• предложить детальный и структурированный перечень требований для механизмов безопасности, мер и средств обеспечения их реализации;
Предлагаемые адаптированные ОК содержат две категории требований: функциональные и требования гарантированности.
Первые описывают функции, которые необходимо реализовать в ИТ для обеспечения их безопасности. Вторые определяют меры и средства, которые должны быть использованы в процессе создания ИТ для полной уверенности в правильности реализации механизмов безопасности и в их эффективности. Все требования ОК разбиваются по классам, семействам, компонентам и элементам с определением зависимостей одних компонентов от других. Определяются допустимые действия над компонентами, которые могут применяться для конкретизации задаваемых требований безопасности.
• охватить весь жизненный цикл ИТ, начиная от формирования целей и требований обеспечения безопасности, разработки действенных политик безопасности и кончая поставкой и наладкой ИТ на конкретном объекте;
• реализовать возможность формирования наборов требований и правил безопасности по уровням безопасности ИТ, сопоставимых с другими системами оценки;
Преемственность предлагаемых оценок безопасности достигается за счет возможности формирования профилей защиты, соответствующих наборам требований, которые определяют уровни безопасности ИТ в других системах.
• гарантировать комплексность подхода к обеспечению безопасности ИТ;
Адаптация ОК позволяет обеспечить безопасность ИТ на всех этапах жизненного цикла КИС – от этапа анализа требований (на этапе формирования замысла информационной системы) до реализации, эксплуатации и сопровождения системы. Здесь предусматриваются следующие уровни рассмотрения безопасности ИТ:
– безопасность окружающей среды (законы, нормативные документы, организационные меры, физическое окружение, определяющие условия применения ИТ, а также существующие и возможные угрозы безопасности ИТ);
– цели безопасности (намерения, определяющие направленность мер по противодействию выявленным угрозам и обеспечению безопасности);
– требования безопасности (полученный в результате анализа целей безопасности набор технических требований для механизмов безопасности и гарантированности их реализации, обеспечивающий достижение сформулированных целей);
– спецификации безопасности (проектное представление механизмов безопасности, реализация которых гарантирует выполнение требований безопасности);
– разработка (реализация механизмов безопасности со спецификациями).
• обеспечение комплексности оценки безопасности ИТ;
Адаптация ОК позволяет оценивать безопасность ИТ в процессе их разработки на наиболее важных этапах. Предусмотрены следующие стадии оценки:
– профиля защиты,
– задания по безопасности,
– реализованных механизмов безопасности.
В первом случае устанавливается, что сформированный профиль является полным, последовательным, технически правильным и пригодным для использования в качестве типового для определенного класса ИТ. Использование оцененных, апробированных и стандартизованных профилей защиты дает возможность избежать затрат на разработку требований по информационной безопасности к создаваемым системам и изделиям и исключить дополнительные затраты на их обоснование.
Вторая стадия призвана установить, что задание соответствует требованиям профиля защиты и содержит полный, последовательный и технически правильный набор требований, необходимых для обеспечения безопасности конкретного объекта. Задание по безопасности подлежит согласованию на предприятии и является в дальнейшем основным документом, в соответствии с которым оценивается безопасность разрабатываемой ИС.
Наконец, цель третьей стадии – установить, что механизмы безопасности обеспечивают выполнение всех требований, содержащихся в задании по безопасности.
• предусмотреть расширяемость требований к безопасности ИТ.Адаптация ОК позволяет предложить наиболее полный на сегодня набор критериев в области безопасности ИТ, который удовлетворяет потребностям основных категорий и групп пользователей, а также разработчиков информационных систем.
Интересно отметить, что в настоящее время Европейской ассоциацией производителей компьютерной техники ЕСМА уже осуществляются проекты по разработке стандарта «Расширенный коммерческий функциональный класс оценки безопасности (E-COFC)». В этом документе принятый в 1993 году стандарт ЕСМА-205 «Коммерческий функциональный класс оценки безопасности (COFC)» перерабатывается в соответствии с требованиями и терминологией ОК.
И если данный подход дополнить, кроме того, анализом требований по организации режима информационной безопасности компании, то получится достаточно мощный инструмент для оценки безопасности информационных технологий отечественных компаний и разработки эффективных политик безопасности.3.3. Германский стандарт BSI
В отличие от ISO 17799 германское «Руководство по защите информационных технологий для базового уровня защищенности» 1998 года посвящено детальному рассмотрению частных вопросов создания политик безопасности компании и управления безопасностью в целом. Это руководство представляет собой гипертекстовый электронный учебник объемом примерно 4 Мб (в формате HTML). Общая структура германского стандарта BSI приведена на рис 3.9.
Рис. 3.9. Структура германского стандарта BSI
В германском стандарте BSI представлены:
• общая методика разработки политик безопасности и управления информационной безопасностью в целом (организация менеджмента в области информационной безопасности, методология использования руководства);
• описания компонентов современных информационных технологий;
• описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);
• характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);
• характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и серверы под управлением операционных систем семейства DOS, Windows и UNIX);
• характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows;
• характеристика активного и пассивного телекоммуникационного оборудования ведущих вендоров, например Cisco Systems;
• подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
Существенно, что политики безопасности компании рассматриваются по определенному сценарию: общее описание информационного актива компании – возможные угрозы и уязвимости безопасности – возможные меры и средства контроля и защиты. С версиями этого стандарта на немецком и английском языках можно познакомиться подробнее на Web-сервере BSI (http://www.bsi.de).
3.4. Стандарт CobiT
К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий (см. табл. 3.3).
Таблица 3.3. Сравнение некоторых стандартов аудита ИТ
Ассоциация ISACA, в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969 году и в настоящее время объединяет более 35 тыс. членов из более чем 100 стран, в том числе и России. Ассоциация ISACA координирует деятельность более чем 38 тыс. сертифицированных аудиторов информационных систем (CISA – Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.
Ассоциация ISACA под аудитом информационной безопасности в информационной системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятии в части эффективности информационных технологий.
По заявлениям руководящих органов ISACA, основная цель ассоциации – исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем. В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по разработке политик безопасности компании.
Концепция изложена в документе под названием CobiT 3rd Edition (Control Objectives for Information and Related Technology), который состоит из шести частей:
Часть 1: Резюме для руководителей (Executive Summary);
Часть 2: Определения и основные понятия (Framework). Помимо определений и основных понятий в этой части сформулированы требования к ним;
Часть 3: Цели контроля (Control Objectives);
Часть 4: Принципы аудита (Audit Guidelines);
Часть 5: Набор средств внедрения (Implementation Tool Set);
Часть 6: Принципы управления (Management Guidelines).Третья часть этого документа в некотором смысле аналогична международному стандарту ISO 17799:2005 (BS 7799-1:2002). Примерно так же подробно приведены практические рекомендации по разработке политик безопасности и управлению информационной безопасностью в целом, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт CobiT (Control Objectives for Information and Related Technology) – пакет открытых документов, первое издание которого было опубликовано в 1996 году. Кратко основная идея стандарта CobiT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов (рис. 3.10) для обеспечения компании необходимой и надежной информацией.