Исследование нормативно-правовой базы информационной безопасности предприятия (организации)

При проверке эффективности анализируется  адекватность набора функций безопасности угрозам объекту оценки, взаимная согласованность функций, простота их использования, а также возможные  последствия использования известных  слабых мест защиты. Кроме того, в  понятие эффективности входит способность  механизмов защиты противостоять прямым атакам (мощность механизма). Определяется три градации мощности - базовая, средняя  и высокая. Согласно Критериям, мощность можно считать базовой, если механизм способен противостоять отдельным случайным атакам. Мощность можно считать средней, если механизм способен противостоять злоумышленникам с ограниченными ресурсами и возможностями. Мощность можно считать высокой, если есть уверенность, что механизм может быть побежден только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за пределы практичности. Эффективность защиты признается неудовлетворительной, если выявляются слабые места в критически важных механизмах и эти слабости не устраняются до окончания процесса оценки. В таком случае объекту присваивается уровень гарантированности Е0. Защищенность системы или продукта не может быть выше мощности самого слабого из критически важных механизмов, поэтому в Критериях имеется в виду минимальная гарантированная мощность.

Под корректностью понимается правильность реализации функций и механизмов безопасности. При проверке корректности анализируется весь жизненный цикл объекта оценки - от проектирования до эксплуатации и сопровождения. В  Критериях определяется семь возможных  уровней гарантированности корректности - от Е0 до Е6. Уровень Е0 обозначает отсутствие гарантированности. Уровни корректности от Е1 до Е6 выстроены по нарастанию требований к тщательности оценки. Так, на уровне Е1 анализируется лишь общая архитектура объекта - вся остальная уверенность является следствием функционального тестирования. На уровне Е3 к анализу привлекаются исходные тексты программ и схемы аппаратуры. На уровне Е6 требуется формальное описание функций безопасности, общей архитектуры, а также модели политики безопасности.

Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности  корректности.

В целом распределение требований по уровням гарантированности в  Европейских критериях соответствует  аналогичному распределению для  классов безопасности С1 - А1 из "Оранжевой книги".

Требования к политике безопасности и к наличию защитных механизмов не являются составной частью Критериев, хотя, чтобы облегчить формулировку цели оценки, Критерии содержат в качестве приложения описание десяти примерных  классов функциональности. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) с учетом уровней  гарантированности соответствуют  классам безопасности "Оранжевой  книги": F-С1,E1 -> C1; F-С2, E2 -> C2; F-В1,E3 -> B1; F-В2,E4 -> B2; F-В3,E5 -> B3; F-B3,E6 -> А1.

Имеется еще пять дополнительных классов.

Класс F-IN характеризуется повышенными  требованиями к целостности данных и программ, что типично для  систем управления базами данных. Эти  требования конкретизируются через  повышенные требования к идентификации и аутентификации пользователей, управлению доступом, регистрации и учету, аудиту.

Класс F-AV характеризуется повышенными  требованиями к доступности, что  существенно, например, для систем управления технологическими процессами. Эти требования конкретизируются через повышенные требования к надежности обслуживания (бесперебойной реализации критически важных функций) и восстановлению после  отказов. Независимо от уровня загрузки должно также гарантироваться время  реакции на определенные события  и отсутствие тупиков.

Класс F-DI характеризуется повышенными  требованиями к обеспечению целостности  передаваемых данных путем использования  имитостойких методов обнаружения и исправления ошибок. Знание алгоритма обнаружения искажений не должно давать возможность производить несанкционированную модификацию информации. Должны обнаруживаться и трактоваться как ошибки попытки изменения данных. Требования идентификации, аутентификации пользователей и аудита аналогичны классу F-IN, имеются дополнительные требования по регистрации и учету ошибок при обмене данными.

Класс F-DC характеризуется повышенными  требованиями к обеспечению конфиденциальности при обмене данными путем использования  криптографических устройств. При  этом ключи шифрования должны быть надежно защищены от несанкционированного доступа.

Класс F-DX характеризуется повышенными  требованиями к обеспечению конфиденциальности и целостности информации в сетевых  конфигурациях путем сквозного шифрования передаваемых по каналам связи массивов данных и надежной идентификации (как ошибки) несанкционированного изменения передаваемых данных и данных регистрации. Требования по идентификации, аутентификации пользователей и аудиту аналогичны требованиям класса F-IN. В подсистеме регистрации и учета должны быть компоненты регистрации данных идентификации и аутентификации пользователей, идентификации ошибок при обмене данными, установления соединения, сообщенной пользователю информации, дата и время получения данных.

Основное содержание требований дополнительных классов безопасности ITSEC приведено  в таблице 4. 

Таблица 4. Требования дополнительных классов безопасности ITSEC

Подсистемы и требования	Классы
	F-IN	F-AV	F-DI	F-DC	F-DX
1 Подсистема управления доступом
1.1 Идентификация и аутентификация  пользователей	+	-	F-IN	-	F-IN
1.2 Контроль доступа при:
- выполнении, удалении, переименовании (для выполняемых объектов);	+	-	-	-	-
- чтении, записи, добавлении, удалении, переименовании (для всех других объектов);	+	-	-	-	-
- создании и удалении объектов некоторого типа.	+	-	-	-	-
1.3 Контроль доступа к ранее переданной  информации	-	-	-	-	+
2 Подсистема регистрации и учета
2.1 Регистрация и учет:
- идентификации пользователя и  его терминала, успеха или отказа  попытки;	+	-	+	-	F-DI
- обращения к защищаемому объекту  доступа	+	-	-	-	-
- создания или удаления защищаемых  объектов доступа;	+	-	-	-	-
- изменения состава пользователей;	+	-	-	-	-
- введения или удаления носителя  данных;	+	-	-	-	-
- запуска или завершения программ  и процессов;	+	-	-	-	-
- определения или удаления типов;	+	-	-	-	-
- присвоения типа объекту;	+	-	-	-	-
- предоставления или аннулирования  прав доступа для объекта или типа объекта;	+	-	-	-	-
- ошибок в обмене данными;	-	-	+	-	F-DI
- учреждения соединения (имя субъекта  и объекта доступа, параметры  соединения)	-	-	+	-	F-DI
- идентифицированных пользователей-отправителей  и пользователей-получателей, переданной  информации;	-	-	-	-	+
- даты и времени всех регистрируемых  событий.	+	-	+	-	+
2.2 Аудит	+	-	F-DI	-	F-DI
3 Криптографическая подсистема
3.1 Автоматическое шифрование передаваемой  и дешифрование получаемой пользователем  информации	-	-	-	+	+
3.2 Использование аттестованных (сертифицированных)  криптографических средств	-	-	-	+	=
3.3 Надежная защита ключей	-	-	-	+	=
4 Подсистема обеспечения целостности
4.1 Исключение несанкционированного  изменения данных пользователя  и данных регистрации и учета	-	-	-	-	+
4.1 Использование имитостойких методов обнаружения и исправления ошибок	-	-	+	-	-
4.2 Надежная идентификация (как ошибок) Несанкционированного изменения  данных	-	-	+	-	+
5 Подсистема обеспечения доступности
5.1 Безотказность выполнения критически  важных функций	-	+	-	-	-
5.2 Реинтеграция системы после отказа и восстановления отдельных компонентов	-	+	-	-	-
5.3 Гарантированное время реакции  на определенные события независимо  от загрузки системы	-	+	-	-	-

Обозначения:

"-" - нет требований к данному  классу

"+" - новые или дополнительные  требования

"=" - требования совпадают  с требованиями предыдущего класса

"F-IN" - требования совпадают  с требованиями указанного класса 

Б2  Отечественные требования по информационной безопасности

1. Руководящие документы Гостехкомиссии России

Типовое положение об органе по аттестации объектов информации по требованиям безопасности информации.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Типовое положение  устанавливает общие требования  к органу по аттестации объектов  информатизации по требованиям  безопасности информации (далее  - орган по аттестации), его функции,  права, обязанности и ответственность.

1.2. Типовое положение разработано  в соответствии с законами  Российской Федерации “О сертификации  продукции и услуг” и "О  государственной тайне", "Положением  о государственной системе защиты  информации в Российской Федерации  от иностранных технических разведок  и от ее утечки по техническим  каналам", "Системой сертификации  ГОСТ Р", на основании "Положения о сертификации средств защиты информации по требованиям безопасности информации", "Положения по аттестации объектов информатизации по требованиям безопасности информации" и предназначено для использования при разработке Положений о конкретных органах по аттестации.

1.3. Орган по аттестации является  составной частью организационной  структуры единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.

1.4. Орган по аттестации может  формироваться из состава специальных  центров Государственной технической  комиссии при Президенте Российской  Федерации (Гостехкомиссия России), отраслевых и региональных учреждений, предприятий и организаций по защите информации.

1.5. Орган по аттестации аккредитуется  федеральным органом по сертификации  средств защиты информации и  аттестации объектов информатизации  по требованиям безопасности  информации (далее - федеральный  орган по сертификации и аттестации), которым является Гостехкомиссия России.

Правила аккредитации определяются действующим  в системе сертификации и аттестации "Положением об аккредитации испытательных  лабораторий и органов по сертификации средств защиты информации по требованиям  безопасности информации".

1.6. Орган по аттестации в своей  деятельности руководствуется законодательством  Российской Федерации, государственными  стандартами России, нормативной  и методической документацией  Гостехкомиссии России.

1.7. Положение о конкретном органе  по аттестации разрабатывается  на основании настоящего Типового  положения с учетом юридического  статуса и заявленной области  аккредитации.

В Положении указываются виды объектов информатизации, по которым орган  по аттестации претендует на аккредитацию  Гостехкомиссией России.

Положение подписывается руководителем  органа по аттестации, согласовывается  с руководителем органа, осуществляющего  аккредитацию, и утверждается руководителем  Гостехкомиссии России. 

1.8. Расходы по проведению всех  видов работ и услуг по аттестации  объектов информатизации по требованиям  безопасности информации, как при  обязательном так и добровольной аттестации, оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации.

1.9. Деятельность органа по аттестации, аккредитованного Гостехкомиссией России осуществляется на основе лицензии на определенные виды деятельности (см. "Положение о лицензировании...") и Аттестата аккредитации (см. "Положение об аккредитации..."), выданных ему на право проведения аттестации объектов информатизации. 

 

2. ЗАДАЧИ  И ФУНКЦИИ ОРГАНА ПО АТТЕСТАЦИИ

2.1. Основными задачами органа  по аттестации являются организация  и проведение аттестации объектов  информатизации по требованиям  безопасности информации, а также  контроль за состоянием и эксплуатацией аттестованных этим органом объектов информатизации.

2.2. Орган по аттестации осуществляет  следующие функции:

формирует и поддерживает в актуальном состоянии фонд нормативной и  методической документации, используемой при аттестации конкретных типов  объектов информатизации;

рассматривает заявки на аттестацию объектов информатизации, планирует  работы по аттестации объектов информатизации и доводит сроки проведения аттестации до заявителей;

проводит анализ исходных данных по аттестуемым объектам и определяет схему аттестации, решает вопросы  о необходимости проведения испытаний  несертифицированной продукции, используемой на аттестуемом объекте, в испытательных  центрах (лабораториях);

организует работы по аттестации объектов информатизации как на основе заключенных договоров, так и иных взаимоотношений, определяемых на предприятии и закрепляемых в Положении о конкретном органе;

разрабатывает программу, а при  необходимости и методики аттестационных испытаний;

формирует и командирует (при проведении работ по аттестации по заказам сторонних  заявителей) аттестационные комиссии из компетентных специалистов в необходимых  для конкретного объекта информатизации направлениях защиты информации, привлекает к работе в этих комиссиях специалистов испытательных центров (лабораторий) по сертификации в случае испытаний  средств защиты информации непосредственно  на аттестуемом объекте информатизации;

рассматривает результаты аттестационных испытаний объекта информатизации, утверждает заключение по результатам  аттестации и выдает заявителю "Аттестат соответствия";

при осуществлении контроля за состоянием и эксплуатацией аттестованных объектов информатизации проверяет соответствие реальных условий эксплуатации объекта и технологии обработки защищаемой информации условиям и технологии, при которых выдан "Аттестат соответствия";

отменяет и приостанавливает действие выданных этим органом "Аттестатов соответствия";

ведет информационную базу аттестованных  этим органом объектов информатизации;

осуществляет взаимодействие с  Гостехкомиссией России и информирует ее о своей деятельности в области аттестации.

 

3. ДЕЯТЕЛЬНОСТЬ  АТТЕСТАЦИОННЫХ КОМИССИЙ

3.1. Аттестационные комиссии формируются  органом по аттестации объектов  информатизации из числа как  штатных сотрудников органа по  аттестации, так и специалистов  в различных направлениях защиты  информации других предприятий  и организаций таким образом,  чтобы обеспечить комплексную  проверку конкретного защищаемого объекта информатизации с целью оценки его соответствия требуемому уровню безопасности информации

3.2. При необходимости, в случае  проведения испытаний отдельных  средств и систем защиты информации  на аттестуемом объекте информатизации, в состав аттестационной комиссии  включаются специалисты испытательных  центров (лабораторий) по сертификации  конкретных видов продукции. 

3.3. В состав аттестационных комиссий  включаются компетентные в соответствующем  направлении защиты информации  специалисты, имеющие опыт научно-практической  деятельности и контрольно-проверочной  работы, не участвующие непосредственно  в деятельности заявителей.

3.4. Постоянный штат сотрудников  (персонал) органа по аттестации  осуществляет свою деятельность  в соответствии с должностными  инструкциями и должен обладать  необходимой квалификацией и  компетентностью.