НОРМАТИВНО-МЕТОДИЧЕСКАЯ БАЗА В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УДК GG4.G1
Алексей Михайлович Соловьев
Аспирант федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Московский государственный университет экономики, статистики и информатики (МЭСИ)» Тел. +7 (4852) 35-42-26 Эл. почта: [email protected]
Проводится анализ нормативно-методической базы в области безопасности информационных технологий, содержания концепций анализа и управления рисками. Обосновываются необходимость и направления развития нормативно-методической базы. Предлагается подход к реализации этих направлений.
Ключевые слова: международные стандарты, методическая база, критерии эффективности, управление рисками, информационная безопасность.
Aleksey M. Solovyev
Post-graduate student
Moscow State University of Economics,
Statistics and Informatics (MeSI)
Tel.: +7 (4852) 35-42-26
E-mail: [email protected]
NORMATIVE AND METHODICAL BASE IN THE FIELD OF INFORMATION SECURITY
The analysis of normative and methodical base in the field of information security including concepts jf risk analysis and risk management is given. The necessity and directions of normative and methodical base development are proved. The approach of realization of these directions is offered.
Keywords: international standards, methodical base, criteria of efficiency, risk management, information security.
1. Введение
Обеспечение безопасности информационных технологий (ИТ) - комплексный процесс, зависящий от множества факторов, в том числе от требований применяемых при этом нормативных документов, которые являются юридической основой для проведения работ в области безопасно-сти ИТ. При создании и развитии сложных, распределенных, тиражируемых ИТ требуются гибкое формирование и применение согласованных совокупностей базовых стандартов и нормативных документов разного уровня, выделение в них требований и рекомендаций, необходимых для реализации заданных функций ИТ. Такие совокупности базовых стандартов (разработано около 50 только международных стандартов ИСО/МЭК (ISO/ IEC) на критерии оценки безопасности ИТ и методы защиты средств и систем ИТ) составляют сбалансированную систему, отвечающую следующим требованиям: универсальность, гибкость, конструктивность, преемственность и расширяемость. Стандарты должны адаптироваться и конкретизироваться применительно к определенным классам проектов, функций, процессов и компонентов ИТ. Ценность использования нормативно-методической базы в области безопасности ИТ заключается в возможности применения мирового опыта и лучших практик для обеспечения безопасности ИТ и проведения аудита. Это приводит к снижению сопутствующих затрат и рисков, уменьшению разногласий и повышению доверия при передаче организацией части своих функций на аутсорсинг при заключении со-гла-шений об уровне обслуживания между партнерами.
2. Общая характеристика нормативной базы по вопросам безопасности информационных технологий
В зависимости от методов и средств защиты ИТ международные стандарты ISO можно разделить на четыре группы (табл. 1).
Первая группа стандартов - ISO/IEC JTC1/SC22 «Поиск, передача и управление информацией для взаимосвязи открытых систем (ВОС)» - посвящена развитию и детализации концепции ВОС. Защита информации в данной группе рассматривается как один из компонентов, обеспечивающих возможность полной реализации указанной концепции. Для этого определены услуги и механизмы защиты по уровням базовой модели ВОС, изданы и разрабатываются стандарты, последовательно детализирующие методические основы защиты информации и конкретные протоколы защиты на разных уровнях открытых систем. Нормативной основой решения задач защиты информации являются стандарты ISO 7498:1989 и ISO/IEC 10181:1996. Именно эти документы до недавнего времени определяли взгляды специалистов на теоретические подходы обеспечения защиты информации. С практической точки зрения стандарты данной группы определяют вопросы построения системы защиты информации (СЗИ), в то время как вопросы обеспечения безопасности информации в них носят больше абстрактный характер.
Вторая группа стандартов - ISO/IEC JTC1/SC27 - ориентирована преимущественно на конкретные методы и алгоритмы защиты. В эту группу объединены методологические стандарты защиты информации и криптографии независимо от базовой модели ВОС. Делается попытка обоб-щения конкретных методов и средств защиты в систему организации и управления защитой ИС.
К данной группе относятся стандарты по разработке типовых решений, интерфейсы механизмов безопасности ИТ и стандарты международных криптографических алгоритмов.
Третья группа стандартов - ISO/TC 68 «Банковское дело и соответствующие финансовые операции» - направлена на защиту функционирования банковских систем. Стандарты, объединенные в эту группу, ориентированы в основном на шифрование и аутентификацию при обмене финансовой информацией в процессе деятельности банков.
Во всех трех группах этих стандартов почти не уделяется внимания методологии и процессам системного проектирования комплексных равнопрочных систем обеспечения безопасности ИТ. С течением времени в информационном плане перестали делать какие-либо существенные различия между системами обработки, передачи и хранения информации. В связи с сильной интеграцией телекоммуникационных, сетевых и иных технологий, превалированием в проектировании
Таблица 1. Нормативная база по вопросам безопасности ИТ
Направления Функции Стандарты
КОЛЕС Л"С1.«С22 «Поиск, передача и управление информацией для взаимосвязи открытых систем» Услуги и механизмы защиты по уровням базовой модели ВОС. Методические основы защиты информации и конкретные протоколы защиты на разных уровнях открытых систем ГОСТ Р ИСО 7498-99. ISO/EC DTR 10181, ISO/TEC DTR 10745, ISO/IEC DTR 11586
КОЛЕС ЛС1/БС27, конкретные методы и алгоритмы защиты Методологические стандарты зашиты информации и криптографии независимо от базовой модели ВОС по вопросам разработки типовых решений. интерфейсам механизмов безопасности ИТ и криптографическим алгоритмам КОЛЕС 9798, КОЛЕС 09594-8, КОЛЕС 11577-94, КОЛЕС DTR 10736, КОЛЕС CD 13888, КОЛЕС CD 11770, КОЛЕС 10164-7, КОЛЕС DTR 11586, КОЛЕС 8732-87, КОЛЕС 10118-1,2, КОЛЕС CD 10118-3,4 и др.
КО/ТС. 68 «Банковское дело и соответствующие финансовые операции» Защита функционирования банковских систем, шифрование и аутентификация при обмене финансовой информацией в процессе деятельности банков КОЛЕС 8732, КОЛЕС 11568, SO ЛЕС 11166, КОЛЕС DIS 13492, КОЛЕС 10126-2, КОЛЕС 10116 и др.
Информационные технологии Методология безопасности ИТ. основанная на процедуре анализа и управления рисками и базирующаяся на двух концепциях управления рисками — для базового уровня и для повышенных требований безопасности ISO 17799, ISO 27001, URSIT, В31ЛТ Baseline Protection Manual, NIST, CIS HB 1400-14, ITS Minimum Baseline Protective Requirement, X/Open Baseline Security Services Specification (XBSS),SCORE и др.
телекоммуникационных и информационных систем идеологии единой информационной магистрали все большее практическое распространение получает термин «информационная технология» и его производные: ИТ-системы, ИТ-продукты, объекты ИТ (ОИТ) и наконец ИТ-безопасность. Под ИТ понимают целенаправленную организованную совокупность информационных процессов, реализованных с использованием средств вычислительной техники и обеспе-чивающих высокую скорость обработки данных, быстрый поиск информации, распределение данных, доступ к источникам информации независимо от места их расположения [3]. Одновременно с трансформацией взглядов на процессы обработки информации происходит и изменение взглядов на подходы к обеспечению безопасности информации. Исключительно широкая сфера применения ИТ, беспрецедентное расширение функциональных возможностей ИТ-систем и многие другие причины привели к тому, что существующая модель обеспечения информационной безопасности (ИБ) «угроза безопасности - услуга безопасности - механизм безопасности» перестала удовлетворять как потребителей, так и разработчиков. Это вызвало необходимость поиска новой модели безопасности ИТ и соответственно к разработке новых международных стандартов, которые можно объединить в четвертую методологическую группу. Основополагающими стандартами данной группы являются ISO 17799 и ISO 15408, принятые в качестве нормативной базы по вопросам безопасности ИТ.
Международный стандарт менеджмента безопасности ISO 17799 наиболее полно определяет критерии для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. В нем приведены десять практических рекомендаций по управлению ИБ, разработанных на основе передового мирового опыта, спе-цификации для проведения сертификации режима ИБ, концептуальные основы управления ИБ. Он не зависит от конкретного средства защиты или технологии и является наиболее рас-про-страненным среди организаций и предприятий. В международной практике широко применяется и сертификационный стандарт ISO 27001, разработанный на основе второй части Бри-
танского стандарта BS 7799. Он определяет возможные меры по обеспечению защиты в соответствии с требованиями первой части стандарта и по предотвращению реализации угроз безопасности (управление рисками ИБ). Применение данных стандартов позволяет повысить эффективность работ по обеспечению ИТ-безопасности.
Новый взгляд на проблему безопасности ИТ окончательно был закреплен в стандарте КО/ТЕС 15408 и ассоциированной с ним методологии (КОЛЕС 18045), в которых наиболее широко и детально рассмотрены методологические и системные задачи проектирования и оценки комплексной защиты ИТ. Критерии оценки безопасности ИТ содержат систематизированный каталог требований к безопасности ИТ, порядок и методические рекомендации по его использованию при задании требований, разработке, оценке и сертификации продуктов и систем ИТ по требованиям безопасности. Под безопасностью ИТ понимается состояние, определяющее защищенность ее информации и ресурсов от действия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способность ИТ выполнять предписанные функции без нанесения неприемлемого ущерба субъектам информационных отношений. Тре-
бования к безопасности конкретных продуктов и систем ИТ устанавливаются исходя из имеющихся и прогнозируемых угроз безопасности, проводимой политики безопасности, а также с учетом условий их применения. Критерии дают возможность сравнения результатов независимых оценок безопасности. Это достигается предоставлением общего набора требований к функциям безопасности ОИТ и к мерам доверия, применяемым к ним при оценке безопасности. В процессе оценки обеспечивается определенный уровень уверенности в том, что функции безопасности таких продуктов или систем, а также предпринимаемые меры доверия отвечают предъявляемым требованиям.
Таким образом, стандарт играет важную роль в методической поддержке выбора потребителями требований безопасности ИТ для формирования своих потребностей, а также помогает разработчикам при подготовке к оценке своих продуктов или систем защиты информации (СЗИ). Кроме того, он может использоваться для выбора приемлемых мер защиты информации, поскольку в них содержатся критерии оценки требований безопасности. В целом стандарт представляет собой детальное комплексное руководство, охватывающее требования к функциям и
Экономика, Статистика и Информатика^^ 175 №1, 2012
IT"
методам гарантирования качества основных современных методов и средств обеспечения безопасности ИТ, которое целесообразно использовать при практическом проектировании и эксплуатации систем защиты. Он предназначен для использования в качестве основы при оценке характеристик безопасности продуктов и систем ИТ, а также для практического применения в деятельности заказчиков, разработчиков и пользователей ИТ.
Вопросам анализа и использования стандарта и методологии проведения оценки, а также их развития посвящено множество публикаций, в том числе [11—13]. Анализ этих документов показывает, что совершенствование нормативного обеспечения безопасности ИТ в последнее время все более склоняется в сторону использования философии, базирующейся на признании того факта, что уровень безопасности зависит не столько от выполнения набора формальных требований к конкретным подсистемам, входящим в комплекс средств обеспечения безопасности, сколько от научно обоснованного проектирования самих систем и квалифицированной внешней независимой экспертной оценки результатов работ. Научно обоснованное и экономически целесообразное обеспечение безопасности ИТ проводится с использованием концепции анализа и управления рисками на основании общесистемного критерия «эффективность/стоимость». Концепции анализа и управления рисками на всех стадиях жизненного цикла ИТ были предложены многими крупными организациями, занимающимися проблемами ИБ. На этапе анализа рисков определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий. Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем информационной безопасности, т. е. на этапе управления рисками. Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на ИТ. Методология безопасности ИТ, определяемая данными стандартами, базируется на двух концепциях управления рисками - для базового уровня и для повышенных требований безопаснос-
ти.
3. Концепция, нормативно-методическая и инструментальная база для минимальных требований безопасности
Минимальные требования безопасности (базовый уровень) обеспечиваются совокупностью проверенных практикой правил обеспечения ИБ на всех этапах жизненного цикла ИТ и соответствуют минимальным требованиям к режиму ИБ. Эти правила носят комплексный характер, т. е. охватывают административный, процедурный, программно-технический уровни и все этапы жизненного цикла ИТ. Обычной областью использования этого уровня являются ти-повые проектные решения.
Существует ряд стандартов и спецификаций (табл. 2), в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т.д.. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры (которые также приводятся в этих документах (рис. 1)) вне зависимости от вероятности их осуществления и уязвимости ресурсов. Основополагающими документами, определяющими концепцию управления рисками для базового уровня, являются международные стандарты менеджмента безопасности ISO 17799, ISO 27001. Они описывают концептуальные основы управления ИБ, возможные меры по обеспечению защиты для базового уровня защищенности и по предотвращению реализации угроз безопасности (управление рисками ИБ). Для удобства практического использования этих стандартов Британский институт стандартов (BSI) выпустил серию практических рекомендаций, посвященных различным аспектам ИБ, которые существенно дополняют стан-
дарты, а также справочников, посвященных практическим аспектам реализации политики безопасности в соответствии с ISO17799.
Широкое распространение получили национальные стандарты, стандарты и специфика-ции организаций и ведомств, такие как «Руководство по политике безопасности для автоматизированных информационных систем» США, германский стандарт BSI «Руководство по защите информационных технологий для базового уровня», «Спецификации сервисов базового уровня ИБ» консорциума X/Open, ведомственный стандарт NASA «Безопасность информационных технологий. Минимальные требования к базовому уровню защищенности». Указанные стандарты определяют базовый уровень ИБ, при котором проводится качественная оценка рисков, для чего разработаны и используются различными организациями методики качественной оценки эффективности защиты, такие как COBRA, КОНДОР и др. (табл. 2).
Основные положения и использование нормативно-методической базы при минимальных требованиях безопасности детально рассмотрены в научно-технической литературе, например [12]. Достоинствами подобного подхода являются: сравнительно низкая трудоемкость; ори-ентация на проверенные стандартные решения; простота применения и адаптации на практике; независимость от конкретных технических средств и решений, что обеспечивает свободу выбо-ра платформ, оборудования, производителей и т. п.; возможность использования и адаптации одинаковых базовых защитных мер для многих систем при малых затратах; обеспечение рента-бельности решений для большого количества систем организации, действующих в общей среде
Рис. 1. Концепция управления рисками для базового уровня безопасности ИТ
Таблица 2. Нормативн ом ето д пч е <к пя н инструментальная бшя оценки б&ншасности ИТ для базового уровня
Наименование Юридический сгатус Техническая основа оценки Результат оценки Подход к оценке
IS О,'ТЕС 17799 (образец подхода) Международный стандарт Определяет набор практических правит и руководств по обеспечению безопасности Выполнение всех требований стандарта обеспечивает базовый уровень (минимальные требования) защищенности Образец «нулевого риска»
ISO,ТЕС 27001 Международный стандарт Система менеджмента информационной безопасности на соответствие международному стандарту ISO,ТЕ С 17799 Сертификация системы менеджмента информационной безопасностью Системный подход к управлению ко нфид енциал ь но й информацией
СТБП ЙСО/МЭК 177992000/2004 Стандарт Республики Беларусь Определяет набор практических правит и руководств по обеспечению безопасности Выполнение всех требований стандарта обеспечивает базовый уровень (минимальные требования) защищенности Образец «нулевого риска»
Метод оценки URSIT Принят для оценки рисков ИТ финансовых организации!! пр о в айд ер о в И Т -у слу г д ля надзорных органов Приня1 в США. Учитывает специфику банковской сферы Выявление организаций и провайдеров услуг с высоким уровнем риска с целью усиление к ним мер надзорного характера Оценка на соответствие выбранному образцу
В SWT Baseline Protection Manual Руководство по обеспечению безопасности ИТ базового уровня германского агентства Bundesamt fur Sicherheit in der Informationst echnik Определяет методологию управления ИБ, содержит компоненты информативных технологий, каталоги угроз безопасности и контрмер Выполнение всех требований стандарта обеспечивает базовый уровень (минимальные требования) защищенности Образец «нулевого риска»
NIST. CIS HB 1400-14 Руководство по политике безопасности для автоматизированных информационных систем США Определяет общие положения политики безопасности, поддержание безопасности на протяжении жизненного цикла, минимальные (базовые) требования в области ИБ Выполнение всех требований стандарта обеспечивает базовый уровень (минимальные требования) защищенности Образец «нулевого риска»
ITS Minimum Baseline Protective Requirement Ведомственный стандарт NASA Соответствует документу NIST CIS HB 1400-14 и конкретизирует его положения Выполнение всех требований стандарта обеспечивает базовый уровень (минимальные гр еб о в а ния) з а щищ енно сти Образец «ну л ев ого риска»
X/Open Baseline Security Services Specification (XBSS) Спецификации сервисов базового уровня ИБ консорциума Х/Ореп Определяют требования ИБ к сервисам ПС; параметры, устанавливаемые по умолчанию и соответствующие требованиям ИБ Применимы кИС, построенным на базе типовых проектных решений Предполагается, что концепция обеспечения ИБ организации соответствует стандарту BS 7799 Оценка на соответствие выбранному образцу
SCORE (Security Consensus Operational readiness Evaluation) Практический стандарт. Является совместным проектом института SANS н центра безопасности Интернет CIS Определяет набор практических правит и руководств по обеспечению б ез опа сно сти для р аз личных операционных платформ Оценка соответствия операционных платформ требованиями рекомендациям, содержащимся в предложенных стандартах Используется в качестве эталона оценки (образца «нулевого риска»)
Risk Watch Упрошенный метод оценки и программное средство, разработанные американской компанией Risk Watch Risk Watch for Physical Security - оценка рисков для физических мер зашиты; Risk Watch for Information System оценка информационных рисков. HIPAA- WATCH for Healthcare Industry - оценка на соответствие требованиям стандарта HIPAA в системах здравоохранения. Risk Watch RW17799 for ISO 17799 - оценка рисков на соответствие международному стандарту IS ОЛЕС 17799 Оценка риска на программно-техническом уровне зашиты по двум факторам: частоте возникновения угрозы и стоимости ресурса. Организационные и административные факторы не учитываются Оценка степени соответствия требованиям стандартов США, существующей политике безопасности ISO 17799, более детальным спецификациям PD 3002
COBRA Методика н программное средство, разработанные американской компанией С & A Systems Security Ltd COBRA ISO 17799 Security Consultant -оценка рисков на соответствие международному стандарту IS ОЛЕ С 17799 Оценка степени соответствия существующей политики безопасности ISO 17799 Количественная оценка на соответствие выбранному образцу
КОНДОР4- (праграммный продукт) Р азр аб оган р о ссийско й компанией Digital Security Оценка рисков на соответствие международному стандарту ISO IE С 17799 Отчет о состоянии существующей политики безопасности. Оценка уровня рисков на соответствие требованиям ISO 17799 Качественная оценка на соответствие выбранному образцу
ESM (Symantes Enterprise Security Manager™) Разработан американской корпорацией Symantes Оценка соответствия политики безопасности актам Сарбанеса - Оксли и Грэма - Лича - Блити. HIPAA, FIS MA (MST 800-53). NERC, стандартам ISO 17799. SANS Top 20. CIS Benchmark Отчет о соответствии политики безопасности шаблонам актов ваш стандартов Оценка на соответствие выбранному образцу
ГРИФ Разработан российском компанией Digital Security Оценка рисков на соответствие международному стандарту ISO/EEC 17799 Подробный отчет о полной картине возможного ущерба от нарушения ИБ Качественная и количественная оценки рисков, оценка эффективности политики безопасности
Экономика, Статистика и Информатика^^ 177 №1, 2012
ИГ-
при сопоставимости целей. Недостатками являются отсутствие оценок параметров, характери-зующих режим ИБ, а также вероятность упустить из вида специфические для конкретной ИТ-системы классы угроз.
4. Концепции, нормативно-методическая и инструментальная база для повышенных требований безопасности информационных технологий
В случаях когда нарушения ИБ чреваты тяжелыми последствиями, базовый уровень за-щищенности является недостаточным. Для того чтобы сформулировать дополнительные требо-ва-ния, необходимо определить ценность ресурсов, к стандартному набору добавить список уг-роз, актуальных для исследуемой ИТ, оценить вероятности угроз и уязвимости ресурсов. В этом слу-чае должен быть проведен так называемый полный вариант анализа рисков, в рамках которого, в дополнение к базовым требованиям, рассматриваются следующие аспекты: возможность вы-полнения целей организацией; критичность ИТ с точки зрения ИБ; ресурсы организации и их ценность; уязвимости - слабые места в защите, которые способствуют реализации угроз. На основе этих данных должны быть получены оценки рисков для ИТ-организации, отдельных подсистем, баз данных, отдельных элементов данных. На основании оценок рисков осуществ-ля-ется выбор контрмер, снижающих риски до приемлемых уровней, по критерию эффектив-ность/стоимость, т. е. управление рисками. В настоящее время разработаны, опубликованы и используются полностью или частично две концепции управления рисками - в соответствии со специальной публикацией NIST США и организацией MITRE.
В соответствии с концепцией управления рисками NIST SP 800-30 система управления рисками организации должна минимизировать возможные негативные последствия, связанные с использованием ИТ, обеспечить возможность выполнения основных целей организации и должна быть интегрирована в систему управления жизненным циклом ИТ (табл. 3).
Концепция управления рисками NIST SP 800-30 включает следующие стадии анализа и управления рисками: описание системы, идентификацию угроз, идентификацию уязвимостей, анализ системы управления информационной системой (ИС), оценку парамет-
ров угроз, анализ возможных последствий нарушения ИБ, определение рисков, разработку рекомендаций по управлению рисками, разработку отчетных документов.
Подобная концепция управления рисками получила развитие в техническом отчете ISO TR 13335, который отражает широкий комплекс методологических задач, необходимых при проектировании систем обеспечения безопасности любых ИС (рис. 2). Стадии управления рисками концепции этого документа приведены в табл. 4. Изложенную в отчете модель планирования обеспечения безопасности целесообразно конкретизировать и использовать как фрагмент системного проекта ИТ.
В рамках данных концепций широкое распространение получили национальные стандарты и стандарты организаций, такие как Sys Trust, BSI/IT, Baseline Protection Manual, SAC, COSO, SAS 55/78, Cobit, предусматривающие
вопросы анализа и управления рисками, и некоторые другие, аналогичные им (табл. 5).
Для эффективного анализа и управления информационными рисками разработаны и широко используются количественные международные и национальные методики, позволяющие в той или иной степени провести полный или частичный анализ рисков. К таким методикам относятся CRAMM, Risk Watch, MARION, Buddy System, Method Ware и др. (табл. 5). Указанные стандарты и методики, реализующие вопросы анализа и управления рисками, с той или иной мерой полноты и качества предполагают анализ и оценку рисков (активов, угроз, уязвимостей) и управление ими с целью выбора контрмер для снижения ущерба.
Организацией MITRE разработана концепция управления рисками при построении различных систем (не только информационных), в которой риск
Таблица 3. Управление рисками на различных стадиях жизненного цикла ИТ
Фаза жизненного цикла ИТ Соответствующая фаза управлешш рисками
Предпроектная стадия ИС (концепция данной ИС: определение целей и задач и их документирование) Выявление основных классов рисков для данной ИС, вытекающих из целей и задач, концепция и политика обеспечения ИБ
Проектирование ИС Анализ рисков, специфичных для данной ИС (вытекающих из особенностей архитектуры ИС)
Создание ИС: поставка элементов, монтаж, настройка и конфигурирование Идентификация всех классов рисков и управление ими
Функционирование ИС Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации ИС
Прекращение функционирования ИС и ее утилизация Соблюдение требований ИБ по отношению к выводимым информационным ресурсам
Рис. 2. Концепция управления рисками ISO TR 13335
не разделяется на составляющие части (угрозы и уязвимости), что в некоторых случаях может оказаться более удобным с точки зрения владельцев информационных ресурсов. Для реализации этой концепции MITRE разработала простейший инструментарий для использования на этапе идентификации и оценки рисков, выбора возможных контрмер - «Risk Matrix».
Анализ основных положений и использования нормативно-методической базы при повышенных требованиях безопасности приведен в работах [12, 13, 17]. Достоинствами данного подхода являются научная обоснованность обеспечения ИТ-безопасности и наличие оценок параметров, характеризующих режим ИБ, недостатком - высокая трудоемкость.
5. Недостатки нормативно-методической базы
Использование стандартов увеличивает ценность создаваемых ИТ, однако нет таких стандартов, которые охватывали бы все аспекты безопасности. Существующая нормативно-методическая база имеет и существенные недостатки, основными из которых являются:
- игнорирование системного подхода как методологии анализа и синтеза СЗИ;
- отсутствие механизмов полного и достоверного подтверждения качества СЗИ;
- недостаточность проработки вопросов моделей системы защиты, системы показателей и критериев безопасности ИТ, эффективности средств защиты, предъявления требований к их стойкости;
- невозможность обоснования и оценки достаточности безопасности.
Перечисленные недостатки коренятся как в несовершенстве существующей нормативной базы, так и в сложившихся в ИТ подходах, принципиально отличающихся от разработанных в традиционной инженерии. Так, например, принципиальные различия этих подходов к анализу уязвимостей заключаются в том, что в первом случае (семейство требований доверия AVA_VLA стандарта ISO/IEC 15408) доминирует статический подход, цель которого -доказать отсутствие уязвимостей, допускающих практическое использование после использования СЗИ, а во втором наличие уязвимостей не вызывает сомнений: их нужно непрерывно отслеживать, систематизировать их свойства
Таблица 4. Стадии и содержание концепции управления ршкями ISO TR 13335
Стадии управления Содержание
рисками
Идентификация Угрозы Агент угрозы (человек, случайность, технология) Природа угрозы (физическая, техническая, логическая) Тип угрозы (случайная/намеренная, активная/пассивная) Источник угрозы (внутренний/внешний) Вероятность и частота возникновения
Уязвимости Постоянная/при определенном стечении обстоятельств Необходимые ресурсы
Ущерб Прямой/косвенный Вещественный/нематериальный Не м едленный/ будущий
Анализ Количественное Угроз (Threats, Т)
измерение Уязвимостей (Vulnerabilities, V) Ущерба (Damage, D)
Учет вероятности, осуществимости
Вычисление Базовый метод Информационный метод
рисков: Risk = T*V*D Детальный анализ рисков Комбинированный метод
Оценка Определение уровня риска
Сравнение с приемлемым уровнем, бизнес-целями
Принятие решения Допустить риск Принять меры по устранению (снижению риска)
Управление Уменьшение Принятие контрмер
рисков Соотношение стоимости/эффективности (ROI -Return of Investments)
Передача рисков Страховой компании
Допущение (остаточных) рисков
и выбирать контрмеры в зависимости от этих свойств. В соответствии с одним из положений стандарта SSE-CMM (КО/ТЕС 21827) при рассмотрении вопросов оценки уязвимостей предусматривается мониторинг непрерывных изменений в наборе системных уязвимо-стей и в их характеристиках, а также процесс координации безопасности при рассмотрении 11 групп процессов, относящихся к разработке СЗИ [18]. Проблемными являются и такие вопросы, как игнорирование стохастичной природы событий и явлений, возникающих в процессе защиты информации, абстрагирование от их экономического содержания.
Это в полной мере относится и к фундаментальным категориям безопасности ИТ, терминологии основных понятий. Несмотря на широкое использование методов, основанных на применении рисков ИБ, понятие риска в области безопасности ИТ до сих пор не имеет единого общепризнанного определения. В глоссарии терминов по информационной безопасности приводится восемь определений риска, коррелированных в той или иной степени между собой, 16 определений угрозы и 13 определений уязвимостей, взятых из зарубежных источников. Так, в терми-
нологическом словаре Центра компьютерной безопасности США (NCSC) приведены два определения риска безопасности, предполагающих использование как доверительного, так и обычного методов оценки рисков. Такое разнообразие определений терминов привело к большому разнообразию подходов, методов и критериев оценки защищенности ИТ.
Рассмотренные недостатки обусловливают необходимость развития нормативно-методической базы с учетом существующих недостатков на основе системного подхода, предусматривающего, что СЗИ должна быть комплексной и адаптируемой к изменяющимся условиям.
6. Заключение
Доминирующее влияние на ход работ в направлении стандартизации обеспечения безопасности ИТ оказывают международный стандарт БОЛЕС 15408 и ассоциированная с ним методология КОЛЕС 18045, которые являются современной базой содержательной и, в значительной степени, формальной оценки безопасности ИТ. Основные достоинства этих документов заключаются в гибкости, учете современного уровня ИТ, а также широте спектра, высоком уровне детализации и параметризации
^^^ Прикладная информатика
Таблица 5. Нормативно-методическая и инструментальная база оценки безопасности ИТ при повышенных требованиях безопасности
Наименование Юридический статус Техническая основа оценки Результат сценки [ 1одход к оценке
ISO/IH 15408 Международный стандарт Общетсхнич ее кий стандарт по И Б. Определены место и роль опенок рисков в общей концепции ИБ Для практики эекомендуется руководствоваться положениями ISQIEC 13335 Задание функциональных л гарагггийных требований безопасное™ па основе актуалыг ы.х угроз Оценка риска ira основе анализа угрев, уязвимостей л актавов
ISO/IEC 18015 Международный стандарт Общая методология оценки эезопасности ИТ Сертификация системы информационной безопасности Подход к оценке
ISO/IEC TR 13335 (пример полхода) Технический отчет ИСО и МЭК Определяет четыре подхода к оценке эисков НБ (третья часть) Опенка риска по одному из приведенных методов Оценка риска на основе угроз уязвимостей и зктивов
ISO TR 13569 (пример полхода) Технический отчет технического комитета ISO 68 «Банковские и связанные с ними финансовые услуги» Рекомендован для применения в банковской сфере Содержит пример одного из методов оценки рисков в соответствии с третьей частью ISO/1EC 13335 Оценка риска по одному из методов опенки рисков в соответстзиис третьей частью 180/1ЕС 13335 Оценка риска на основе угроз уязвимостей и активов
Метод опенки OCTAVE Рекомендации, разработанные Институтом разработки программного обеспечения Carnegie для широкого применения Самоуправляемая сводной группой знализаоценка рисков ИБ организаций Выявление рисков конфиденциальности, доступности и целостности активов Подход к оценке
NISTSP 800-12 Техническое руководство NISTUSA Разработано для у частиков полигики эезопасности трех уровней (звена /правления организацией, начальников подразделе!ш й. адмиггистраторов эезопасности) Разработка политики безопасности для внедрения средств зашиты для уменьшения риска Оценка риска ira основе угроз уязвимостей
NISTSP 800-30 Разработан Национальным институтом стандартов CLUA(NBT) Определяет метод оценки рисков при повышенных требованиях безопасности Оценка рисков информационной безопасности Оценка риска на основеугроз уязвимостей и зктивов
CobiT (пример подхода) 11ринят Фондом аудита и контроля информационных систем Определяет обобщенный процесс эценки рисков Общие рекомендации по оценке рис ков на этапе планирования и применения ИТ Оценка риска на основе угроз уязвимостей и ЭКТИВОВ
Sys Trust Разработан American Institute ofCertificd Public Accountants и Canadian Institute of Chartered Accountants Предназначен для проведения ИТ-аудита, который является дополнением к финансовому аудиту Оценка ИС в терминах доступности, безопасности, целостности и эксплуатационной надежности Оценка надежное™ ла соответствие требованиям стандарта
MARION (метод) Разработан Банковской комиссией Франции, рекомендован для оценки состояния информационных кредитных систем Является основой для оценки рисков ИБ для кредитных организаций Франции по летырехбаплыюй шкале для 25 областей Определение наиболее проблемных напраалений для их последующей 1гроработки Опенка риска на основе у гроз, уязвимостей и активов
CRAAM (метод и программный продукт) Принят центральным агентством по компьютерам и теле коммуникациям (ССТА) Великобритании в поддержку стандарта BS7799 Является методом анализа и контроля эисков при повышенных требованиях эезопасности в Великобритании в различных отраслях Опенка рисков ИБ ггри обработке критической информации. Общий или детализированный отчет по аггализу рисков Качественная опенка на соответствие зыбранному образцу
Buddy System Разработан компанией Countemieasires Corporation Оценка рисков, связанных с нарушением физической безопасности и управления проектами Отчет о количественной или качественной величине (эисков Количественный и качественный анализ рисков
Method Ware (методика) Разработана компанией Method Ware Методика позволяет задать модель ИС с позиции И Б, идегпифицировать риски, угрозы, потери в результате инцидентов па верхних уровнях - административном п организационном. Программно-гсхничсские аспекты ИБ описываются плохо Отчет о качественной величине рисков Качественная оценка рисков без подробного анализа факторов рисков
Risk Advisor (программный продукт) Разработан компанией Method Ware Реализована методика позволяющая ¡адать модель НС с позиции ИБ. идентифицировать риски, угрозы, потери в результате инцидентов на верхних уровнях - административном и организационном. Программно-технические аспекты ИБ описываются плохо Качественная оценка рисков и разделение их на приемлемые и неприемлемые Качественная оценка рисков в хютветствии с требованиями австралийского стандарта AS/NZS 1360.1999, имеется версия ISO 17799
SANS/GIAC Site Certification (программа сертификации интернет-сайтов) Предложена институтом SANS Оценка соответствия сегментов компьютерной сети требованиям и эекомендациям.содержащимся в ;тацдартах SCORE Определение трех уровней защищенное™ интернет-сайтов Оценка операционных платформ на соответствие стандартам SCORE
АванГард (комплексная экспертная система управления И Б) Разработана в Институте системного анализа РАН [ 1остроснис ведомственных методик анализа и управдения рисками для всех урок не й (админис тратив но го, организационного, программно-технического и физического). Не валяется универсальной, базы данных )апо;гня ются под конкретны й заказ АванГард-анализ - оценка рисков но вероя пгости рискаа и ущербу, которые вводятся в модель. АванГард-контроль -управление рисками (построение профилей защиты критических составляющих, контроль и анализ выполнения и невыполнения требований и мер ИБ Оценка на соответствие ¡алан ным требования м
№1, 2012 180
■
требований безопасности. Однако существующая нормативная база обладает рядом недостатков, не позволяющих обосновать и оценить уровень безопасности ИТ. Вследствие этого она требует дальнейшего развития.
Нормативная и, прежде всего, методическая база требуют разработки моделей системы обеспечения безопасности, критериев и показателей защищенности, методов их оценки и оценки элементов безопасности, методик оценки защищенности на всех этапах жизненного цикла ИТ, динамической оценки рисков на основе системного подхода, при котором первостепенное значение имеют только те свойства элементов защиты, которые определяют взаимодействие друг с другом и оказывают влияние на систему в целом, а также на достижение поставленной цели.
Литература
1. ГОСТ Р ИСО 7498-99. Информационная технология. Взаимосвязь от-крыпых систем. Базовая эталонная модель.
2. ISO/IEC DTR 10181. Информационные технологии. Взаимосвязь открытых систем. Основы защиты информации для открытых систем.
3. Щербо, В.К. Стандарты выгаисли-тельных сетей. Взаимосвязи сетей: справочник / В.К. Щербо. - М.: Кудиц - образ, 2000. - 198 с.
4. Underlying Technical Models for Information Technology Security / G. Stoneburner. - NIST Special Publications, 2001.
5. ISO/IEC 17799:2005. Информационные технологии. Управление информационной безопасностью.
6. Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model. - ISO/IEC 15408-1:2005, Part 2: Security functional requirements. ISO/IEC 15408-2:2005, Part 3: Security assurance requirements. - ISO/IEC 15408-3:2005.
7. СТБ П ИСО/МЭК17799-2000/2004. Информационные технологии и безопасность. Правила управления информационной безопасностью.
8. СТБ 34.101.1-3. Информационные технологии. Методы и средства безопасности. Критерии оценки безопасно-
сти информационных технологий.
9. ISO/IEC 27001:2005. Информационные технологии. Средства безопасности. Менеджмент качества в области безопасности информационных систем.
10. Information technology - Security techniques - Methodology for IT Security Evaluation. - ISO/IEC 18045:2005.
11. Information technology - Security techniques - Security assessment of operational systems. - ISO/IEC 2nd PDTR 19791:2004.
12. Галатенко, B.A. Стандарты информационной безопасности / B.A. Галатенко; под ред. академика РАН В.Б. Бетелина. - М.: ИНТУИТРУ, 2004. -328 с.
13. Hearn, J. Does the Common Criteria Paradigm Have a Future / J. Hearn / IEEE Security & Privacy. - 2004, January/ February. - Р. 64-65.
14. Risk Management Guide for Information Technology Systems. - NIST, Special Publication 800-30.
15. Systems Engineering at MITRE Risk Management - R1, MP96B0000120, September 1998.
16. ISO TR 13335:1996-1998 - 1-5. IT Information technology - Guidelines for the management of IT security.
17. Симонов, С.В. Технологии и инструментарий для управления рисками / С.В. Симонов / Jet Info. - № 2(117). -2003. - 32 с.
18. Information technology - System Security Engineering - Capability Maturity Model (SSE-CMM). - ISO/IEC 21827:2002.
19. Глоссарий терминов по информационной безопасности [Электронный ресурс]. - Режим доступа: http:// www.garlic.com /-lynn/ secure.htm.
References
1. State Standard 7498-99. Information technology. Open systems correlation. Basic reference model.
2. ISO/IEC DTR 10181. Information technologies. Open systems correlation. Bases of information security in open systems.
3. Tscherbo V.K. Computer networks standards. Computer networks correlations: reference manual. Moscow, Kudits-obraz, 2000. - 198 p.
4. Underlying Technical Models for
Information Technology Security / G. Stoneburner. - NIST Special Publications, 2001.
5. ISO/IEC 17799:2005. Information technologies. Information security management.
6. Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model. - ISO/IEC 15408-1:2005, Part 2: Security functional requirements. ISO/IEC 15408-2:2005, Part 3: Security assurance requirements. - ISO/IEC 15408-3:2005.
7. ISO/IEC 17799-2000/2004. Information technologies and security. Information security management rules.
8. SBS 34.101.1-3. Information technologies. Security methods and means. Information technologies security criteria of estimation.
9. ISO/IEC 27001:2005. Information technologies. Security methods. Information systems security quality management.
10. Information technology - Security techniques - Methodology for IT Security Evaluation. - ISO/IEC 18045:2005.
11. Information technology - Security techniques - Security assessment of operational systems. ISO/IEC 2nd PDTR 19791:2004.
12. Galantenko VA. Information security standards, Moscow, 2004, 308p.
13. Hearn, J. Does the Common Criteria Paradigm Have a Future / J. Hearn / IEEE Security & Privacy. - 2004, January/ February. - P.64-65.
14. Risk Management Guide for Information Technology Systems. - NIST, Special Publication 800-30.
15. Systems Engineering at MITRE Risk Management - R1, MP96B0000120, September 1998.
16. ISO TR 13335:1996-1998 - 1-5. IT Information technology - Guidelines for the management of IT security.
17. Simonov S.V. Risk management technologies and toolkit. Jet Info. - № 2(117). - 2003. - 32 c.
18. Information technology - System Security Engineering - Capability Maturity Model (SSE- CMM). - ISO/IEC 21827:2002.
19. Terms in the field of information security. http://www.garlic.com /-lynn/ secure.htm