Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЗАКОНОДАТЕЛЬСТВО НОРМАТИВНЫЕ ДОКУМЕНТЫ ФСТЭК РОССИИ Обзор нормативных документов, регламентирующих вопросы сертификации безопасности
Protectiva Compliance Manager
Навигация
 

Обзор нормативных документов, регламентирующих вопросы сертификации безопасности

Операции с документом
Для проведения сертификации безопасности необходимо наличие критерия оценки и методики оценки. В качестве критерия оценки при сертификации выступает набор требований безопасности, сформулированных в Руководящих Документах (РД) органов государственного управления, внутриведомственных и межведомственных приказах, соответствующих национальных и международных стандартах, требования конкретной организации, требования пользователей и, возможно, какие-либо другие требования.

Нормативные документы, регламентирующие вопросы проведения сертификации безопасности, определяют процедуру сертификации, функции участников этого процесса, основные методики, концепции и критерии оценки безопасности. Кроме этого, при проведении сертификации используются нормативные документы, посвященные жизненному циклу программных средств и вопросам защиты информации. Важную роль также играют документы, регламентирующие правовые аспекты проведения сертификации безопасности. В каждой системе сертификации используется свой набор нормативных документов, который можно разделить на следующие группы:

  • законодательные акты;
  • международные и национальные стандарты;
  • межведомственные и внутриведомственные приказы, руководящие документы и временные положения;
  • внутриведомственные методики и руководства.

Рассмотрим те группы документов, которые используются или в перспективе должны использоваться в отечественной практике проведения сертификационных испытаний.

Условно все множество международных стандартов, используемых при сертификации, можно разделить на три группы. Первая группа стандартов создается под руководством подкомитета ПК27 - ISO/IEC JTC/SC27 и ориентирована преимущественно на конкретные методы и алгоритмы защиты. В этой группе создаются методологические стандарты защиты информации и криптографии независимо от базовой модели взаимодействия открытых систем (ВОС). Делается попытка обобщения конкретных методов и средств защиты в систему организации и управления защитой информации.

Вторая группа стандартов создается под руководством подкомитета ПК22 - ISO/IEC JTC1/SC22 и посвящена развитию и детализации концепции взаимосвязи открытых систем (ВОС). Защита информации в этой группе рассматривается как одна из компонент, обеспечивающих возможность полной реализации концепции. Для этого определены услуги и механизмы защиты по уровням базовой модели ВОС и разрабатываются стандарты, последовательно детализирующие методические основы защиты информации и конкретные протоколы защиты на разных уровнях ВОС.

Третья группа стандартов направлена на защиту функционирования банковских систем. Она создается под руководством технического комитета - ISO/TC 68 - Банковское дело и соответствующие финансовые операции. Стандарты ориентированы, в основном, на шифрование и аутентификацию при обмене финансовой информацией в процессе деятельности банков. С точки зрения критерия и методики сертификации, интерес представляет лишь первая группа стандартов, начало которой положил стандарт министерства обороны США - DOD 5200.28 - STD (Оранжевая книга). Оранжевая книга посвящена защите грифованных данных, составляющих государственную тайну, которые обрабатываются в многопользовательских АС.

Она определяет два подхода к оценке безопасности, связанных со следующими условиями:

  • оценкой, проведенной в отсутствии влияния окружающей среды;
  • оценкой, выполненной на функционирующей компьютерной системе в реальной среде (или в моделируемой).

Оранжевая книга определяет четыре уровня безопасности, которые делятся на классы:

  • уровень А означает гарантированную защиту. Он предназначен только для некоторых военных систем;
  • уровень В означает полное управление доступом (MAC - Mandatory Access Control);
  • уровень C означает избирательное управление доступом (DAC - Discretionary Access Control). DAC позволяет пользователям предоставлять другим пользователям доступ к своим личным данным. Если оценивать коммерческие системы, то можно почти всех их отнести к уровню C.
  • уровень D предлагает минимальную безопасность.

Национальный Институт Компьютерной Безопасности (National Computer Security Institute) США выпустил приложение к Оранжевой книге под названием Интерпретация для надежных СУБД (Trusted Database Management Systems Interpretation), которое расширяет и конкретизирует критерий оценки безопасности по отношению к СУБД. На практике необходимы подходы, позволяющие производить оценку безопасности или сертификацию системы по частям, и, на основе анализа отдельных частей, делать вывод о безопасности системы в целом. Механизмы безопасности, реализуемые СУБД, опираются на соответствующие механизмы безопасности ОС и расширяют их. Разработка ОС и СУБД обычно осуществляется различными производителями, поэтому и сертификация этих продуктов осуществляется по раздельности. В связи с этим, встает вопрос об оценке безопасности всей системы ОС + СУБД. Интерпретация критерия оценки безопасности для СУБД расширяет понятие надежной вычислительной базы (НВБ), путем введения понятия подмножества НВБ, формулирует условия разбиения НВБ на подмножества и определяет требования критерия оценки безопасности для каждого подмножества.

В результате интерпретации Оранжевой книги для нужд безопасности сетей появилась Красная книга. Фактически Красная книга - это две отдельные книги под названиями Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria (NCSC-TG-005) и Trusted Network Interpretation Enviroments Guideline: Guidance for Applying the Trusted Network Interpretation (NCSC-TG-0011). Эти книги были выпущены Национальным центром компьютерной безопасности Министерства обороны США (NCSC) в качестве инструкций для оценки сетей автоматизированных систем Министерства обороны. В руководстве рассматриваются два вопроса - определение метрик для классификации сетей в соответствии с уровнем обеспечиваемой ими защиты и определение минимального уровня защиты, требуемой в различных средах.

В целом американская "радужная серия" насчитывает десятки книг с разноцветными обложками, послужившими основой для разработки соответствующих государственных и международных стандартов в области защиты информации.

Зеленая книга (Green Book) Агентства информационной безопасности Германии является ответом на американскую Оранжевую книгу. В сентябре 1990 г. этот документ был предложен в качестве основы для всеевропейской Белой книги, определяющей стандарты по обеспечению безопасности информации. В отличие от Оранжевой книги, в которой основной упор сделан на вопросы конфиденциальности, Зеленая книга рассматривает в комплексе требования к доступности, целостности и конфиденциальности данных. Ее требования предназначены не только для использования в военном деле, но и в частном секторе. Она также затрагивает вопросы передачи секретной информации по открытым каналам.

Белая книга (White Book): ITSEC - Information Technology Security Evaluation Criteria - это европейский стандарт, который определяет критерии, требования и процедуры для создания систем повышенной безопасности.

Стандарт имеет две различные схемы оценки: по эффективности (E1-E6, E6 - для наиболее защищенных систем) и по функциональности (F-IN, F-AV, F-DI, F-DC, F-DX). Оценка по функциональности описывает доступность, целостность системы, целостность данных, их конфиденциальность и передачу данных.

Отечественными аналогами перечисленных стандартов являются Руководящие документы Гостехкомиссии РФ “АС. Защита от НСД к информации. Классификация АС и требования по защите информации” и “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”.

Среди направлений международной стандартизации можно выделить ряд наиболее важных для обеспечения защищенности информационных технологий. Рабочая группа - ISO/ITC JTC1/SC27/WG3 - Критерии оценки безопасности - разрабатывает в этой области следующие направления:

  • критерии оценки защищенности информационных технологий;
  • методические документы по применению критериев защищенности;
  • административные процедуры, необходимые для реализации соответствующих систем испытаний и сертификации методов и средств защиты информации.

По этим направлениям созданы проекты стандартов:

  • JTC1.27.13 - Служебные информационные объекты защиты;
  • JTC1.27.14 - Руководство по управлению и административным мерам защиты информации. Часть 1: Концепция и модели защиты информации. Часть 2: Управление и планирование защиты информации. Часть 3: Методы административного управления защитой информации;
  • JTC1.27.15 - Сбор и анализ требований к критериям оценки безопасности ИТ;
  • JTC1.27.16 - Критерии оценки безопасности информационных технологий. Часть 1: Общая модель. Часть 2: Функциональность защиты в продуктах, системах и компонентах информационных технологий. Часть 3: Удостоверение защищенности продуктов, систем и компонент информационных технологий;
  • JTC1.27.17 - Механизмы защиты на базе методов с нулевым знанием;
  • JTC1.27.18 - Управление ключами.

В существующих стандартах пока намечены только первые шаги по формализации аттестации и сертификации качества защиты в АС. Необходимо расширение номенклатуры и углубление содержания стандартов по следующим направлениям: разграничение доступа, контроль и регистрация использования ресурсов, аутентификация, цифровые подписи, тестирование, испытания и сертификация качества средств защиты.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2023 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex