Міжнародні стандарти інформаційної безпеки. Гост - національні стандарти Російської Федерації в галузі захисту інформації Російські стандарти інформаційної безпеки
1.1. Міжнародні стандарти інформаційного обміну
Забезпечення інформаційної безпеки (ІБ) необхідно проводити з урахуванням відповідних стандартів та специфікацій.
Стандарти в галузі криптографії та Керівні документи Федеральної служби з технічного та експортного контролю (ФСТЕК Росії, раніше Державна технічна комісія при Президентові Російської Федерації) закріплені законодавчо.
Роль стандартів зафіксована в основних поняттях закону РФ «Про технічне регулювання» від 27 грудня 2002 р. за номером 184-ФЗ (прийнятий Державною Думою 15 грудня 2002 р.):
стандарт – документ, у якому з метою добровільного багаторазового використання встановлюються характеристики продукції, правила здійснення та характеристики процесів виробництва, експлуатації, зберігання, перевезення, реалізації та утилізації, виконання робіт чи надання послуг. Стандарт також може містити вимоги до термінології, символіки, упаковки, маркування або етикеток та правил їх нанесення;
стандартизація - діяльність із встановлення правил і показників з метою їх добровільного багаторазового використання, спрямовану досягнення впорядкованості у сферах виробництва та обігу продукції і на підвищення конкурентоспроможності продукції, робіт чи послуг.
Виділяють дві групи стандартів та специфікацій в галузі ІБ:
оціночні стандарти , призначені для оцінки та класифікації інформаційних системта засобів захисту за вимогами безпеки;
специфікації , що регламентують різні аспекти реалізації та використання засобів та методів захисту.
Оціночні стандарти описують найважливіші поняттята аспекти інформаційних систем (ІВ), граючи роль організаційних та архітектурних специфікацій.
Інші специфікації визначають, як саме будувати ІВ запропонованої архітектури та виконувати організаційні вимоги.
До оціннимстандартам відносяться:
1. Стандарт МО США «Критерії оцінки довірених комп'ютерних мереж» («Помаранчева книга») та його мережева конфігурація «Гармонізовані критерії Європейських країн».
2. Міжнародний стандарт «Критерії оцінки безпеки інформаційних технологій».
3. Керівні документи ФСТЕК Росії.
4. Федеральний стандарт США "Вимоги безпеки для криптографічних модулів".
5. Міжнародний стандарт ISO IES 15408:1999 "Критерії оцінки безпеки інформаційних технологій" ("Загальні критерії").
Технічні специфікації, застосовні до сучасних розподілених ІС, створюються, Тематичною групою з технології Internet»(Internet Engineering Task Force, IETF) та її підрозділом – робочою групою з безпеки. Ядром технічних специфікацій, що розглядаються, служать документи з безпеки на IP-рівні (IPsec). Крім того, аналізується захист на транспортному рівні (Transport Layer Security, TLS), а також на рівні додатків (специфікації GSS-API, Kerberos). Необхідно зазначити, що Інтернет-спільнота приділяє належну увагу адміністративному та процедурному рівням безпеки («Посібник з інформаційної безпеки підприємства», «Як обирати постачальника Інтернет-послуг», «Як реагувати на порушення інформаційної безпеки»).
Мережева безпекавизначається специфікаціями Х.800 Архітектура безпеки для взаємодії відкритих систем», Х.500 « Служба директорій: огляд концепцій, моделей та сервісів» та Х.509 « Служба директорій: каркаси сертифікатів відкритих ключівта атрибутів».
Британський стандарт BS 7799 « Управління інформаційною безпекою. Практичні правила» призначений для керівників організацій та осіб, які відповідають за інформаційну безпеку, без будь-яких істотних змін відтворено у міжнародному стандарті ISO/IEC 17799.
Загальні відомості про стандарти та специфікації в галузі інформаційної безпеки представлені нижче.
«Помаранчева книга»
У «Помаранчевій книзі» закладено понятійний базис ІБ:
– безпечна та довірена системи,
- політика безпеки,
- Рівень гарантованості,
- Підзвітність,
- Довірена обчислювальна база,
- Монітор звернень,
– ядро та периметр безпеки. Стандарт виділяє політику безпеки, як добровільне (дискреційне) та примусове (мандатне) управління доступом, безпеку повторного використання об'єктів.
З концептуальної точки зору найбільш значущий документ у ній – «Інтерпретація “Помаранчевої книги” для мережевих конфігурацій»(Trusted Network Interpretation). Він складається із двох частин. Перша містить інтерпретацію, у другій описуються сервіси безпеки, специфічні чи особливо важливі для мережевих конфігурацій.
Найважливіше поняття, введене у першій частині, – мережна довірена обчислювальна база. Інший важливий аспект - облік динамічності мережевих змін. Серед захисних механізмів виділено криптографія, що допомагає підтримувати як конфіденційність, так і цілісність.
Також стандарт визначає достатню умову коректності фрагментування монітора звернень, що є теоретичною основою декомпозиції розподіленої ІВ в об'єктно-орієнтованому стилі у поєднанні з криптографічним захистом комунікацій.
Гармонізовані критерії Європейських країн
У цих умовах відсутні вимоги до умов, у яких має працювати інформаційна система. Передбачається, що спочатку формулюється мета оцінки, потім орган сертифікації визначає, наскільки повно вона досягається, тобто якою мірою коректні та ефективні архітектура та реалізація механізмів безпеки в конкретній ситуації. Щоб полегшити формулювання цілі оцінки, стандарт містить опис десяти зразкових класів функціональності, типових для урядових та комерційних систем.
У «Гармонізованих умовах» підкреслюється різницю між системами та продуктами інформаційних технологій, але для уніфікації вимог вводиться єдине поняття – об'єкт оцінки.
Важлива вказівка і на різницю між функціями (сервісами) безпеки та механізмами, що їх реалізують, а також виділення двох аспектів гарантованості – ефективності та коректності засобів безпеки.
"Гармонізовані критерії" підготували появу міжнародного стандарту ISO/IEC 15408:1999 "Критерії оцінки безпеки інформаційних технологій" (Evaluation criteria for IT security), в російськомовній літературі, що називається "Спільними критеріями".
На даний момент часу «Загальні критерії» – найповніший та найсучасніший оціночний стандарт. Це стандарт, що визначає інструменти оцінки безпеки ІВ та порядок їх використання; він не містить визначених класів безпеки. Такі класи можна будувати, спираючись на ці вимоги.
«Загальні критерії» містять два основні види вимог безпеки:
Функціональні, що відповідають активному аспекту захисту, що пред'являються до функцій (сервісів) безпеки та механізмів, що їх реалізують;
вимоги довіри, що відповідають пасивному аспекту; вони пред'являються до технології та процесу розробки та експлуатації. Вимоги безпеки формулюються, та їх виконання перевіряється для певного об'єкта оцінки – апаратно-програмного продукту чи інформаційної системи.
Безпека в «Загальних критеріях» розглядається не статично, а відповідно до життєвим цикломоб'єкт оцінки.
«Загальні критерії» сприяють формуванню двох базових видів нормативних документів, що використовуються на практиці, – це профіль захисту та завдання з безпеки.
Профіль захисту є типовим набором вимог, яким повинні задовольняти продукти та/або системи певного класу.
Завдання безпеки містить сукупність вимог до конкретної розробки, їх виконання дозволить вирішити поставлені завдання щодо забезпечення безпеки.
Керівні документи (РД) ФСТЕК Росіїпочали з'являтися дещо пізніше, вже після опублікування «Гармонізованих критеріїв», та, за аналогією з останніми, підтверджують різницю між автоматизованими системами (АС) та продуктами (засобами) обчислювальної техніки, СВТ).
У 1997 р. було прийнято РД з окремого сервісу безпеки – міжмережевим екранам (МЕ). Його основна ідея полягає в класифікації МЕ на підставі потоків даних рівнів еталонної семирівневої моделі, що здійснюють фільтрацію, - отримала міжнародне визнання і продовжує залишатися актуальною.
У 2002 р. Держтехкомісія Росії прийняла як РД російський переклад міжнародного стандарту ISO/IEC 15408:1999 "Критерії оцінки безпеки інформаційних технологій".
Х.800 «Архітектура безпеки для взаємодії відкритих систем»
Серед технічних специфікацій основним документом є
Х.800 "Архітектура безпеки для взаємодії відкритих систем". Тут виділено найважливіші мережеві сервіси безпеки: автентифікація, керування доступом, забезпечення конфіденційності та/або цілісності даних, а також неможливість відмовитися від скоєних дій. Для реалізації сервісів передбачені такі мережеві механізми безпеки та їх комбінації: шифрування, електронна цифровий підпис(ЕЦП), керування доступом, контроль цілісності даних, автентифікація, доповнення трафіку, керування маршрутизацією, нотаризація. Вибрано рівні еталонної семирівневої моделі, на яких можуть бути реалізовані сервіси та механізми безпеки. Детально розглянуті питання адміністрування засобів безпеки для розподілених конфігурацій.
Специфікація Інтернет-спільноти RFC 1510 "Мережевий сервіс автентифікації Kerberos (V5)"
Він відноситься до проблеми аутентифікації в різнорідному розподіленому середовищі за допомогою концепції єдиного входу до мережі. Сервер автентифікації Kerberos є довіреною третьою стороною, що володіє секретними ключами суб'єктів, що обслуговуються, і допомагає їм у попарній перевірці справжності. Клієнтські компоненти Kerberos є у більшості сучасних операційних систем.
Федеральний стандарт США FIPS 140-2 "Вимоги безпеки для криптографічних модулів" (Security Requiremen ts for Cryptographic Modules)
Він виконує організуючу функцію, описуючи зовнішній інтерфейс криптографічного модуля, загальні вимоги до подібних модулів та їхнього оточення. Наявність такого стандарту полегшує розробку сервісів безпеки та профілів захисту для них.
"Узагальнений прикладний програмний інтерфейс служби безпеки"
Криптографія як засіб реалізації сервісів безпеки має дві сторони: алгоритмічну та інтерфейсну. Інтерфейсний аспект поряд із стандартом FIPS 140-2 запропонувало Internet-спільноту у вигляді технічної специфікації «Узагальнений прикладний програмний інтерфейс служби безпеки» (Generic Security Service Application Program Interface, GSS-API).
Інтерфейс безпеки GSS-API призначений для захисту комунікацій між компонентами програмних систем, які побудовані в архітектурі клієнт/сервер. Він створює умови для взаємної аутентифікації партнерів, що спілкуються, контролює цілісність повідомлень, що пересилаються, і служить гарантією їх конфіденційності. Користувачами інтерфейсу безпеки GSS-API є комунікаційні протоколи (зазвичай прикладного рівня) чи інші програмні системи, що самостійно виконують пересилання даних.
Технічні специфікації IPsec
Вони описують повний набір засобів забезпечення конфіденційності та цілісності на мережному рівні. Для домінуючого нині протоколу IP версії 4 вони мають необов'язковий характер; у версії IPv6 їхня реалізація обов'язкова. На основі IPsec будуються захисні механізми протоколів вищого рівня, до прикладного, а також закінчені засоби безпеки, у тому числі віртуальні приватні мережі. IPsec істотно спирається на криптографічні механізми та ключову інфраструктуру.
TLS, засоби безпеки транспортного рівня (Transport Layer Security, TLS)
Специфікація TLS розвиває та уточнює популярний протокол Secure Socket Layer (SSL), який використовується у великій кількості програмних продуктіврізного призначення.
Х.500 «Служба директорій: огляд концепцій, моделей та сервісів»
В інфраструктурному плані дуже важливими є рекомендації Х.500 «Служба директорій: огляд концепцій, моделей та сервісів» (The Directory: Overview of concepts, models and services) та Х.509 «Служба директорій: каркаси сертифікатів відкритих ключів та атрибутів» (The Directory : Public-key and attribute certificate frameworks). У рекомендаціях Х.509 описано формат сертифікатів відкритих ключів та атрибутів – базових елементів інфраструктур відкритих ключів та управління привілеями.
Забезпечення інформаційної безпеки – проблема комплексна, яка потребує узгодженого вжиття заходів на законодавчому, адміністративному, процедурному та програмно-технічному рівнях. При розробці та реалізації базового документа адміністративного рівня (політики безпеки організації) може використовуватись рекомендація Інтернет-спільноти «Посібник з інформаційної безпеки підприємства» (Site Security Handbook). У ньому висвітлюються практичні аспекти формування політики та процедур безпеки, пояснюються основні поняття адміністративного та процедурного рівнів, міститься мотивування рекомендованих дій, порушуються теми аналізу ризиків, реакції на порушення інформаційної безпеки та дій після ліквідації порушення. Докладніше останні питання розглянуто у рекомендації «Як реагувати на порушення інформаційної безпеки» (Expectations for Computer Security Incident Response). У цьому документі можна знайти і посилання на інформаційні ресурси та практичні порадипроцедурного рівня
При розвитку та реорганізації корпоративних інформаційних систем виявиться корисною рекомендація "Як обирати постачальника Internet-послуг" (Site Security Handbook Addendum for ISPs). Насамперед її положень необхідно дотримуватись у ході формування організаційної та архітектурної безпеки, на якій базуються інші заходи процедурного та програмно-технічного рівнів.
Британський стандарт BS 7799 «Керування інформаційною безпекою. Практичні правила»
Для практичного створення та підтримки режиму інформаційної безпеки за допомогою регуляторів адміністративного та процедурного рівнів необхідно використовувати британський стандарт BS 7799 «Управління інформаційною безпекою. Практичні правила» (Code of practice for information security management) та його друга частина BS 7799-2:2002 «Системи управління інформаційною безпекою – специфікація з посібником з використання» (Information security management systems – Specification with guidance for use). У ньому пояснюються такі поняття та процедури, як політика безпеки, загальні принципиорганізації захисту, класифікація ресурсів та управління ними, безпека персоналу, фізична безпека, принципи адміністрування систем та мереж, управління доступом, розробка та супровід ІВ, планування безперебійної роботи організації.
Цей текст є ознайомлювальним фрагментом.ISO/IEC 27001- міжнародний стандарт з інформаційної безпеки, розроблений спільно Міжнародною організацією зі стандартизації та Міжнародною електротехнічною комісією. Стандарт містить вимоги щодо інформаційної безпеки для створення, розвитку та підтримки Системи менеджменту інформаційної безпеки (ЗМІБ).
Призначення стандарту.У стандарті ISO/IEC 27001 (ISO 27001) зібрані описи найкращих світових практик у галузі управління інформаційною безпекою. ISO 27001 встановлює вимоги до системи управління інформаційної безпеки для демонстрації можливості організації захищати свої інформаційні ресурси. Цей стандарт підготовлений як модель для розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та покращення Системи Менеджменту Інформаційної Безпеки (ЗМІБ).
Мета ЗМІБ- вибір відповідних заходів управління безпекою, призначених для захисту інформаційних активів та гарантуючих довіру зацікавлених сторін.
Основні поняття.Інформаційна безпека - збереження конфіденційності, цілісності та доступності інформації; крім того, можуть бути включені інші властивості, такі як справжність, неможливість відмови від авторства, достовірність.
Конфіденційність – забезпечення доступності інформації лише для тих, хто має відповідні повноваження (авторизовані користувачі).
Цілісність - забезпечення точності та повноти інформації, а також методів її обробки.
Доступність - забезпечення доступу до інформації авторизованим користувачам, коли це необхідно (на вимогу).
Стандарт ISO 27001 забезпечує:
· визначення цілей та уявлення про напрям та принципи діяльності щодо інформаційної безпеки;
· Визначення підходів до оцінки та управління ризиками в організації;
· управління інформаційною безпекою відповідно до застосовного законодавства та нормативних вимог;
· використання єдиного підходу при створенні, впровадженні, експлуатації, моніторингу, аналізі, підтримці та вдосконаленні системи менеджменту для того, щоб цілі в галузі інформаційної безпеки були досягнуті;
· Визначення процесів системи менеджменту інформаційної безпеки;
· Визначення статусу заходів щодо забезпечення інформаційної безпеки;
· Використання внутрішніх та зовнішніх аудитів для визначення ступеня відповідності системи менеджменту інформаційної безпеки вимогам стандарту;
· Надання адекватної інформації партнерам та іншим заінтересованим сторонам про політику інформаційної безпеки.
Принципи правового регулювання відносин у сфері інформації, інформаційних технологій та захисту інформації за змістом ФЗ РФ від 27 липня 2006 р. № 149-ФЗ «Про інформацію, інформаційні технології та про захист інформації».
Правове регулювання відносин, що виникають у сфері інформації, інформаційних технологій та захисту інформації, ґрунтується на наступних принципах:
1) свобода пошуку, отримання, передачі, виробництва та розповсюдження інформації будь-яким законним способом;
2) встановлення обмежень доступу до інформації лише федеральними законами;
3) відкритість інформації про діяльність державних органів та органів місцевого самоврядування та вільний доступ до такої інформації, крім випадків, встановлених федеральними законами;
4) рівноправність мов народів Російської Федерації при створенні інформаційних систем та їх експлуатації;
5) забезпечення безпеки Російської Федерації при створенні інформаційних систем, їх експлуатації та захисті міститься в них інформації;
6) достовірність інформації та своєчасність її надання;
7) недоторканність приватного життя, неприпустимість збору, зберігання, використання та розповсюдження інформації про приватне життя особи без її згоди;
8) неприпустимість встановлення нормативними правовими актами будь-яких переваг застосування одних інформаційних технологій перед іншими, якщо обов'язковість застосування певних інформаційних технологій до створення та експлуатації державних інформаційних систем не встановлено федеральними законами.
Стратегія національної безпеки Російської Федерації до 2020р.». Структура, завдання, методи та шляхи реалізації державою своїх функцій щодо забезпечення інформаційної безпеки в «Доктрині інформаційної безпеки Російської Федерації».
Стратегія національної безпеки Російської Федерації до 2020 року - офіційно визнана система стратегічних пріоритетів, цілей та заходів у сфері внутрішньої та зовнішньої політики, що визначають стан національної безпеки та рівень сталого розвитку держави на довгострокову перспективу.
Доктрина інформаційної безпеки Російської Федерації - сукупність офіційних поглядів на цілі, завдання, принципи та основні напрямки забезпечення інформаційної безпеки Російської Федерації.
Складові національних інтересів Російської Федерації інформаційній сферіу доктрині:
1) Обов'язкове дотримання конституційних права і свободи людини у сфері отримання інформації та користування нею.
2) Інформаційне забезпечення державної політики РФ (доведення до громадян РФ та міжнародної громадськості про державну політику РФ, офіційної позиції щодо значних подій у Росії та у світі) з доступом громадян до відкритих державних ресурсів.
3) Розвиток сучасних ІТ вітчизняної промисловості (засобів інформатизації, телекомунікації та зв'язку). Забезпечення ІТ внутрішнього ринку Росії та вихід на світові ринки.
4) Захист інформаційних ресурсіввід несанкціонованого доступу, забезпечення безпеки інформаційних та телекомунікаційних систем.
Види загроз інформаційної безпеки РФ у доктрині:
1. Загрози, створені задля конституційні правничий та свободи людини у сфері інформаційної діяльності.
2. Загрози інформаційному забезпеченню державної політики РФ.
3. Загроза розвитку сучасних ІТ вітчизняної промисловості, і навіть виходу внутрішній і світовий ринок.
4. Загрози безпеки інформаційних та телекомунікаційних засобів та систем.
Методи забезпечення інформаційної безпеки РФ у доктрині:
Правові методи
Розробка нормативних правових актів, що регламентують відносини у сфері IT
Організаційно-технічні методи
Створення системи інформаційної безпеки РФ та її вдосконалення
Притягнення осіб до відповідальності, які вчинили злочини у цій сфері
Створення систем та засобів для запобігання несанкціонованому доступу до оброблюваної інформації
Економічні методи
Розробка програм забезпечення інформаційної безпеки та їх фінансування
Фінансування робіт, пов'язаних із забезпеченням інформаційної безпеки РФ
Втішно, що ринок розуміє важливість та необхідність ІБ, та його увага до питань ІБ невпинно зростає.
Щоб пояснити цю тенденцію, далеко ходити не треба: на слуху гучні компрометації інформаційних систем, які приносять суттєві фінансові та репутаційні втрати. У ряді випадків вони стали зовсім незворотними для конкретного бізнесу. Таким чином, безпека власної інформації для організації стає не тільки запорукою її безперебійної роботи, але й критерієм надійності для її партнерів та клієнтів.
Ринок грає за єдиними правилами, а критерії для вимірювання рівня поточної захищеності та ефективності процесів управління ІБ є єдиними для всіх його гравців. У ролі виступають стандарти, які мають допомогти компанії створити необхідний рівень захисту інформації. До найпопулярніших у банківській сфері Росії можна віднести стандарт ISO/IEC 27000, стандарт Банку Росії із забезпечення інформаційної безпеки організацій банківської системи та стандарт безпеки даних інфраструктури платіжних карток PCI DSS.
Міжнародна Організація зі Стандартизації (ISO) та Міжнародна Електротехнічна Комісія (IEC) розробили та опублікували стандарти серії ISO/IEC 27000. Вони містять рекомендації щодо побудови системи управління інформаційною безпекою. Акредитовані компанії-аудитори мають право здійснювати сертифікацію за стандартами, керуючись закладеними у них вимогами.
Відсутність суворого вимоги до виконання Стандарту учасників російського ринку виливається у те, що його поширеність досить низька. Наприклад, в одній лише Японії кількість компаній, що вдало пройшли аудит щодо виконання вимоги міжнародного стандарту, більша за аналогічний показник для Росії та країн СНД майже в 200 разів.
При цьому не можна не відзначити, що в цей розрахунок не потрапляють компанії, які за фактом виконують вимоги Стандарту, але не пройшли формальної сертифікації. Іншими словами, на території Росії та країн СНД є безліч компаній, які вирішили вибудувати процеси управління та підтримки рівня ІБ не заради «галочки» у вигляді сертифікату відповідності, а для реальної користі. Справа в тому, що часто стандарти серії 27000 є першим кроком у розвитку систем ІБ. А їх використання як орієнтир - той базис, який передбачає подальше будівництво та розвиток ефективної системи менеджменту ІБ.
ІББС СТО БР - досить близький ISO/IEC 27001 стандарт, створений Банком Росії для організацій банківської сфери, покликаний забезпечити прийнятний рівень поточного рівня інформаційної безпеки та управління безпекою банків. Основними цілями під час створення було заявлено - підвищення рівня довіри до банківської сфери, забезпечення захисту від загроз безпеки та зниження рівня збитків від інцидентів ІБ. Стандарт є рекомендаційним і до версії 2010 особливої популярністю не користувався.
Активне впровадження ІББС СТО БР почалося з виходу версії стандарту, що включає вимоги щодо забезпечення безпеки персональних даних, і подальшого за цим інформаційного листа, що визначає прийняття до виконання вимог стандарту альтернативним шляхом виконання законодавства в галузі забезпечення безпеки персональних даних. на теперішній моментза неофіційною статистикою близько 70% банків прийняли стандарт Банку Росії як обов'язковий до виконання.
Стандарт ІББС БР є комплектом документів, що досить динамічно розвивається, з адекватними сучасним загрозам вимогами до забезпечення та управління інформаційної безпеки. Використання його в Банках вже стає фактично необхідним, незважаючи на офіційний рекомендаційний статус, для організацій нефінансової сфери документи комплексу ІХБС можуть послужити набором хороших практику забезпеченні безпеки інформації.
Нарешті, ще один вкрай важливий для фінансових організацій стандарт – Payment Card Industry Data Security Standard (PCI DSS, Стандарт безпеки даних індустрії платіжних карток). Він був створений з ініціативи п'яти найбільших світових платіжних систем - Visa, MasterCard, JCB, American Express та Discover, які організували Раду з безпеки індустрії платіжних карток (PCI SSC). Обслуговування платіжних карток повинно здійснюватися за єдиними правилами та відповідати певному рівню ІБ. Очевидно, що безпека є ключовим фактором при використанні технологій, пов'язаних з грошовими коштами. Тому захист даних платіжних карток - це пріоритетне завдання будь-якої платіжної системи.
Ключова відмінність стандарту PCI DSS від перерахованих вище – його обов'язкове застосування для всіх організацій, що обробляють платіжні картки. При цьому вимоги до оцінки відповідності досить гнучкі - вони залежать від кількості транзакцій, що обробляються: від самостійної оцінки до проходження сертифікаційного аудиту. Останній проводиться компанією, яка має статус PCI QSA.
Ключовою особливістю появи стандарту PCI DSS було визначення крайніх термінів приведення до відповідності. Це призвело до того, що більшість великих гравців індустрії платіжних карток проробили роботу з виконання вимог. В результаті це відбилося на загальному рівні захищеності як окремих учасників, так і всієї індустрії безготівкової оплати.
Хоча поява стандарту і була ініціативою найбільших гравців в індустрії платіжних систем, він може знайти своє застосування і стати орієнтиром для організацій, з цією індустрією не пов'язаних. Головна перевага його використання - постійні оновлення та, як наслідок, актуальні заходи та рекомендації щодо зниження загроз ІБ.
Застосування стандартів та відповідність їх вимогам, безперечно, є гарною практикою та великим кроком уперед при вибудовуванні системи інформаційної безпеки. Але, на жаль, є приклади, як сам факт відповідності не гарантує високий рівень захищеності. Дія сертифіката поширюється на певний періодколи процедури, зроблені виключно для формальної відповідності, перестають працювати. Таким чином, може вийти, що стан системи ІБ в організації на момент проведення аудиту не відповідає оцінці, зробленій через півроку.
До того ж, при аналізі можливих ризиків не можна виключати людський фактор, що може означати помилку самих аудиторів у визначенні області перевірки, складу компонентів, що перевіряються, і загальних висновках.
Насамкінець хотілося б відзначити, що відповідність стандартам не скасовує постійний процес забезпечення безпеки критичної інформації. Ідеальної безпеки не буває, але використання різних інструментів дозволяє досягти максимального рівня ІБ. Стандарти ІБ є саме таким інструментом.
Оцінити:
0 4
Однією з найважливіших проблем та потреб сучасного суспільства є захист прав людини в умовах залучення його до процесів інформаційної взаємодіїу тому числі, право на захист особистої (персональної) інформації у процесах автоматизованої обробки інформації.
І. Н. Маланич, студент 6 курсу ВДУ
Інститут захисту персональних даних сьогодні вже не є тією категорією, яку можна регулювати лише національним правом. Найважливішою особливістю сучасних автоматизованих інформаційних систем є «наднаціональність» багатьох із них, «вихід» їх за межі держав, розвиток загальнодоступних світових. інформаційних мереж, таких, як Інтернет, формування єдиного інформаційного просторуу межах таких міжнародних структур.
Сьогодні в Російській Федерації існує проблема не лише запровадження у правове поле інституту захисту персональних даних у рамках автоматизованих інформаційних процесів, а й співвідношення її з існуючими міжнародно-правовими стандартами у цій галузі.
Можна виділити три основні тенденції міжнародно-правового регулювання інституту захисту персональних даних, що належать до процесів автоматизованої обробки інформації.
1) Декларування права на захист персональних даних як невід'ємної частини фундаментальних прав людини в актах загальногуманітарного характеру, що приймаються в рамках міжнародних організацій.
2) Закріплення та регулювання права за захист персональної інформації в актах регулятивного характеру Європейського Союзу, Ради Європи, частково Співдружності Незалежних Держав та деяких регіональних міжнародних організацій. Цей клас норм – найбільш універсальний і безпосередньо стосується прав захисту персональних даних у процесах автоматизованої обробки інформації.
3) Включення норм про охорону конфіденційної інформації (у тому числі й персональної) до міжнародних договорів.
Перший спосіб - історично з'явився раніше за інших. У сучасному світіінформаційні права та свободи є невід'ємною частиною фундаментальних прав людини.
Загальна декларація прав людини 1948 р. проголошує: «Ніхто не може піддаватися довільному втручанню в особисте та сімейне життя, довільним посяганням на … таємницю його кореспонденції» і далі: «Кожна людина має право на захист закону від такого втручання або таких посягань». Міжнародний пакт про громадянські та політичні права 1966 р. у цій частині повторює декларацію. Європейська Конвенція 1950 р. деталізує це право: «Кожна людина має право на свободу вираження поглядів. Це право включає свободу дотримуватися своєї думки, отримувати та поширювати інформацію та ідеї без втручання з боку державних органів та незалежно від державних кордонів».
Зазначені міжнародні документи закріплюють інформаційні права.
Нині міжнародному рівні сформувалася стійка система поглядів на інформаційні права людини. У узагальненому плані це - декларація про отримання інформації, декларація про приватне життя з погляду охорони інформації про неї, декларація про захист інформації як із погляду безпеки держави, і з погляду безпеки бізнесу, включаючи фінансову діяльність.
Другий спосіб - більш детального регулювання права на захист персональної інформації пов'язаний з дедалі більшою в останні роки інтенсивністю обробки персональної інформації за допомогою автоматизованих комп'ютерних інформаційних систем. В останні десятиліття в рамках низки міжнародних організацій було прийнято низку міжнародних документів, що розвивають основні інформаційні права у зв'язку з інтенсифікацією транскордонного обміну інформацією та використанням сучасних інформаційних технологій. Серед таких документів можна назвати такі:
Рада Європи у 1980 р. розробила Європейську конвенцію про захист фізичних осібу питаннях, що стосуються автоматичної обробки особистих даних, що набула чинності 1985 р. У Конвенції визначається порядок збору та обробки даних про особу, принципи зберігання та доступу до цих даних, способи фізичного захисту даних. Конвенція гарантує дотримання прав людини при зборі та обробці персональних даних, принципи зберігання та доступу до цих даних, способи фізичного захисту даних, а також забороняє обробку даних про расу, політичні погляди, здоров'я, релігію без відповідних юридичних підстав. Росія приєдналася до Європейської Конвенції у листопаді 2001 року.
У Європейському Союзі питання захисту персональних даних регулюються комплексом документів. У 1979 р. було прийнято Резолюцію Європарламенту «Про захист прав особи у зв'язку з прогресом інформатизації». Резолюція запропонувала Раді та Комісії Європейських Співтовариств розробити та прийняти правові акти щодо захисту даних про особу у зв'язку з технічним прогресом у галузі інформатики. У 1980 році прийнято Рекомендації Організації щодо співробітництва країн-членів Європейського Союзу «Про керівні напрямки захисту приватного життя при міждержавному обміні даними персонального характеру». Наразі питання захисту персональних даних детально регламентуються директивами Європарламенту та Ради Європейського Союзу. Це Директиви № 95/46/EC та № 2002/58/EC Європейського парламенту та Ради Європейського Союзу від 24 жовтня 1995 року «Про захист прав приватних осіб стосовно обробки персональних даних та про вільний рух таких даних», Директива № 97/66 /EC Європейського Парламенту та Ради Європейського Союзу від 15 грудня 1997 року щодо використання персональних даних та захисту недоторканності приватного життя у сфері телекомунікацій та інші документи.
Акти Європейського Союзу характеризуються детальним опрацюванням принципів та критеріїв автоматизованої обробки даних, прав та обов'язків суб'єктів та власників персональних даних, питань їх транскордонної передачі, а також відповідальності та санкцій за завдання шкоди. Відповідно до Директиви № 95/46/EC у Європейському Союзі створено Робоча групащодо захисту індивідуумів щодо обробки їх персональних даних. Вона має статус консультативного органу та діє як незалежна структура. Робоча група складається з представника органу, створеного кожною державою-учасницею з метою нагляду за дотриманням на своїй території положень Директиви, представника органу або органів, заснованих для інститутів та структур Співтовариства, та представника Єврокомісії.
В рамках Організації з економічного співробітництва та розвитку (ОЕСР) діють «Основні положення щодо захисту недоторканності приватного життя та міжнародних обмінів персональними даними», яка була прийнята 23 вересня 1980 року. У преамбулі цієї Директиви йдеться: «…Країни - члени ОЕСР вважали за необхідне розробити Основні положення, які могли б допомогти уніфікувати національні закони про недоторканність приватного життя та, забезпечуючи дотримання відповідних прав людини, натомість не допустили б блокування міжнародних обмінів даними…». Ці положення застосовуються як у державному, так і в приватному секторі до персональних даних, які або у зв'язку з процедурою їх обробки, або у зв'язку з їх характером або контекстом їх використання несуть загрозу порушення недоторканності приватного життя та індивідуальних свобод. У ній визначено необхідність забезпечення персональних даних належними механізмами захисту від ризиків, пов'язаних з їхньою втратою, знищенням, зміною чи розголошенням, несанкціонованим доступом. Росія, на жаль, у цій організації не бере участі.
Міжпарламентською асамблеєю країн – учасниць СНД 16 жовтня 1999р. прийнято Модельний Закон «Про персональні дані».
За законом «Персональні дані» - інформація (зафіксована на матеріальному носії) про конкретну людину, яка ототожнена або може бути ототожнена з нею. До персональних даних відносяться біографічні та розпізнавальні дані, особисті характеристики, відомості про сімейний, соціальний стан, освіту, професію, службове та фінансове становище, стан здоров'я та інші. У законі також перераховані принципи правового регулювання персональних даних, форми державного регулювання операцій із персональними даними, правничий та обов'язки суб'єктів і власників персональних даних.
Звісно ж, що розглянутий другий спосіб нормативного регулювання захисту персональних даних міжнародних правових актів є найцікавішим для аналізу. Норми цього класу не тільки безпосередньо регулюють суспільні відносини в цій галузі, але й сприяють приведенню законодавства країн-членів до міжнародних стандартів, забезпечуючи тим самим дієвість цих норм на їх території. Таким чином, забезпечується і гарантованість закріплених у Загальній декларації прав людини інформаційних прав у сенсі декларованого у статті 12 останньої «права на захист закону від втручання або посягань».
Третій спосіб закріплення норм захисту персональних даних - закріплення їх правової охорони у міжнародних договорах.
Статті про обмін інформацією включаються до міжнародних договорів про правову допомогу, про уникнення подвійного оподаткування, про співробітництво у певній громадській, культурній сфері.
За ст. 25 Договору між Російською Федерацією та США про уникнення подвійного оподаткування та запобігання ухилення від оподаткування щодо податків на доходи та капітал, держави зобов'язані надавати інформацію, що становить професійну таємницю. Договір між Російською Федерацією та Республікою Індією про взаємну правову допомогу у кримінальних справах містить статтю 15 «Конфіденційність»: запитувана сторона може вимагати збереження конфіденційності переданої інформації. Практика укладання міжнародних договорів показує прагнення Договірних Держав дотримуватись міжнародних стандартів захисту персональних даних.
Звісно ж, найефективнішим механізмом регулювання цього інституту на міжнародно-правовому рівні є видання спеціальних регулятивних документів у межах міжнародних організацій. Цей механізм не тільки сприяє відповідному внутрішньому регулюванню порушених на початку статті актуальних проблем захисту персональної інформації всередині цих організацій, а й благотворно впливає на національне законодавство країн-учасниць.
Розглянемо найбільш відомі міжнародні стандарти у сфері інформаційної безпеки.
Стандарт ISO 17799 "Практичні правила управління інформаційною безпекою" розглядає наступні аспекти ІБ:
Основні поняття та визначення;
Політика інформаційної безпеки;
Організаційні питання безпеки;
Класифікація та управління активами;
питання безпеки, пов'язані з персоналом;
Фізичний захист та захист від впливів довкілля;
Управління передачею даних та операційною діяльністю;
Контроль доступу;
Розробка та обслуговування систем;
Управління безперервністю бізнесу;
Внутрішній аудит ІБ;
Відповідність вимогам законодавства.
Важливе місце у системі стандартів займає стандарт ISO 15408"Загальні критерії безпеки інформаційних технологій", відомий як "Common Criteria". В «Загальних критеріях» проведено класифікацію широкого набору вимог безпеки інформаційних технологій, визначено структури їхнього групування та принципи використання.
Важливою складовою системи стандартів є інфраструктура відкритих ключів PKI (Public Key Infrastructure). Ця інфраструктура передбачає розгортання мережі центрів сертифікації ключів та використання цифрових сертифікатів, які відповідають рекомендаціям X.509.
Російські стандарти з інформаційної безпеки
ГОСТ Р 50739-95. Кошти обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Загальні вимоги. Держстандарт Росії
ГОСТ Р 50922-2006. Захист інформації. Основні терміни та визначення. Держстандарт Росії
ГОСТ Р 51188-98. Захист інформації. Випробування програмних засобівна наявність комп'ютерних вірусів. Типове керівництво. Держстандарт Росії
ГОСТ Р 51275-2006. Захист інформації. Об'єкт інформатизації. Чинники, що впливають на інформацію. загальні положення. Держстандарт Росії
ГОСТ Р 51583-2000. Захист інформації. Порядок створення автоматизованих систем у захищеному виконанні. загальні положення
ГОСТ Р 51624-2000. Захист інформації. Автоматизовані системи у захищеному виконанні. Загальні вимоги
ГОСТ Р 52069-2003. Захист інформації. Система стандартів. Основні положення
ГОСТ Р 53131-2008 (ІСО/МЕК ТО 24762-2008). Захист інформації. Рекомендації щодо відновлення після надзвичайних ситуацій функцій та механізмів безпеки інформаційних та телекомунікаційних технологій. загальні положення
ГОСТ Р ІСО 7498-1-99. Інформаційна технологія. Взаємозв'язок відкритих систем. Базова стандартна модель. Частина 1. Базова модель. Держстандарт Росії
ГОСТ Р ІСО 7498-2-99. Інформаційна технологія. Взаємозв'язок відкритих систем. Базова стандартна модель. Частина 2. Архітектура захисту. Держстандарт Росії
ГОСТ Р ІСО/МЕК 13335-1-2006. Інформаційна технологія. Методи та засоби забезпечення безпеки. Частина 1. Концепція та моделі менеджменту безпеки інформаційних та телекомунікаційних технологій
ГОСТ Р ІСО/МЕК ТО 13335-3-2007. Інформаційна технологія. Методи та засоби забезпечення безпеки. Частина 3. Методи менеджменту безпеки інформаційних технологій
ГОСТ Р ІСО/МЕК ТО 13335-4-2007. Інформаційна технологія. Методи та засоби забезпечення безпеки. Частина 4. Вибір захисних заходів
ГОСТ Р ІСО/МЕК ТО 13335-5-2007. Інформаційна технологія. Методи та засоби забезпечення безпеки. Частина 5. Посібник з менеджменту безпеки мережі
ГОСТ Р ІСО/МЕК 15408 -1-2008. Методи та засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 1. Введення та загальна модель. Держстандарт Росії
ГОСТ Р ІСО/МЕК 15408-2-2008. Методи та засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 2. Функціональні вимоги до безпеки. Держстандарт Росії
ГОСТ Р ІСО/МЕК 15408-3-2008. Методи та засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 3. Вимоги довіри до безпеки. Держстандарт Росії
ГОСТ Р ІСО/МЕК ТО 15443-1-2011. Інформаційна технологія. Методи та засоби забезпечення безпеки. Основи довіри до безпеки ІТ. Частина 1. Огляд та основи
ГОСТ Р ІСО/МЕК ТО 15443-2-2011. Інформаційна технологія. Методи та засоби забезпечення безпеки. Основи довіри до безпеки ІТ. Частина 2. Методи довіри
ГОСТ Р ІСО/МЕК ТО 15443-3-2011. Інформаційна технологія. Методи та засоби забезпечення безпеки. Основи довіри до безпеки ІТ. Частина 3. Аналіз методів довіри
ГОСТ Р ІСО/МЕК 17799- 2005. Інформаційна розробка. Методи та засоби забезпечення безпеки. Практичні правила керування інформаційною безпекою
ГОСТ Р ІСО/МЕК 18028-1-2008. Інформаційна технологія. Методи та засоби забезпечення безпеки. Мережева безпека інформаційних технологій. Менеджмент мережної безпеки
ГОСТ Р ІСО/МЕК ТО 19791-2008. Інформаційна технологія. Методи та засоби забезпечення безпеки. Оцінка безпеки автоматизованих систем
ГОСТ Р ІСО/МЕК 27001- 2006. Методи та засоби забезпечення безпеки. Системи менеджменту інформаційної безпеки. Вимоги
ГОСТ Р ІСО/МЕК 27004-2011. Інформаційна технологія. Методи та засоби забезпечення безпеки. Менеджмент інформаційної безпеки. Вимірювання
ГОСТ Р ІСО/МЕК 27005-2009. Інформаційна технологія. Методи та засоби забезпечення безпеки. Менеджмент ризику інформаційної безпеки
ГОСТ Р ІСО/МЕК 27033-1-2011. Інформаційна технологія. Методи та засоби забезпечення безпеки. Безпека мереж. Частина 1. Огляд та концепції
ГОСТ 28147 -89 Системи обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення.
ГОСТ Р 34.10 -2001 р. Інформаційна технологія. Криптографічний захистінформації. Процеси формування та перевірки електронної цифровий підпис.
ГОСТ Р 34.11 -94 Інформаційна розробка. Криптографічний захист інформації. Функції хешування.
Дуже важливим є сімейство міжнародних стандартів управління інформаційною безпекою серії ISO 27000 (які з деякою затримкою приймаються і як російські державні стандарти). Окремо відзначимо ГОСТ/ІSO 27001 (Системи управління інформаційною безпекою), ГОСТ/ISO 27002 (17799) (Практичні правила управління інформаційною безпекою)
Технології міжмережевих екранів
Міжмережевий екран(МЕ) - комплекс апаратних або програмних засобів, що здійснює контроль і фільтрацію мережевих пакетів, що проходять через нього, відповідно до заданих правил. МЕ також називають брандмауер(Нім. Brandmauer) або файрвол(англ. firewall). МЕ дозволяє розділити загальну мережу на 2 частини та реалізувати набір правил, що визначає умови проходження пакетів з даними через екран з однієї частини мережі до іншої. Зазвичай МЕ встановлюється між корпоративною (локальною) мережею та мережею Інтернет, захищаючи внутрішню мережу підприємства від атак із глобальної мережі, але може захищати та локальну мережувід загроз із корпоративної мережі.
Основним завданням мережевого екрана є захист комп'ютерних мереж чи окремих вузлів від несанкціонованого доступу. Мережеві екрани часто називають фільтрами, оскільки їхнє основне завдання - не пропускати (фільтрувати) пакети, які не підходять під критерії, визначені в конфігурації.
