ВУЗ:
Составители:
− программно-технического (конкретные технические меры).
При обеспечении ИБ существует два аспекта: формальный – определение критери-
ев, которым должны соответствовать защищенные информационные технологии, и прак-
тический – определение конкретного комплекса мер безопасности применительно к рас-
сматриваемой информационной технологии.
Критерии, которым должны соответствовать защищенные информационные техно-
логии, являются объектом стандартизации более пятнадцати лет. В настоящее время раз-
работан проект международного стандарта «Общие критерии оценки безопасности ин-
формационных технологий».
Попытки стандартизации практических аспектов безопасности начались сравни-
тельно недавно. Первой удачной попыткой в этой области стал британский стандарт BS
7799 «Практические правила управления информационной безопасностью», изданный в
1995 г., в котором обобщен опыт обеспечения режима ИБ в информационных системах
(ИС) разного профиля. Впоследствии было опубликовано несколько аналогичных доку-
ментов: стандарты различных организаций и ведомств, например германский стандарт
BSI. Содержание этих документов, в основном, относится к этапу анализа рисков, на ко-
тором определяются угрозы безопасности и уязвимости информационных ресурсов,
уточняются требования к режиму ИБ.
Идеи, содержащиеся в этих документах, заключаются в следующем. Практические
правила обеспечения ИБ на всех этапах жизненного цикла информационной технологии
должны носить комплексный характер и основываться на проверенных практикой прие-
мах и методах. Например, в информационной технологии должны обязательно использо-
ваться некоторые средства идентификации и аутентификации пользователей (сервисов),
средства резервного копирования, антивирусный контроль и т.д. Режим ИБ в подобных
системах обеспечивается:
• на процедурном уровне – путем разработки и выполнения разделов инструкций
для персонала по ИБ, а также мерами физической защиты;
• на программно-техническом уровне – применением апробированных и сертифи-
цированных решений, стандартного набора контрмер: резервное копирование, антиви-
русная защита, парольная защита, межсетевые экраны, криптографическая защита и т.д.
При обеспечении ИБ важно не упустить каких-либо существенных аспектов. Это будет
гарантировать некоторый минимальный (базовый) уровень ИБ, обязательный для любой
информационной технологии. Таким образом, для обеспечения базового уровня ИБ ис-
пользуется упрощенный подход к анализу рисков, при котором рассматривается стан-
дартный набор наиболее распространенных угроз безопасности без оценки их вероятно-
стей. Для нейтрализации угроз применяется типовой набор контрмер, а вопросы эффек-
тивности защиты не рассматриваются. Подобный подход приемлем, если ценность за-
щищаемых ресурсов с точки зрения организации не является чрезмерно высокой. Мето-
дология анализа рисков для базового уровня безопасности, предлагаемая в документах и
стандартах различных организаций, различается и будет рассмотрена в разделе «Базовый
уровень информационной безопасности».
В ряде случаев базового уровня безопасности оказывается недо-статочно, например,
АСУ технологическим процессом предприятия с непрерывным циклом производства или
АСУ войсками, когда даже кратковременный выход из строя автоматизированной систе-
мы приводит к очень тяжелым последствиям. В этом и подобных случаях важно знать
параметры, характеризующие уровень безопасности информационной системы (техноло-
гии): количественные оценки угроз безопасности, уязвимостей, ценности информацион-
ных ресурсов. В случае повышенных требований в области ИБ используется полный ва-
риант анализа рисков. В отличие от базового варианта, в том или ином виде производит-
ся оценка ценности ресурсов, характеристик рисков и уязвимостей. Как правило, прово-
дится анализ по критерию стоимость/эффективность нескольких вариантов защиты.
Общие критерии позволяют сравнивать результаты независимых оценок безопасно-
сти ИТ. Чтобы достигнуть большей сравнимости между результатами оценок, оценки
должны быть выполнены в пределах структуры авторитетной схемы оценки, которая ус-
танавливает стандарты и контролирует качество оценок. Такие схемы оценки в настоя-
щее время существуют в нескольких странах и основаны на различных критериях оцен-
ки.
Общие критерии предназначены для задания требований и оценки безопасности ИТ
и включают функциональные требования и требования гарантии оценки, сопровождае-
мые информационным материалом.
4.1.1. ПОДГОТОВКА И ЦЕЛЕВАЯ НАПРАВЛЕННОСТЬ ОБЩИХ КРИТЕРИЕВ
Общие критерии являются результатом усилий ряда организаций по разработке кри-
териев оценки безопасности ИТ. В 80-х годах Критерии оценки безопасности компью-
терных систем (TCSEC) были разработаны и развиты в США. В последующем десятиле-
Страницы
- « первая
- ‹ предыдущая
- …
- 22
- 23
- 24
- 25
- 26
- …
- следующая ›
- последняя »
