Оценка защищенности информационных систем, использующих СКЗИ презентация

и информатики

каналам: защита
…
ценность обрабатываемой информации
электронные документы: юридическая значимость (подлинность)
персональные данные: защита
…

Какие методы применять?
Криптографические методы (протоколы аутентификации, шифрование, электронная цифровая подпись, …)
…

федеральные ведомства должны разработать, оформить и реализовать внутриведомственную программу информационной безопасности, целью которой будет являться обеспечение безопасности информации и информационных систем, поддерживающих деятельность и активы ведомства, включая информационные системы, предоставляемые или контролируемые другими ведомствами, подрядчиками или другими сторонами…»

Россия: Закон «Об информации, информационных технологиях и о защите информации»

Статья 16. Защита информации
Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

Республика Беларусь: Закон РБ «Об информации, информатизации и защите информации» (май 2009 г.)

Статья 28. Основные требования по защите информации
Информация, распространение и (или) предоставление которой ограничено, а также информация, содержащаяся в государственных информационных системах, должны обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном СМ РБ…
Для создания системы защиты информации используются средства защиты информации, имеющие сертификат соответствия… или положительное экспертное заключение…

обеспечение

Информационная система
сетевая подсистема
операционная система
ИТ продукты (СУБД, ППО)
средства защиты информации (в том числе криптографической защиты)
…

Сетевые компоненты

Информационная система

Система защиты информации

Операционная система

Управление доступом (НСД)

Средство защиты информации

Средство криптографической защиты информации

Прикладное ПО

Аттестовать!

ТУ, ТКП, ТР Особенность РБ: стандарты только для криптографических алгоритмов
Экспертиза — оценка задания безопасности для СЗИ и оценка ИТ продукта в рамках Общих критериев, оценка соответствия другим нормативным документам Особенность: отставание национальной нормативной базы от международной, трудоемкость оценки ИТ продукта
Защита информации строится с использованием ИТ продуктов, которые не являются средствами защиты информации (управление доступом в ОС, СУБД, прикладном ПО)
II. Аттестация информационной (автоматизированной) системы

подход: политика безопасности → механизмы безопасности → контроль за внедрением и соблюдением политики
ISO/IEC 27000 (ISO/IEC 17799) ISO
BS 7799 Англия
NIST SP 800-53 (США) США
IT Baseline Protection Manual Германия
“Технический” подход формализованное доказательство безопасности
ISO TR 19791 (развитие Общих критериев для АС) ISO ISO/IEC 15408 (Общие критерии)

17799): наличие политики применения СКЗИ
принципы применения СКЗИ для защиты информации (конфиденциальность, целостность, подлинность, аутентификация)
управление ключами СКЗИ
распределение ролей и обязанностей за защиту информации
NIST SP 800-53: рекомендованные механизмы безопасности для государственных информационных систем
применение СКЗИ для защиты информации (конфиденциальность, целостность, подлинность, аутентификация)
управление ключами СКЗИ
имеется большое число нормативных документов, уточняющих требования по криптографии (требования к криптомодулям, к управлению ключами, …)

и методики их оценки
у организации имеется возможность (частичной) самоаттестации
известен положительный опыт аттестации автоматизированных систем крупных организаций
но
нет гарантии отсутствия инцидентов, есть гарантия разбора инцидента и исключения выявленной уязвимости

систем
профиль защиты для АС
задание безопасности для АС
декомпозиция АС в домены, подлежащие оценке
новые классы функциональных требований
организационные меры: администрирование, управление персоналом…
новые классы гарантийных требований
проектная документация, тестирование, оценка уязвимостей…

разбора инцидента и исключения выявленной уязвимости
Технический подход: формализованная оценка
формализация в выявлении уязвимостей и принятии мер по предотвращении возможных инцидентов
но
требования только разрабатываются (проект ISO TR 19791)
методика оценки отсутствует
известен положительный опыт оценки по методологии Общих критериев только для ИТ продуктов, но не ИТ систем;
стандарт меняется: СТБ на основе версии 2.1 (1999 г.), ISO/IEC на основе версий 2.3 (2005 г.), 3.1 (2008 г.)
проблема: изменения конфигурации АС

на базе:
политики безопасности (управленческий подход)
и
задания безопасности (технический подход)

Аналог ISO TR 19791: объединение формализованного подхода Общих критериев и управленческого подхода (организационная политика безопасности)

стоимость экспертизы должны отличаться для разных АС
пример: защита несекретных данных персональные данные (ответственность по закону) (high impact) служебная переписка (ущерб организации) (low impact) NIST SP 800-53: low impact - анализ документации и тестирование high impact – дополнительно трудоемкий анализ исходных текстов

— проект ТР «О безопасности ПРОЕКТ информационных технологий» (статус федерального Закона) (2005) — технический подход

технического подхода: затруднительна только для новых разрабатывающихся систем только на базе СКЗИ порядок разработки: экспертиза решений на каждом этапе