Требования по безопасности, предъявляемые к изделиям ИТ

Требования к организационной и технической составляющим КСЗИ

Как было показано в гл. I, в составе КСЗИ можно выделить три составляющие: организационную (определяющую структуру КСЗИ, совокупность нормативных документов и т.д.), техниче­скую (физические средства защиты, средства защиты от утечки по техническим каналам) и программную (программно-аппаратную) — средства защиты информации от НСД в АС. Соответственно и требования к этим подсистемам рассматривать целесо­образно раздельно.

Для эффективного функционирования КСЗИ важно правиль­но продумать организационно-штатную структуру органа безопас­ности, подобрать людей. Как правило, на предприятии создается служба безопасности («первый отдел»), а зачастую еще и служба информационной безопасности, занимающаяся вопросами защиты информации в АС. Кроме того, зашитой информации в АС снимаются и специалисты ИТ-подразделения. Оттого, насколь­ко согласованно будут работать эти службы, во многом зависит эффективность КСЗИ. Надо сказать, что на Западе отдельной служ­им информационной безопасности, как правило, не создается. Этими вопросами ведает менеджер по информационной безопас­ности (CISO — Chief Information Security Officer), который, буду­чи в ранге замдиректора, осуществляет общее планирование и руководство. А непосредственно вопросы защиты информации решают сотрудники ИТ-подразделения и конечные пользователи.

К организационно-распорядительной и нормативной докумен-ншии по безопасности можно предъявить два основных требова­ний: охват всех сторон деятельности предприятия и разумный объем. Длинные, стостраничные инструкции никто не будет читать, а тем более, исполнять, поэтому здесь надо руководствоваться тем принципом, что лучше создать много небольших доку­ментов, чем один большой.

К физическим средствам зашиты относятся средства пожарной и охранной сигнализации, видеонаблюдения, пожаротушения, па и раничения доступа в помещения. При создании КСЗИ важно не забывать не только о предотвращении угроз информационной Ое юнасности, но и о защите от стихийных бедствий. На наш взгляд, хотя точная статистика здесь отсутствует, убытки от пожаров пре­восходят убытки от нарушения И Б, поэтому требование оборудо­вания каждого помещения средствами пожарной сигнализации и пожаротушения является обязательным.

Охранную сигнализацию необходимо установить в помещения, где хранятся материальные ценности и/или важная информация в нерабочее время. Лучи сигнализации должны быть выведены на круглосуточный пост охраны, а в случае отсутствия такового — в отделение милиции.

Современные средства видеонаблюдения позволяют не только регистрировать информацию от видеокамер в цифровом виде, но предоставляют ряд дополнительных сервисов. Например, привле­чение внимания оператора при возникновении движения в кадре, при оставлении человеком какой-либо вещи (это может быть и взрывчатка), автоматическое распознавание номеров машин и многое другое.

Средства защиты от утечки по техническим каналам можно разделить на две большие группы: средства защиты средств вы­числительной техники и средства зашиты помещений. Первая группа защищает от утечек компьютерной информации по кана­лам ПЭМИН, вторая группа — от утечки речевой информации по виброакустическим каналам. Средства защиты от утечки по тех­ническим каналам подробно рассматриваются в гл. 7.

Требования, предъявляемые к изделиям ИТ, рассмотрим на примере современного нормативного документа «Безопасность информационных технологий. Положение по обеспечению безопасности в жизненном цикле изделий информационных техно­логий» (далее — Положение). Насколько известно авторам данный документ анализируется впервые в литературе.

Положение не отменяет действия других нормативных доку­ментов, а применяется вместе с ними. Оно предназначено для заказчиков, разработчиков, эксплуатирующих организаций.

В Положении приведены ссылки на следующие РД ФСТЭК: «Концепция обеспечения безопасности изделий информационных технологий»; «Критерии оценки безопасности информационных технологий».

В Положении рассмотрены следующие вопросы:

• порядок задания требований;

• порядок разработки изделий ИТ;

• подтверждение соответствия изделий ИТ требованиям без­опасности информации;

• поставка и ввод в действие;

• эксплуатация;

• снятие с эксплуатации;

• характеристика требований раздела ТЗ;

• структура документа «Программа обеспечения безопасности. При разработке и сопровождении», а также «Программы... при имилуатации изделий ИТ»;

• состав документов, предъявляемых разработчиком для серти­фикации;

• базовая модель обеспечения безопасности в жизненном цик­ле изделий ИТ (отдельная книга).

Рассмотрим особенности Положения.

Порядок задания требований

Здесь рассмотрены три сценария. Если закупается готовый продукт, то требования задаются в спецификациях на покупку изделий. Если разработка инициативная, то требования формируются разработчиком с учетом предполагаемого применения изделия. имеется заказчик изделия, то требования задаются им в ТЗ, причем отмечена целесообразность в максимальной степени использовать стандартизованные требования, встречающиеся в тех­нических регламентах, стандартах, РД ФСТЭК. Указано, что регламентация задания необходимых требований к изделиям, предназначенным для обработки информации ограниченного досту­па, осуществляется в нормативных документах ФСТЭК — профилях защиты (ПЗ). Таким образом, ПЗ отнесены к нормативным документам ФСТЭК.

Выделяются три группы требований: функциональные, дове­рии, к среде объекта оценки. Требования задаются в начале разра­ботки изделия ИТ, на основе проведенного глубокого информа­ционного обследования среды применения изделия ИТ. Очевид­но, что это неприменимо к продуктам ИТ общего назначения, но пому для них далее идут всяческие послабления типа «...для продуктов ИТ общего назначения могут быть сделаны общие утвер­ждения в отношении политики безопасности организации».

В любом случае на наш взгляд представляется невозможным Ни этапе подготовки ТЗ выполнять такие работы, как оценка ак-гинов, подлежащих защите, оценка правил политики безопасности организации, где будет функционировать изделие ИТ, анализ рисков нарушения информационной безопасности. Кроме того, данные процедуры требуют разъяснения, пояснения, составления методик их проведения. Вряд ли кто-то из заказчиков способен их выполнить.

Еще одна проблема состоит в следующем. В Положении указа­но, что в составе предположений о среде на данном этапе «...должны быть учтены проектные ограничения, определяемые общи­ми проектными решениями по изделию ИТ». Но ведь на данном этапе еще нет проектных решений. Впрочем, как указано далее, в ТЗ необходимо указать лишь ссылку на ПЗ, а откуда она появи­лась — это «на совести» заказчика.

Возможны два случая. Если основным назначением изделия ИТ является обеспечение безопасности информации, то требова­ния к безопасности изделия ИТ составляют основное содержание разделов ТЗ. Если обеспечение безопасности информации — част­ная задача изделия, то требования должны содержаться в отдель­ном разделе ТЗ или в Приложении к нему, либо в частном (спе­циальном) ТЗ.

В ТЗ могут включаться требования соответствия одному или нес­кольким ПЗ, а если изделие предназначено для обработки инфор­мации ограниченного доступа и имеются зарегистрированные ПЗ, то это является обязательным. Если таких ПЗ нет, то в этом случае ТЗ должно пройти экспертизу в порядке, устанавливаемым ФСТЭК. Если в ТЗ отсутствует ссылка на ПЗ или ПЗ уточняется, то должны приводиться не только требования, но и цели безопасности.

Таким образом, при наличии соответствующего зарегистриро­ванного ПЗ, все требования по безопасности к изделию ИТ могут состоять в ссылке на этот ПЗ плюс необходимые обоснования, уточнения и дополнения. В Приложении А к Положению приве­дена более подробная характеристика разделов ТЗ. В Положении отмечена целесообразность экспертизы ТЗ в организациях, спе­циализирующихся на разработке или оценке ПЗ, как было отме­чено ранее, нормативных документов ФСТЭК.