Особенности российских стандартов защиты информации
Стандарты в структуре информационной безопасности (ИБ) выступают как связующее звено между технической и концептуальной стороной вопроса. Их нельзя сравнить, скажем, со «стандартом на изготовление кривошипно-шатунных изделий» по одной простой причине: в стандартах на ИБ косвенно затрагиваются правовые вопросы — такие, как «защита жизненно важных интересов личности» (закон РФ No 2446-1 «О безопасности» от 5 марта 1992 г. с изменениями от 25 декабря 1992 г.).
В связи с необходимостью обеспечить совместимость аппаратно-программных систем и их компонентов за основу российских стандартов ИБ («Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации». — М., 1992 г.), брались стандарты США — так называемая «Оранжевая книга» (Department of Defense Trusted Computer System Evaluation Criteria.- DoD 5200.28 — STD, December 26, 1985). Эта «оранжевая революция» в ИТ привела к тому, что правовую базу пришлось так или иначе подтягивать к стандартам. Возникают определенные трудности с пониманием вопроса, тем более что количество стандартов и спецификаций (международных, национальных, отраслевых и т. п.) в области ИБ весьма велико.
Чтобы разобраться в вопросах применения российских стандартов, необходимо представить себе административно-правовую структуру информационной безопасности и понять, какое место они в ней занимают. Эта структура показана на рис. 1, откуда видно, что стандарты относятся к специальным нормативным документам по технической защите информации и находятся в определенном логическом соответствии с правовыми и организационно-распорядительными документами. Наименования стандартов приведены в таблице.
Рис. 1. Административно-правовая структура ИБ в России.
|
Российские стандарты, регулирующие ИБ
No п/п | Стандарт | Наименование |
1 | ГОСТ Р ИСО/МЭК 15408-1-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России |
2 | ГОСТ Р ИСО/МЭК 15408-2-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России |
3 | ГОСТ Р ИСО/МЭК 15408-3-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России |
4 | ГОСТ Р 50739-95 | Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России |
5 | ГОСТ Р 50922-96 | Защита информации. Основные термины и определения. Госстандарт России |
6 | ГОСТ Р 51188-98 | Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России |
7 | ГОСТ Р 51275-99 | Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России |
8 | ГОСТ Р ИСО 7498-1-99 | Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России |
9 | ГОСТ Р ИСО 7498-2-99 | Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России |
На сегодня самый полный стандарт, определяющий инструменты оценки безопасности
информационных систем и порядок их использования, — это ГОСТ Р ИСО/МЭК 15408,
называемый еще «Общими критериями» (ОК). Как отмечается во введении к нему,
«…обеспечение безопасности информационных технологий (ИТ) представляет собой
комплексную проблему, которая решается в направлениях совершенствования правового
регулирования применения ИТ». Там же (часть 1, глава 1, пункт в) сказано: «В
Общих критериях не рассматривается ни методология оценки, ни административно-правовая
структура, в рамках которой критерии могут применяться». Соответственно все
правовые и методико-технологические вопросы придется рассматривать отдельно,
при этом не теряя из виду контекста, заложенного в стандартах. В этом как раз
и состоит основная сложность.
«Общие критерии» предназначены служить основой при оценке характеристик безопасности продуктов и систем ИТ. Заложенные в стандарте наборы требований позволяют сравнивать результаты независимых оценок безопасности. На основании этих результатов потребитель может принимать решение о том, достаточно ли безопасны ИТ-продукты или системы для их применения с заданным уровнем риска. «Общие критерии» направлены на защиту информации от несанкционированного раскрытия, модификации, полной или частичной потери и применимы к защитным мерам, реализуемым аппаратными, программно-аппаратными и программными средствами.
В первой части (ГОСТ Р ИСО/МЭК 15408-1-2002. «Введение и общая модель») устанавливается общий подход к формированию требований оценки безопасности, на их основе разрабатываются профили защиты и задания по безопасности, представленные в классах данного стандарта — APE «Оценка профиля защиты» и ASE «Оценка задания по безопасности», а также AMA «Поддержка доверия».
Часть вторая (ГОСТ Р ИСО/МЭК 15408-2-2002. «Функциональные требования безопасности») представляет собой обширную библиотеку функциональных требований к безопасности, описывающую 11 классов, 66 семейств, 135 компонентов и содержащую сведения о том, какие цели безопасности могут быть достигнуты и каким образом.
Третья часть (ГОСТ Р ИСО/МЭК 15408-3-2002. «Требования доверия к безопасности») включает в себя оценочные уровни доверия (ОУД), образующие своего рода шкалу для измерения уровня доверия к объекту оценки. Под доверием понимается «…основа для уверенности в том, что продукт или система информационных технологий отвечает целям безопасности». Способом его достижения считается активное исследование, определяющее свойства безопасности ИТ (причем большее доверие является результатом приложения больших усилий при оценке) и сводящееся к их минимизации для обеспечения необходимого уровня доверия. Одним словом, мы должны свести усилия к минимуму, при этом не переусердствовав в достижении необходимого уровня доверия.
Обобщая вышесказанное, можно сделать вывод: каркас безопасности, заложенный частью 1 ОК, заполняется содержимым из классов, семейств и компонентов в части 2, а третья часть определяет, как оценить прочность всего «строения». В роли чертежей для многократного повторения архитектуры выступают профили защиты (ПЗ) и задания по безопасности (ЗП).
Профили защиты
Рассмотрим подробнее профили защиты. Они составляют универсальную совокупность требований к безопасности ИТ, независимую от определенной категории объекта оценки (ОО). Под ОО понимается подлежащий оценке ИТ-продукт или система с руководствами администратора и пользователя. К нормативным документам в области разработки профилей защиты и заданий по безопасности относятся:
- «Руководство по формированию семейств профилей защиты»;
- «Положение по разработке профилей защиты и заданий по безопасности», определяющее порядок разработки, оценки, регистрации и публикации профилей защиты и заданий по безопасности для продуктов и систем ИТ, предназначенных для обработки информации, отнесенной к информации ограниченного доступа в соответствии с законодательством Российской Федерации;
- «Руководство по разработке профилей защиты и заданий по безопасности», представляющее собой детальное руководство по разработке различных частей ПЗ или ЗБ и дающее исчерпывающее представление об их взаимосвязи;
- «Руководство по регистрации профилей защиты» (Гостехкомиссия — ныне ФСТЭК России, 2003 г.).
Структура нормативно-методической документации представлена на рис. 2. Именно официально принятые профили защиты образуют построенную на основе ОК и используемую на практике нормативную базу в области информационной безопасности.
Рис. 2. Состав нормативно-методических документов по оценке безопасности ИТ.
|
В структуру типового профиля защиты включены следующие элементы:
- маркировка, позволяющая идентифицировать и каталогизировать профиль;
- аннотация — подробная общая характеристика в описательной форме, на основе которой можно выбрать соответствующий задачам профиль;
- описание, в котором содержится информация, полно раскрывающая предназначение профиля и служащая для выявления противоречий, возникающих в процессе оценки;
- среда безопасности, включающая описание предполагаемой области применения, описание угроз, от которых требуется защита, и политику безопасности предприятия;
- цели безопасности, т. е. намерения противостоять угрозам полностью или частично в соответствии с принятой политикой безопасности (некоторые пункты могут повторять описание среды безопасности);
- требования по безопасности как для ИТ, так и для работающего в их среде объекта оценки; если его безопасность не зависит от ИТ, данный пункт может быть пропущен;
- замечания по применению, содержащие дополнительную информацию, которая считается уместной или полезной для создания, оценки и использования объекта оценки;
- обоснование, используемое при оценке профиля защиты и состоящее из логического обоснования целей безопасности и требований безопасности.
Задание по безопасности содержит требования к ИБ для конкретного ОО и однозначно определяет функции безопасности и меры доверия, удовлетворяющие поставленным требованиям. Оно служит основой для соглашения между разработчиками, оценщиками и потребителями по характеристикам безопасности и области применения оценок. В его состав могут входить требования из одного или нескольких профилей защиты. Структура типового задания по безопасности во многом напоминает структуру профиля защиты с той только разницей, что содержит краткую спецификацию ОО с изложением функций безопасности и мер доверия и утверждение о соответствии профилю защиты.
С чего начать формирование профиля защиты? Первым делом придется провести инвентаризацию, составив подробный список используемых информационных систем с описанием каждой. Такое описание должно содержать информацию о задачах, решаемых информационной системой (ИС), функциональную схему информационных потоков, наличие сертификатов, лицензий с указанием сроков окончания их использования. Кроме того, должно быть выполнено подробное описание системы с точки зрения ИБ, составлен список документов по безопасности с исчерпывающей информацией о персонале, работающем с данной системой, список имеющихся должностных документов.
После проведения инвентаризации полученные материалы необходимо классифицировать для удобства их дальнейшего использования. Информационные объекты (информация — создаваемая, хранимая, обрабатываемая) классифицируются по степени их значимости для предприятия. Средства обработки информации (совокупность соответствующего аппаратного и программного обеспечения) классифицируются по их способности удовлетворять определенному оценочному уровню доверия (согласно «Общим критериям», ОУД образуют возрастающую шкалу, состоящую из семи компонентов и позволяющую соотнести получаемый уровень доверия со сложностью, стоимостью и сроками его достижения). Субъекты (любой пользователь информационной системы) классифицируются по степени их допуска к работе с тем или иным объектом. Лучше всего составить документ — классификатор информационной безопасности, содержащий следующие разделы:
- классификация объектов;
- классификация субъектов;
- классификация средств обработки;
- таблицу разрешений, сопоставляющую субъекты с объектами и средствами обработки.
Практика
Теперь рассмотрим конкретный пример. Две ИТ-компании, объединившись, хотят расширить область своей деятельности. Для этого им необходимо получить лицензию, согласно федеральному закону No 128-ФЗ «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. и соответствующими положениями: «О государственном лицензировании деятельности в области защиты информации» (No 10 от 27 апреля 1994 г.), «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (No 333 от 15 апреля 1995 г.).
Лицензионные требования и условия при осуществлении деятельности по технической защите конфиденциальной информации таковы:
а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности «компьютерная безопасность», «комплексное обеспечение информационной безопасности автоматизированных систем» или «информационная безопасность телекоммуникационных систем», либо специалистами, прошедшими переподготовку по вопросам защиты информации;
б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации, руководящими и нормативно-методическими документами, утвержденными приказами Государственной технической комиссии при Президенте РФ;
в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;
г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.
Исторически во многих небольших российских компаниях инфраструктура аппаратного и программного обеспечения во многом формировалась под воздействием личных предпочтений персонала и его квалификации, а не исходя из экономического расчета целесообразности и технологичности. Соответственно каждая компания обладает ИТ-структурой, имеющей свои особенности как в плане аппаратного и программного обеспечения, так и в системе должностных инструкций персонала.
Законодательным актом, «…регулирующим отношения, возникающие при: формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации» выступает федеральный закон No 24-ФЗ «Об информации, информатизации и защите информации» от 20 февраля 1995 г. (с изменениями и дополнениями No 15-ФЗ от 10 января 2003 г.), в котором особый интерес представляет раздел 3 статьи 22: «Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации». Можно сделать вывод, что закон недвусмысленно признает правомерность использования несертифицированных систем, перекладывая ответственность за это на потребителя информации. Однако «Положением о сертификации средств защиты информации» (No 608, утверждено постановлением Правительства Российской Федерации от 26 июня 1995 г. , с изменениями и дополнениями No 509 от 23 апреля 1996 г. и No 342 от 29 марта 1999 г.) в пункте 7 однозначно определено: «Изготовители производят (реализуют) средства защиты информации только при наличии сертификата». Опять возникает вопрос: а что, если использовать несертифицированные средства защиты информации иностранных разработчиков, закупленные непосредственно у производителя и ввезенные в страну (причем Интернет не считается средством ввоза программных продуктов)?
Ответ на данный вопрос мы находим в Указе Президента РФ No 334 от 3 апреля 1995 г. «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации», в пункте 5 которого сказано: «Государственному таможенному комитету Российской Федерации принять меры к недопущению ввоза на территорию Российской Федерации шифровальных средств иностранного производства без лицензии Министерства внешних экономических связей Российской Федерации…». Причем в пункте 4 того же указа говорится: «В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации…». Напомним, что к шифровальным средствам относятся аппаратные, программные и аппаратно-программные инструменты, системы и комплексы, реализующие криптографические алгоритмы преобразования информации, если они служат:
- обеспечению безопасности информации при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику;
- защите от несанкционированного доступа к информации при ее обработке и хранении;
- защите от навязывания ложной информации, включая средства имитозащиты и электронной цифровой подписи;
- изготовлению ключевых документов для шифровальных средств независимо от вида носителя информации.
Однако подобная расширенная трактовка, согласно формулировкам ГОСТ Р ИСО 7498-2-99 «Архитектура защиты информации», часть 2, позволяет подвести под термин «шифровальное средство» практически любой продукт, где реализуется преобразование информации с использованием ключа. Таковыми можно считать и Microsoft Word, и Microsoft Excel, и утилиты для работы с файловой системой, и средства организации виртуальных сетей, и многое другое… К ним можно отнести даже некоторые виды программных архиваторов, почтовых клиентов, программ терминального доступа, которые при обработке данных изменяют их семантическую структуру. В спорных случаях вопрос отнесения продукта к средствам криптографической защиты информации решается путем проведения технической экспертизы либо самого продукта, либо его описания в сертификационных испытательных центрах ФАПСИ. В случае признания продукта шифровальным средством потенциальному пользователю следует получить лицензию на его применение, а для продукта иностранного производства — еще и лицензию на ввоз.
Выводы
Из приведенных выше рассуждений вытекает следующее.
1. Конфиденциальную информацию, включая персональные данные, не только можно, но и нужно защищать. Если средства защиты не содержат шифровальных средств, то владелец системы вправе применять любые, в том числе несертифицированные продукты на свой страх и риск. Однако государственные учреждения для защиты от несанкционированного доступа обязаны использовать средства, сертифицированные ФСТЭК России (а если речь идет о классах защищенности 1А, 1Б и 2Б — то и сертифицированные ФАПСИ).
2. Если государственные учреждения применяют шифровальные средства, то последние должны иметь сертификат ФАПСИ. Это относится и к банкам при их взаимодействии с ЦБ.
3. Если юридическое или физическое лицо применяет шифровальные средства, то оно должно получить лицензию ФАПСИ на их эксплуатацию. Таким образом, помимо того что они обязаны приобретать только сертифицированные ФАПСИ средства, банки (при взаимодействии с ЦБ) и госучреждения должны получить лицензию на их использование; всем остальным достаточно получить лицензии ФАПСИ — применять же они могут несертифицированные продукты. Однако для использования импортных шифровальных средств пользователям необходимо получить лицензию Министерства торговли совместно с ФАПСИ на право ввоза таких средств. Возникает закономерный вопрос: где пользователи могут легально приобрести средства шифрования, если они не хотят заниматься весьма утомительной процедурой получения лицензии на ввоз таких средств (кстати, она выдается только на конкретную партию продуктов)? Ответ — только у разработчиков и распространителей шифровальных средств. Те, в свою очередь, обязаны иметь лицензии ФАПСИ на разработку и распространение. Чтобы получить подобную лицензию, разработчик должен выпускать продукты в соответствии с нашими ГОСТами, и эти продукты должны пройти сертификационные испытания.
4. Без приведения ИТ-структуры компаний к виду, удовлетворяющему условиям лицензирования, их совместная деятельность на новом поприще будет невозможной. Причем выполнить весь комплекс мер, необходимых для этого, без помощи квалифицированного юриста почти невозможно. Удобнее же всего воспользоваться услугами компаний, сертифицированных в области информационной безопасности.