Особенности национального технического регулирования
Современное понимание методологии защиты информации
Под методологией защиты информации понимается использование совокупности необходимых и достаточных моделей, методов, методик. Подходы к моделированию КСЗИ, применяемые в ней методы и методики будут рассмотрены в следующих главах. Здесь мы остановимся на проектах двух документов в этой области, которые отражают современную систему взглядов на проблему защиты информации, — проектах технических регламентов. В случае их принятия они будут иметь силу закона.
С принятием в 2002 г. Федерального закона «О техническом регулировании» началась новая эра в области задания требований к продукции и оценке ее соответствия. Целью данного закона было снятие излишних, искусственно воздвигнутых барьеров на пути изделий отечественных (и не только) производителей, ликвидация разнородных и иногда противоречивых требований, заложенных в отечественных стандартах. Отныне все обязательные требования разрешается излагать только в технических регламентах (ТР), а следование стандартам — дело добровольное. При этом и в ТР можно предъявлять не произвольные требования, а лишь касающиеся «защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества; охраны окружающей среды, жизни или здоровья животных и растений; предупреждения действий, вводящих в заблуждение приобретателей».
|
|
В ст. 7 упомянутого закона приведены различные виды безопасности, которые обеспечиваются выполнением минимальных требований регламентов: механическая, пожарная, промышленная,...Обращает на себя внимание отсутствие такого важного вида, как информационная безопасность.
Существуют мнения о необходимости внесения в закон соответствующих поправок, но в настоящее время решили идти «окольным» путем. Влияет информационная безопасность на жизнь людей, на сохранность имущества? В какой-то степени, да. Поэтому было решено разработать и принять два специальных технических регламента (СТР-45 и СТР-46) в этой области, а в преамбуле написать, что принимаются данные регламенты в целях, указанных в ФЗ «О техническом регулировании», которые приведены выше.
Надо сказать, что СТР-45 («О безопасности информационных технологий») и СТР-46 («О требованиях к средствам обеспечения безопасности информационных технологий») должны были быть приняты еще в 2005 г. На момент написания книги (2008 г.) их судьба все еще неясна, тем не менее, целесообразно изучить методологический подход, заложенный в проектах этих регламентов.
|
|
1.7.2. Что понимается под безопасностью ИТ?
Несмотря на свое довольно широкое название, проект СТР-45 рассматривает в основном только одну сторону обеспечения безопасности ИТ — защиту от НСД в АС. Кроме того, изложены требования к физической защите и защите среды ИТ (пожарная, шектробезопасность и т.д.). При этом чтобы хоть как-то соответстовать своему названию, вместо термина АС по тексту используется термин «ИТ» — упорядоченная совокупность аппаратных, программных, аппаратно-программных средств, систем и информационных процессов. На наш взгляд, определение не очень правильнe, так как из него не видно, как связаны информационные процессы с «железом». Кроме того, непонятно, что относится к III. Например, мобильный телефон — это тоже упорядоченная совокупность программных и аппаратных средств и информационных процессов, нарушение безопасности которых вполне может повлечь существенный ущерб.
Большая часть рассматриваемого регламента посвящена требо-Униям к безопасности при эксплуатации ИТ. В проекте указаны палии жизненного цикла ИТ: подготовка к эксплуатации, ввод и жемлуатацию, эксплуатация, снятие с эксплуатации, и для каж-inii стадии приведен перечень необходимых мероприятий.
Первое, что необходимо выполнить при подготовке к эксплуа-1,111ми, — это категорирование по безопасности ИТ. СТР-45 вводит 6 категорий ИТ, в зависимости от того, какой ущерб возмо-Ьн мри нарушении безопасности (табл. 1.2). К данным, приве-Внным в таблице, надо применять операцию «или».
Размер ущерба от нарушения безопасности будет определяться Пеле выполнения анализа и оценки рисков, правила выполнение которых приведены в Приложении В к проекту СТР-45.
Кроме категорирования по безопасности в проекте СТР-45 предусмотрена еще и классификация ИТ, но для чего она выполняется, разработчики написать «забыли»
Таблица I.2. Категорирование по безопасности ИТ
Категория ИТ (уровень ущерба) | Материальный ущерб, МРОТ | Нарушены условия жизнедеятельности, человек | Пострадало, человек | Размер зоны чрезвычайной ситуации |
1-я | 401-500 | 2-10 | — | — |
2-я | 501-1000 | 11-100 | 1-10 | Территория объекта |
3-я | 1001-5000 | 101-300 | 11-50 | Населенный пункт, район |
4-я | 5001-0,5 млн | 301-500 | 51-500 | Субъект РФ |
5-я | 0,5 млн —5 млн | 501-1000 | 51-500 | 2 субъекта РФ |
6-я | > 5 млн | > 1000 | >500 | > 2 субъектов РФ ' |
Требования к ИТ предъявляются лишь исходя из категории безопасности ИТ. В соответствии с духом ГОСТ 15408, все требования подразделяются на функциональные и требования доверия к безопасности. Функциональные требования, в свою очередь, подразделяются на требования к организационным мерам и требования к техническим мерам и средствам обеспечения безопасности ИТ.
Из описания организационных мер обеспечения безопасности видно, что авторы СТР-45 учли прогрессивные международные стандарты и рекомендации «наилучшей практики», такие как ISO 17799, BS1, COBIT и др., в том числе корпоративные стандарты. Оргмеры включают не только традиционные мероприятия по защите, но и реагирование на инциденты безопасности, действия в непредвиденных ситуациях (т.е. обеспечение непрерывности ведения бизнеса), оценку рисков, информирование и обучение пользователей.
Функциональные требования помимо прочего включают сравнительно новые для наших пользователей детализированные требования к аудиту безопасности ИТ, требования к защите коммуникаций. Введение последней категории требований показывает, что разработчики учли распределенный характер современных ИТ.
Требования доверия к безопасности менее многочисленны, чем функциональные, и включают в основном требования к сопровождению ИТ, внесению изменений в ее конфигурацию, требования к персоналу и к документации.
|
|
По-видимому, болезненный для многих потребителей вопрос связан с аттестацией ИТ. Согласно существующей нормативной базе, аттестация ИТ внешней комиссией выполняется лишь в случае «обработки гостайны». В проекте СТР-45 предусмотрены две формы оценки соответствия ИТ требованиям безопасности: аттестация ИТ и государственный контроль (надзор). При этом для ИТ 3 —6-й категорий аттестация осуществляется аккредитованными органами по аттестации, для первой и второй категорий — своими силами. Государственный контроль (надзор) выполняется пока неназванными уполномоченными органами, правила его проведения и периодичность пока также не указаны. Тем не менее, по результатам контроля процесс эксплуатации ИТ в случае обнаружения нарушений СТР-45 может быть остановлен.
Согласно СТР-45, на этапе ввода ИТ в эксплуатацию необходимо разработать большое количество документов. Часть из них будут новыми для отечественных потребителей. К таким документам относятся следующие:
• планы: обеспечения безопасности ИТ; действий в непредвиденных ситуациях;
• политики: безопасности информационных технологий; реагирования на инциденты нарушения безопасности; оценки рисков; защиты носителей информации; обеспечения целостности III и информации; физической защиты и защиты среды ИТ; обес-п' чения безопасности эксплуатирующего персонала; обучения (тренинга) безопасности (для ИТ 2 категории и выше); идентификации и аутентификации; управления доступом; аудита и обеспечения подотчетности (политика регистрации и учета); защиты III и коммуникаций; сопровождения ИТ; управления конфигурацией;
• руководства: по использованию беспроводных технологий (для ИТ 3-й и последующих категорий); по использованию пор-I.минных и мобильных устройств (для ИТ 3-й и последующих категорий); по использованию технологий мобильного кода (для III 2-й и следующих категорий); по использованию технологии передачи речи по IP-сетям (1Р-телефонии);
• списки: персонала, уполномоченного на выполнение действий пи еоировождению ИТ; ключевых компонентов ИТ (для ИТ 2-й и сиелуюших категорий); доступа эксплуатирующего персонала на объекты ИТ;
|
|
• журналы: доступа посетителей; регистрации действий по сопровождению ИТ (для ИТ 3-й и следующих категорий);
• правила поведения эксплуатирующего персонала в отношении обеспечения безопасности ИТ,
• соглашения о доступе;
• базовая конфигурация ИТ,
• реестр компонентов ИТ.
В тексте СТР-45 очень кратко упоминается о том, что должен мнержать каждый из перечисленных документов. Учитывая отсутствие необходимой методической базы, можно полагать, что |м (работка документации по ИТ будет непростым делом для по-феГжтелей.
Организационно-распорядительная документация по применению мер и средств обеспечения безопасности ИТ должна относиться к информации ограниченного доступа.