Материал: Информационная компьютерная безопасность

Таким образом, при обзоре нормативно-правовых актов РФ предлагается отдельно рассматривать направления, регламентирующие деятельность в сфере обработки и защиты:

) общедоступной информации;

) служебной информации ограниченного распространения;

) информации, относимой к профессиональной тайне;

) информации, содержащей персональные данные;

) информации, относимой к гостайне;

) объектов интеллектуальной собственности;

) информации с использованием объектов связи и коммуникаций;

) информации с использованием криптографических средств;

) информации и объектов информатизации при необходимости лицензирования, сертификации и аттестации объектов и средств защиты информации;

) в случаях нарушения законодательства РФ об информации, информационных технологиях и о защите информации.

Перечень нормативно-правовых документов.

. "Конституция РФ" (Принята всенародным голосованием 12.12.1993).

. Федеральный закон от 27.07.2006 N 149ФЗ "Об информации, информационных технологиях и о защите информации".

Перечень международных декларативных документов.

."Всеобщая декларация прав человека" (Принята 10.12.1948 Генеральной Ассамблеей ООН).

. Резолюция N 428 (1970) Консультативной ассамблеи Совета Европы "Относительно Декларации о средствах массовой информации и правах человека" (Принята 23.01.1970 на 21ой сессии Консультативной ассамблеи Совета Европы).

. "Декларация об основных принципах, касающихся вклада средств массовой информации в укрепление мира и Международного взаимопонимания, в развитие прав человека и борьбу против расизма и апартеида и подстрекательства к войне" (Принята ЮНЕСКО 28.11.1978).

. "Международный кодекс рекламной практики" (Принят на 47ой сессии Исполнительного совета Международной торговой палаты, 02.12.1986).

. "Концепция межгосударственной подсистемы информационного обмена между Пограничными войсками государств участников СНГ" (Утв. Решение Совета глав СНГ от 18.10.1996).

. "Декларация о праве и обязанности отдельных лиц, групп и органов общества поощрять и защищать общепризнанные права человека и основные свободы" (Принята в г. Нью-Йорке 09.12.1998 Резолюцией 53/144 на 85ом пленарном заседании 53ей сессии Генеральной Ассамблеи ООН).

. "Декларация о европейской политике в области новых информационных технологий" (Принята в г. Будапеште 06.05.199907.05.1999 на 104ой сессии Комитета министров СЕ).

."Концепция межгосударственной подсистемы информационного обмена между органами внутренних дел государств участников СНГ" (Утв. Решение Совета глав СНГ от 04.06.1999).

."Концепция информационной безопасности государств участников СНГ в военной сфере" (Утв. Решением Совета глав СНГ от 04.06.1999).

.Окинавская хартия глобального информационного общества. 22.07.2000.

."Элементы для создания глобальной культуры кибербезопасности" (Утверждены резолюцией 57/239 Генеральной Ассамблеи ООН от 20.12.2002).

.Декларация о свободе обмена информацией в Интернете (принята на 840 заседании Комитета министров СЕ 28.05.2003).

. Хартия о сохранении цифрового наследия (Принята на 32й Генеральной конференции ЮНЕСКО, Париж, Франция, октябрь 2003).

. "Декларация принципов: Построение информационного общества глобальная задача в новом тысячелетии" (Всемирная встреча на высшем уровне по вопросам информационного общества WSIS03/GENEVA/DOC/4R. Женева, 12.12.2003).

. "План действий" (Всемирная встреча на высшем уровне по вопросам информационного общества WSIS03/GENEVA/DOC/5R. Женева, 12.12.2003).

. "Концепция Единого реестра правовых актов и других документов СНГ" (вместе с Положением о Едином реестре правовых актов и других документов СНГ) (Утв. Решение Совета глав СНГ от 15.09.2004).

. "Декларация Комитета министров о правах человека и верховенстве права в Информационном Обществе" (принята Комитетом министров СЕ 13.05.2005).

. "Тунисская программа для информационного общества" (Всемирная встреча на высшем уровне по вопросам информационного общества. WSIS05/TUNIS/DOC/6(Rev.1)R. Тунис, 15.11.2005).

."Тунисское обязательство" (Всемирная встреча на высшем уровне по вопросам информационного общества WSIS05/TUNIS/DOC/7R. Тунис, 18.11.2005).

."Концепция формирования национальных баз данных и организации межгосударственного обмена информацией по предупреждению и пресечению правонарушений в области интеллектуальной собственности" (утв. Решением Совета глав государств СНГ от 25.05.2006 № ЕРПА СНГ 3/20648).

."Глобальная программа кибербезопасности (ГПК) МСЭ" (Международный союз электросвязи. Женева, апрель 2008).

."Сеульская декларация по будущему интернет экономики" (принята по итогам Министерской встречи ОЭСР 18 июня 2008 г., Сеул, Корея).

."Концепция сотрудничества государств участников СНГ в сфере обеспечения информационной безопасности" (вместе с Комплексным планом мероприятий по реализации Концепции сотрудничества государств участников СНГ в сфере обеспечения информационной безопасности на период с 2008 по 2010 год) (утв. Решением Совета глав государств СНГ от 10.10.2008).

. Стандарты, ориентированные на процессы (ISO/IEC 27001)

ISO/IEC 27001 - международный стандарт по информационной безопасности <https://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C>, разработанный совместно Международной организацией по стандартизации <https://ru.wikipedia.org/wiki/ISO> (ISO) и Международной электротехнической комиссией <https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D0%B4%D1%83%D0%BD%D0%B0%D1%80%D0%BE%D0%B4%D0%BD%D0%B0%D1%8F_%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F_%D0%BA%D0%BE%D0%BC%D0%B8%D1%81%D1%81%D0%B8%D1%8F> (IEC).

В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Стандарт ISO/IEC 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность - обеспечение точности и полноты информации, а также методов ее обработки;

Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Основа стандарта ISO/IEC 27001 - система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:

·              на каком направлении информационной безопасности требуется сосредоточить внимание;

·              сколько времени и средств можно потратить на данное техническое решение для защиты информации.

Стандарт ISO/IEC 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

Система управления информационной безопасностью на основе стандарта ISO/IEC 27001 позволяет:

.        Сделать большинство информационных активов наиболее понятными для менеджмента компании

·              Выявлять основные угрозы безопасности для существующих бизнес-процессов

·              Рассчитывать риски и принимать решения на основе бизнес целей компании

·              Обеспечить эффективное управление системой в критичных ситуациях

·              Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)

·              Четко определить личную ответственность

·              Достигнуть снижения и оптимизации стоимости поддержки системы безопасности

·              Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000

·              Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности

·              Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках

·              Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарта.

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций - малых, средних и больших - коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Стандарт ISO/IEC 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001), то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем.

Внедрение и сертификация по ISO/IEC 27001 на базе внедренной системы менеджмента качества по ISO 9001 предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации.

По стандарту ISO/IEC 27001:2005 проводится официальная сертификация системы управления информационной безопасностью. Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.

По данным ИСО («-The ISO Survey of Certifications  2012 <#"896547.files/image002.gif">

Рис.2. Структура профиля защиты

Рис.3. Структура Проекта защиты.

Как отмечается в литературе, Профиль защиты "Общих критериев", по сути, является аналогом классов "Оранжевой книги" и классов защищенности РД ГТК РФ, но базируется на значительно более полной и систематизированной совокупности компонентов требований безопасности. Количество стандартизованных профилей общих критериев потенциально не ограничено.

Для того, чтобы профиль безопасности мог быть эффективно разработан и применен, в процессе его разработки производится выявление всех угроз безопасности осуществимых в отношении IT-продуктов, для которых разрабатывается профиль. В процессе исследования строятся модели угроз.

Модель угрозы - это формальное, полу формальное или неформальное описание:

·              жизненного цикла угрозы;

·              направленности угрозы;

·              источника угрозы;

·              системы IT, подверженной угрозе;

·              IT и не-IT среды изделия IT;

·              активов, требующих защиты;

·              методов, способов и алгоритмов реализации угрозы;

·              нежелательных событий;

·              анализа рисков и ряда других аспектов.

У процесса описания модели угроз много общего с проведением анализа рисков. Так при описании модели угроз, источником которых является преднамеренная деятельность человека, оценивается тип источника по уровню практических навыков реализации угрозы (шкала - "низкий", "средний", "высокий", "неопределенный"), и шансы реализации угрозы (шкала - "маловероятно", "вероятно", "большая вероятность", "не определено"). Также оценивается вероятность компрометации активов в виде pc(y,z), где y - идентифицированный метод нападения, z - идентифицированный актив.

В рассмотрение вводится понятие "потенциал нападения". Под этим термином понимается прогнозируемый потенциал для успешного, в случае реализации, нападения, выраженный в показателях компетентности, ресурсов и мотивации нарушителя. Существует три уровня потенциала нападения: низкий, умеренный и высокий.

Стандарт определяет функцию безопасности, как часть или части ОО, на которые возлагается реализация тесно связанного подмножества правил из политики безопасности. Функции безопасности характеризуются стойкостью. Стойкость функции безопасности ОО - это ее характеристика, выражающая минимально необходимое воздействие на ее механизмы безопасности, в результате которого нарушается политика безопасности. Выделяется базовая, средняя и высокая стойкость.

Базовая стойкость означает, что функция обеспечивает адекватную защиту от случайного нарушения безопасности ОО нарушителем с низким потенциалом нападения.

Средняя стойкость - функция обеспечивает защиту от целенаправленного нарушения безопасности ОО нарушителем с умеренным потенциалом нападения.

Высокая стойкость - такой уровень стойкости функции безопасности ОО, на котором она обеспечивает защиту от тщательно спланированного и организованного нарушения безопасности ОО нарушителем с высоким потенциалом нападения.

В литературе описана следующая схема вычисления потенциала нападения, в которой учитываются следующие факторы.

1.      При идентификации уязвимости:

·        время, затрачиваемое на идентификацию уязвимости (x1) ("за минуты", "за часы", "за дни", "за месяцы");

·        уровень специальной подготовки (x2) ("эксперт", "специалист", "неспециалист");

·        знание проекта и функционирования ОО (x3) ("отсутствие информации об ОО", "общедоступная информация об ОО", "закрытая информация об ОО");

·        доступ к ОО (x4) (требуемое время на доступ к ОО, как в случае x1);

·        аппаратные средства, программное обеспечение или другое оборудование (x5) ("стандартное оборудование", "специализированное оборудование", "уникальное оборудование").

2.      При использовании:

·        время, затраченное на использование уязвимости (y1);

·        уровень специальной подготовки (y2);

·        знание проекта функционирования ОО (y3);

·        доступ к ОО (y4);

·        аппаратные средства, программное обеспечение или другое оборудование, необходимое для использования уязвимости (y5).

Далее десяти факторам x1-x5 и y1-y5 назначаются веса, и они суммируются. Сумма используется для оценки уязвимости.

Описанный подход раскрывает еще одну "грань" задачи анализа рисков, на которой ранее мы не акцентировали внимание - в ходе анализа необходимо не только оценить возможные потери от реализации угрозы, но и описать модель нарушителя, дать оценку его возможностей по реализации угрозы, что в конечном итоге позволит оценить вероятность атаки на систему.

6. Стандарты, ориентированные на управление рисками (OCTAVE, CRAMM, ISO/IEC 27005)