Аудит / Учебный курс

h1. Стандарты информационной безопасности

{{TOC}}

!clipboard-202312061225-nrwew.png!

---

h2.  Предпосылки создания стандартов ИБ

Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартах ИБ. 

Одним из результатов проведения аудита в последнее время все чаще становится сертификат, удостоверяющий соответствие обследуемой ИС определенному признанному международному стандарту. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров

Использование стандартов способствует решению следующих пяти задач. 

*Во-первых*, строго определяются цели обеспечения информационной безопасности компьютерных систем

*Во-вторых*, создается эффективная система управления информационной безопасностью.

*В-третьих*, обеспечивается расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям.

*В-четвертых*, создаются условия применения имеющегося инструментария (программных средств) обеспечения информационной безопасности и оценки ее текущего состояния.

*В-пятых*, открывается возможность использования методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем

Начиная с начала 80-х годов были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга. Ниже будут рассмотрены наиболее известные стандарты по хронологии их создания:

1) Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);

2) Гармонизированные критерии европейских стран;

3) Рекомендации Х.800;

4) Германский стандарт BSI;

5) Британский стандарт BS 7799;

6) Стандарт ISO 17799;

7) Стандарт «Общие критерии» ISO 15408;

8) Стандарт COBIT

Как мы говорила с вами раньше эти стандарты можно разделить на два вида:

* Оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;

* Технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры. 

---

h2. Стандарт «Критерии оценки надежности компьютерных систем»

Можно вернуться сюда: [[uib:Оценочные_стандарты_в_информационной_безопасности#Оранжевая-книга-как-оценочный-стандарт|Оранжевая книга]]

Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем».  

Данный труд, называемый чаще всего по цвету обложки «Оранжевой книгой», был впервые опубликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о *доверенных системах*, то есть системах, которым можно оказать определенную степень доверия. 

«Оранжевая книга» поясняет понятие безопасной системы, которая _«управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию»_.

Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе. 

В «Оранжевой книге» доверенная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа». 

Следует отметить, что в рассматриваемых критериях и безопасность и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности информации. При этом вопросы доступности «Оранжевая книга» не затрагивает. 

Степень доверия оценивается по двум основным критериям: 

# *Политика безопасности – набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию*. В частности, правила определяют, в каких случаях пользователь может оперировать конкретными наборами данных. Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности — это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия

# *Уровень гарантированности – мера доверия, которая может быть оказана архитектуре и реализации ИС*. Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки (формальной или нет) общего замысла и реализации системы в целом и отдельных ее компонентов. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты.

Основным средством обеспечения безопасности определяется механизм подотчетности (протоколирования). Доверенная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации. Концепция доверенной вычислительной базы является центральной при оценке степени доверия безопасности. Доверенная вычислительная база – это совокупность защитных механизмов ИС (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Качество вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит системный администратор. 

Рассматриваемые компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС авторы стандарта рекомендуют рассматривать только ее вычислительную базу. 

Основное назначение доверенной вычислительной базы – выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами (пользователями) определенных операций над объектами (пассивными сущностями). Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности с набором действий, допустимых для пользователя. 

Монитор обращений должен обладать тремя качествами:

*Изолированность*. Необходимо предупредить возможность отслеживания работы монитора. 

*Полнота*. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его. 

*Верифицируемость*. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования. 

Реализация монитора обращений называется ядром безопасности. *Ядро безопасности* – это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность

Границу доверенной вычислительной базы называют *периметром безопасности*. Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными. С развитием распределенных систем понятию «периметр безопасности» все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, – нет. 

Согласно «Оранжевой книге», политика безопасности должна обязательно включать в себя следующие элементы

* произвольное управление доступом;

* безопасность повторного использования объектов;

* метки безопасности;

* принудительное управление доступом. 

*Произвольное управление доступом* – это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.

*Безопасность повторного использования объектов* – важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом. 

Для реализации принудительного управления доступом с субъектами и объектами ассоциируются *метки безопасности*. *Метка субъекта* описывает его благонадежность, *метка объекта* – степень конфиденциальности содержащейся в нем информации. 

Согласно «Оранжевой книге», метки безопасности состоят из двух частей – уровня секретности и списка категорий. Уровни секретности образуют упорядоченное множество, а списки категорий – неупорядоченное. Назначение последних – описать предметную область, к которой относятся данные.

*Принудительное (или мандатное) управление доступом* основано на сопоставлении меток безопасности субъекта и объекта. 

Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен – читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, «конфиденциальный» субъект может записывать данные в секретные файлы, но не может – в несекретные (разумеется, должны также выполняться ограничения на набор категорий). 

Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). После того, как зафиксированы метки безопасности субъектов объектов, оказываются зафиксированными и права доступа.

Если понимать политику безопасности узко, то есть как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что делает. Средства подотчетности делятся на три категории: 

* идентификация и аутентификация;

* предоставление доверенного пути;

* анализ регистрационной информации. 

Обычный *способ идентификации* – ввод имени пользователя при входе в систему. Стандартное средство проверки подлинности (аутентификации) пользователя - пароль.

*Доверенный путь* связывает пользователя непосредственно с доверенной вычислительной базой, минуя другие, потенциально опасные компоненты ИС. Цель предоставления доверенного пути – дать пользователю возможность убедиться в подлинности обслуживающей его системы

*Анализ регистрационной информации* (аудит) имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы.

Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. «Оранжевая книга» предусматривает наличие средств выборочного протоколирования, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.

Переходя к пассивным аспектам защиты, укажем, что в «Оранжевой книге» рассматривается два вида гарантированности - операционная и технологическая. 

*Гарантированность* – это мера уверенности с которой можно утверждать, что для проведения в жизнь сформулированной политики безопасности выбран подходящий набор средств, и что каждое из этих средств правильно исполняет отведенную ему роль. 

Операционная гарантированность относится к архитектурным и реализационным аспектам системы, в то время как технологическая – к методам построения и сопровождения. Операционная гарантированность включает в себя проверку следующих элементов: 

* архитектура системы;

* целостность системы;

* проверка тайных каналов передачи информации;

* доверенное администрирование;

* доверенное восстановление после сбоев. 

Операционная гарантированность – это способ убедиться в том, что архитектура системы и ее реализация действительно реализуют избранную политику безопасности.  

*Технологическая гарантированность* охватывает весь жизненный цикл системы, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы исключить утечку информации и нелегальные «закладки».

*Оформление документации* является необходимым условием для подтверждения гарантии надежности системы и одновременно – инструмент проведения политики безопасности. Без документации люди не будут знать, какой политике следовать и что для этого нужно делать

Согласно "Оранжевой книге", в комплект документации надежной системы должны входить следующие тома:

* Руководство пользователя по средствам безопасности.

* Руководство администратора по средствам безопасности.

* Тестовая документация.

* Описание архитектуры.

Разумеется, на практике требуется еще по крайней мере одна книга – письменное изложение политики безопасности данной организации. 

*Руководство пользователя* по средствам безопасности предназначено для обычных, непривилегированных людей. Оно должно содержать сведения о механизмах безопасности и способах их использования

*Руководство администратора* по средствам безопасности предназначено и для системного администратора, и для администратора безопасности. В Руководстве освещаются вопросы начального конфигурирования системы, перечисляются текущие обязанности администратора, анализируется соотношения между безопасностью и эффективностью функционирования

*Тестовая документация* содержит описания тестов и их результаты. По идее она проста, но зачастую весьма пространна. Кроме того (вернее, перед тем), тестовая документация должна содержать план тестирования и условия, налагаемые на тестовое окружение. 

*Описание архитектуры* в данном контексте должно включать в себя по крайней мере сведения о внутреннем устройстве надежной вычислительной базы. Вообще говоря, это описание должно быть формальным, допускающим автоматическое сопоставление с политикой безопасности на предмет соответствия требованиям последней. Объем описания архитектуры может оказаться сопоставимым с объемом исходных текстов программной реализации системы. 

---

h2. Гармонизированные критерии европейских стран

Следуя по пути интеграции, европейские страны приняли согласованные критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC), опубликованные в июне 1991 года от имени соответствующих органов четырех стран – Франции, Германии, Нидерландов и Великобритании. Выгода от использования согласованных критериев очевидна для всех – и для производителей, и для потребителей, и для самих органов сертификации. 

Европейские критерии включают следующие основные составляющие информационной безопасности: 

* конфиденциальность, то есть защиту от несанкционированного получения информации;

* целостность, то есть защиту от несанкционированного изменения информации;

* доступность, то есть защиту от несанкционированного удержания информации и ресурсов. 

В критериях проводится различие между системами и продуктами. *Система* – это конкретная аппаратно-программная конфигурация, построенная с вполне определенными целями и функционирующая в известном окружении. *Продукт* – это аппаратно-программный "пакет", который можно купить и по своему усмотрению встроить в ту или иную систему. Таким образом, с точки зрения информационной безопасности основное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое можно определить и изучить сколь угодно детально, а продукт должен быть рассчитан на использование в различных условиях. Угрозы безопасности системы носят вполне конкретный и реальный характер. Относительно угроз продукту можно лишь строить предположения. Разработчик может специфицировать условия, пригодные для функционирования продукта; дело покупателя – обеспечить выполнение этих условий

Из практических соображений важно обеспечить единство критериев оценки продуктов и систем – например, чтобы облегчить и удешевить оценку системы, составленной из ранее сертифицированных продуктов. В этой связи для систем и продуктов вводится единый термин – объект оценки. В соответствующих местах делаются оговорки,какие требования относятся исключительно к системам, а какие – только к продуктам. 

Каждая система и/или продукт предъявляет свои требования к обеспечению конфиденциальности, целостности и доступности. Чтобы удовлетворить эти требования, необходимо предоставить соответствующий набор функций (сервисов) безопасности, таких как идентификация и аутентификация, управление доступом или восстановление после сбоев. 

Сервисы безопасности реализуются посредством конкретных  механизмов.

Чтобы объект оценки можно было признать надежным, необходима определенная степень уверенности в наборе функций и механизмов безопасности. Степень уверенности в предлагаемом стандарте называется гарантированностью. *Гарантированность* может быть большей или меньшей в зависимости от тщательности проведения оценки. 

*Гарантированность* затрагивает два аспекта – эффективность и корректность средств безопасности. При проверке *эффективности* анализируется соответствие между целями, сформулированными для объекта оценки, и имеющимся набором функций безопасности. Точнее говоря, рассматриваются вопросы адекватности функциональности, взаимной согласованности функций, простоты их использования, а также возможные последствия эксплуатации известных слабых мест защиты. Кроме того, в понятие эффективности входит способность механизмов защиты противостоять прямым атакам (мощность механизма). Определяются *три градации* мощности – базовая, средняя и высокая. 

*Базовый* – способность противостоять отдельным случайным атакам;

*Средний* – способность противостоять злоумышленникам с ограниченными ресурсами и возможностями;

*Высокий* – механизм может быть побежден только злоумышленником высокой квалификации с набором возможностей и ресурсов, выходящих за пределы практичности. 

Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности корректности. Теоретически эти два аспекта независимы, хотя на практике нет смысла проверять правильность реализации "по высшему разряду", если механизмы безопасности не обладают даже средней мощностью. 

В европейских критериях средства, имеющие отношение к информационной безопасности, рассматриваются на трех уровнях детализации. Наиболее абстрактный взгляд касается лишь целей безопасности. На этом уровне получают ответ на вопрос, зачем нужны функции безопасности. Второй уровень содержит спецификации функций безопасности. Здесь определяется, какая функциональность на самом деле обеспечивается. Наконец, на третьем уровне содержится информация о механизмах безопасности. Таким образом, показывается декларированная функциональность анализируемой системы. 

Спецификации функций безопасности – важнейшая часть описания объекта оценки. Критерии рекомендуют выделить в этих спецификациях разделы со следующими заголовками: 

* Идентификация и аутентификация.

* Управление доступом.

* Точность информации.

* Надежность обслуживания.

* Обмен данными. 

Под *идентификацией* и *аутентификацией* понимается не только проверка подлинности пользователей в узком смысле, но и функции для регистрации новых пользователей и удаления старых, а также функции для генерации, изменения и проверки аутентификационной информации, в том числе средства контроля целостности. Сюда же относятся функции для ограничения числа повторных попыток аутентификации.

*Средства управления доступом* также трактуются европейскими критериями достаточно широко. В этот раздел попадают, помимо прочих, функции, обеспечивающие временное ограничение доступа к совместно используемым объектам с целью поддержания целостности этих объектов – мера, типичная для систем управления базами данных. В этот же раздел попадают функции для управления распространением прав доступа и для контроля за получением информации путем логического вывода и агрегирования данных (что также типично для СУБД). 

Под точностью в критериях понимается поддержание определенного соответствия между различными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникаций). Точность выступает как один из аспектов целостности информации. 

Функции *надежности обслуживания* должны гарантировать, что действия, критичные по времени, будут выполнены ровно тогда, когда нужно – не раньше и не позже, и что некритичные действия нельзя перевести в разряд критичных. Далее, должна быть гарантия, что авторизованные пользователи за разумное время получат запрашиваемые ресурсы. Сюда же относятся функции для обнаружения и нейтрализации ошибок, необходимые для минимизации простоев, а также функции планирования, позволяющие гарантировать время реакции на внешние события

К области обмена данными относятся функции, обеспечивающие коммуникационную безопасность, то есть безопасность данных, передаваемых по каналам связи. 

---

h2. Британский стандарт BS 7799

Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. разработал стандарт информационной безопасности, который в 1995 г. был принят в качестве национального стандарта BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. 

В соответствии с этим стандартом любая служба безопасности, IT - отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. 

Поэтому сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO. 

Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран. Он состоит из двух частей. 

В *"Части 1: Практические рекомендации"* определяются и рассматриваются следующие аспекты ИБ:

* Политика безопасности.

* Организация защиты.

* Классификация и управление информационными ресурсами.

* Управление персоналом.

* Физическая безопасность.

* Администрирование компьютерных систем и сетей.

* Управление доступом к системам.

* Разработка и сопровождение систем.

* Планирование бесперебойной работы организации.

* Проверка системы на соответствие требованиям ИБ. 

*"Часть 2: Спецификации системы"* рассматривает эти же аспекты с точки зрения сертификации информационной системы на соответствие требованиям стандарта. 

Она определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов – British Standards Institution(BSI)

Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution(BSI) – (www.bsi-global.com), и в частности служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасностью в соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах

Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.

---

h2. Международный стандарт ISO 17799

Одним из наиболее развитых и широко используемых во всех странах мира стал международный стандарт ISO 17799: 

Code of Practice for Information Security Management (Практические рекомендации по управлению безопасностью информации), принятом в 2000 году. ISO 17799 был разработан на основе британского стандарта BS 7799. 

ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. 

Практические правила разбиты на следующие 10 разделов:

# Политика безопасности.

# Организация защиты.

# Классификация ресурсов и их контроль.

# Безопасность персонала.

# Физическая безопасность.

# Администрирование компьютерных систем и вычислительных сетей.

# Управление доступом.

# Разработка и сопровождение информационных систем.

# Планирование бесперебойной работы организации.

# Контроль выполнения требований политики безопасности. 

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы

управления информационной безопасностью организации. 

При использовании некоторых из средств контроля, например, шифрования данных, могут потребоваться советы специалистов по безопасности и оценка рисков, чтобы определить, нужны ли они и каким образом их следует реализовывать. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799. 

Десять ключевых средств контроля, перечисленные ниже, представляют собой либо обязательные требования, например требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности, например обучение правилам безопасности. Эти средства контроля актуальны для всех организаций и сред функционирования АС и составляют основу системы управления информационной безопасностью. Ключевыми являются следующие средства контроля: 

* документ о политике информационной безопасности; 

* распределение обязанностей по обеспечению информационной безопасности;

* обучение и подготовка персонала к поддержанию режима информационной безопасности;

* уведомление о случаях нарушения защиты;

* средства защиты от вирусов;

* планирование бесперебойной работы организации;

* контроль над копированием программного обеспечения, защищенного законом об авторском праве;

* защита документации организации;

* защита данных;

* контроль соответствия политике безопасности. 

Процедура аудита безопасности ИС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности ИС также является анализ и управление рисками

---