Главная страница | Контакты | Случайная страница Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Стандарты и спецификации в области информационной безопасности.

Нормативно-правовые документы и стандарты в области защиты информации и информационной безопасности

Стандарты и спецификации в области информационной безопасности.

Различают спецификации двух разных видов:

· оценочных стандартов, направленных на классификацию информационных систем и средств защиты по требованиям безопасности;

· технических спецификаций, регламентирующих различные аспекты реализации средств защиты.

Международные стандарты:

1. Стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем" ("Оранжевой книга"). Данный стандарт, получил международное признание и оказал исключительно сильное влияние на последующие разработки в области информационной безопасности (ИБ). Данный стандарт относится к оценочным стандартам (классификация информационных систем и средств защиты) и речь в нём идет не о безопасных, а о доверенных системах. Каких-либо абсолютных систем (в том числе и безопасных) в нашей жизни не существует. Поэтому и было предложено оценивать лишь степень доверия, которое можно оказать той или иной системе. В стандарте заложен понятийный базис ИБ (безопасная система, доверенная система, политика безопасности, уровень гарантированности, подотчетность, доверенная вычислительная база, монитор обращений, ядро безопасности, периметр безопасности). Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности.

2. Информационная безопасность распределенных систем. Рекомендации X.800 – документ довольно обширный. Рассмотрим специфические сетевые функции (сервисы) безопасности, а также необходимые для их реализации защитные механизмы. Чтобы почувствовать специфику распределенных систем, достаточно рассмотреть такое стандартное средство защиты, как подотчетность. Помимо других целей, записи в регистрационном журнале могут служить доказательством того, что определенный пользователь совершил то или иное действие (т.е. действие было совершено от его имени). В результате пользователь не может отказаться от содеянного и в некоторых случаях несет за это наказание. В распределенных системах действие порой совершается на нескольких компьютерах и, вообще, не исключено, что их регистрационные журналы противоречат друг другу. Так бывает, когда злоумышленнику удается подделать сетевой адрес и имя другого пользователя. Значит, нужны иные средства обеспечения "неотказуемости" (невозможности отказаться) от совершенных действий.

3. Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий"(«Общие критерии») не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, стандарт позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.

4. Гармонизированные критерии Европейских стран. Принципиально важной чертой Европейских Критериев является отсутствие априорных требований к условиям, в которых должна работать информационная система. Т.е. Европейские Критерии относятся к гарантированности безопасной работы системы. Требования к политике безопасности и наличию защитных механизмов не являются составной частью Критериев. Критерии содержат в качестве приложения описание десяти классов функциональности, типичных для правительственных и коммерческих систем.

Руководящие документы Гостехкомиссии России

Гостехкомиссия России в период своего существования вела весьма активную нормотворческую деятельность, выпуская Руководящие документы (РД), играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на "Общие критерии".

Руководящие документы Гостехкомиссии России:

1. Руководящий документ «Концепция защиты средств вычислительной техники и АС от НСД к информации» (Гостехкомиссия России, 1992г.);

2. Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» (ГТК России, 1992 г.);

3. Руководящий документ «Защита от НСД к информации. Термины и определения» (ГТК России, 1992 г.);

4. Руководящий документ «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ» (ГТК России, 1992 г.);

5. Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (ГТК России 1994 г.);

6. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации» (ГТК России, 1997 г.);

7. Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (ГТК России, 1997 г.);

8. Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (ГТК России, 1999 г.);

9. Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (ГТК России, 2001г.).