УДК 006.322

МГТУ им. Н.Э. Баумана

spesial@mail.ru

kat.ivanova@hotmail.com

Введение

Термин информационная безопасность в целом означает состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства [1].

Проблема защиты информации является многоплановой и комплексной, охватывает ряд важных задач. Ключевым аспектом решения проблемы безопасности в области информационных технологий является выработка системы требований, критериев и показателей для оценки уровня безопасности [2].

1.      Основные стандарты в области информационной безопасности и их сравнение

1.1 «Оранжевая книга». Первый стандарт, получивший международное признание и оказавший сильное влияние на последующие разработки в области информационной безопасности, - стандарт Министерства Обороны США «Критерии оценки доверенных компьютерных систем» (Department of Defence Trusted Computer System Evaluation Criteria, TCSEC), более известный как «Оранжевая книга» (назван по цвету обложки). В ней заложен понятийный базис информационной безопасности – такие термины как безопасная и доверенная системы, политика безопасности, уровень гарантированности, подотчетность, доверенная вычислительная база, монитор обращений, ядро и периметр безопасности. В этом стандарте также выделены следующие аспекты политики безопасности: добровольное (дискреционное) и принудительное (мандатное) управление доступом; безопасность повторного использования объектов. Кроме того, приведена классификация по требованиям защищенности любой информационной системы на основе параллельного ужесточения требований к политике безопасности и уровню гарантированности.

В «Оранжевой книге» определены 4 уровня безопасности — D, С, В и А. По мере перехода от уровня D до А к надежности информационной системы предъявляются все более жесткие требования. Уровни С и В подразделяются в свою очередь на классы (CI, С2, Bl, В2, ВЗ). Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее защита должна удовлетворять оговоренным в данном стандарте требованиям.

После «Оранжевой книги» были выпущены некоторые другие стандарты. Прежде всего следует отметить так называемую  «Интерпретацию «Оранжевой книги» для сетевых конфигураций», состоящую из 2 частей. Первая часть включает в себя именно интерпретацию, а во второй описаны сервисы безопасности, специфичные и особенно важные для сетевых конфигураций.

 Затем был опубликован ряд документов, непосредственно связанных с информационной безопасностью. Это были такие стандарты, как "Гармонизированные критерии Европейских стран", международный стандарт "Критерии оценки безопасности информационных технологий", Федеральный стандарт США "Требования безопасности для криптографических модулей", регламентирующий конкретный аспект информационной безопасности (криптография выделяется как один из защитных механизмов, помогающих поддерживать как конфиденциальность, так и целостность информации). Новым стал систематический подход к вопросам доступности информации [3].

1.2 «Европейские критерии». Следующим важным документом стали «Европейские критерии» (Information Technology Security Evaluation Criteria, ITSEC), которые были опубликованы в июне 1991  от имени Франции, Германии, Нидерландов и Великобритании. Принципиально важной чертой «Европейских критериев» является отсутствие априорных требований к условиям, в которых должна работать та или иная система безопасности.

Согласно этому стандарту сначала формируется цель оценки, то есть определяются условия, в которых должна работать система, возможные угрозы ее безопасности и предоставляемые ей защитные функции. Затем администратор оценки - лицо, ответственное за реализацию общих критериев через определенную совокупность стандартов и других нормативных документов, - определяет, насколько полно может быть достигнута поставленная цель, то есть в какой мере корректны и эффективны архитектура и реализация механизмов безопасности в конкретной ситуации. Чтобы облегчить формулировку цели оценки, «Европейские критерии» содержат описание десяти примерных классов функциональности систем безопасности, типичных для правительственных и коммерческих систем. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности "Оранжевой книги". «Европейские критерии» направлены не только на решение задачи оценки свойств конкретного информационного объекта, но и на описание этих свойств. Поэтому с использованием этого документа могут решать свои задачи и другие лица, например офицеры безопасности, аудиторы, лица ответственные за аккредитацию и сертификацию продуктов и систем и другие.

В данном стандарте средства, имеющие отношение к информационной безопасности, рассматриваются на трех уровнях детализации. На первом уровне рассматриваются лишь цели безопасности и  основные функции безопасности. Второй уровень содержит спецификации этих функций. На третьем уровне содержится информация о механизмах безопасности. В «Европейских критериях» также подчеркивается различие между системами и продуктами информационных технологий, но для унификации требований вводится единое понятие - объект оценки [1].

1.3 Руководящие документы. Руководящие документы Гостехкомиссии России начали появляться позже, уже после опубликования "Европейских критериев",  и были построены по аналогии с «Оранжевой книгой».

Первое значительное отклонение от этого документа произошло в 1997 году, когда был принят руководящий документ по отдельному сервису безопасности - межсетевым экранам[3]. Его основная идея - классифицировать межсетевые экраны на основании осуществляющих фильтрацию потоков данных уровней эталонной модели. Каждый показатель защищенности (специальная характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности) представляет собой набор требований безопасности, характеризующих определенную область функционирования межсетевого экрана. Данными показателями являются:

·                     управление доступом;

·                     идентификация и аутентификация;

·                     регистрация событий и оповещение;

·                     контроль целостности;

·                     восстановление работоспособности.

Для межсетевых экранов были определены пять следующих показателей защищенности :

·        простейшие фильтрующие маршрутизаторы - 5 класс;

·        пакетные фильтры сетевого уровня - 4 класс;

·        простейшие межсетевые экраны прикладного уровня - 3 класс;

·        межсетевые экраны базового уровня - 2 класс;

·        продвинутые межсетевые экраны - 1 класс.

Межсетевые экраны первого класса защищенности могут использоваться в автоматизированных системах класса 1А, обрабатывающих информацию "особой важности". Второму классу защищенности межсетевых экранов соответствует класс защищенности автоматизированных систем 1Б, предназначенный для обработки "совершенно секретной" информации и т.п. [1] .

1.4 «Критерии оценки безопасности информационных технологий». В 2002 году Гостехкомиссия России приняла в качестве руководящего документа русский перевод  международного стандарта ISO/IEC 15408:1999 "Критерии оценки безопасности информационных технологий. "Критерии оценки безопасности информационных технологий" (Evaluation criteria for IT security) применимы к мерам безопасности информационных технологий, реализуемых аппаратными, программно-аппаратными и программными средствами.

Основными потенциальными угрозами безопасности и типовыми задачами защиты от них в «Критериях оценки…» приняты:

·                     защита от угроз целостности (несанкционированного изменения) информации;

·                     защита от угроз конфиденциальности (несанкционированного получения) информации по всем возможным каналам утечки;

·                     защита от угроз доступности информации, в смысле несанкционированного или случайного ограничения доступа к ресурсам и информации системы;

·                     защита от угроз аудиту системы (декларируется 12 потенциальных угроз).

В этом документе также вводится понятие адекватность - показатель реально обеспечиваемого уровня безопасности, отражающий степень эффективности и надежности реализованных средств защиты и их соответствия задачам защиты. Требования адекватности средств защиты структурированы и детально регламентируют все этапы проектирования, создания и эксплуатации информационного продукта.

1.5 «Общие критерии». «Гармонизированные критерии Европейских стран» стали передовым документом для своего времени. Этот документ был переведен на русский язык и в РФ получил название  «Общие критерии». Они содержат два основных вида требований безопасности:

·                     функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам;

·                     требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.

Безопасность в «Общих критериях» рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Этот стандарт способствует формированию двух базовых видов используемых на практике нормативных документов: профиль защиты и задание по безопасности. Профиль защиты представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса. Задание по безопасности содержит совокупность требований к конкретной разработке, их выполнение позволит решить поставленные задачи по обеспечению безопасности [2].

Основными характеристиками «Общих критериев» являются:

·        не содержат критериев оценки безопасности, касающихся административных мер безопасности;

·        не рассматривается ни методология оценки, ни административно-правовая структура, в рамках которой критерии могут применяться органами оценки;

·        процедуры использования результатов оценки при аттестации продуктов и  информационных систем находятся вне области действия «Общих критериев».; 

·        критерии для оценки специфических качеств криптографических алгоритмов не входят в «Общие критерии» и если требуется независимая оценка математических свойств криптографии, то в системе оценки необходимо предусмотреть проведение таких оценок.

Аттестация продукта или системы, согласно «Общим критериям», является административным процессом, посредством которого предоставляются полномочия на их использование в конкретной среде эксплуатации. Оценка концентрируется на тех аспектах безопасности продукта или информационной системы, которые могут непосредственно влиять на безопасное использование элементов информационных технологий. Всего в "Общих критериях" представлено 11 функциональных классов, 66 семейств, 135 компонентов [2].

Руководящие документы Гостехкомиссии России составляют основу нормативной базы в области защиты от несанкционированного доступа к информации в нашей стране. На основе «Общих критериев» были выпущены также следующие стандарты: ГОСТ Р ИСО/МЭК 15408;  ГОСТ Р ИСО/МЭК 15408-1; ГОСТ Р ИСО/МЭК 15408-2.

2. Сравнение основных ГОСТов в области защиты информации

ГОСТ Р ИСО/МЭК 15408 содержит общие критерии оценки безопасности информационных технологий.

ГОСТ Р ИСО/МЭК 15408-1 устанавливает общий подход к формированию требований (функциональные и доверия) и оценке безопасности, основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем информационных объекта оценки и условий среды его использования (угроз, предположений, политики безопасности).

ГОСТ Р ИСО/МЭК 15408-2 содержит универсальный систематизированный каталог функциональных требований безопасности, которые определяются исходя из целей безопасности. Эти цели основываются на анализе назначения детализации и расширения по определенным правилам.

ГОСТ Р ИСО/МЭК 15408-3 включает в себя систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы информации для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям. Здесь же содержатся оценочные уровни доверия, определяющие шкалу требований, которые позволяют с возрастающей степенью полноты и строгости оценить проектную, тестовую и эксплуатационную документацию, правильность реализации функций безопасности объекта оценки, уязвимости продукта или информационной системы, стойкость механизмов защиты и сделать заключение об уровне доверия к безопасности объекта оценки [4].

3. Заключение

Главная задача стандартов информационной безопасности – создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий., что непосредственно зафиксировано в основных понятиях закона РФ «О техническом регулировании» от 27 декабря 2002 года ╧ 184-Ф3 (принят Государственной думой 15 декабря 2002 г.).

Документы, регламентирующие основные понятия и концепции информационной безопасности на государственном или межгосударственном уровне, определяют  понятие "защищенная система" посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности вычислительной системы. В соответствии с ними защищенная система – это система, соответствующая тому или иному стандарту информационной безопасности.

В результате разработки соответствующих критериев  по обеспечению информационной безопасности ряд частных лиц, компаний и все государство в целом получают следующие выгоды:

·                     повышение стабильности, управляемости и надежности функционирования организации;

·                     осуществление расстановки приоритетов в сфере информационной безопасности;

·                     систематизация процессов обеспечения информационной безопасности;

·                     повышение защищенности ключевых бизнес-процессов;

·                     повышение авторитета организации и доверия к ней со стороны контрагентов;

·                     повышение уровня прозрачности и управляемости процессами обеспечения информационной безопасности;

·                     оптимизация процессов управления информационной безопасностью, повышение их эффективности и защищенности информационных систем;

·                     снижение рисков реализации внешних и внутренних угроз [4].

Список литературы

1)  Цирлов В.Л. Основы информационной безопасности. РнД..: Феникс, 2008. 253 с.

2) Галатенко В. А. Стандарты информационной безопасности. М.: Интернет-университет информационных технологий, 2006. 199 с.

3) Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации. М.: Академия, 2008. 336 с.

4) Игнатенко С.А. ГОСТ Р ИСО/МЭК 15408-2002: спустя три года. http://www.itsec.ru/articles2/pravo/gost_p_iso_mek_15408 (дата обращения: 21.03.2011)