации 3.3 Термины, относящиеся к угрозам безопасности информации 3.4 Термины, относящиеся к менеджменту информационной безопасности организации 3.5 Термины, относящиеся к контролю и оценке информационной безопасности организации 3.6 Термины, относящиеся к средствам обеспечения информационной безопасности организации Алфавитный указатель терминов Приложение А (справочное)Термины и определения общетехнических понятий Приложение Б (справочное)Взаимосвязь основных понятий в области обеспечения информационной безопасности в организации Библиография

   Введение

   Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

   Для каждого понятия установлен один стандартизованный термин.

   Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы, В алфавитном указателе данные термины приведены отдельно.

   Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

   Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

   Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

   Стандартизованные термины набраны полужирным шрифтом, их краткие формы в тексте и в алфавитном указателе, в том числе аббревиатуры, - светлым, а синонимы - курсивом.

   Термины и определения общетехнических понятий, необходимые для понимания текста основной части настоящего стандарта, приведены в приложении А.

   Security Management Systems - Specification with guidance for use" (Системы - спецификации с руководством по использованию). На его базе был разработан стандарт ISO/IEC 27001:2005 " Information Technology . Security techniques . Information security management systems. Requirements ", на соответствие которому может проводиться сертификация .

   В России на данный момент действуют стандарты ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Практические правила управления информационной безопасностью " ( аутентичный перевод ISO/IEC 17799:2000) и ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (перевод ISO/IEC 27001:2005). Несмотря на некоторые внутренние расхождения, связанные с разными версиями и особенностями перевода, наличие стандартов позволяет привести систему управления информационной безопасностью в соответствие их требованиям и, при необходимости, сертифицировать.

   ГОСТ Р ИСО/МЭК 17799:2005 "Информационная технология. Практические правила управления информационной безопасностью"

   Рассмотрим теперь содержание стандарта. Во введении указывается, что "информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности , доходности, соответствия законодательству и деловой репутации организации". Таким образом, можно говорить о том, что данный стандарт рассматривает вопросы информационной безопасности, в том числе, и с точки зрения экономического эффекта.

   Указываются три группы факторов, которые необходимо учитывать при формировании требований в области информационной безопасности. Это:

   • оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий;
   • юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг;
   • специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.

   После того, как определены требования, идет этап выбора и внедрения мероприятий по , которые обеспечат снижение рисков до приемлемого уровня. Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации, эффекта от снижения рисков и возможных убытков в случае нарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации. Возможный перечень мероприятий приводится в стандарте, но отмечается, что он может быть дополнен или сформирован самостоятельно исходя из потребностей организации.

   Кратко перечислим разделы стандарта и предлагаемые в них мероприятия по защите информации. Первая их группа касается политики безопасности. Требуется, чтобы она была разработана, утверждена руководством организации, издана и доведена до сведения всех сотрудников. Она должна определять порядок работы с информационными ресурсами организации, обязанности и ответственность сотрудников. Политика периодически пересматривается, чтобы соответствовать текущему состоянию системы и выявленным рискам.

   Следующий раздел затрагивает организационные вопросы, связанные с обеспечением информационной безопасности. Стандарт рекомендует создавать управляющие советы (с участием высшего руководства компании) для утверждения политики безопасности, назначения ответственных лиц, распределения обязанностей и координации внедрения мероприятий по управлению информационной безопасностью в организации. Также должен быть описан процесс получения разрешений на использование в организации средств обработки информации (в т.ч. нового программного обеспечения и аппаратуры), чтобы это не привело к возникновению проблем с безопасностью. Требуется определить и порядок взаимодействия с другими организациями по вопросам информационной безопасности, проведения консультаций с "внешними" специалистами, независимой проверки (аудита) информационной безопасности.

   При предоставлении доступа к информационным системам специалистам сторонних организаций, необходимо особое внимание уделить вопросам безопасности. Должна быть проведена оценка рисков, связанных с разными типами доступа (физическим или логическим, т.е. удаленным) таких специалистов к различным ресурсам организации. Необходимость предоставления доступа должна быть обоснована, а в договоры со сторонними лицами и организациями должны быть включены требования, касающиеся соблюдения политики безопасности. Аналогичным образом предлагается поступать и в случае привлечения сторонних организаций к обработке информации (аутсорсинга).

   Следующий раздел стандарта посвящен вопросам классификации и управления активами . Для обеспечения информационной безопасности организации необходимо, чтобы все основные информационные активы были учтены и закреплены за ответственными владельцами. Начать предлагается с проведения инвентаризации. В качестве примера приводится следующая классификация:

   • информационные активы (базы данных и файлы данных, системная документация и т.д.);
   • активы программного обеспечения (прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты);
   • физические активы (компьютерное оборудование, оборудование связи, носители информации, другое техническое оборудование, мебель, помещения);
   • услуги (вычислительные услуги и услуги связи, основные коммунальные услуги).

   Далее предлагается классифицировать информацию, чтобы определить ее приоритетность, необходимость и степень ее защиты. При этом, можно оценить соответствующую информацию с учетом того, насколько она критична для организации, например, с точки зрения обеспечения ее целостности и доступности. После этого предлагается разработать и внедрить процедуру маркировки при обработке информации. Для каждого уровня классификации следует определять процедуры маркировки для того, чтобы учесть следующие типы обработки информации:

   • копирование;
   • хранение;
   • передачу по почте, факсом и электронной почтой;
   • передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;
   • уничтожение.

   Следующий раздел рассматривает вопросы безопасности, связанные с персоналом. Стандартом определяется, чтобы обязанности по соблюдению требований безопасности распределялись на стадии подбора персонала, включались в трудовые договоры и проводился их мониторинг в течение всего периода работы сотрудника. В частности, при приеме в постоянный штат, рекомендуется проводить проверку подлинности представляемых претендентом документов, полноту и точность резюме, представляемые им рекомендации. Рекомендуется, чтобы сотрудники подписывали соглашение о конфиденциальности, уведомляющее о том, какая информация является конфиденциальной или секретной. Должна быть определена дисциплинарная ответственность сотрудников, нарушивших политику и процедуры безопасности организации. Там, где необходимо, эта ответственность должна сохраняться и в течение определенного срока после увольнения с работы.

   Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы минимизировать возможные риски. Кроме того, должен быть определен порядок информирования о нарушениях информационной безопасности , с которым необходимо ознакомить персонал. Аналогичная процедура должна задействоваться в случаях сбоев программного обеспечения. Подобные инциденты требуется регистрировать и проводить их анализ для выявления повторяющихся проблем.

   Следующий раздел стандарта посвящен вопросам физической защиты и защиты от воздействия окружающей среды. Указывается, что "средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности , обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия". Кроме организации контроля доступа в охраняемые зоны, должны быть определены порядок проведения в них работ и, при необходимости, процедуры организации доступа посетителей. Необходимо также обеспечивать безопасность оборудования (включая и то, что используется вне организации), чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. К этой же группе требований относится обеспечение защиты от сбоев электропитания и защиты кабельной сети. Также должен быть определен порядок технического обслуживания оборудования, учитывающий требования безопасности, и порядок безопасной утилизации или повторного использования оборудования. Например, списываемые носители данных, содержащие важную информацию, рекомендуется физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления данных.

   С целью минимизации риска неавторизованного доступа или повреждения бумажных документов, носителей данных и средств обработки информации, рекомендуется внедрить политику "чистого стола" в отношении бумажных документов и сменных носителей данных, а также политику "чистого экрана" в отношении средств обработки информации. Оборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения.

   Название очередного раздела стандарта - "Управление передачей данных и операционной деятельностью". В нем требуется, чтобы были установлены обязанности и процедуры, связанные с функционированием всех средств обработки информации. Например, должны контролироваться изменения конфигурации в средствах и системах обработки информации. Требуется реализовать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей.

   Рекомендуется провести разделение сред разработки, тестирования и промышленной эксплуатации программного обеспечения (ПО). Правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.

   Дополнительные риски возникают при привлечении сторонних подрядчиков для управления средствами обработки информации. Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт.

   Для обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих. Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие и перспективные планы развития информационных технологий в организации. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы.

   Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые "черви", "троянские кони" и логические бомбы . Отмечается, что защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащем управлении изменениями.

   Должен быть определен порядок проведения вспомогательных операций, к которым относится резервное копирование программного обеспечения и данных 1В качестве примера, в лабораторной работе №10 рассматривается организация резервного копирования в Windows Server 2008. , регистрация событий и ошибок и, где необходимо, мониторинг состояния аппаратных средств. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям планов по обеспечению непрерывности бизнеса.

   Для обеспечения безопасности информации в сетях и защиты поддерживающей инфраструктуры , требуется внедрение средств контроля безопасности и защита подключенных сервисов от неавторизованного доступа.

   Особое внимание уделяется вопросам безопасности носителей информации различного типа: документов, компьютерных носителей информации (лент, дисков, кассет), данных ввода/вывода и системной документации от повреждений. Рекомендуется установить порядок использования сменных носителей компьютерной информации (порядок контроля содержимого, хранения, уничтожения и т.д.). Как уже отмечалось выше, носители информации по окончании использования следует надежно и безопасно утилизировать.

   С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации, и действовать в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов. Системная документация может содержать определенную важную информацию, поэтому тоже должна защищаться.

   Процесс обмена информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству. В частности, должна обеспечиваться безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем. Следует уделять внимание защите целостности информации, опубликованной электронным способом, например информации на Web-сайте. Также необходим соответствующий формализованный процесс авторизации прежде, чем такая информация будет сделана общедоступной.

   Следующий раздел стандарта посвящен вопросам контроля доступа.

   Требуется, чтобы правила контроля доступа и права каждого пользователя или группы пользователей однозначно определялись политикой безопасности. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения данных требований.

   При использовании парольной аутентификации , необходимо осуществлять контроль в отношении паролей пользователей. В частности, пользователи должны подписывать документ о необходимости соблюдения полной конфиденциальности паролей. Требуется обеспечить безопасность процесса получения пароля пользователем и, если это используется, управления пользователями своими паролями (принудительная смена пароля после первого входа в систему и т.д.).

   Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Особое внимание должно уделяться проверке подлинности удаленных пользователей. Исходя из оценки риска, важно определить требуемый уровень защиты для выбора соответствующего метода аутентификации. Также должна контролироваться безопасность использования сетевых служб.

   Многие сетевые и вычислительные устройства имеют встроенные средства удаленной диагностики и управления. Меры обеспечения безопасности должны распространяться и на эти средства.

   В случае, когда сети используются совместно несколькими организациями, должны быть определены требования политики контроля доступа, учитывающие это обстоятельство. Также может потребоваться внедрение дополнительных мероприятий по управлению информационной безопасностью , чтобы ограничивать возможности пользователей по подсоединению.

   На уровне операционной системы следует использовать средства информационной безопасности для ограничения доступа к компьютерным ресурсам 2Пример организации разграничения доступа к файлам и папкам в Windows Server 2008, будет рассмотрен в лабораторной работе № 9. . Это относится к идентификации и аутентификации терминалов и пользователей. Рекомендуется, чтобы все пользователи имели уникальные идентификаторы, которые не должны содержать признаков уровня привилегии пользователя. В системах управления паролем должны быть предусмотрены эффективные интерактивные возможности поддержки необходимого их качества 3Пример управления качеством паролей в ОС семейства Windows рассматривается в лабораторной работе №3. . Использование системных утилит должно быть ограничено и тщательным образом контролироваться.

   Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия 4В качестве примера можно назвать пароли для входа "под принуждением". Если пользователь вводит такой пароль, система отображает процесс обычного входа пользователя, после чего имитируется сбой, чтобы нарушители не смогли получить доступ к данным. (если такое событие оценивается как вероятное). При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги.

   Терминалы, обслуживающие системы высокого риска, при размещении их в легкодоступных местах, должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц. Также может вводиться ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам.

   На уровне приложений также необходимо применять меры обеспечения информационной безопасности. В частности, это может быть ограничение доступа для определенных категорий пользователей. Системы, обрабатывающие важную информацию, должны быть обеспечены выделенной (изолированной) вычислительной средой.

   Для обнаружения отклонения от требований политики контроля доступа и обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности необходимо проводить мониторинг системы. Результаты мониторинга следует регулярно анализировать. Журнал аудита может использоваться для расследования инцидентов, поэтому достаточно важной является правильная установка (синхронизация) компьютерных часов.

   При использовании переносных устройств, например, ноутбуков, необходимо принимать специальные меры противодействия компрометации служебной информации. Необходимо принять формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде.

   Очередной раздел стандарта называется "Разработка и обслуживание систем". Уже на этапе разработки информационных систем необходимо обеспечить учет требований безопасности. А в процессе эксплуатации системы требуется предотвращать потери, модификацию или неправильное использование пользовательских данных. Для этого в прикладных системах рекомендуется предусмотреть подтверждение корректности ввода и вывода данных, контроль обработки данных в системе, аутентификацию сообщений, протоколирование действий пользователя.

   Для обеспечения конфиденциальности, целостности и аутентификации данных могут быть использованы криптографические средства защиты.

   Важную роль в процессе защиты информации играет обеспечение целостности программного обеспечения. Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений. Периодически возникает необходимость внести изменения в операционные системы. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопасность. Насколько возможно, готовые пакеты программ рекомендуется использовать без внесения изменений.

   Связанным вопросом является противодействие "троянским" программам и использованию скрытых каналов утечки. Одним из методов противодействия является использование программного обеспечения, полученного от доверенных поставщиков, и контроль целостности системы .

   В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо предусмотреть меры по контролю качества и правильности выполненных работ.

   Следующий раздел стандарта посвящен вопросам управления непрерывностью бизнеса. На начальном этапе предполагается идентифицировать события, которые могут быть причиной прерывания бизнес-процессов (отказ оборудования, пожар и т.п.). При этом нужно провести оценку последствий, после чего разработать планы восстановления. Адекватность планов должна быть подтверждена тестированием, а сами они должны периодически пересматриваться, чтобы учитывать происходящие в системе изменения.

   Заключительный раздел стандарта посвящен вопросам соответствия требованиям. В первую очередь, это касается соответствия системы и порядка ее эксплуатации требованиям законодательства. Сюда относятся вопросы соблюдения авторского права (в том числе, на программное обеспечение), защиты персональной информации (сотрудников, клиентов), предотвращения нецелевого использования средств обработки информации. При использовании криптографических средств защиты информации, они должны соответствовать действующему законодательству. Также должна быть досконально проработана процедура сбора доказательств на случай судебных разбирательств, связанных с инцидентами в области безопасности информационной системы.

   Сами информационные системы должны соответствовать политике безопасности организации и используемым стандартам. Безопасность информационных систем необходимо регулярно анализировать и оценивать. В то же время, требуется соблюдать меры безопасности и при проведении аудита безопасности, чтобы это не привело к нежелательным последствиям (например, сбой критически важного сервера из-за проведения проверки).

   Подводя итог можно отметить, что в стандарте рассмотрен широкий круг вопросов, связанных с обеспечением безопасности информационных систем. По ряду направлений даются практические рекомендации.

   Международные стандарты

   • BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
   • BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
   • BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
   • ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
   • ISO/IEC 27000 - Словарь и определения.
   • ISO/IEC 27001 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
   • ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
   • ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
   • German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

   Государственные (национальные) стандарты РФ

   • ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
   • Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
   • ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
   • ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
   • ГОСТ Р ИСО/МЭК 15408-1-2012 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
   • ГОСТ Р ИСО/МЭК 15408-2-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
   • ГОСТ Р ИСО/МЭК 15408-3-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
   • ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
   • ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
   • ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
   • ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.
   Напечатать