Исследование нормативно-правовой базы информационной безопасности предприятия (организации)

 

4. ПРАВА,  ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ  ОРГАНА ПО АТТЕСТАЦИИ

4.1. Орган по аттестации имеет  право:

привлекать  для работы в аттестационных комиссиях наиболее компетентных специалистов в порядке, определяемом Положением о конкретном органе;

устанавливать сроки, договорные цены на проведение аттестации, а также  устанавливать иные условия взаимодействия или взаиморасчетов, определяемые Положением о конкретном органе; 

отказывать заявителю в аттестации объекта информатизации, указав при  этом мотивы отказа и конкретные рекомендации по проведению аттестации;

участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта информатизации;

лишать и приостанавливать действие "Аттестата соответствия" в  случае нарушения его владельцем условий функционирования объекта  информатизации, технологии обработки  защищаемой информации и требований по безопасности информации.

4.2. Орган по аттестации обязан:

соблюдать в полном объеме все правила  и порядок сертификации, установленные  основополагающими документами  системы сертификации и аттестации по требованиям безопасности информации, организационно-методическими документами  данной системы и другими документами, предъявляемыми при аккредитации;

признавать сертификаты на те средства защиты информации, для которых доказано их соответствие конкретным нормативным документам по правилам данной системы;

при введении в нормативные документы  на средства защиты информации новой  нормы на ранее сертифицированное  средство информировать изготовителя средств защиты информации в течение  месяца о сроках и порядке ее введения, а также оказывать ему содействие в своевременном проведении работы по сертификации в соответствии с  новыми нормами;

информировать Гостехкомиссию России о всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия лицензии;

вести учет всех предъявляемых рекламаций к сертифицированным средствам  защиты информации и информировать  об этом Гостехкомиссию России; 

в установленные договором с  заявителем сроки организовывать и  проводить аттестацию объекта информатизации;

обеспечивать полноту и объективность  проведения аттестации объекта информатизации;

обеспечивать сохранность государственной  и коммерческой тайны в процессе и по завершении аттестации объекта  информатизации, соблюдение авторского права;

вести информационную базу аттестованных  этим органом объектов информатизации;

представлять ежеквартально в  федеральные органы по сертификации и аттестации информацию о результатах  аттестации, а также копии "Аттестатов соответствия" для их регистрации;

допускать в установленном порядке  представителей контрольных органов  для осуществления надзора за аттестацией объектов информатизации.

4.3. Орган по аттестации несет  ответственность за:

соответствие проведенных им аттестационных испытаний объекта информатизации требованиям стандартов и иных нормативных  и методических документов по безопасности информации, а также достоверность  и объективность их результатов;

полноту и качество выполнения функций  и обязанностей, возложенных на него;

формирование и квалификацию аттестационных комиссий; соблюдение требований нормативных  и методических документов, предъявляемых  к порядку проведения аттестации;

соблюдение установленных сроков и условий проведения аттестации, зафиксированных в договоре с  заявителем;

обеспечение сохранности государственной  и коммерческой тайны заявителя;

соблюдение действующего законодательства.

2 Федеральные критерии безопасности информационных технологий 

Общие положения

"Федеральные критерии безопасности  информационных технологий"[15] (далее  просто "Федеральные критерии") разрабатывались как одна из  составляющих "Американского федерального  стандарта по обработке информации" (Federal Information Processing Standard), призванного заменить "Оранжевую книгу".

Главной целью создания "Федеральных  критериев" являлось определение  универсального и открытого для  дальнейшего развития набора основных требований безопасности, предъявляемых  к современным информационным технологиям. Стандарт определяет обоснованный и  структурированный подход к разработке требований безопасности, предъявляемых  к продуктам информационных технологий с учетом областей их применения. Стандарт является обобщением основных принципов  обеспечения безопасности информационных технологий, разработанных в 80-е  годы, и обеспечивает преемственность  по отношению к ним с целью  сохранения достижений в области  защиты информации.

"Федеральные критерии" содержат  положения, относящиеся только  к отдельным продуктам информационных  технологий. Вопросы построения  систем обработки информации  из набора ИТ-продуктов не являются  предметом рассмотрения этого  документа.

 

3 Общие критерии оценки  безопасности информационных технологий

Общие положения

Общие критерии разработаны таким  образом, чтобы удовлетворить потребности  трех категорий пользователей: потребителей объекта оценки, разработчиков объекта  оценки и оценщиков объекта оценки. Под объектом оценки (ОО) понимается аппаратно-программный продукт или  информационная система. К таким  объектам относятся, например, операционные системы, вычислительные сети, распределенные системы, прикладные программы.

К рассматриваемым в ОК аспектам безопасности относятся: защита от несанкционированного доступа, модификации или потери доступа к информации при воздействии угроз, являющихся результатом преднамеренных или непреднамеренных действий. Защищенность от этих трех типов угроз обычно называют конфиденциальностью, целостностью и доступностью.

Некоторые аспекты безопасности ИТ находятся вне рамок ОК:

а) ОК не охватывают оценку административных мер безопасности. Административные меры безопасности в окружающей среде объекта оценки рассматриваются только в той части, где они могут влиять на способность ИТ противостоять идентифицированным угрозам;

б) в ОК не рассматривается оценка технических аспектов безопасности ИТ типа побочных электромагнитных излучений и наводок;

в) ОК формулируют только критерии оценки и не содержат методик самой оценки;

г) в ОК не входят критерии для оценки криптографических методов и алгоритмов защиты информации.

Общие критерии предполагается использовать как при задании требований к  продуктам и системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла.

Структурно ОК версия 1.0 представлены как совокупность самостоятельных, но взаимосвязанных частей:

Часть 1. "Представление и общая  модель". Определяются общая концепция, принципы и цели оценки безопасности ИТ. Приведены категории пользователей, для которых ОК представляют интерес.

Часть 2. "Требования к функциям безопасности". Приведены требования к функциям безопасности и определен  набор показателей для оценки безопасности информационных технологий. Каталоги части 2 содержат наборы требований, сгруппированные в семейства  и классы.

Часть 3. "Требования гарантии безопасности". Приведены требования гарантии безопасности, сгруппированные в семейства, классы и уровни гарантии оценки. Определены также критерии оценки для Профилей защиты

и Заданий по безопасности.

Часть 4. "Предопределенные профили  защиты". Приведены примеры профилей защиты, включающих функциональные требования безопасности и требования гарантии оценки. Ряд подобных требований присутствовал  в исходных критериях (ITSEC, CTCPEC, FC, TCSEC), другие впервые представлены в данном документе. Предполагается, что в конечном счете часть 4 станет каталогом профилей защиты, которые прошли процесс регистрации.

Часть 5 (планируется). "Процедуры  регистрации". Определит процедуры  регистрации профилей защиты и их поддержки в международном регистре.

Общий объем материалов версии 1.0 Общих  критериев (включая приложения) составил более 800 страниц.

В соответствии с концепцией ОК требования к безопасности объекта оценки разделяются на две категории:

функциональные требования;

требования гарантированности.

В функциональных требованиях описаны  те функции объекта оценки, которые  обеспечивают безопасность ИТ. Имеются  в виду требования идентификации, установления подлинности (аутентификации) пользователей, протоколирования и др.

Требования гарантированности  отражают качества объекта оценки, дающие основание для уверенности  в том, что необходимые меры безопасности объекта эффективны и корректно  реализованы. Оценка гарантированности  получается на основе изучения назначения, структуры и функционирования объекта  оценки. Требования гарантированности  включают требования к организации  процесса разработки, а также требования поиска, анализа и воздействия  на потенциально уязвимые с точки  зрения безопасности места.

В ОК функциональные требования и требования гарантированности представлены в едином стиле и используют одну и ту же организацию и терминологию.

Термин "класс" используется для наиболее общей группировки требований безопасности.

Члены класса названы семействами. В семейства группируются наборы требований, которые обеспечивают выполнение определенной части целей безопасности и могут отличаться по степени жесткости.

Члены семейства называются компонентами. Компонент описывает минимальный  набор требований безопасности для  включения в структуры, определенные в ОК.

Компоненты построены из элементов. Элемент - самый нижний, неделимый уровень требований безопасности, на котором производится оценка их удовлетворения.

Организация требований безопасности в ОК по иерархии класс - семейство - компонент - элемент помогает потребителю правильно определить нужные компоненты после идентификации угроз безопасности объекта оценки.

Компоненты в семействе могут  либо находиться в иерархической связи, когда необходимо наращивание требований для выполнения одной из целей безопасности, либо не находиться, когда имеет место качественно новое требование.

Между компонентами могут существовать зависимости. Они возникают, когда  компонент недостаточен для выполнения цели безопасности и необходимо наличие  другого компонента. Зависимости  могут существовать как между  функциональными компонентами, так  и компонентами гарантированности. Чтобы обеспечить полноту требований к объекту оценки, зависимости  должны быть учтены при использовании  компонентов.

Компоненты могут быть конкретизированы с помощью разрешенных действий для обеспечения выполнения определенной политики безопасности или противостояния определенной угрозе. К разрешенным действиям относятся назначение, выбор и обработка.

Назначение позволяет заполнить  спецификацию идентифицированного  параметра при использовании  компонента. Параметр может быть признаком  или правилом, которое конкретизирует требование к определенной величине или диапазону величин. Например, элемент функционального компонента может требовать, чтобы данное действие выполнялось неоднократно. В этом случае назначение обеспечивает число или диапазон чисел, которые должны использоваться в параметре.

Выбор - это выбор одного или  большего количества пунктов из списка с целью конкретизации возможностей элемента.

Обработка позволяет включить дополнительные детали в элемент и предполагает интерпретацию требования, правила, константы или условия, основанную на целях безопасности. Обработка должна только ограничить набор возможных приемлемых функций или механизмов, чтобы осуществить требования, но не увеличивать их. Обработка не позволяет создавать новые требования или удалять существующие и не влияет на список зависимостей, связанных с компонентом.

ОК определяют также набор структур, которые объединяют компоненты требований безопасности.

Промежуточная комбинация компонентов  названа пакетом. Пакет включает набор требований, которые обеспечивают выполнение поднабора идентифицированных целей безопасности. Пакет включает набор требований, которые обеспечивают выполнение многократно используемого поднабора целей безопасности.

Уровни гарантии оценки - это предопределенные пакеты требований гарантированности.

Одной из основных структур ОК является Профиль защиты (ПЗ), определенный как набор требований, который состоит из компонентов или пакетов функциональных требований ОК и одного из уровней гарантии, при необходимости усиленного дополнительными компонентами гарантии из ОК. Профиль защиты предназначен для многократного использования и определяет совокупность требований безопасности, которые являются необходимыми и достаточными для достижения поставленных целей безопасности.

Требования Профиля защиты могут  быть конкретизированы и дополнены  в другой структуре ОК - Задании по безопасности. Задание по безопасности (ЗБ) содержит набор требований, которые могут быть представлены одним из Профилей защиты или сформулированы в явном виде. Задание по Безопасности определяет набор требований безопасности для конкретного объекта оценки. Оно включает также спецификацию объекта оценки в виде функций безопасности (ФБ), которые должны обеспечить выполнение требований безопасности и мер гарантии оценки.