Анализ международных, национальных и отраслевых стандартов информационной безопасности

 

 

7. Структура

 

         Текст документа содержит 128 страниц  после титульных страниц идут 8 разделов, три обязательных приложения  и два справочных приложения, библиография.

         В разделе  1 область применения. В разделе  2 собраны нормативные ссылки, точнее, одна ссылка — на международный  стандарт ISO/IEC 15408:2005 (все части). Раздел 3 содержит термины и определения,  раздел 4 — перечень сокращений. В разделе 5 описан методологический  подход к решению проблемы  безопасности, в разделе 6 — расширение  существующих в стандарте ISO/IEC 15408 принципов  оценки  безопасности  автоматизированных систем, в разделе  7 — связь с существующими стандартами  безопасности. Раздел 8 является руководством  по проведению оценки автоматизированных  систем.

              Приложение A регламентирует структуру  и содержание системных профилей  защиты и заданий по безопасности. Приложение B содержит перечень системных  функциональных требований, приложение C — перечень системных требований  доверия к безопасности.

              Справочные приложения  D – о взаимосвязи с разработкой общих критериев, E – сведения о соответствии национальных и международных стандартов.

 

8. Характерные особенности 

 

        Стандарт  содержит дополнительные правила  (процедуры) к международным стандартам  ИСО/МЭК 15408-1, ИСО/МЭК 15408-2, ИСО/МЭК  15408-3 (далее - стандарты серии ИСО/МЭК  15408) в интересах оценки (оценивания) безопасности автоматизированных  систем

      Многие основные понятия ГОСТ  Р ИСО/МЭК 19791 получаются из  аналогичных понятий стандарта  ISO/IEC 15408 добавлением слов "системный", "система", например: "системный  профиль защиты" (СПЗ), "системное  задание по безопасности" (СЗБ), "доверие к безопасности системы" (ДБС), "системная функциональность  безопасности" (СФБ), "системный  объект оценки" (СОО).

 

 

9. методики оценки показателей обеспечения ИБ

 

    В стандарте используются рекомендации качественные показатели:

• Профили защиты и задания безопасности системы.
• Функциональные требования безопасности.
• Требования к безопасности автоматизированной системы.

 

           Процесс оценки безопасности  автоматизированной системы в  предлагаемом стандарте подразделяется  на три этапа:

• порождение свидетельств для оценивания, включая результаты оценки рисков, спецификацию системного объекта оценки, данные и документацию по разработке, интеграции, эксплуатации и мониторингу АС;
• оценивание, включая сертификацию результатов оценки;
• аккредитация автоматизированной системы.

 

        Все перечисленные действия должны  выполняться определенными должностными  лицами. Согласно предлагаемому  проекту, их роли и обязанности  заключаются в следующем.

         На первом этапе руководитель  организации владельца автоматизированной  системы, несущий общую ответственность  за информационную безопасность, определяет допустимый уровень  рисков и санкционирует действия  уполномоченного должностного лица, оценивающего и определяющего  допустимость остаточных рисков.

Отдел информационной безопасности разрабатывает политику безопасности организации, определяет обязательные регуляторы, которые должны быть реализованы во всех автоматизированных системах организации.

        Владелец системы проводит оценку  рисков, определяет задачу безопасности, решаемую автоматизированной системой, готовит системные профили защиты (возможно, в сотрудничестве с  владельцами аналогичных систем), санкционирует повторное проведение  оценки, исходя из изменений, произведенных  в системе и/или эксплуатационной  среде, отслеживает состояние  системы по непрерывно поступающим  данным протоколирования/аудита.

        Проектировщик/разработчик/интегратор  системы создает или участвует  в создании системного задания  по безопасности, основываясь на  задаче безопасности, сформулированной  владельцем системы; порождает  свидетельства этапа разработки; помогает владельцу системы уменьшить  или устранить уязвимости, выявленные  в процессе оценивания.

          Специалисты, занимающиеся администрированием, эксплуатацией и сопровождением, помогают разработать системное  задание по безопасности; порождают  свидетельства этапа эксплуатации; помогают владельцу системы уменьшить  или устранить уязвимости, выявленные  в процессе оценивания.

        На этапе проведения оценки  оценщик/представитель сертифицирующего  ведомства оценивает систему,  исходя из требований безопасности, фигурирующих в СЗБ, и делает  вывод о способности АС выполнить  эти требования в данный момент  времени; дает независимую оценку  безопасности действующей системы;  по мере необходимости проводит  переоценку АС после внесения  изменений в систему или эксплуатационную  среду; сертифицирует результаты  оценки; готовит доклад по результатам  оценки и сертификации и предоставляет  его владельцу системы вместе  с рекомендациями, чтобы поддержать  аккредитацию АС.

        На этапе аккредитации представитель  соответствующего ведомства санкционирует  использование системы или подтверждает, что ожидаемые остаточные риски  находятся в допустимых пределах.

 

10. сертификация на соответствие стандарту

 

             Сертификация по данному стандарту не производится, но он используется для сертификации по  Постановление Правительства РФ от 3 февраля 2012 г. N 79 "О лицензировании деятельности по технической защите конфиденциальной информации"

При следующих видах работ:

а) контроль защищенности конфиденциальной информации от утечки по техническим  каналам в:

- средствах и системах информатизации;

- технических средствах (системах), не обрабатывающих конфиденциальную - информацию, но размещенных в  помещениях, где она обрабатывается;

- помещениях со средствами (системами), подлежащими защите;

- помещениях, предназначенных для  ведения конфиденциальных переговоров  (далее - защищаемые помещения);

б) контроль защищенности конфиденциальной информации от несанкционированного доступа  и ее модификации в средствах  и системах информатизации;

в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в  целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств  обработки информации, технических  средств контроля эффективности  мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);

г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:

- средств и систем информатизации;

- помещений со средствами (системами), подлежащими защите;

- защищаемых помещений.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ

 

      Проблема оценки  информационной безопасности автоматизированных  систем, является крайне важной  и актуальной. Современный подход  к оценке безопасности информационных  технологий зафиксирован в отечественном  стандарте ГОСТ Р ИСО/МЭК 15408 – 2008 (международный стандарт ISO/IEC 15408 ). ГОСТ Р ИСО/МЭК ТО 19791-2008 успешно дополняет его и представляется весьма своевременным, а выбранное в нем стратегическое направление на развитие стандарта ГОСТ Р ИСО/МЭК 15408 – 2008 — вполне оправданным.  По сравнению со стандартом ГОСТ Р ИСО/МЭК 15408 – 2008, обеспечен более полный охват мер безопасности и этапов жизненного цикла оцениваемых систем, удачно выбраны и определены основные понятия и функциональные требования безопасности.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СПИСОК ИСПОЛЬЗУЕМЫХ ИНФОРМАЦИОННЫХ ИСТОЧНИКОВ.

 

1. ГОСТ Р ИСО/МЭК ТО 19791-2008, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ Оценка безопасности автоматизированных систем.
2. ГОСТ Р ИСО/МЭК ТО 15408 Методы И Средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
3. Оценка безопасности автоматизированных систем. Обзор и анализ предлагаемого проекта технического доклада ISO/IEC PDTR 19791. В.А Галатенко, JetInfo – информационный бюллетень № 7 2005.