ЛЕКЦИЯ №11.

ТЕМА 9. НОРМАТИВНАЯ БАЗА АНАЛИЗА ЗАЩИЩЕННОСТИ. СТАНДАРТЫ ISO 15408, ISO 17799, NIST. ПОДХОДЫ COBIT, OCTAVE.

ISO 15408 отражает общие критерии оценки безопасности информационных технологий (ИТ), определяет функциональные требования безопасности и требования адекватности реализации функции безопасности. При проведении работ по анализу защищенности АС, а также СВТ общие критерии целесообразно использовать в качестве основных критериев, позволяющих оценить уровень защищенности АС и СВТ с точки зрения полноты реализованных в ней функций с точки зрения безопасности и надежности реализации этих функций.

Общие критерии можно разделить на 3 части:

1) содержит определения общих понятий, концепций, описаний модели и методики проведения оценки безопасности ИТ

2) содержит требования к функциональности СЗ, которые могут быть использованы при анализе защищенности

3) содержит классы требований гарантированности оценки, включая требования по анализу уязвимостей СЗ. Определяет методам, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

- наличие побочных каналов утечки информации

- ошибки в конфигурации или неправильное использование системы, приводящие к переходу в небезопасное состояние (например, МЭ)

- недостаточная надежность СЗ

- наличие уязвимостей в СЗ, дающих возможность пользователям совершать НСД в обход СЗ.

 

ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки безопасности организационного уровня, включая физические меры защиты.

Практические правила разбиты на 10 разделов:

1) политики безопасности

2) организация защиты

3) классификация ресурсов и их контроль

4) безопасность персонала

5) физическая безопасность

6) администрирование компьютерных систем и вычислительных сетей

7) управление доступом

8) разработка и сопровождение информационных систем

9) планирование бесперебойного действия работы организации

10) контроль выполнения требований

В этих разделах содержатся описания механизмов безопасности. 10 средств контроля предлагаемых в стандарте считаются особо важными.

Под средствами контроля понимаются механизмы управления информационной безопасностью (ИБ).

При использовании некоторых из средств контроля, например, шифрование данных может потребоваться оценка рисков, чтобы определить, нужны ли они и каким образом их использовать.

Для обеспечения более высокого уровня безопасности или оказания противодействия особо серьезным угрозам могут потребоваться более сильные средства, выходящие за рамки данного стандарта.

Также в стандарте представлены 10 ключевых средств контроля, которые служат в качестве основного руководства для организаций, приступающих к реализации средств управления информационной безопасности.

КСК (ключевые средства контроля):

1) документ о политике ИБ

2) распределение обязанностей по обеспечению ИБ

3) обучение и подготовка поддержания режима ИБ

4) уведомление о случаях нарушения защиты

5) средства защиты от вирусов

6) бесперебойная работа в соответствии с заданной политикой

7) защита данных

8) контроль над копированием, изменением, удалением ПО

9) защищенный документооборот

10) соответствие политике безопасности

Процедура аудита безопасности включает в себя проверку наличия перечисленных КСК, также оценку полноты и правильности их реализации в соответствии рискам, существующим в данной среде функционирования.