Отечественные и зарубежные стандарты в области информационной безопасности

МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«Челябинский  государственный педагогический университет»

(ФГБОУ ВПО «ЧГПУ»)

Профессионально-педагогический институт

 

 

 

 

 

 

 

 

 

 

Отечественные и зарубежные стандарты в области  информационной безопасности

Контрольная работа

 

 

 

Выполнила:

студентка 5 курса ЗФ-526-4-1

заочного отделении ППИ

специальность: Профессиональное

обучение (информатика, вычислительная

 техника и компьютерные технологии)

Залютдинова Ирина Анваровна

 

Проверил:

преподаватель: Житников М.А.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Челябинск, 2013

Содержание

 

 

Задание №1

Введение

Безопасность это - состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений.

Информационную безопасность можно трактовать как отсутствие недопустимого риска, связанного с  причинением прямого или косвенного имущественного (финансового) ущерба предприятию (физическому лицу), который вызван нарушением конфиденциальности, целостности и доступности информации.

Состояние ИБ становится в настоящее время одним из рейтинговых показателей надежности и устойчивости предприятия. ИБ предполагает проведение ряда организационных (административных), технических, юридических, учебно-консультационных мероприятий, а также мероприятий социальной инженерии, направленных на предупреждение, обнаружение, отражение, ликвидацию всевозможных видов угроз функционированию информационной инфраструктуры предприятия, минимизацию или поддержание на фиксированном низком уровне рисков, а также минимизацию возможного ущерба, возникшего при реализации этих угроз.

 

1. Роль и функции стандартов ИБ

Специалистам в области  информационной безопасности (ИБ) сегодня  почти невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько причин. Формальная состоит в том, что необходимость следования некоторым стандартам закреплена законодательно. Однако наиболее убедительны содержательные причины:

• Во-первых, стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.
• Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в Internet-сообществе это средство действительно работает, и весьма эффективно.

Стандарты в области информационной безопасности выполняют следующие важнейшие функции:

• выработка понятийного аппарата и терминологии в области информационной безопасности
• формирование шкалы измерений уровня информационной безопасности
• согласованная оценка продуктов, обеспечивающих информационную безопасность
• повышение технической и информационной совместимости продуктов, обеспечивающих ИБ
• накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем
• функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.

Роль стандартов ИБ для производителей, экспертов и потребителей представлена на рисунке 1.

Рисунок 1 – роль стандартов ИБ

С практической точки  зрения, количество стандартов и спецификаций (международных, национальных, отраслевых и т.п.) в области информационной безопасности бесконечно.

 

2. Виды стандартов ИБ

Существует два разных вида стандартов в области информационной безопасности:

• оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;
• технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между  этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры.

Исторически первым оценочным  стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем".

 Данный труд, называемый  чаще всего по цвету обложки  "Оранжевой книгой", был впервые опубликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах, то есть системах, которым можно оказать определенную степень доверия.

"Оранжевая книга"  поясняет понятие безопасной  системы, которая "управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию".

Конечно абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.

В "Оранжевой книге" доверенная система определяется как "система, использующая достаточные  аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".

Обратим внимание, что  в рассматриваемых Критериях, представленных в таблице 1, и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности (статической). Вопросы доступности "Оранжевая книга" не затрагивает.

 

Таблица 1. Критерии безопасности

Функции безопасности	Уровень
	1	2	3	4	5	6	7
Аутентификация	-	-	+	+	-	-	+
Управление доступом	-	-	+	+	-	-	+
Конфиденциальность соединения	+	+	+	+	-	+	+
Конфиденциальность вне  соединения	-	+	+	+	-	+	+
Избирательная конфиденциальность	-	-	-	-	-	+	+
Конфиденциальность трафика	+	-	+	-	-	-	+
Целостность с восстановлением	-	-	-	+	-	-	+
Целостность без восстановления	-	-	+	+	-	-	+
Избирательная целостность	-	-	-	-	-	-	+
Целостность вне соединения	-	-	+	+	-	-	+
Неотказуемость	-	-	-	-	-	-	+

"+" данный уровень  может предоставить функцию безопасности; 
"–" данный уровень не подходит для предоставления функции безопасности.

3. Международный стандарт информационной безопасности

Общеизвестно, что стандартизация является основой всевозможных методик  определения качества продукции  и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт ISO 15408, известный как "Common Criteria".

Принятый в 1998 году базовый  стандарт информационной безопасности ISO 15408, безусловно, очень важен для  российских разработчиков. Международная  организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

Общие критерии (ОК) созданы  для взаимного признания результатов оценки безопасности ИТ в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования.

Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки  и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Этот стандарт полезен в качестве руководства при разработке функций безопасности ИТ, а также при приобретении коммерческих продуктов с подобными свойствами. Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами.

Выпуск и внедрение  этого стандарта за рубежом сопровождается разработкой новой, стандартизуемой  архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. Иными словами, создаются  технические и программные средства ЭВМ, отвечающие Общим критериям. Например, международная организация "Open Group", объединяющая около 200 ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, "Open Group" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации.

4. Особенности российского рынка стандартизации ИБ

Исторически сложилось, что в России проблемы безопасности ИТ изучались и своевременно решались только в сфере охраны государственной  тайны. Аналогичные, но имеющие собственную  специфику задачи коммерческого  сектора экономики долгое время не находили соответствующих решений. Данный факт до сих пор существенно замедляет появление и развитие безопасных ИТ-средств на отечественном рынке, который интегрируется с мировой системой. Тем более что у защиты информации в коммерческой автоматизированной системе есть свои особенности, которые просто необходимо учитывать, ведь они оказывают серьезное влияние на технологию информационной безопасности. Перечислим основные из них:

• Приоритет экономических факторов. Для коммерческой автоматизированной системы очень важно снизить либо исключить финансовые потери и обеспечить получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков.
• Открытость проектирования, предусматривающая создание подсистемы защиты информации из средств, широко доступных на рынке и работающих в открытых системах;
• Юридическая значимость коммерческой информации, которую можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с правовым режимом информационных ресурсов, установленным законодательством Российской Федерации.

Очевидно, что создание безопасных ИТ, обрабатывающих конфиденциальную информацию, не содержащую государственной  тайны, исключительно важно для экономико-финансовой жизни современной России. Применение в России гармонизированного стандарта ISO 15408 ("Common Criteria"), отражающего новейшие мировые достижения оценки информационной безопасности, позволяет: