Основы стандартизации в области безопасности информационных технологий презентация

рассмотрение
наиболее актуальных стандартов

устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг...

СТАНДАРТИЗАЦИЯ - деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг.

4

ФЗ«О техническом регулировании»
№184-ФЗ 2002 г. (в ред. ФЗ № 45-ФЗ 2005 г)

2005 г)

Основные цели реформирования системы
технического регулирования:

снижение административного и экономического
давления на производителей;

расширение возможностей производителей
за счет устранения соблюдаемых ранее
ими избыточных требований и процедур;

устранение технических барьеров в торговле;

повышение эффективности защиты
рынка от опасной продукции;

информационных систем и средств защиты по требованиям безопасности;


СПЕЦИФИКАЦИИ (технические регламенты) - регламентируют различные аспекты реализации и использования средств и методов защиты.

2005 г)

Технические регламенты
(принимаются как ФЗ и
являются обязательными)

Стандарты:
Национальные стандарты
(ГОСТы)
Стандарты организаций
(являются рекомендательными)

2005 г)

Роль стандартов:

формирование доказательной базы
соблюдения технических регламентов

повышение конкурентоспособности
продукции, работ и услуг

2005 г)

Основные цели принятия ТР:

защита жизни или здоровья граждан,
имущества физических или юридических лиц,
государственного или
муниципального имущества;

охрана окружающей среды, жизни или
здоровья животных и растений;

предупреждение действий,
вводящих в заблуждение приобретателей

ряде случаев закреплена законодательно.

В стандартах и спецификациях зафиксированы апробированные, высококачественные решения и методологии.

Стандарты и спецификации являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.

Системным и сетевым администраторам,

Администраторам безопасности,

Руководителям соответствующих служб и пользователям

безопасности, уровень гарантированности, подотчетность, ядро и периметр безопасности.

Описаны основные принципы формализации политики безопасности: дискреционное и мандатное управление доступом, безопасность повторного использования объектов.

Сформулированы принципы классификации по требованиям безопасности на основе линейной шкалы классов защищенности.

Повышение защищенности обеспечивается параллельным усилением требований к политике безопасности и уровню гарантированности.

7

«ОРАНЖЕВАЯ КНИГА»
(Trusted Computer System Evaluation Criteria, TCSEC)

образом авторизованные лица или процессы от их имени, получают права читать, записывать, создавать или удалять информацию.

Доверенная система – система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.

«ОРАНЖЕВАЯ КНИГА»
(Trusted Computer System Evaluation Criteria, TCSEC)

ОСНОВНЫЕ ПОНЯТИЯ

распространения и защиты информации. В зависимости от этого выбираются механизмы безопасности


Уровень гарантированности: мера доверия, оказываемая архитектуре и реализации ИС. Показывает, насколько корректны механизмы, реализующие заданную политику безопасности.

«ОРАНЖЕВАЯ КНИГА»
(Trusted Computer System Evaluation Criteria, TCSEC)

КРИТЕРИИ ОЦЕНКИ СТЕПЕНИ ДОВЕРИЯ

ИС, отвечающих за проведение в жизнь политики безопасности.
Качество ТСВ определяется только реализацией и не зависит от человеческого фактора.

Монитор обращений – проверяет каждое обращение пользователя к процессам и данным на предмет согласованности в набором допустимых для него действий.
Изолированность – нет возможности отслеживать его работу извне
Полнота – нет возможности обратиться к объектам в обход монитора
Верифицируемость – возможность обеспечить полноту тестирования.

ЯДРО БЕЗОПАСНОСТИ - это конкретная реализация монитора обращений.

«ОРАНЖЕВАЯ КНИГА»
(Trusted Computer System Evaluation Criteria, TCSEC)

СТУКТУРА ДОВЕРЕННОЙ СРЕДЫ

Уполномоченный субъект может предоставлять или отбирать права на доступ к объектам.

Мандатное управление доступом – доступ к объектам осуществляется на основе сопоставления метки безопасности объекта и уровня доверия к субъекту по некоторому формально заданному правилу.

«ОРАНЖЕВАЯ КНИГА»
(Trusted Computer System Evaluation Criteria, TCSEC)

ИНСТРУМЕНТЫ ОБЕСПЕЧЕНИЯ ДОВЕРЕННОЙ СРЕДЫ

«мусора» (очистка памяти)

Подотчетность – включает идентификацию и аутентификацию, предоставление доверенного пути, ведение журнала регистрации и анализ регистрационной информации.

Гарантированность – операционная (архитектура и реализация системы) и технологическая (построение и сопровождение).

«ОРАНЖЕВАЯ КНИГА»
(Trusted Computer System Evaluation Criteria, TCSEC)

ИНСТРУМЕНТЫ ОБЕСПЕЧЕНИЯ ДОВЕРЕННОЙ СРЕДЫ

компонента как механизм обеспечения конфиденциальности и целостности.

ИНТЕРПРЕТАЦИЯ «Оранжевой книги»
ДЛЯ СЕТЕВЫХ КОНФИГУРАЦИЙ»
(Trusted Network Interpretation)

ИСТОРИЧЕСКИЕ АСПЕКТЫ

данных,
целостность данных,
неотказуемость.

Описаны реализующие данные сервисы механизмы.

РЕКОМЕНДАЦИИ Х.800
СЕТЕВЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ

ИСТОРИЧЕСКИЕ АСПЕКТЫ

безопасности):

администрирование ИС в целом

администрирование сервисов безопасности

администрирование механизмов безопасности.

26

РЕКОМЕНДАЦИИ Х.800
СЕТЕВЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ

Включает два алгоритма: создания подписи и ее проверки.

Механизмы управления доступом.
базы данных управления доступом, списки доступа
аутентификационная информация,
«билеты» или иные удостоверения, предъявление которых свидетельствует о наличии прав доступа;
метки безопасности, ассоциированные с субъектами и объектами доступа.
время, маршрут и длительность запрашиваемого доступа.

Механизмы контроля целостности. Различают целостность отдельного сообщения и целостность потока сообщений.

РЕКОМЕНДАЦИИ Х.800
Механизмы безопасности

Маршрутизация статическая или динамическая
Маршрут в зависимости от меток безопасности
Отказ от «опасных» маршрутов.

Механизмы нотаризации. Заверение коммуникационных характеристик (целостность, личность, время и т.п.) доверенной третьей стороной.

РЕКОМЕНДАЦИИ Х.800
Механизмы безопасности

ключами (генерация и распределение )
Управление шифрованием (установка и синхронизация криптографических параметров), в т.ч. механизмами ЭЦП и целостности с использованием криптографии
Администрирование управления доступом (распределение паролей, ведение списков доступа и т.п. )
Управление аутентификацией
Управление дополнением трафика (правила дополнения сообщений – частота посылки, размер и пр. )
Управление маршрутизацией (выработка доверенных путей)
Управление нотаризацией (администрирование служб)

РЕКОМЕНДАЦИИ Х.800 Администрирование безопасности

единой линейной шкалы.

Требование формулирования цели оценки и проведение анализа, насколько полно она достигается.

Приведено описание около десятка примерных классов функциональности для государственных и коммерческих систем.

9

ГАРМОНИЗИРОВАННЫЕ КРИТЕРИИ
ЕВРОПЕЙСКИХ СТРАН.

основе национальных стандартов:

«Гармонизированные критерии Европейских стран»,

«Федеральные критерии безопасности информационных технологий» (США)

«Канадские критерии оценки доверенных компьютерных продуктов»

На сегодняшний день он является самым полным и современным оценочным стандартом ИБ.

14

информационная система с соответствующей документацией.




Система - специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации.



Продукт - совокупность средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы.  

15

Среда безопасности включает
законодательную,
административную,
процедурную
программно-техническую среды.


Выделяются следующие аспекты безопасности ОО:
предположения безопасности,
угрозы безопасности,
положения политики безопасности.


На основе предположений при учете угроз и положений политики безопасности определяются цели безопасности.

15

оценки безопасности ИС и порядок их использования;

2. Безопасность рассматривается в соответствии с жизненным циклом объекта оценки в контексте среды безопасности, характеризующейся определенными условиями и угрозами.

3. Для объекта оценки формулируются требования безопасности (функциональные требования и требования доверия)

4. В методологии ОК формируются два базовых вида НМД
– профиль защиты (типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса )
– задание по безопасности (совокупность требований к конкретной разработке )

5. Основа для сопоставления национальных стандартов.

16

от несанкционированного доступа к информации.
Концепция защиты СВТ и АС от НСД к информации
Термины и определения
Показатели защищенности СВТ от НСД
Классификация АС по уровню защищенности от НСД
Временное положение по разработке защищенных автоматизированных систем и средств защиты информации.
1997 год Межсетевые экраны. Показатели защищенности от НСД.
2001 год Специальные требования и рекомендации по защите конфиденциальной информации

2002 год – РД Гостехкомисии России «Критерии оценки безопасности информационных технологий» (перевод версии ISO/IEC 15408:1999)
2004 год – введен ГОСТ Р ИСО/МЭК 15408-2002

10

РАЗВИТИЕ ОТЕЧЕСТВЕННЫХ СТАНДАРТОВ ИБ

Линейная шкала, аналогичная «Оранжевой книге», для СВТ
Классификация АС в зависимости от количества пользователей и режима обработки информации
Взаимоувязанные рекомендации по применению классифицированных СВТ для создания АС разного уровня защищенности
Определены основные подсистемы обеспечения безопасности. для АС: управления доступом, контроля целостности, регистрации и учета, криптографическая подсистема.
Перечислены функции и требования к механизмам их реализации для классифицируемых АС и СВТ

11

РУКОВОДЯЩИЕ ДОКУМЕНТЫ
ГОСТЕХКОМИССИИ РОССИИ
ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ НСД

International Standardization Organization
(ИСО: Международная организация по стандартизации)
IEC:International Electro-technical Commission
(МЭК : Международная электротехническая комиссия)
ITU: International Telecommunications Union
МСЭ : Международный союз электросвязи
IETF: Internet Engineering Task Force
(IETF: Комиссия по технологиям Internet)
EMV:Europay, MasterCard и Visa International
(ЕМВ:Международная организация пластиковых карт)
OECD:Organization for Economic Co-operation
and Development
(ОЭСР:Организация по экономическому сотрудничеству и развитию)

Telecommunications Standards Institute
(ЕИСТ:Европейский институт стандартизации телекоммуникаций)

ECBS:European committee for banking standards
(ЕКБС:Европейский комитет по банковским стандартам)

Обзор соверменных стандартов в области ИБ

Национальный институт стандартов и технологий США)

ANSI:American national standard institute
(АНСИ:Американский национальный институт стандартизации)

ABA:American banker’s association
(АВА: Американская банковская ассоциация)

BSI:British Standard Institute
(БСИ:Британский институт стандартизации)

Обзор соверменных стандартов в области ИБ

стандартизации)
создана в 1946 г., содержит около 200 технических комитетов (ТС),
свыше15000 стандартов, 156 стран-участниц

IEC:International Electro-technical Commission
(МЭК : Международная электротехническая комиссия)
создана в 1944, содержит более 100 TC

ISO/IEC (ИСО/МЭК):
Объединенный технический комитет (JTC 1)
JTC 1 –разрабатывает стандарты в области ИТ
Подкомитет 27 (SC 27) JTC 1 работает в сфере ИБ

Обзор соверменных стандартов в области ИБ

of information security
ISO/IEC 15945 Specification of TTP services to support the
application of digital signatures (ITU-T X.843)
ISO/IEC 18043 Management, implementation and operation
of intrusion detection systems (IDS)
ISO/IEC 18033 Encryption algorithms, with four Parts,
including asymmetric, block and stream ciphers
ISO/IEC 9798 Entity authentication, with six Parts
ISO/IEC 15408 – Common Criteria for IT Security Evaluation
ISO/IEC 18045 – Common Evaluation Methodology
ISO/IEC 19790 / U.S. NIST FIPS 140-2 – Security Requirements
for Cryptographic Modules

Обзор соверменных стандартов в области ИБ

Кодекс установившейся практики
для управления информационной безопасностью»)

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология.
Практические правила управления информационной безопасностью
(Введен 2007-01-01)

ISO/IEC 17799:2000 “Information technology.
Code of practice for security management”

ISO/IEC 17799:2005 “Information technology.
Code of practice for security management”

ISO/IEC 27002:2005 “Information technology.
Code of practice for security management”

Обзор соверменных стандартов в области ИБ

технология.
Практические правила управления информационной безопасностью

Стандарт формирует общую основу
как для разработки стандартов безопасности
отдельных организаций и эффективных
правил по поддержанию этой безопасности,
так и для обеспечения конфиденциальности
торговых связей между организациями

технология.
Практические правила управления информационной безопасностью

Введение
Область применения
Термины и определения
Политика безопасности
Организационные вопросы безопасности
Классификация и управление активами
Вопросы безопасности, связанные с персоналом
Физическая защита и защита от воздействия окружающей среды
Управление передачей данных и операционной деятельностью
Контроль доступа
Разработка и обслуживание систем
Вопросы управления непрерывностью бизнеса
Соответствие требованиям законодательства

технология.
Практические правила управления информационной безопасностью

9. Контроль доступа (начало):
9.1. Требования бизнеса по обеспечению контроля
в отношении логического доступа
9.2. Контроль в отношении доступа пользователей
9.2.1.Регистрация пользователей
9.2.2. Управление привилегиями
9.2.3. Контроль в отношении паролей пользователей
Пересмотр прав доступа пользователей
9.3. Обязанности пользователей
9.3.1. Использование паролей
9.3.2.Оборудование, оставленное пользователями без присмотра
9.4. Контроль сетевого доступа
9.4.1.Политика в отношении использования сетевых служб
9.4.2. Предопределенный маршрут
9.4.3. Аутентификация пользователей в случае внешних соединений
9.4.4.Аутентификация узла
9.4.5. Защита портов диагностики при удаленном доступе
9.4.6. Принцип разделения в сетях
9.4.7. Контроль сетевых соединений
9.4.8. Управление маршрутизацией сети
9.4.9. Безопасность использования сетевых служб

технология.
Практические правила управления информационной безопасностью

9. Контроль доступа (окончание):
9.5. Контроль доступа к операционной системе
9.5.1. Автоматическая идентификация терминала
9.5.2. Процедуры регистрации с терминала
9.5.3. Идентификация и аутентификация пользователей
9.5.4. Система управления паролями
9.5.5. Использование системных утилит
9.5.6. Сигнал тревоги для защиты пользователей на случай,
когда они могут стать объектом насилия
9.5.7. Периоды бездействия терминалов
9.5.8. Ограничения подсоединения по времени
9.6. Контроль доступа к приложениям
9.6.1. Ограничения доступа к информации
9.6.2. Изоляция систем, обрабатывающих важную информацию
9.7. Мониторинг доступа с использованием системы
9.7.1. Регистрация событий
9.7.2. Мониторинг использования систем
9.7.3. Синхронизация часов
9.8. Работа с переносными устройствами в дистанционном режиме
9.8.1. Работа с переносными устройствами
9.8.2. Работа в дистанционном режиме

techniques.
Information security management systems. Requirements”
(«Информационная технология. Методы защиты.
Системы менеджмента защиты информации. Требования»)

ISO/IEC 27001:2005“Information technology. Security techniques.
Information security management systems. Requirements”

ГОСТ Р ИСО/МЭК 27001-2005 Информационные технологии.
Методы защиты. Системы менеджмента защиты информации.
Требования
Введен ???????

технологии.
Методы защиты. Системы менеджмента защиты информации.
Требования

Предисловие
Введение
1.Область приложения
2.Нормативные ссылки
3.Термины и определения
4.Системы менеджмента защиты информации
5.Ответственность руководства
6.Внутренние аудиты СМЗИ
7.Анализ СМЗИ со стороны руководства
8.Улучшение СМЗИ
Приложение А (обязательное). Цели управления и
средства управления
Приложение В (информационное). Принципы ОЭСР и этот стандарт
Приложение С (информационное). Соответствие между
ISO 9001:2000, ISO 14001:2004 и этим стандартом

2007)

Рекомендации по
реализации СУИБ

Оценка СУИБ

Управление рисками
в СУИБ

опублик

в процессе

предлагается

2. Обзор стандартов в области ИБ

IT networks security, TTP services, IDS, Incident handling, Web applications, identity management, cyber ..

Product & system
security evaluation & assurance (Common Criteria)

Accreditation requirements for ISMS [27006]

Information security
management system (ISMS) [27001]

Информационных Систем
Основана в 1969 году.
Развивает и продвигает стандарт
COBIT – Control Objectives for Information and related Technology
(Контрольные ОБъекты для Информационных
и смежных Технологий)
=Принципы управления и аудита ИТ.
CobiT позиционируется как открытый стандарт «де-факто»
(вышло четвертое издание)

ориентированных на разные аудитории:
Резюме для руководителя. Описание стандарта для
топ-менеджеров организации для принятия ими решения
о применимости стандарта в конкретной организации.
Описание структуры. Содержит развернутое описание высокоуровневых
целей контроля и пояснения к ним, необходимые
для эффективной навигации и результативной работы со стандартом.
Объекты контроля. Детальные описания объектов контроля,
содержащие расшифровку каждого из объектов.
Принципы управления. Отвечает на вопросы как управлять ИТ, как правильно
поставить достижимую цель, как ее достичь
и как проконтролировать полноту ее достижения.
Предназначена для руководителей ИТ-служб.
Принципы аудита. Правила проведения ИТ-аудита.
Описание того, у кого можно получить необходимую информацию,
как ее проверить, какие вопросы задавать.
Книга предназначена для внутренних и внешних аудиторов ИТ,
а также консультантов в сфере ИТ.
Набор инструментов внедрения стандарта. Практические советы
по ежедневному использованию стандарта в управлении и аудите ИТ.
Книга предназначена для внутренних и внешних аудиторов ИТ,
консультантов в сфере ИТ.

РУКОВОДЯЩИЕ ДОКУМЕНТЫ, ПРОФИЛИ, ДРУГИЕ НОРМАТИВНЫЕ ДОКУМЕНТЫ (включая проекты):
Защита средств и систем : 28 (ГОСТ, ГОСТ Р); 8 (РД); 40 (СТ. ОТР. ПРИМ.);

Управление ИБ : 13 (ПНС-2006/7);

Оценка ИБ: 3 (ГОСТ Р); 3 (проекты РД); 6 (проекты профилей)

утечки за счет ПЭМИН при ее обработке СВТ. ОТТ"

ГОСТ Р 50543-93 "Конструкции базовые несущие СВТ. Требования по обеспечению ЗИ и ЭМС методом экранирования"

ГОСТ Р 50752-95 "ИТ. ЗИ от утечки за счет ПЭМИН при ее обработке СВТ. Методы испытаний"

ГОСТ Р 50739-95 "СВТ. Защита от НСД к информации. ОТТ"

ГОСТ Р 50922-96 "Защита информации. Основные термины и определения"

ГОСТ Р 51188-98 "ЗИ. Испытания программных средств на наличие компьютерных вирусов. Типовые руководства"

ГОСТ Р 51275-99 "ЗИ. Объекты информатизации. Факторы, воздействующие на информацию. Общие положения"

ГОСТ Р 51583-2000 "ЗИ. Порядок создания АС в защищенном исполнении. Общие положения"

в защищенном исполнении. Общие требования"

ГОСТ 28147-89 "Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования"

ГОСТ 34.10-2001 "ИТ. Криптографическая защита информации.
Процессы формирования и проверки электронной цифровой подписи"

ГОСТ 34.11-94 "ИТ. Криптографическая защита информации.
Функция хэширования"

ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь
открытых систем. Базовая эталонная модель. Часть 2.
Архитектура защиты информации

ГОСТ Р ИСО 9594-8-98 Взаимосвязь открытых систем. Справочник. Часть 8.
Основы аутентификации