Rambler's Top100
Статьи ИКС № 7 2005
И. А. КАЛАЙДА  01 июля 2005

Нормативная база информационной безопасности: время строительства

Регламенты, равные закону

Весной этого года в соответствии с Программой разработки технических регламентов на 2005 – 2006 гг., утвержденной Распоряжением Правительства РФ №1421-р от 06. 11. 2004, начата разработка двух технических регламентов: «О безопасности информационных технологий» и «О требованиях к средствам обеспечения безопасности информационных технологий» . Они станут дополнением к закону «О техническом регулировании» и будут иметь силу закона РФ.

В этих документах должны быть определены границы действия технических регламентов и основные понятия в области ИТ, а также проведен анализ нормативно-правовых актов, международных и национальных стандартов, других документов, регламентирующих требования безопасности в области ИТ и опыт их практического использования. Кроме того, будет сформирован перечень международных и национальных стандартов и других нормативно-методических документов, использованных при разработке данных технических регламентов.

Существенная часть работы над регламентами – создание базы данных об инцидентах безопасности, относящихся к предметной области технических регламентов, и анализ информации об инцидентах. Регламенты должны определить перечень объектов технического регулирования, риск реализации угроз которых может быть недопустимо велик, и дать классификацию объектов технического регулирования по категориям в зависимости от риска реализации угроз. В них будут также специфицированы виды потенциальных угроз безопасности ИТ и основные способы их реализации, а также сформулированы порядок анализа и оценки рисков для угроз безопасности ИТ, правила отнесения объектов технического регулирования к установленным категориям и требования безопасности для каждой категории объектов технического регулирования.

Еще одна важная задача разрабатываемых документов – определить необходимые формы и схемы подтверждения соответствия в зависимости от категорий объектов технического регулирования, а также порядок проведения контроля и надзора за выполнением требований технических регламентов. И наконец, здесь будут четко изложены особенности вступления в силу технических регламентов и порядок выполнения требований безопасности ИТ в переходный период.

В ближайшее время будет готов также проект постановления Правительства РФ «О порядке оценки соответствия продукции, используемой в целях защиты информации, содержащей сведения ограниченного доступа» . В нем определяю т ся объекты, формы и порядок оценки соответствия средств защиты информации требованиям безопасности.

Кроме того, ведутся работы по формированию критериев отнесения систем информационной инфраструктуры к системам, оказывающим существенное влияние на безопасность государства в информационной сфере, по определению требований к таким системам и методов проверки их выполнения.

Нормативно-методическая основа

Все эти документы войдут в систему нормативнометодических документов ФСТЭК России, где можно выделить три группы, которые определяют:
  • основы подхода к обеспечению безопасности ИТ;
  • требования к их безопасности, порядок задания и оценки выполнения этих требований при сертификации;
  • деятельность системы сертификации изделий ИТ на основе требований безопасности информации.


Единый подход

Базовый документ первой группы – «Концепция обеспечения безопасности изделий информационных технологий» . Это система взглядов и основных принципов, от которых зависит решение проблем обеспечения безопасности изделий ИТ при их разработке, оценке и эксплуатации. Предметная область концепции – организационные, программно-технические и технологические меры обеспечения безопасности изделий ИТ, основанные на положениях и требованиях действующих законов, стандартов и нормативно-методических документов.

В концепции изложены общие понятия и положения по обеспечению безопасности изделий ИТ, а также назначение, структура и основное содержание документов для представления требований к безопасности изделий ИТ – профиля защиты (ПЗ) и задания по безопасности (ЗБ). Здесь же приводятся основные меры обеспечения безопасности при разработке изделий, порядок их оценки и сертификации безопасности, основы поддержания безопасности при их эксплуатации.

Раздел, посвященный обеспечению безопасности при разработке, испытаниях, поставке и эксплуатации изделий ИТ, содержит набор положений, регламентирующих, как должны решаться задачи обеспечения безопасности на всех этапах жизненного цикла продуктов, используемых в сфере ИТ. В нем приведены общие требования по обеспечению безопасности и задачи, решаемые на различных этапах жизненного цикла оборудования и ПО.

Неотъемлемой частью концепции является «Базовая модель угроз безопасности ИТ» : она устанавливает структуру модели угроз, форму их представления в ПЗ и ЗБ, содержит описание типовых угроз. Структура базовой модели, отражающая общие элементы процесса возникновения и реализации угрозы, включает: источник, способ реализации, используемые уязвимости, виды активов, на которые воздействует угроза, виды воздействия на активы, нарушаемые свойства безопасности активов, возможные последствия реализации угрозы.

Унификация требований

Базовым документом второй группы является ГОСТ Р ИСО/МЭК 15408 – 2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» . Вместе с тем существует соответствующий ему по содержанию РД Гостехкомиссии РФ «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» , предназначенный для практического использования заказчиками, разработчиками, пользователями изделий ИТ, органами по сертификации и испытательными лабораториями. Статус этого РД позволяет оперативно вносить в него текущие изменения, если они продиктованы опытом практического применения и совершенствования критериев оценки безопасности ИТ.

Стандарт 15408 – 2002 предусматривает использование для описания требований к конкретному типу СЗИ профилей защиты. ПЗ – это нормативный документ, где изложены проблемы безопасности определенной совокупности продуктов и систем ИТ и сформулированы требования безопасности для решения данной проблемы. Это стандартизованные наборы требований, обосновывающих задание выдвинутых заявителем требований к безопасности изделия. Они позволяют оценить уровень безопасности и провести сравнительный анализ изделий по обеспечиваемому ими уровню безопасности. При этом в ПЗ не регламентируется, каким образом содержащиеся в нем требования должны быть выполнены, а значит, это будет независимое от реализации описание требований безопасности.

В настоящее время разработано более десятка ПЗ для различных типов изделий ИТ. Список постоянно пополняется,. е. в скором времени мы получим совокупность семейств ПЗ для основных типов изделий ИТ, необходимую для перехода на новую нормативную базу.


Методическая составляющая стандарта – «Положение по разработке ПЗ и ЗБ» . Здесь определены порядок разработки, оценки, регистрации и публикации ПЗ и ЗБ для продуктов и систем ИТ, предназначенных для обработки информации, отнесенной законодательством РФ к информации ограниченного доступа. В документе изложены общие положения по назначению, содержанию и организации разработки ПЗ и ЗБ, порядок разработки, оценки, сертификации, регистрации и публикации профилей защиты, а также порядок разработки и оценки заданий по безопасности. В нем же приведены формы представления ПЗ и ЗБ, а также уведомления о разработке ПЗ.

«Руководство по формированию семейств ПЗ» – еще одна методика, которая устанавливает порядок формирования семейств ПЗ, предназначенных для группирования и классификации ПЗ одного типа изделий ИТ. В документе приведены состав, структура и назначение семейств ПЗ, состав классов защищенности изделий ИТ и соответствующих им базовых пакетов требований доверия и уровней стойкости функций безопасности, а также порядок разработки ПЗ на основе «базы» их семейств и включения в семейство новых профилей их модификации.

В «Руководстве по разработке ПЗ и ЗБ» определены назначение, состав и структура профиля защиты и задания по безопасности, общие положения и рекомендации по представлению материалов этих разделов как для изделия в целом, так и для изделий и средств, входящих в состав других изделий. Есть в нем и рекомендации по формированию функциональных пакетов требований и пакетов требований доверия к безопасности изделий ИТ, примеры описания угроз, политик безопасности организаций, предположений, целей и требований безопасности.

И наконец, «Руководство по регистрации ПЗ» определяет процедуры формирования, ведения и использования реестра профилей защиты и пакетов, предназначенных для задания требований к безопасности изделий ИТ. В нем указаны функции органа регистрации ПЗ и пакетов требований к безопасности изделий ИТ, порядок рассмотрения заявок на регистрацию ПЗ и пакетов требований, критерии отклонения заявок на регистрацию, порядок публикации реестра ПЗ и пакетов требований, а также описана процедура апелляции в отношении действий органа регистрации.

Общая методология оценки безопасности изделий ИТ содержит совокупность типовых методик оценки выполнения требований к безопасности ИТ, определенных РД «Безопасность ИТ. Критерии оценки безопасности ИТ». Ее применение позволяет разным испытательным лабораториям реализовать единый подход к оценке безопасности ИТ, а значит, обеспечить повторяемость и сравнимость результатов.

Система сертификации

Базовый документ третьей группы – «Положение о системе сертификации изделий информационных технологий по требованиям безопасности информации». В нем определены организационная структура системы сертификации, основные задачи ее участников, порядок выполнения работ по сертификации, состав представляемых и отчетных документов, форма, порядок выдачи сертификатов соответствия и порядок их сопровождения при эксплуатации изделий ИТ. Положение разработано с учетом норм ФЗ «О техническом регулировании».

Требования к органам по сертификации и испытательным лабораториям определяют требования к структуре, персоналу, управлению деятельностью, системе качества, технической оснащенности и документации. Орган по сертификации или испытательная лаборатория должны им соответствовать, чтобы получить аккредитацию в системе сертификации ФСТЭК России.

Вместе с тем существует положение по инспекционному контролю за деятельностью этих структур, где прописаны порядок и процедуры контроля за соблюдением органами по сертификации и испытательными лабораториями критериев, методологии и процедур проведения оценки и сертификации изделий, а акже указаны формы и периодичность таких проверок, виды решений и условия их принятия.

Основные процедурные и методические аспекты деятельности участников системы сертификации на всех этапах работ по сертификации изделий ИТ, их задачи, обязанности и порядок взаимодействия описываются в комплекте руководств для органов по сертификации, испытательных лабораторий и заявителей сертификации.

А «Руководство по сопровождению сертификатов соответствия изделий ИТ» определяет порядок действий разработчика, испытательной лаборатории и органа по сертификации при изменении сертифицированного изделия ИТ или установленной для него среды применения.

Предусмотрена также разработка различных инструментальных средств, обеспечивающих поддержку применения нормативных и методических документов.

Перечисленные документы составят основу нормативной и методической базы обеспечения безопасности ИТ в России.

Требования к нормативной базе

Универсальность – способность обеспечивать оценку безопасности любых видов изделий ИТ и отдельных их компонентов.

Гибкость – способность формировать требования и получать ценки безопасности изделий ИТ, максимально учитывающие особенности их применения.

Конструктивность – способность объективным образом оценивать уровень безопасности изделий ИТ и влиять на процесс ее обеспечения.

Преемственность – способность интерпретировать результаты оценок, полученных на основе предшествующей нормативной базы и в других системах оценки безопасности изделий ИТ.

Расширяемость – способность наращивать систему критериев и показателей без нарушения их общего построения.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!