Обеспечение поддержки доверия к безопасности изделия ИТ при эксплуатации

date image 2018-01-21
views image 766
Поделись с друзьями: 
11121314151617

Большим недостатком существующей системы сертификации является формальная необходимость «пересертификации» изделия при внесении в него изменений. Вместе с тем такие изменения могут вноситься достаточно часто, в зависимости от предназначения изделия.

В Положении приведена принципиально новая процедура подтверждения результатов оценки при изменениях в сертифицированной версии изделия. Подтверждение при изменениях может быть осуществлено двумя путями:

• посредством оценки новой версии изделия ИТ;

• посредством реализации процедур поддержки доверия без­опасности к изделию ИТ, определенных в требованиях поддерж­ки доверия в «Критериях...».

Выбор разработчиком стратегии поддержки зависит от него самого. В последнем случае в ЗБ должны быть внесены соответ­ствующие требования поддержки доверия к безопасности из «Критериев...».

От разработчика требуется наличие двух документов:

• план поддержки доверия, определяющий процедуры, кото­
рые должен выполнять разработчик;

» отчет о категорировании компонентов изделия ИТ по их от­ношению к безопасности.

Содержание этих документов описано в Положении.

В плане указываются контрольные точки, когда разработчик должен выдавать владельцу изделия ИТ свидетельство поддержа­ния доверия. К документации поддержки доверия также относятся:

• список конфигурации изделия ИТ;

• список идентифицированных уязвимостей в изделии ИТ;

• свидетельство следования процедурам поддержки доверия,
определенным в плане ПД.

Указывается также график проведения аудита поддержки дове­рия. Этот аудит выполняет испытательная лаборатория, необяза­тельно та же, что проводила сертификацию.

В цикле поддержки доверия должны предусматриваться четы­ре типа процедур:» управление конфигурацией;

»поддержка свидетельств, в которых отражены вопросы функционального тестирования;

•анализ влияния изменений в изделии ИТ на безопасность

•устранение недостатков безопасности.

Подтверждение соответствия изделий ИТ требованиям безопасности информации

Порядок подтверждения соответствия приведен в разд. 8 Поло­жения. Начинается этот раздел с требования обязательной сертифи­кации изделий ИТ, предназначенных для обработки информации с ограниченным доступом. Таким образом, впервые не делается различия между, например, служебной информацией государственных органов власти и коммерческой информацией частных фирм.

Заявителем может быть разработчик или другое заинтересованное лицо, которое обязано в этом случае оформить договорные отношения с разработчиком.

Работы, выполняемые при сертификации:

♦подготовка к оценке изделия ИТ (работы разработчика предварительное рассмотрение ЗБ лабораторией);

♦оценка изделия ИТ (выполняет испытательная лаборатория);

♦подтверждение соответствия изделия ИТ требованиям по безопасности информации (независимая экспертиза результатов работы лаборатории органом по сертификации).

Перечень документов, представляемых разработчиком для проведения сертификации, приведен в Приложении. Этот список впечатляет. Требуется представлять не только конечные материалы, но и материалы эскизного, технического и рабочего проекта. Всего имеется 27 категорий документов, разработка которых'1 потребует от разработчика значительных усилий.

Несколько изменен порядок проведения сертификации. Вначале разработчик обращается в испытательную лабораторию, которая должна выполнить предварительное рассмотрение ЗБ (но пока еще не его оценку!). При положительном результате рассмотрения лаборатория разрабатывает программу проведения оценки и календарный план проведения оценки. Разработчик представляет в орган по сертификации заявку, ЗБ и разработанные лабораторией документы.

Оценка безопасности изделия ИТ включает оценку ЗБ на соответствие «Критериям...» и оценку изделия на соответствие требо­ваниям безопасности информации на основании «Методологии...». \ Инструментальные средства оценки должны быть сертифицированы. Орган по сертификации выполняет независимую экспер­тизу результатов, приведенных в техническом отчете лаборато­рии, утверждает их и выдает сертификат. В случае проведения

Сертификации изделия, находящегося на поддержке доверия к безопасности, в орган по сертификации подастся заявка с приложением отчета поддержки доверия, разработанного испытательной Лабораторией, включающего оценку анализа разработчиком влиянии изменений на безопасность и результаты своих аудитов ПД.

Поставка и ввод в действие. Эксплуатация изделия

Данные процедуры могут быть описаны в отдельном документе или включены в ЭД. Инструментальные средства контроля за идентичностью изделия при поставке должны быть сертифицированы.

За безопасность изделия при его доставке к месту эксплуата­ции отвечает разработчик.

Конкретные требования к поставке и вводу в эксплуатацию будут указаны в «Критериях...» в зависимости от ОУД.

Па этапе эксплуатации должна разрабатываться «Программа Обеспечения безопасности при эксплуатации изделия ИТ», также должна иметься организационно-распорядительная документация ПО обеспечению доверенной среды изделия ИТ, содержащая опись и всех мер, необходимых для обеспечения безопасности изделий ИТ. Должны, быть предусмотрены процедуры для пересмотра и аудита мер обеспечения безопасности доверенной среды изделий ИТ.

В требованиях по снятию изделия с эксплуатации нет ничего специфичного. Обращает на себя внимание лишь уточнение терминологии: под стиранием понимается удаление данных, делающее невозможным их восстановление с применением обычных методов, под уничтожением — с применением лабораторных, методов.

 

2.6. Этапы разработки КСЗИ

По мнению ведущих специалистов в области защиты информации, в настоящее время можно выделить три различных концептуальных подхода к проектированию систем защиты:

1. «Продуктовый». Данный подход характерен для компаний-производителей средств защиты информации, занимающихся, кроме того, и разработкой законченных проектов в области безопасности. Понятно желание такой компании построить КСЗИ «округ производимого ею продукта или линейки продуктов. При этом эффективность КСЗИ зачастую страдает. Однако это вовсе не означает, что такой компании нельзя поручать реализацию проекта: вряд ли кто-то знает особенности продукта лучше его разработчиков. Просто в этом случае желателен контроль за проектированием со стороны либо своих высококлассных специалистов, либо специалистов привлекаемых консалтинговых фирм.
2. «.Комплекс продуктов». Данный подход используют компании-поставщики решений в области защиты информации. Понимая отсутствие единого продукта, защищающего от всех угроз компания предлагает комплексное решение проблемы. Это решение состоит из комбинации продуктов разных производителей каждый из которых предназначен для решения какой-либо задачи. Например, для защиты дисков компьютера от НСД применяются электронные замки, для зашиты каналов связи — VPN. «Опасность» такого подхода заключается в искушении для разработчика пойти по пути наименьшего сопротивления и реализовывать защиту, отталкиваясь от наличия и знания СЗИ. При этом возможна значительная избыточность реализованных механизмовбезопасности и закупленных СЗИ, отсутствует целостное решение проблемы. По-видимому, этот подход наиболее привлекателен для небольших компаний, которые не могут позволить себепокупать дорогие услуги компаний-интеграторов.

3, «Комплексный». При двух ранее рассмотренных подходах окончательное решение о построении КСЗИ принимает заказчик, который в общем случае не является экспертом в области информационной безопасности, поэтому и вся ответственность за принятые решения лежит на нем. Иногда, хотя и достаточно редко, встречается и третий подход, когда ответственность за принимаемые решения по защите информации возлагает на себя компания-интегратор. При этом она реализует единую комплексную политику, как техническую, так и организационную, проводя ее на всех уровнях организации-заказчика.

Перед выработкой замысла на построение КСЗИ интегратор: выполняет всестороннее обследование предприятия заказчика. Это обследование выполняется в трех плоскостях: бизнес-процессы; технические средства и С ВТ, программные средства. Определяются основные информационные потоки, технология обработки информации, наличие и качество имеющихся средств обеспечения безопасности, опыт и знания персонала по работе с теми или
иными программными продуктами.

На основе полученных данных формируется замысел по защите информации, состоящий из комплекса организационных, технических и программно-аппаратных мер защиты. Затем уже обосновывается применение тех или иных СЗИ и технологий зашиты. Итак, основными этапами работ по созданию КСЗИ являются: Обследование организации.

Услуги по обследованию организации могут достаточно сильно различаться у разных поставщиков услуг. Это может быть анализ защищенности вычислительной системы, обследование вычислительной системы (гораздо более глубокий уровень детализациии), обследование организации в целом, т.е. охват «бумажного» документооборота и бизнес процессов организации с точки зрении информационной безопасности, проверка на соответствие нормативно-правовым документам и Т;П. На стадии обследования организации [23]:

• устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой КСЗИ, оценивается уровень конфиденциальности и объемы;

• определяется наличие аттестованных помещений, средств защиты от утечки по техническим каналам;

• определяются режимы обработки информации (диалоговый, Телеобработки и режим реального времени), состав комплекса Технических средств, общесистемные программные средства и т.д.;

• изучаются принятые в организации правила бумажного доку­ментооборота;

• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

• определяется степень участия персонала, функциональных Служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;

• определяются мероприятия по обеспечению режима секретности на стадии разработки.

2. Проектирование системы защиты информации.

При проектировании системы информационной безопасности могут быть охвачены как все три уровня защиты — организационный, технический и программно-аппаратный, так и исключительно Технический уровень. Это два принципиально разных типа работ и но сути, и по объемам, так как первый предполагает разработку концепции (политики) информационной безопасности, нормативно-распорядительных документов, различных регламентов и только Потом — технического проекта.

3. Внедрение системы защиты информации.

Заказчику выгодно использовать подрядную организацию и не иметь проблем с единовременным привлечением большого коли­чества специалистов по информационной безопасности, контро­лем качества выполняемых работ, выработкой единой политики безопасности.

4. Сопровождение системы информационной безопасности.

Оперативное реагирование на внештатные ситуации, периоди­ческое обновление специального ПО, установка необходимых «заплат» на общесистемное ПО, отслеживание появления новых атак и уязвимостей.

5. Обучение специалистов по защите информации.
 Обучение руководителей служб безопасности, руководителей

IT-подразделений, пользователей средств защиты.


Тема 3.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

11121314151617

double arrow
Сейчас читают про:

article image
Внутренние и внешние функции государства
article image
Формы и методы осуществления функций государства
article image
Признаки и понятия правового государства. Понятие, признаки и пути формирования правового государства
article image
Соотношение системы права и системы законодательства
article image
Правосознание: понятие, структура, виды
article image
Суд и судебный процесс в Законах Хаммурапи
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Отдельно стоящие деревья если они вообще вырастают, то вырастают сильными. © Черчилль ==> читать все изречения...
like icon 6291
like icon 6172
Понравился сайт? Поделись им с друзьями: