Анализ международных, национальных и отраслевых стандартов информационной безопасности

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА

Федеральное государственное бюджетное  образовательное учреждение высшего  профессионального образования

«Уральский государственный университет  путей сообщения»

(ФГБОУ ВПО УрГУПС)

 

 

 

 

 

Кафедра ИТ и ЗИ

КУРСОВАЯ РАБОТА

На тему «Анализ международных, национальных и отраслевых стандартов информационной безопасности»

по дисциплине

«Комплексные  системы защиты информации»

 

 

Выполнил:

Кутовой В.Д.

 

                                                                                                   Проверил:

доцент

Зырянова  Т.Ю.

 

 

 

 

 

 

 

 

 

 

2013 г.

Введение

3

1. Номер и полное наименование

4

2. Страна происхождения и организации разработчики

4

3. История развития

4

4. Назначение стандарта

5

5. Область применения

6

6. Термины и определения

8

7. Структура

11

8. Характерные особенности

12

9. Методики оценки показателей обеспечения ИБ

13

10. Сертификация на соответствие стандарту

14

Заключение

17

Список используемых информационных источников

18

   

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ВВЕДЕНИЕ.

 

         Хороший специалист в области информационной безопасности (ИБ) обязан обладать знаниями о соответствующих стандартах и спецификациях в области защиты информации. Причины этого следующие. Основная причина состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и/или Руководящим документам Гостехкомиссии России) закреплена законодательно. Но возможно более важными причинами являются то что сами сведения содержащиеся в стандартах обладают немалой ценностью. Во-первых, стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами. Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов. С практической точки зрения, количество стандартов и спецификаций (международных, национальных, отраслевых и т.п.) в области информационной безопасности бесконечно. В данной работе рассматривается только один стандарт.

Цель –  составление наиболее полного каталога стандартов в области ИБ с их кратким  анализом.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  1. Номер и полное название

 

             ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. Information technology. Security techniques. Security assessment of operational systems. 

 

  1. Страна происхождения и организации разработчики 

 

         Первоначально стандарт был разработан  Международной организацией по стандартизации (ИСО).

     В Российской федерации стандарт  прошел три стадии:

2.1 Подготовлен -  Федеральным  государственным учреждением "Государственный  научно-исследовательский испытательный  институт проблем технической  защиты информации Федеральной  службы по техническому и экспортному  контролю" (ФГУ "ГНИИИ ПТЗИ  ФСТЭК России"), Обществом с  ограниченной ответственностью "Центр  безопасности информации" (ООО  "ЦБИ") на основе собственного  аутентичного перевода стандарта. 
      

2.2  Внесен - Управлением технического  регулирования и стандартизации  Федерального агентства по техническому  регулированию и метрологии 
      

2.3 УТВЕРЖДЕН  И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 525-ст. 

  1. История развития стандарта

          В середине октября 2002 г. на пленарном собрании Подкомитета 27 "Методы и средства обеспечения безопасности" (SC27) совместного Технического комитета 1 "Информационная технология" (JTC1) Международной организации по стандартизации (ISO) было выдвинуто предложение разработать новый стандарт для оценки безопасности автоматизированных систем. Данная инициатива получила поддержку членов подкомитета, в результате появился технический доклад "Security assessment of operational systems". В настоящем обзоре рассматривается вторая редакция проекта технического доклада (2nd Proposed Draft Technical Report, PDTR), опубликованная 17 декабря 2004 г.

          В центральном секретариате ISO проекту  был присвоен номер 19791, а статус  разрабатываемого документа определен  как "Технический доклад типа 2". Это означает, что со временем (хотя и не в ближайшем будущем)  текст доклада может быть утвержден  в качестве международного стандарта. 

           В России ГОСТ Р ИСО/МЭК ТО 19791-2008, утвержден приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 525-ст.

 

 

  1. Назначение стандарта.

 

           Настоящий стандарт содержит  дополнительные правила (процедуры)  к международным стандартам ИСО/МЭК  15408-1, ИСО/МЭК 15408-2, ИСО/МЭК 15408-3 (далее  - стандарты серии ИСО/МЭК 15408) в интересах оценки (оценивания) безопасности автоматизированных  систем. Требования, установленные  в стандартах серии ИСО/МЭК  15408, обеспечивают задание и определение  функциональных возможностей безопасности  продуктов и систем, входящих  в состав информационных технологий. Однако стандарты серии ИСО/МЭК  15408 не рассматривают некоторые  критические (важные) аспекты безопасности  автоматизированной системы, которые  должны быть четко специфицированы  для их эффективного оценивания. 
      
             Настоящий стандарт содержит дополнительные критерии оценки и рекомендации по оценке аспектов безопасности, связанных как с информационными технологиями, так и с применением их в автоматизированных системах. Настоящий стандарт, прежде всего предназначен для тех, кто связан с разработкой, интеграцией, развертыванием и управлением безопасностью автоматизированных систем, а также для организаций, оказывающих услуги по оценке, пытающихся применить требования стандартов серии ИСО/МЭК 15408 к подобным системам. Настоящий стандарт будет также необходим органам, осуществляющим оценку соответствия, ответственным за утверждение и подтверждение правильности действий организаций, оказывающих услуги по оценке. Заказчики оценки безопасности и другие стороны, заинтересованные в безопасности автоматизированных систем, будут дополнительными пользователями сведений общего характера в области безопасности информации. 
      
                 Относительно определения и использования термина "система" существуют фундаментальные проблемы. В стандартах серии ИСО/МЭК 15408, целью которых является оценка продуктов информационных технологий, термин "система" используется для учета только аспектов информационных технологий конкретной системы. Определение термина "автоматизированная система", используемого в настоящем стандарте, включает в себя совокупность персонала, процедур и процессов, интегрированных с функциями и механизмами информационных технологий, применяемых совместно, чтобы установить приемлемый уровень остаточного риска в установленной среде функционирования автоматизированной системы.

 

 

  1. Область применения

 

            Настоящий стандарт содержит  рекомендации и критерии оценки  безопасности автоматизированных  систем (АС), а также обеспечивает  расширение области применения  стандартов серии ИСО/МЭК 15408, включая ряд критических аспектов, касающихся оценки среды эксплуатации  объекта оценки и декомпозиции  составных АС на домены безопасности, которые должны оцениваться отдельно. 
     

5.1 Устанавливает: 
      a. определение и модель АС;

в. описание расширений концепции оценки безопасности с помощью  стандартов серии ИСО/МЭК 15408, необходимых для оценки АС; 
с. методологию и процесс выполнения оценки безопасности АС; 
d. дополнительные критерии оценки безопасности, охватывающие те аспекты АС, которые не были охвачены критериями оценки безопасности в стандартах серии ИСО/МЭК 15408.

5.2  Дает возможность включать  продукты безопасности,

оцененные в соответствии с требованиями стандартов серии ИСО/МЭК 15408, в автоматизированные системы и проводить оценку как  единого целого с использованием настоящего стандарта.

 

    1. Стандарт ограничивается оценкой безопасности автоматизированных систем и не распространяется на другие формы оценки систем. Настоящий стандарт не определяет методы и средства идентификации, оценки и принятия эксплуатационного риска.

 

 

 

 

 

 

  1. Термины и определения 

          

              В настоящем стандарте применены  следующие термины с соответствующими определениями:                         
     

6.1 компонент (component): Поддающаяся идентификации отдельная часть (элемент) автоматизированной системы, которая реализует часть функциональных возможностей системы. 
     

6.2 внешняя автоматизированная система (external operational system): Отдельная автоматизированная система, которая имеет связи с автоматизированной системой, являющейся объектом оценки. 
    

6.3 управленческие меры безопасности (management controls): Меры безопасности информационной системы, направленные на менеджмент рисков и менеджмент информационной безопасности информационных систем. 
               

    1. организационные меры безопасности (operational controls): Меры безопасности информационной системы, которые, главным образом, реализуются и выполняются операторами, а не системами. 
           
    2. автоматизированная система (operational system): Информационная система, включая элементы, не связанные с информационной технологией, рассматриваемые с учетом условий ее эксплуатации. 
           
    3. остаточный риск (residual risk): Риск, который остается после обработки рисков.  
           
    4. риск (risk): Потенциальная возможность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей активов или группы активов организаций. 
      Примечание - Риск измеряется в терминах сочетания вероятности события и его последствий.

 

     

    1.  анализ рисков (risk analysis): Cистемный подход к определению величины риска.  
                
    2. оценка рисков (risk assessment): Процесс, включающий в себя идентификацию рисков, анализ рисков и оценивание рисков.

 

     

    1.  менеджмент рисков (risk management): Весь процесс идентификации, контроля и управления или минимизации подозрительных (неопределенных) событий, которые могут оказать негативное воздействие на ресурсы системы. 
              Примечание - Адаптированный термин из ИСО/МЭК 13335-1. Менеджмент рисков обычно включает в себя анализ рисков, обработку рисков, принятие рисков, распространение информации о рисках (обмен или предоставление в совместное пользование информации о рисках между лицом, принимающим решение, и другими заинтересованными лицами). 
                
    2. обработка рисков (risk treatment): Процесс выбора и реализации мер обеспечения безопасности (security controls) для изменения рисков. 
              Примечание - Адаптированный термин из ИСО/МЭК 13335-1. 
                
    3. меры обеспечения безопасности (security controls): Управленческие, организационные и технические меры обеспечения безопасности, применяемые в информационной системе для защиты и доступности системы и ее информации. 
        1. Данное определение распространяется также на меры обеспечения безопасности, связанные с обеспечением подотчетности, аутентичности, неотказуемости, приватности и надежности, которые иногда рассматриваются отдельно от конфиденциальности, целостности и доступности. 
               
        2. Меры безопасности - меры защиты и контрмеры. 
    1. домен безопасности (security domain): Часть автоматизированной системы, которая реализует одни и те же политики безопасности. 
           
    2. подсистема (subsystem): Один или более компонентов автоматизированной системы, которые допускают их выполнение отдельно от остальной системы. 
           
    3. система как объект оценки (system target of evaluation): Автоматизированная система, которая эксплуатируется в соответствии с рекомендациями по эксплуатации, включая технические и организационные меры обеспечения безопасности, и является предметом оценки. 
             Примечание - Организционные меры обеспечения безопасности образуют часть эксплуатационной среды. Они не оцениваются по критериям оценки в соответствии со стандартами серии ИСО/МЭК 15408. 
           
    4. технические меры безопасности (technical controls): Меры безопасности информационной системы, которые реализуются и выполняются самой информационной системой через механизмы, содержащиеся в аппаратных, программных или программно-аппаратных компонентах системы. 
              
    5. верификация (verification): Процессы оценки, используемые для подтверждения того, что меры обеспечения безопасности для автоматизированной системы реализованы корректно, и их применение является эффективным. 
           
    6. уязвимость (vulnerability): Недостатки или слабости в проекте или реализации информационной системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднамеренно использованы для оказания неблагоприятного воздействия на активы организации или ее функционирование.

 

 

  1. Структура

 

         Текст документа содержит 128 страниц  после титульных страниц идут 8 разделов, три обязательных приложения  и два справочных приложения, библиография.

         В разделе  1 область применения. В разделе  2 собраны нормативные ссылки, точнее, одна ссылка — на международный  стандарт ISO/IEC 15408:2005 (все части). Раздел 3 содержит термины и определения,  раздел 4 — перечень сокращений. В разделе 5 описан методологический  подход к решению проблемы  безопасности, в разделе 6 — расширение  существующих в стандарте ISO/IEC 15408 принципов  оценки  безопасности  автоматизированных систем, в разделе  7 — связь с существующими стандартами  безопасности. Раздел 8 является руководством  по проведению оценки автоматизированных  систем.

              Приложение A регламентирует структуру  и содержание системных профилей  защиты и заданий по безопасности. Приложение B содержит перечень системных  функциональных требований, приложение C — перечень системных требований  доверия к безопасности.

              Справочные приложения  D – о взаимосвязи с разработкой общих критериев, E – сведения о соответствии национальных и международных стандартов.

 

  1. Характерные особенности 

 

        Стандарт  содержит дополнительные правила  (процедуры) к международным стандартам  ИСО/МЭК 15408-1, ИСО/МЭК 15408-2, ИСО/МЭК  15408-3 (далее - стандарты серии ИСО/МЭК  15408) в интересах оценки (оценивания) безопасности автоматизированных  систем

      Многие основные понятия ГОСТ  Р ИСО/МЭК 19791 получаются из  аналогичных понятий стандарта  ISO/IEC 15408 добавлением слов "системный", "система", например: "системный  профиль защиты" (СПЗ), "системное  задание по безопасности" (СЗБ), "доверие к безопасности системы" (ДБС), "системная функциональность  безопасности" (СФБ), "системный  объект оценки" (СОО).

 

 

  1. методики оценки показателей обеспечения ИБ

 

    В стандарте используются рекомендации качественные показатели:

    • Профили защиты и задания безопасности системы.
    • Функциональные требования безопасности.
    • Требования к безопасности автоматизированной системы.

 

           Процесс оценки безопасности  автоматизированной системы в  предлагаемом стандарте подразделяется  на три этапа:

  • порождение свидетельств для оценивания, включая результаты оценки рисков, спецификацию системного объекта оценки, данные и документацию по разработке, интеграции, эксплуатации и мониторингу АС;
  • оценивание, включая сертификацию результатов оценки;
  • аккредитация автоматизированной системы.

 

        Все перечисленные действия должны  выполняться определенными должностными  лицами. Согласно предлагаемому  проекту, их роли и обязанности  заключаются в следующем.

         На первом этапе руководитель  организации владельца автоматизированной  системы, несущий общую ответственность  за информационную безопасность, определяет допустимый уровень  рисков и санкционирует действия  уполномоченного должностного лица, оценивающего и определяющего  допустимость остаточных рисков.

Отдел информационной безопасности разрабатывает политику безопасности организации, определяет обязательные регуляторы, которые должны быть реализованы во всех автоматизированных системах организации.

        Владелец системы проводит оценку  рисков, определяет задачу безопасности, решаемую автоматизированной системой, готовит системные профили защиты (возможно, в сотрудничестве с  владельцами аналогичных систем), санкционирует повторное проведение  оценки, исходя из изменений, произведенных  в системе и/или эксплуатационной  среде, отслеживает состояние  системы по непрерывно поступающим  данным протоколирования/аудита.

        Проектировщик/разработчик/интегратор  системы создает или участвует  в создании системного задания  по безопасности, основываясь на  задаче безопасности, сформулированной  владельцем системы; порождает  свидетельства этапа разработки; помогает владельцу системы уменьшить  или устранить уязвимости, выявленные  в процессе оценивания.

          Специалисты, занимающиеся администрированием, эксплуатацией и сопровождением, помогают разработать системное  задание по безопасности; порождают  свидетельства этапа эксплуатации; помогают владельцу системы уменьшить  или устранить уязвимости, выявленные  в процессе оценивания.

        На этапе проведения оценки  оценщик/представитель сертифицирующего  ведомства оценивает систему,  исходя из требований безопасности, фигурирующих в СЗБ, и делает  вывод о способности АС выполнить  эти требования в данный момент  времени; дает независимую оценку  безопасности действующей системы;  по мере необходимости проводит  переоценку АС после внесения  изменений в систему или эксплуатационную  среду; сертифицирует результаты  оценки; готовит доклад по результатам  оценки и сертификации и предоставляет  его владельцу системы вместе  с рекомендациями, чтобы поддержать  аккредитацию АС.

        На этапе аккредитации представитель  соответствующего ведомства санкционирует  использование системы или подтверждает, что ожидаемые остаточные риски  находятся в допустимых пределах.

 

  1. сертификация на соответствие стандарту

 

             Сертификация по данному стандарту не производится, но он используется для сертификации по  Постановление Правительства РФ от 3 февраля 2012 г. N 79 "О лицензировании деятельности по технической защите конфиденциальной информации"

При следующих видах работ:

а) контроль защищенности конфиденциальной информации от утечки по техническим  каналам в:

- средствах и системах информатизации;

- технических средствах (системах), не обрабатывающих конфиденциальную - информацию, но размещенных в  помещениях, где она обрабатывается;

- помещениях со средствами (системами), подлежащими защите;

- помещениях, предназначенных для  ведения конфиденциальных переговоров  (далее - защищаемые помещения);

б) контроль защищенности конфиденциальной информации от несанкционированного доступа  и ее модификации в средствах  и системах информатизации;

в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в  целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств  обработки информации, технических  средств контроля эффективности  мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);

г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:

- средств и систем информатизации;

- помещений со средствами (системами), подлежащими защите;

- защищаемых помещений.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ

 

      Проблема оценки  информационной безопасности автоматизированных  систем, является крайне важной  и актуальной. Современный подход  к оценке безопасности информационных  технологий зафиксирован в отечественном  стандарте ГОСТ Р ИСО/МЭК 15408 – 2008 (международный стандарт ISO/IEC 15408 ). ГОСТ Р ИСО/МЭК ТО 19791-2008 успешно дополняет его и представляется весьма своевременным, а выбранное в нем стратегическое направление на развитие стандарта ГОСТ Р ИСО/МЭК 15408 – 2008 — вполне оправданным.  По сравнению со стандартом ГОСТ Р ИСО/МЭК 15408 – 2008, обеспечен более полный охват мер безопасности и этапов жизненного цикла оцениваемых систем, удачно выбраны и определены основные понятия и функциональные требования безопасности.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СПИСОК ИСПОЛЬЗУЕМЫХ ИНФОРМАЦИОННЫХ ИСТОЧНИКОВ.

 

  1. ГОСТ Р ИСО/МЭК ТО 19791-2008, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ Оценка безопасности автоматизированных систем.
  2. ГОСТ Р ИСО/МЭК ТО 15408 Методы И Средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
  3. Оценка безопасности автоматизированных систем. Обзор и анализ предлагаемого проекта технического доклада ISO/IEC PDTR 19791. В.А Галатенко, JetInfo – информационный бюллетень № 7 2005.

 

 

 


Анализ международных, национальных и отраслевых стандартов информационной безопасности