Освіта та самоосвіта

Реферати, дослідження, наукові статті онлайн

Стандарти інформаційної безпеки: порівняльний аналіз

Вступ

Актуальність теми. Перехід до системи демократичних цінностей, відкритого суспільства, європейська та євроатлантична спрямованість України примушують державу та суспільство звертатися до системи міжнародних стандартів у такій делікатній галузі як безпека.

При цьому безпека розуміється в широкому сенсі — це і безпека держави, і безпека особистості, і безпека суспільної організації держави, і безпека міждержавних об’єднань, таких як ЄС та НАТО. Стандартизація — діяльність, що полягає у встановленні положень для загального і багаторазового застосування щодо наявних чи можливих завдань з метою досягнення оптимального ступеня впорядкування у певній сфері, результатом якої є підвищення ступеня відповідності продукції, процесів та послуг їх функціональному призначенню, усуненню бар ‘єрів у торгівлі і сприянню міжнародному співробітництву.

Жодне суспільство не може існувати без законодавства та нормативних документів, які регламентують правила, процеси, методи виготовлення та контролю якості товарів, робіт і послуг, а також гарантують безпеку життя, здоров’я і майна людей та навколишнього середовища. Стандартизація якраз і є тією діяльністю, якій притаманні ці функції.

До проблеми міжнародного співробітництва в галузі стандартизації зверталися такі відомі зарубіжні та вітчизняні науковці як А. Робертс, В. Галатенко, В. Бетелін, В. Артемов, С. Климчук, П. Куберт, В. Безштанько, В. Цуркан та ін. [1; 2]. Оцінка зазначеними науковцями даної проблеми натомість не торкалася міжнародних стандартів забезпечення безпеки підприємств, особливо в галузі інформаційної безпеки.

Мета даної роботи — аналіз стандартів з інформаційної безпеки.

Розділ 1. Теоретичні аспекти стандартизації інформаційної безпеки

1.1. Основні поняття стандартів інформаційної безпеки

Відносини, пов’язані з діяльністю у сфері стандартизації та застосування її результатів, регулюються Законом України «Про стандартизацію» від 17.05.2001 [3]. Цей Закон встановлює правові та організаційні засади стандартизації в Україні та спрямований на забезпечення єдиної політики у цій сфері.

Об’єктом стандартизації є продукція, процеси та послуги, зокрема матеріали, приміщення, обладнання, системи, їх сумісність, правила, процедури, форми методи чи взагалі діяльність.

Метою стандартизації в України є забезпечення безпеки життя та здоров’я людини, тварин, рослин, а також майна та охорони довкілля, створення умов для раціонального використання всіх видів національних ресурсів та відповідності об’єктів стандартизації своєму призначенню, сприяння усуненню технічних бар’єрів у торгівлі.

Державна політика у сфері стандартизації базується на таких принципах:

—         забезпечення участі фізичних і юридичних осіб у розробленні стандартів та у вільному виборі ними видів стандартів при виробництві чи постачанні продукції;

—         відкритість та прозорість процедур розроблення та прийняття стандартів з урахуванням інтересів усіх зацікавлених сторін, підвищення конкурентоспроможності продукції вітчизняних виробників;

—         доступність стандартів та інформації щодо них для користувачів;

—         відповідність стандартів законодавству;

—         адаптація до сучасних досягнень науки і техніки з урахуванням стану національної економіки;

—         пріоритетність прямого впровадження в Україні міжнародних та регіональних стандартів;

—         дотримання міжнародних та європейських правил і процедур стандартизації;

—         участь у Міжнародній (регіональній) стандартизації.

Суб’єктами стандартизації є:

—         центральний орган виконавчої влади у сфері стандартизації;

—         рада стандартизації;

—         інші суб’єкти, що займаються стандартизацією.

Залежно від рівня суб’єкта стандартизації, який приймає чи схвалює стандарти, розрізняють:

—         національні стандарти, кодекси усталеної практики та класифікатори, прийняті чи схвалені центральним органом виконавчої влади у сфері стандартизації, видані ним каталоги та реєстри загальнодержавного застосування;

—         стандарти, кодекси усталеної практики та технічні умови, прийняті чи схвалені іншими суб’єктами, що займаються стандартизацією.

Застосування стандартів чи їх окремих положень є обов’язковим для:

—         всіх суб’єктів господарювання, якщо це передбачено в технічних регламентах чи інших нормативно-правових актах;

—         учасників угоди (контракту) щодо розроблення, виготовлення чи постачання продукції, якщо в ній (ньому) є посилання на певні стандарти;

—         виробника чи постачальника продукції, якщо він склав декларацію про відповідність продукції певним стандартам чи застосував позначення цих стандартів у її маркуванні;

—         виробника чи постачальника, якщо його продукція сертифікована щодо дотримання вимог стандартів.

1.2. Міжнародні стандарти та стандарти інших країн

Міжнародні стандарти та стандарти інших країн, якщо їх вимоги не суперечать законодавству України, можуть бути застосовані в Україні в установленому порядку шляхом посилання на них у національних та інших стандартах.

Таким чином виникає питання: що ж таке ISO? Це міжнародна організація зі стандартизації, котра була створена в 1947 р., штаб-квартира в Женеві. Першочерговою її метою було створення лише системи стандартів, яка б сприяла міжнародній торгівлі. Більшість країн світу мають національні представництва та національні комітети в ISO. ISO не працює наодинці. В своїй діяльності вона взаємодіє з іншими міжнародними організаціями зі стандартизації. В галузі інформаційної безпеки такою організацією є для неї МЕК — Міжнародна електротехнічна комісія, котра була створена ще в 1906 р., метою її є встановлення міжнародних стандартів у всіх галузях, пов’язаних з електрикою, електронікою та радіотехнікою.

Саме з цієї причини правильною та повною назвою нашого стандарту є ISO/IEC 17799 2005 Information Security Management Standard, тобто стандарт ІСО та МЕК з управління інформаційною безпекою.

ISO взаємодіє не лише з міжнародними спеціалізованими організаціями в галузі стандартизації, але й з найбільшими національними. Із цієї причини наш стандарт виник не на порожньому місці: він розроблений на основі британського стандарту BS 7799, що призначений для управління інформаційною безпекою організації незалежно від її сфери діяльності.

Даний стандарт припускає, що служба безпеки, IT-відділ (відділ інформаційних технологій), керівництво компанії повинні працювати відповідно до загального регламенту, незалежно від того, мова йде про захист паперового документообігу чи електронних даних.

В останні кілька років ISO 17799 почав упевнено просуватися по країнах СНД. У Республіці Бєларусь з 01.11.2004 р. став національним державним стандартом; у Молдові, завдяки позиції Національного Банку, всі банки з 2003 р. проходять регулярну перевірку на відповідність ISO 17799; у Росії стандарт ISO 17799 перевтілений у держстандарт: прийняття Держстандарту 17799 відбулося в 2006 р.

Сьогодні стандарт ISO 17799 міцно ввійшов у наше життя, ставши на практиці де-факто стандартом побудови систем управління інформаційною безпекою провідних компаній як в Європі та Азії, так і в країнах СНД. До 2005 р. навчальний курс, розроблений підприємством Dіgіtal Security, був єдиним у СНД курсом з цього стандарту. Вартість навчання на цих курсах — від 1000 до 2000 дол. США. До теперішнього часу в країнах СНД пройшли навчання кілька тисяч фахівців різних компаній, при цьому курс неодноразово проводився в таких містах як Київ, Дніпропетровськ, Одеса, Кишинів, Рига, Таллінн, Алмати, Ташкент, Москва.

Цікавим було б розглянути (хоча б загалом) історію стандарту ISO 17799.

У середині 90-х років Британський інститут стандартів (BSI) за участі комерційних організацій, таких як Shell, National Westminister Bank, Мішапсі Bank, Umlever, British Telecommunіcatіons, Marks & Spencer, Logka та ін., зайнявся розробкою стандарту управління інформаційною безпекою, в 1995 р. був прийнятий національний британський стандарт BS 7799 з управління інформаційною безпекою та її організації незалежно від сфери діяльності. Перша частина стандарту носила рекомендаційний характер, а друга була призначена для сертифікації та містила частину обов’язкових вимог, що не входили в першу частину.

Як і будь-який національний стандарт, BS 7799 у період 1995-2000 рр. користувався помірною популярністю лише в рамках країн британської співдружності.

Наприкінці 1999 р. експерти міжнародної організації зі стандартизації ISO дійшли висновку, що в рамках існуючих стандартів ISO відсутній спеціалізований стандарт управління інформаційною безпекою. Відповідно, ISO було ухвалене рішення не починати розробку нового стандарту, а за узгодженням із британським інститутом стандартів, взявши за базу BS 7799:1, прийняти стандарт ISO 17799.

Відповідно, 2000 р. вдихнув нове життя в BS 7799:1, ставши ISO 17799, одержав вже статус міжнародного стандарту, що кардинально змінило розміщення сил і відношення до стандарту (між локальним і міжнародним стандартом різниця очевидна).

Що ж стосується офіційної сертифікації по ISO 17799, то вона споконвічно не була передбачена (повна аналогія з BS 7799). Була передбачена тільки сертифікація по BS 7799:2, що являв собою низку обов’язкових вимог (не ввійшли в першу частину BS 7799/ISO 17799). Процедура сертифікації по ISO повинна була з’явитися тільки після виходу в рамках ISO стандарту аналога BS 7799:2 (відзначимо, що це трапилося тільки наприкінці 2005 р. з виходом сертифікаційного стандарту ISO 27001).

Загальна лібералізація ринку інформаційної безпеки призвела до того, що в Білорусії — першій із країн СНД — у листопаді 2004 р. був прийнятий Держстандарт 17799. Аналіз і управління інформаційними ризиками — основа стандарту ISO 17799 — міцно ввійшли в життя більшості фахівців і стали застосовуватися на практиці.

Число компаній у світі, що одержали офіційний сертифікат — більше 1000! Таке значне зростання числа сертифікованих компаній у 2004 р. пояснюється тим, що саме цей рік показав тенденцію загального практичного інтересу до стандарту у світі й країнах СНД.

Буквально вибуховий інтерес учасників ринку країн СНД до стандарту. Росія, Казахстан, Молдова, Узбекистан, Україна — стандарт став повсюдно застосовуватися на практиці (або прийшло усвідомлення необхідності його застосування як кращої світової практики).

Розділ 2. Порівняльний аналіз стандартів інформаційної безпеки

Головна задача стандартів інформаційної безпеки — узгодженість позицій та запитів виробників, споживачів і аналітиків класифікаторів продуктів інформаційних технологій. Кожна з категорій фахівців оцінює стандарти та вимоги і критерії, які в них існують, за своїми особистими параметрами. Для споживачів найбільшу роль грає простота критеріїв та однозначність параметрів вибору захищеної системи, а для найбільш кваліфікованої частини споживачів — гнучкість вимог та можливість їх застосування до специфічних ІТ- продуктів та середовища експлуатації. Виробники потребують від стандартів максимальної конкретності та спільних вимог і критеріїв з сучасними архітектурами ВР та з розповсюдженими ОС.

Експерти по кваліфікації мріють про стандарти, які детально регламентують процедуру кваліфікаційного аналізу, та про чіткі, прості, однозначні і легкі критерії які споживаються. Очевидно, що подібний ідеал є недосяжним, і реальність його потребує від кожної сторони визначених компромісів. Через це не будемо проводити суб’єктивний аналіз стандартів з точки зору кожного з тих що беруть участь в створенні захищених систем, а спробуємо ввести загальні для всіх “об’єктивні” критерії зіставлення.

У якості загальних показників, стандарти які характеризують інформаційну безпеку і мають значення для трьох груп, можливо назвати універсальність, гнучкість, гарантованість, реалізація та актуальність.

Універсальність стандарту визначається множиною типів ВР та областей їх споживання, до котрих може бути коректно застосовані його положення. Це дуже важлива характеристика стандарту, так як інформаційні технології переживають період бурхливого розвитку, архітектура комп’ютерних систем постійно удосконалюється, а сфера їх споживання постійно розширюється. Стандарти інформаційної безпеки у своєму розвитку не провині залишатися від інформаційних технологій, що тільки може бути забезпечено гнучкістю вимог і критеріїв які пропонуються.

Під гнучкістю стандарту визначається можливість та зручність його застосування до постійно розвитку інформаційних технологій, а також час, на протязі якого він зберігає свою актуальність. Гнучкість може бути досягнута виключно через фундаментальність вимог та критеріїв і їх інваріантність по відношенню до механізму реалізації та технологіям створення ІТ- продуктів. Однак очевидно, що надмірна абстрактність вимог і відірваність їх від практики знижує їх реалізацію.

Гарантованість визначає міцність передбачених стандартом методів та засобів затвердження надійності підсумків кваліфікаційного аналізу. Спочатку цьому питанню не приділялося багато уваги, але аналіз опиту споживання перших стандартів інформаційної безпеки показав, що для досягнення передбачених цілей аналітики — класифікатори повинні мати можливість обґрунтувати свої висновки, а розробники потребують механізмів, з допомогою котрих вони могли би підтвердити коректність своїх домагань і представити споживачам визначені гарантії.

Реалізація — це можливість адекватної реалізації вимог і критеріїв стандарту на практиці, з урахуванням витрат на цей процес. Реалізація дуже пов’язана з універсальністю та гнучкістю, але відображає чисто практичні та технологічні аспекти реалізації положень стандарту.

Актуальність відображає відповідальність вимогам та критеріям стандарту множені загроз безпеки які постійно розвиваються та найновішим методам та засобам, які використовуються злочинцями. Ця характеристика, поряд з універсальністю, є одною з найбільш важливих, так як здібність протистояти загрозам та прогнозувати їх розвиток фактично визначає придатність стандарту і є вирішальним чинником при визначені його придатності.

Класифікація розглянутих стандартів інформаційної безпеки запропонованими показникам надана в таблиці 1.

Стандарти безпеки Показники зіставлення стандартів інформаційної безпеки
  Універсальність Гнучкість Гарантованість Реалізація Актуальність
“Оранжева книга”

(1983 р.)

обмежена обмежена обмежена скроні (за виключенням класу А) помірна
Європейські критерії

(1986 р.)

помірна помірна помірна висока помірна
Документи ГКТ (1992 р.) обмежена обмежена відсутня висока обмежена
“Федеральні критерії” (1992 р.) висока відмінна достатня висока висока
Канадські критерії

1993 р.)

помірна достатня достатня достатня середня
“Єдині

критерії”

(1996 р.)

чудові чудові чудові чудові чудові

Таблиця 1. Зіставлення стандартів інформаційної безпеки

Ступень відповідності стандартів запропонованим показникам визначається по наступній якісній шкалі:

— обмежена — недостатня відповідальність, при споживанні стандарту виникають суттєві труднощі;

помірна — відповідає в мінімальної ступені, при споживанні стандарту в більшості випадків суттєвих труднощів не виникає;

достатня — задовільна відповідальність, при вживанні стандартів у більшості випадків не виникає ніяких труднощів, однак ефективність рішень, які пропонуються, не гарантується;

висока — стандарт пропонує спеціальні механізми та процедури, направлені на поліпшення даного показника, застосування якого дозволяє получати достатньо ефективні рішення;

чудові — поліпшення даного показника розглядалося автором стандарту в якості одній з основних цілей його розробки, що забезпечує ефективність споживання рішень які пропонуються.

Розглянемо, у якій степені стандарти інформаційної безпеки відповідають показникам, які пропонуються, та останнім направлення, за якими йшов їх розвиток.

2.1. Універсальність

На етапі початкового становлення та розвитку стандартів інформаційної безпеки універсальності приділялося мало уваги, так як, по-перше, розробникам стандартів здавалося, що в забезпечені безпеки потребує тільки обмежене коло споживачів, які знаходяться в урядових та воєнних сферах, по-друге, темпи інформатизації тоді були відносно невеликі. Тому перший стандарт безпеки — “Оранжева книга” — призначалась для систем воєнного споживання, заснованих у ті роки виключно на мейнфреймах, і його адаптація для розподільних систем та баз даних потребувала розробки додаткових документів.

Враховуючи цей досвід сфера застосування “Європейських критеріїв”, які були виданні декількома роками пізніше, значно розширена — вже на рівні базового документа в цей стандарт увійшли розподілені системи, сеті, системи телекомунікацій та СУБД. Однак у цьому документі так саме обмовлена архітектура та призначення систем, до котрих вони можуть застосуватись, та ніяк не регламентується середа їх експлуатації.

Документи Держтехкомісії Росії мають довільно обмежену сферу застосування — це персональні (бачимо це пояснюється тотальним розповсюдженням РС у нашій країні) та системи які багато використовуються, причому орієнтація системи на обслуговування кінцевих користувачів є обов’язковою умовою.

“Федеральні критерії” підняли область застосування стандартів на новий рівень, почав розглядати інформаційні технології, незалежно від їх призначення, проводячи розходження тільки меж характеристиками середовища їх експлуатації.

“Канадські критерії” розглядають у якості області свого застосування усі типи комп’ютерних систем. І нерешті “Єдині критерії” увінчали процес розширення сфери застосування стандартів інформаційної безпеки, проголосив себе невід’ємним компонентом інформаційних технологій.

2.2. Гнучкість.

Гнучкість положень стандарту визначає зручність його користування споживачами та виробниками систем обробки інформації. Можливо, саме тому вимоги першого стандарту (“Оранжева книга”) були достатньо гнучкими, але занадто абстрактними для безпосереднього застосування в багатьох випадках, що зажадало їх коментування, доповнення та розширення.

“Європейські критерії” успадкували цей стиль викладання вимог та пішли по шляху екстенсивного розвитку, передбачив спеціальні рівні і вимоги, розраховані на типові системи (СУБД, телекомунікації та т.д.).

Керівні документи ГТК за конкретністю своїх вимог переросли навіть рівень “Оранжевої книги”, так як докладно регламентують реалізацію функцій захисту (наприклад, це єдиний стандарт, котрий в ультимативній формі потребує споживання криптографії), що значно знижує зручність їх використання, у конкретних ситуаціях багато вимог часто виявляються збитковими та непотрібними. Більш того, обмеження області застосування даного стандарту класом систем, орієнтованих на кінцевого користувача, ставить вітчизняних розроблювачів і експертів по сертифікації в скрутне положення при застосуванні цих документів, скажемо, до програмного забезпечення маршрутизатора або файэррвола (у цих систем у принципі немає користувачів, що є фізичними особами).

“Федеральні критерії” забезпечують гнучкість на якісно новому в порівнянні з попередніми стандартами рівні, уперше запропонувавши механізм профілів захисту, за допомогою яких можна створювати спеціальні набори вимог, що відповідають запитам споживачів конкретного продукту і погрозам середовища його експлуатації.

“Канадські критерії” не розглядають профіль захисту в якості обов’язкового елемента безпеки інформаційних технологій, а також мають визначену специфіку у своєму підході до основних понять безпеки, тому їхню гнучкість можна оцінювати тільки як достатню.

Нарешті, “Єдині критерії” мають практично зроблену гнучкість, тому що дозволяють споживачам висловити свої вимоги за допомогою механізму профілів захисту, у формі інваріантної до механізмів реалізації, а виробникам — продемонструвати за допомогою проекту захисту, як ці вимоги перетворяться в задачі захисту і реалізуються на практикці. У цьому випадку процес кваліфікації рівня безпеки ІТ — продукту являє собою перевірку взаємної відповідності профілю захисту, проекту захисту і реалізованого ІТ — продукту, а також їхньої відповідності “Єдиним критеріям”.

 2.3. Гарантованість

Гарантованість забезпечуваного рівня захисту спочатку розглядалася розроблювачами стандартів тільки для вищих рівнів безпеки. Тому “Оранжева книга” передбачала обов’язкове застосування формальних методів вєріфікації тільки при створенні систем вищого класу захищеності (клас А).

Проте необхідність контролю коректності реалізації і підтвердження ефективності засобів захисту для систем усіх рівнів була усвідомлена достатньо швидко. Вже в “Європейських критеріях” з’являється спеціальний розділ вимог — вимоги адекватності, що регламентують технологію і середовище розробки, а також контроль за цим процесом. На жаль, документи ГТК практично цілком проігнорували цей, на наш погляд ключовий, аспект безпеки інформаційних технологій і обминули дане питання мовчанням.

“Федеральні критерії” містять два спеціальних розділи вимог, присвячених рішенню цієї проблеми: вимоги до технології розробки і до процесу кваліфікаційного аналізу.

“Канадські критерії” включають поділ вимог адекватності, кількісно і якісно ні в чому не поступаються розділу функціональних вимог.

“Єдині критерії” забезпечують адекватність задач захисту вимогам споживачів, проекту захисту “Єдиним критеріям” і ІТ- продукту проекту захисту за допомогою багатоетапного контролю.

2.4. Реалізація

Погані показники реалізації говорять про практичну марність стандарту, тому всі розглянуті документи відповідають цьому показнику в достатньому або високому ступеню. Реалізація вимог “Оранжевої книги”, за винятком вищого класу (класу А), великої складності не подає. Це підтверджується великим числом систем, сертифіковані на відповідність класу В та С (біля 30 систем). Авторам відомі тільки дві системи сертифіковані на відповідність класу А, причому політика безпеки в однієї з них реалізована на апаратному рівні за допомогою контролю операндів кожної інструкції, тобто розроблювачам прийшлося спроектувати і реалізувати спеціальний процесор.

Інші стандарти вирішували цю проблему за рахунок гнучкості запропонованих вимог і критеріїв. Про “Канадські критерії” варто згадати особисто — своїм нетрадиційним тлумаченням поняття “об’єкт” і “суб’єкт” вони ускладняють розроблювачам процес реалізації запропонованих у них вимог, що визначає рівень їхньої відповідності даному показнику тільки як достатній.

“Єдині критерії” і тут виявилися на практично недосяжному для інших стандартів висот за рахунок приголомшливого ступеня подробиці функціональних вимог (76 вимог), які фактично служать вичерпним керівництвом для розробки засобів захисту. Відзначимо, що це єдиний показник, по якому документи ГТК не відстають від інших стандартів інформаційної безпеки.

2.5. Актуальність

Актуальність стандартів інформаційної безпеки підвищувалась з розширенням сфери їх застосування і появою досвіду їх використання. “Оранжева книга”, хоча і містить передумови для протидії всім основним видам погроз, містить вимоги, в основному спрямовані на протидію погрозам конфідеційності, що пояснюється її орієнтованістю на системи військового призначення.

“Європейські критерії” знаходяться приблизно на тому ж рівні, хоча і приділяють погрозам цілісності набагато більше уваги. Документи ГТК із погляду цього показника виглядають найбільше відсталими — вже в самій їхній назві визначена єдина аналізована в них погроза — несанкціонований доступ.

“Федеральні критерії” розглядають усі види погроз достатньо докладно і пропонують механізм профілів захисту для опису погроз безпеки, відповідних середовищу експлуатації конкретного ІТ- продукту, що дозволяє враховувати специфічні види погроз.

“Канадські критерії” обмежуються типовим набором погроз безпеки.

“Єдині критерії” ставлять в основу задоволення потреб користувачів і пропонують для цього відповідні механізми, що дозволяє говорити про якісно новий підхід до проблеми безпеки інформаційних технологій.

У якості основних тенденцій розвитку стандартів інформаційної безпеки можна зазначити:

  1. Розвиток стандартів дозволяє простежити прямування від єдиної шкали ранжування вимог і критеріїв до множини незалежних приватних показників і введенню частково упорядкованих шкал.
  2. Неухильне зростання ролі вимог адекватності до реалізації засобів захисту і політики безпеки свідчить про переваження “якості” забезпечення захисту над її “кількістю”
  3. Визначення ролей виробників, споживачів і експертів по кваліфікації ІТ — продуктів і поділу безпеки інформаційних технологій.
  4. Поділ ролей учасників процесу створення й експлуатації захищених систем, застосування відповідних механізмів і технологій призводить до розумного розподілу відповідальності між всіма учасниками цього процесу.
  5. Інтернаціоналізація стандартів відбиває сучасні тенденції до об’єднання і прагнення до створення безпечного всесвітнього інформаційного простору.

Ми роздивилися стандарти інформаційної безпеки, починаючи від найперших і закінчуючи самим сучасним, що увібрали в себе весь досвід застосування попередніх йому документів. Що це дає для рішення поставленої задачі — побудови захищеної системи, крім вивчення накопиченого за чотирнадцять років досвіду забезпечення безпеки ?

По-перше, ми прояснили задачі, що повинні бути вирішені в ході створення захищеної системи (задачі захисту): ефективне протистояння погрозам безпеки, що діють в середовищі її експлуатації, і коректна реалізація політики безпеки.

По-друге, визначається набір функціональних можливостей, що повинні (або можуть) бути реалізовані в захищеній системі, Він поданий у виді таксономії функціональних вимог або критеріїв, приведеної для кожного стандарту.

По-третє, вперше у вітчизняній літературі подані найбільше істотні елементи сучасних технологій створення захищених систем — механізми профілю захисту і проекту захисту.

Все це дозволяє сформулювати задачі кожного з учасників процесу створення захищених систем (споживачі, виробники, експерти по кваліфікації), що повинні бути вирішені для досягнення пребаченої цілі. Поряд із дослідженням коректної реалізації моделей безпеки, розглянутий матеріал є основою для технології створення захищених систем.

Розділ 3. Управління інформаційною безпекою на базі міжнародних стандартів ISO

3.1. Основні заходи забезпечення безпеки ІКСМ

Сучасний етап розвитку інформаційної безпеки потребує комплексного підходу до розробки та впровадження методів і засобів захисту ресурсів інформаційно-комунікаційних систем та мереж (ІКСМ), як на технічному, так і на організаційному рівні, тобто реалізації комплексного процесу. Комплексний процес організації безпеки в першу чергу повинен включати заходи управління інформаційною безпекою. Зазначений процес забезпечує механізми та методи, які дозволяють реалізувати комплексну політику інформаційної безпеки організації ІКСМ. Інформаційна безпека – реалізація процесу захисту інформації від широкого діапазону загроз, що здійснюється з метою забезпечення ефективності та надійності функціонування ІКСМ.

Згідно з міжнародним стандартом ISO 27001, система управління інформаційною безпекою – це «частина загальної системи управління організації, яка заснована на оцінці ризиків, яка створює, реалізує, експлуатує, здійснює моніторинг, перегляд, супровід і вдосконалення загальної інформаційної безпеки».

У відповідності з вимогами ISO/IEC 27001 система управління інформаційної безпеки повинна містити такі етапи [1,2] :

1 етап — планування — фаза створення, створення переліку інформації, оцінки ризиків і вибору заходів та механізмів захисту;

2 етап — дія — етап реалізації та впровадження відповідних заходів;

3 етап — перевірка — фаза оцінки ефективності та надійності функціонування створеної системи. Проведення внутрішнього аудиту системи, виявлення недоліків.

4 етап — удосконалення — виконання коригувальних дій по покращенню функціонуванню системи;

При створенні системи управління інформаційної безпеки потрібно керуватися відповідними заходами. Заходи управління варто вибирати, ґрунтуючись на відношенні вартості реалізації послуг та впровадження систем безпеки й зниження ризиків і можливих втрат, якщо відбудеться порушення безпеки ІКСМ.

Деякі із заходів управління в стандартах та нормативних документах, можуть розглядатися, як керівні принципи для управління інформаційною безпекою й можуть бути застосовні для організацій політики безпеки. Розглянемо заходи управління інформаційної безпеки із законодавчої точки зору та узагальнені для сучасних ІКСМ [3].

Якщо розглядати заходи управління із законодавчої точки зору, то вони включають:

– захист даних і таємність особистої інформації;

– охорону інформаційних ресурсів організації;

– права на інтелектуальну власність.

Заходи управління сучасних ІКСМ включають :

— документи, що стосується політики інформаційної безпеки ;

— розподіл обов’язків, пов’язаних з інформаційною безпекою;

— структура підрозділів й навчання, пов’язані з інформаційною безпекою ;

— повідомлення про інциденти, пов’язаних з безпекою ;

— управління безперервністю.

Слід зазначити, що: хоча всі заходи управління в стандартах та нормативних документах є важливими, але застосування якого-небудь засобу управління повинне відповідати ризикам та можливим загрозам даної ІКСМ.

В загальному випадку система управління безпекою повинна включати (рис.1) :

— аутентифікацію (користувачів, даних, додатків, послуг, тощо);

— авторизацію (авторизований перелік цін, ключових торговельних документів, партнерів, користувачів, керівництва);

— аудит інформаційних ресурсів та послуг.

Переваги застосування системи управління інформаційної безпеки на базі міжнародних стандартів серії ISO:

  • Забезпечення безперервності.

Від якості застосовуваних новітніх технологій захисту інформації залежить не тільки збереження в конфіденційних інформації, а й взагалі існування конкретних інформаційних і телекомунікаційних сервісів, послуг та програм.

  • Мінімізація ризиків.

Впровадження системи управління інформаційної безпеки дозволить зменшити інформаційні ризики, розкрадання і неправильне використання обладнання, пошкодження та порушення роботи інформаційної системи організації за рахунок розмежування фізичного доступу та впровадження механізму моніторингу (аудиту) стану інформаційної безпеки. Оцінка та мінімізація ризиків дозволить ідентифікувати загрози інформаційним ресурсам та послугам, оцінити їх уразливість й імовірність виникнення загроз, а також можливий руйнівний вплив при реалізації несанкціонованих доступу.

  • Зниження витрат на інформаційну безпеку.

Застосування передових технологій зі створення, моніторингу та поліпшення інформаційної безпеки дозволяє знизити витратну частину бюджету, що зачіпає забезпечення інформаційної безпеки.

  • Забезпечення цілісності, конфіденційності та доступності критичних інформаційних ресурсів ІКСМ.
  • Забезпечення комплексного та централізованого контролю рівня захисту інформації.

На основі проведеного аналізу сучасних заходів управління інформаційної безпеки ІКСМ на базі міжнародних стандартів ISO виділено, що управління безпекою ІКСМ є важливим аспектом забезпечення безпеки властивостей інформаційних ресурсів та послуг в мережах передачі даних. Для досягнення й підтримки безпеки в інформаційно-комунікаційних системах та мережах, потрібен визначений діапазон засобів та заходів управління. В роботі виділено ряд переваг застосування системи управління інформаційної безпеки на базі міжнародних стандартів серії ISO в сучасних ІКСМ.

У зв’язку з інтенсивним упровадженням закордонних інформаційних технологій у сфери діяльності особистості, суспільства та держави, а також із широким застосуванням відкритих інформаційно-телекомунікаційних систем, інтеграцією вітчизняних інформаційних систем і міжнародних інформаційних систем зросли загрози застосування «інформаційної зброї» проти інформаційної інфраструктури. Роботи з адекватної комплексної протидії цим загрозам ведуться без належної координації на недостатньому бюджетному фінансуванні підприємствами. Недостатньо уваги приділяється розвитку засобів розвідки та інформаційної протидії.

3.2. Сучасні заходи забезпечення безпеки інформаційних систем на базі міжнародних стандартів ISO

Під забезпеченням безпеки інформаційних мереж будемо розуміти запобігання ушкодженню інформаційних активів і переривання дій, пов’язаних з реалізацією безперервного процесу бізнесу. Інформаційні ресурси та засоби обробки, поширення інформації – повинні бути керовані й фізично захищені.

Структура стандарту дозволяє вибрати засоби управління, які мають відношення до конкретної організації або сфери відповідальності у середині самої організації. Зміст стандарту включає наступні розділи: політика безпеки [security policy]; організація захисту [organizational security]; класифікація ресурсів та контроль [asset classification and control]; безпека персоналу [personnel security]; фізична безпека та безпека навколишнього середовища [physical and environmental security]; адміністрування комп’ютерних систем та обчислювальних мереж [computer and network management]; керування доступом до системи [system access control]; розробка та супроводження інформаційних систем [system development and maintenance]; планування безперервної роботи організації [business continuing planning]; виконання вимог (відповідність законодавству) [compliance] [2].

У зв’язку з цим виділяється ряд ключових елементів управління, що подаються як фундаментальні: політика інформаційної безпеки; розподіл відповідальності за інформаційну безпеку; освіта та тренінг з інформаційної безпеки; звітність за інциденти з безпеки; захист від вірусів; забезпечення безперервності роботи; контроль копіювання ліцензованого програмного забезпечення; захист архівної документації організації; захист персональних даних; реалізація політики з інформаційної безпеки.

Як видно, поряд з елементами управління для автоматизованих систем та мереж, велику увагу приділяється питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпеченню безперервності виробничого процесу, юридичним вимогам. Реалізація політики безпеки здійснюється на основі оцінки ризику та ретельно обґрунтовується.

Визначаємо ризик, як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні втрати, зв’язані з порушенням властивостей інформаційного ресурсу: конфіденційності; цілісності; доступності.

Вимоги безпеки ідентифікуються за допомогою методичної оцінки ризиків безпеки. Витрати на засоби управління повинні бути збалансовані з урахуванням можливого збитку бізнесу, що може з’явитися результатом порушень безпеки. Методи оцінки ризику можуть застосовуватися для всієї організації або тільки її частини, а також для окремих інформаційних систем, певних компонентів систем або послуг там, де це практично, реально й корисно.

Визначимо оцінку ризику, як збиток бізнесу, що може з’явитися у результаті порушення безпеки, беручи до уваги можливі наслідки: втрати конфіденційності, цілісності або доступності інформації й інших активів; та реальна ймовірності такого порушення, що проявляється у світлі реалізації систем захисту проти пріоритетних загроз та в контексті найбільш важливих ключових засобів управління.

Результати цієї оцінки допоможуть направити й визначити відповідні дії по загальному управлінню компанією й пріоритети по управлінню ризиками інформаційної безпеки по реалізації обраних засобів.

Важливим є на періодичній основі виконувати перегляд ризиків безпеки й реалізованих засобів управління з метою:

–    оцінки та введення змін, що стосуються вимог і пріоритетів бізнесу;

–    урахування нових видів загроз й вразливостей системі та послугам;

–    підтвердження, того що засоби управління залишаються ефективними й відповідними.

Перегляд політики безпеки, варто виконувати на різних рівнях глибини роботи компанії, залежно від результатів попередніх оцінок і рівнів, що підлягали змінам. Оцінки ризику спочатку виконують на високому загальному рівні для того, щоб визначити пріоритети вкладення ресурсів в області високого ризику, і потім на більше детальному рівні, щоб розглянути специфічні ризики самої системи та її послуг.

Після ідентифікації вимог безпеки, варто вибирати й застосовувати заходи управління, таким чином, щоб забезпечувати впевненість у зменшені ризиків. Засоби управління можуть бути обрані із стандартів або з іншої безлічі документів та заходів управління визначених для даного класу систем, або можуть бути розроблені, щоб задовольнити потреби компанії відповідно до обраної політики безпеки [3,4]

Заходи управління варто вибирати, ґрунтуючись на відношенні вартості реалізації послуг та впровадження систем безпеки й зниження ризиків та можливих втрат, якщо відбудеться порушення. Не грошові фактори, наприклад, втрата репутації, соціальні тощо, варто також брати до уваги з метою підтримки конкурентоспроможності компанії.

Деякі із заходів управління в стандартах та нормативних документах, можуть розглядатися, як керівні принципи для управління інформаційною безпекою й бути застосовними для більшості організацій. Більш докладно це викладено нижче.

На основі цього розглянемо заходи управління із законодавчої точки зору, які включають: захист даних і таємність особистої інформації; охорону інформаційних ресурсів організації; права на інтелектуальну власність.

На даний час, як загальна стала практика для інформаційної безпеки, заходи управління включають (рис.1): документи, що стосується політики інформаційної безпеки ; розподіл обов’язків, пов’язаних з інформаційною безпекою; структура підрозділів й навчання, пов’язані з інформаційною безпекою ; повідомлення про інциденти, пов’язаних з безпекою ; управління безперервністю бізнесу.

Ці заходи управління застосовуються для більшості організацій й у більшості середовищ. Слід зазначити, що, хоча всі заходи управління в стандартах та нормативних документах є важливими, доречність (застосовність) якого-небудь засобу управління повинна визначатися у світлі певних ризиків, з якими зіштовхується безпосередньо зазначена організація. Отже, незважаючи на те, що вищезгаданий підхід розглядається, як відправна точка інформаційної безпеки, він не є догмою та не заміняє вибір заходів управління, заснованих на оцінці ризику.

Критичними факторами, для успішної реалізації інформаційної безпеки в межах організації  є:

— політика безпеки, цілі й дії, які відбивають мету бізнесу;

— підхід до реалізації безпеки, що погоджується з культурою та внутрішньою етикою організації;

— підтримка й зобов’язання з боку керівництва;

— правильне розуміння вимог безпеки, оцінки ризику й управління ризиком;

— ефективний маркетинг безпеки для всіх адміністраторів і службовців;

— розподіл повноважень керівництва політикою інформаційної безпеки й стандартами між всіма службовцями й підрядниками;

— забезпечення відповідного тренування й навчання;

— всебічна й збалансована система виміру, що використається для оцінки ефективності управління інформаційною безпекою й пропозиції в рамках зворотного зв’язку, спрямовані на поліпшення бізнесу;

— оцінка загроз інформації, руйнівного впливу на інформацію і уразливості інформації й засобів обробки, а також імовірності їхнього виникнення.

— процес визначення ризиків, управління ризиком (Risk management) й зменшення або усунення ризиків безпеки, які можуть зачіпати інформаційні системи, у рамках припустимих витрат.

Одними із головних напрямів забезпечення інформаційної безпеки ІКСМ повинна бути система правил управління доступом, права кожного користувача або групи користувачів, які повинні бути чітко фіксовані у формулюванні політики доступу та її безпеки. Система вимог і правил управління безпекою сучасних ІКСМ повинна включати (рис.3): вимоги до безпеки індивідуальних бізнес-додатків; ідентифікацію всієї інформації, пов’язаної з бізнес-додатками; політики поширення й авторизації інформації (необхідність знання принципів та рівнів безпеки, а також класифікацію інформації що циркулює та обробляється в системі); погодженість між політиками управління доступом і класифікацією інформації різних систем і мереж, що співпрацюють; відповідне законодавство й будь-які договірні зобов’язання щодо захисту доступу до даних або послуг системи; стандартні профілі доступу користувача для загальних категорій роботи; управління правами доступу в розподіленому й об’єднаному у мережу інформаційному середовищі, що визнає всі типи доступних зв’язків.

Необхідно, щоб формулювання вимог для нових ІКСМ або вдосконалення існуючих були жорстко специфіковані в залежності від заходів забезпечення та системи управління безпекою. Дані заходи повинні відбивати комерційну цінність інформаційних ресурсів, а також мінімізувати можливий потенційний збиток бізнесу, щодо відмови систем безпеки або її відсутності.

Висновки

Отже, забезпечення можливостей виявлення загроз порушення конфіденційності, цілісності і доступності припускає створення і широке застосування систем керування ризиками на різних рівнях (держава, відомство, організація, окремі ІТ-системи). Такі задачі, як формування цілісної системи захисту мереж передачі даних, організація захисту інформації в системах електронного документообігу й електронного підпису, створення інформаційно-телекомунікаційної системи органів державної влади, організація керування засобами криптографічного і технічного захисту можуть бути вирішені шляхом формування в рамках Національної системи конфіденційного зв’язку Національної інфраструктури відкритих ключів (PKI) із широким застосуванням сучасних технологій відкритої криптографії.

В області науково-практичної діяльності задачі налагодження механізмів постійного моніторингу, прогнозування загроз інформаційній безпеці і вироблення рекомендацій з їхньої нейтралізації на практиці означає застосування технологій ефективного менеджменту безпеки, реалізації процедур аудита безпеки, вимагають реальної інтеграції України в глобальні системи моніторингу уражень ІТ-систем (наприклад, програма CERT, участь у підтримці бази даних уражень ICAT).

Особливо варто виділити задачу створення системи української стандартизації в сфері інформаційної безпеки з урахуванням міжнародних стандартів інформаційного обміну і захисту інформації. На жаль, сьогодні ми далекі від реальної гармонізації з міжнародною і європейською системою стандартизації. На наш погляд неприпустимо подальше зволікання з рішенням питань про прийняття як національних таких стандартів як ISO/IEC 15408, ISO/IEC 13335, ISO/IEC 17799, ще недостатньо вивчені архітектурні стандарти безпеки, стандарти механізмів безпеки й інші нормативні документи.

Список використаної літератури

  1. Закон України «Про стандартизацію» від 17.05.2001 р. // www.rada.gov.ua.
  2. Василюк В., Климчук С. Інформаційна безпека. — К.: КНТ, 2008. — 190 с.
  3. Куберт П., Безштанько В., Цукран В. Международный стандарт ISO 17799. Информационные технологии — практические правила управления информационной безопасностью // Бизнес и безопасность. -2006. — № 3(53).
  4. Куберт П. Обеспечение безопасности при эксплуатации по ISO 17799 // Бизнес и безопасность. — 2007. — № 1(57).
  5. Анализ международного стандарта ISO 15408: информационная технология, методы и средства // Бизнес и безопасность. — 2007. -№ 5(61).
  6. Галатенко В. Стандарты информационной безопасности. — М.: НИИСИ РАН, 2006. — 262 с.
  7. Артемов В.Ю. Порівняння організаційно-правових норм захисту інформації з обмеженим доступом країн-членів НАТО. — К., 2007. — 178 с.
  8. Кубышкин А.В. Международно-правовые проблемы обеспечения информационной безопасности государства. Автореф. дисс.. канд. юрид. наук. — М., 2002. — 16 с.
  9. Катренко А. Особливості інформаційної безпеки за міжнародними стандартами // Альманах економічної безпеки. — 1999. — № 2. — С. 15-17
  10. Шорошев В. Критерії і правила експертної оцінки стану безпеки інформації в комп’ютерних системах ОВС України [Текст] / В. Шорошев // Науковий вісник Національної академії внутрішніх справ України. — 2002. — № 5. — С. 256-266
  11. Горбатюк О.М. Сучасний стан та проблеми інформаційної безпеки України на рубежі століть // Вісник Київського університету імені Т. Шевченка. — 1999. — Вип. 14 : Міжнародні відносини. — С. 46-48
  12. Новини ISO // Стандартизація. Сертифікація. Якість. — 2005. — № 6. — С. 33-34
  13. Морозов О.Л. Інформаційна безпека в умовах сучасного стану і перспектив розвитку державності // Віче. — 2007. — № 12. — С. 23-25
  14. Информационная культура госслужащих как фактор безопасности в условиях становления глобального информационного общества // Социально-гуманитарные знания. — 2008. — № 2. — С. 43-56
  15. Медвідь Ф. Інформаційна безпека України в контексті становлення стратегії національної безпеки держави // Юридичний Вісник України. — 2008. — № 43. — С. 11