Система международных и российских правовых стандартов. Стандарт BS7799

Главная задача стандартов информационной безопасности — создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности.

Наиболее значимыми стандартами информационной безопасности являются (в хронологическом порядке): «Критерии безопасности компьютерных систем министерства обороны США», Руководящие документы Гостехкомиссии России и ГОСТы (только для нашей страны), «Европейские критерии безопасности информационных технологий», «Федеральные критерии безопасности информационных технологий США», «Канадские критерии безопасности компьютерных систем» и «Единые критерии безопасности информационных технологий».

Необходимость следования стандартам закреплена законодательно. Однако наиболее убедительны содержательные причины. Стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами. Роль стандартов зафиксирована в основных понятиях закона РФ "О техническом регулировании" 27 декабря 2002 г. № 184-ФЗ.

Основные международные стандарты информационной безопасности:

1. ISO 17799 – построение системы ИБ, менеджмент в области технологий ЗИ.

2. ISO 15408 - Единые критерии ИБ. Основные направления – средства защиты: разработка, эксплуатация; профиль защиты: набор защитных средств и систем; стандарт защиты: детальные требования к программно-техническим средствам ОИБ.

3. BS 7799 - построение систем аудита ИБ, описание типовых угроз и контрмер, характеристики принятых программных средств аудита ИБ. Британский стандарт.

4. TCSec – определяет требования, предъявляемые к аппаратному, программному и специальному обеспечению КС, выработке соответствующих методик и технологий анализа степени поддержки политики безопасности. Три вида требований: к политике безопасности, к аудиту систем, к корректности работы систем. Принят в США.

5. BSI\IT Baseline – подробные руководства по обеспечению информационной безопасности применительно к различным аспектам функционирования ИС и различным областям ИТ. Немецкий стандарт.

6. ISO 27001 - Стандарт содержит требования в области ИБ для создания, развития и поддержания Системы менеджмента информационной безопасности.

7. Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации

Основные российские стандарты информационной безопасности:

1. ГОСТ Р 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении

2. ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования

3. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения

4. ГОСТ Р 52069.0-2003 ЗАЩИТА ИНФОРМАЦИИ. СИСТЕМА СТАНДАРТОВ. ОСНОВНЫЕ ПОЛОЖЕНИЯ

5. ГОСТ Р 51188-98 Защита информации. ИСПЫТАНИЯ ПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ. Типовое руководство

6. ГОСТ Р 53113.1-2008 Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения

7. ГОСТ Р 53113.2-2009 Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов

8. ГОСТ Р ИСО/МЭК ТО 15446-2008 Руководство по разработке профилей защиты и заданий по безопасности

9. ГОСТ Р ИСО/МЭК 18045-2008 Методология оценки безопасности информационных технологий

BS7799 может использоваться для защиты любых видов информации, включая финансовую, кадровую, информацию по поставщикам или любым другим данным компании и, что немаловажно, информацию, принадлежащую партнерам/клиентам – одним словом, все, что является значимым информационным ресурсом любой компании, и все, что уязвимо для угроз безопасности.

Таким образом, основную цель стандарта можно сформулировать как создание общей методологии для разработки, внедрения и оценки эффективности системы управления ИБ, применимую как в условиях коммерческих компаний, так и государственных и некоммерческих структур.

Первая часть стандарта, по-русски именуемая "Управление информационной безопасностью". Практические правила", содержит систематический, весьма полный, универсальный перечень регуляторов безопасности, полезный для организации практически любого размера, структуры и сферы деятельности. Она предназначена для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание внутренней системы информационной безопасности.

Согласно стандарту, цель информационной безопасности - обеспечить бесперебойную работу организации, по возможности предотвратить и/или минимизировать ущерб от нарушений безопасности.

Управление информационной безопасностью позволяет коллективно использовать данные, одновременно обеспечивая их защиту и защиту вычислительных ресурсов.

Подчеркивается, что защитные меры оказываются значительно более дешевыми и эффективными, если они заложены в информационные системы и сервисы на стадиях задания требований и проектирования.

Предлагаемые в первой части стандарта регуляторы безопасности разбиты на десять групп:

1. Политика безопасности

2. Организационная безопасность

3. Классификация и контроль информационных активов

4. Аспекты информационной безопасности, связанные с персоналом

5. Физическая безопасность и безопасность окружающей среды

6. Управление коммуникациями и операциями

7. Контроль доступа

8. Разработка и поддержка систем

9. Управление непрерывностью бизнеса

10. Соответствие формальным требованиям

В стандарте выделяется десять ключевых регуляторов, которые либо являются обязательными в соответствии с действующим законодательством, либо считаются основными структурными элементами информационной безопасности. К ним относятся:

· документ о политике информационной безопасности;

· распределение обязанностей по обеспечению информационной безопасности;

· обучение и подготовка персонала к поддержанию режима информационной безопасности;

· уведомление о случаях нарушения защиты;

· антивирусные средства;

· процесс планирования бесперебойной работы организации;

· контроль за копированием программного обеспечения, защищенного законом об авторском праве;

· защита документации;

· защита данных;

· контроль соответствия политике безопасности.

Следующие факторы выделены в качестве определяющих для успешной реализации системы информационной безопасности в организации:

· цели безопасности и ее обеспечение должны основываться на производственных задачах и требованиях. Функции управления безопасностью должно взять на себя руководство организации;

· необходима явная поддержка и приверженность к соблюдению режима безопасности со стороны высшего руководства;

· требуется хорошее понимание рисков (как угроз, так и уязвимостей), которым подвергаются активы организации, и адекватное представление о ценности этих активов;

· необходимо ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации.

Во второй части стандарта предметом рассмотрения является система управления информационной безопасностью.

Под системой управления информационной безопасностью (СУИБ) понимается часть общей системы управления, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности. Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.

В основу процесса управления положена четырехфазная модель, включающая:

· планирование;

· реализацию;

· оценку;

· корректировку.

Процесс управления имеет циклический характер; на фазе первоначального планирования осуществляется вход в цикл. В качестве первого шага должна быть определена и документирована политика безопасности организации.

Затем определяется область действия системы управления информационной безопасностью. Она может охватывать всю организацию или ее части. Следует специфицировать зависимости, интерфейсы и предположения, связанные с границей между системой управления ИБ и ее окружением; это особенно важно, если в область действия попадает лишь часть организации. Большую область целесообразно поделить на подобласти управления.

Результат анализа рисков - выбор регуляторов безопасности. План должен включать график и приоритеты, детальный рабочий план и распределение обязанностей по реализации этих регуляторов.

На второй фазе - фазе реализации - руководством организации выделяются необходимые ресурсы (финансовые, материальные, людские, временные), выполняется реализация и внедрение выбранных регуляторов, сотрудникам объясняют важность проблем информационной безопасности, проводятся курсы обучения и повышения квалификации. Основная цель этой фазы - ввести риски в рамки, определенные планом.

Назначение фазы оценки - проанализировать, насколько эффективно работают регуляторы и система управления информационной безопасностью в целом. Кроме того, следует принять во внимание изменения, произошедшие в организации и ее окружении, способные повлиять на результаты анализа рисков. При необходимости намечаются корректирующие действия, предпринимаемые в четвертой фазе.

Требования Доктрины информационной безопасности РФ и ее реализация в существующих системах информационной безопасности

Правовой основой Доктрины ИБ РФ от 9 сентября 2000 г. N ПР-1895 (утверждена Президентом Российской Федерации В.В. Путиным) являются Конституция Российской Федерации, общепризнанные принципы и нормы международного права и международные договоры Российской Федерации, Концепция национальной безопасности Российской Федерации, федеральное законодательство, регулирующее вопросы формирования и развития системы обеспечения национальной безопасности Российской Федерации.

Цель принятия Доктрины - развитие Концепции национальной безопасности Российской Федерации применительно к информационной сфере.

Доктрина ИБ РФ представляется:

· в качестве источника права (нормативно правовой акт)

· состояние защищенности национальных интересов РФ в информационной сфере

Доктрина информационной безопасности Российской Федерации отражает совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

Доктрина дополняет положения других нормативных правовых актов Президента Российской Федерации, направленных на развитие информационной сферы Российской Федерации, обеспечение безопасности национальных интересов в этой сфере.

Недопущение вреда нац. интересам РФ в инф. сфере и удовлетворение их относится к числу наиболее важных задач РФ.

В соответствии с Доктриной под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Обеспечение ИБ РФ включает две составляющие:

1. Совокупность объектов и субъектов, обеспечивающих способность не допустить причинение вреда национальным интересам РФ в информационной сфере.

2. Деятельность субъектов по обеспечению способности государства не допустить причинение вреда национальным интересам РФ в информационной сфере.

В Доктрине закреплены четыре основные составляющие национальных интересов страны в информационной сфере (это и есть требования! Доктрина закрепляет требования к ИС всего государства, поэтому они такие общие и масштабные):

· Соблюдение конституционных прав и свобод человека и гражданина в области получения информации и ее использования, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

· Информационное обеспечение государственной политики России, связанное с доведением до российской и мировой общественности достоверной информации о государственной политике страны, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

· Развитие новых информационно-коммуникационных технологий, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.

· Защита информационных ресурсов России от несанкционированного доступа, обеспечение безопасности информационно-телекоммуникационных систем, как уже развернутых, так и создаваемых на территории страны.

Настоящая Доктрина служит основой для (реализация Доктрины):

· формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;

· подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;

· разработки целевых программ обеспечения информационной безопасности Российской Федерации.

Доктрина служит основой при разработке:

· планов законодательной работы Фед. Собрания РФ, Зак. Собрания субъектов РФ, договаривающихся сторон при заключении международных договоров;

· планов законотворческой деятельности при создании прав. доктрин регулирования отношений по отдельным вопросам норм-прав. обеспечения в регионах в сфере ИБ;

· правоприменительной деятельности Верх. Суда и Высшего Арбитражного суда.

В качестве примера реализации Доктрины ИБ РФ является Федеральная целевая программа «Электронная Россия (2002-2010 годы)» принятая в январе 2002 года постановлением Правительства Российской Федерации.

Анализ структурных элементов:

Наиболее ярко проявляется сущность государства в сфере ИБ и его соц. назначение.

Области направления деятельности государства: экономическая, социальная, охрана прав и свобод, оборона.

Министерства: здравоохранение, соц. обеспечение, образование, экономика и финансы, дипломатия, внеш. торговля.

Объектами Доктрины являются лица, соц. объединения, которые используют инф. инфраструктуру (объекты, на которые направлена предметно-практическая деятельность государства по достижению нац. интресов РФ в инф. сфере).

Субъекты Доктрины – государство, органы гос. власти, должностные лица, физ. и юр. лица, если для реализации потребностей на них возложены функции субъектов инф. сферы.