Во многих информационных системах требования в области ИБ не являются жесткими: недоступность системы может составлять несколько десятков часов в год, степень конфиденциальности сведений не очень высока. Примерами таких систем являются практически все офисные системы, системы поддержки принятия решений для приложений, где не требуется высокая оперативность. Практические правила обеспечения режима ИБ в подобных случаях обычно основываются на концепции базового уровня ИБ. Базовый уровень обеспечивается совокупностью проверенных практикой правил обеспечения ИБ на всех этапах жизненного цикла информационной технологии. Эти правила носят комплексный характер, то есть охватывают административный, процедурный, программно-технический уровни и все этапы жизненного цикла информационной технологии. Достоинством подобного подхода является сравнительно низкая трудоемкость и ориентация на проверенные стандартные решения. Недостатком является отсутствие оценок параметров, характеризующих режим ИБ. При подобном подходе можно упустить из вида специфические для конкретной информационной системы классы угроз.
В последнее время появились национальные и ведомственные стандарты, в которых определены требования к базовому уровню безопасности информационных технологий.
Документ "BS7799: Управление ИБ" состоит из двух частей.
В "Части 1: Практические рекомендации", 1995 г. [2] , определяются и рассматриваются следующие аспекты ИБ:
"Часть 2: Спецификации системы", 1998 г. [9] , рассматривает эти же аспекты с точки зрения сертификации информационной системы на соответствие требованиям стандарта.
Краткое содержание стандартов рассмотрено в Прил. II .
Британский институт стандартов BSI выпустил серию практических рекомендаций [8] [10] [11] [12] [13] [14] [15] [16] [17] , посвященных различным аспектам: оценке и управлению рисками, аудиту режима ИБ, сертификации информационной системы на соответствие стандартам BS7799, организации работы персонала. Эта серия существенно дополняет стандарт BS7799.
В США имеется похожий по подходу и степени подробности документ "Руководство по политике безопасности для автоматизированных информационных систем" [18] , в котором рассмотрены:
В 1998 году вышло "Руководство по защите информационных технологий для базового уровня". Руководство представляет собой гипертекст объемом около 4 МБ (в формате HTML). Общая структура документа приведена на Рис. 3 .
Можно выделить следующие блоки:
Каталоги угроз безопасности и контрмер (около 600 наименований в каждом каталоге). Каталоги структурированы следующим образом.
Угрозы по классам:
Контрмеры по классам:
Все компоненты рассматривается по следующему плану: общее описание, возможные сценарии угроз безопасности (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности), возможные контрмеры (перечисляются возможные контрмеры из каталога контрмер).
Фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты информационных технологий и максимально учесть их специфику. К примеру, существуют разделы с описанием сетей на базе Novell Netware 3.x и Novell Netware 4.x. Предполагается оперативное пополнение и обновление стандарта по мере появления новых компонент. Версии стандарта на немецком и английском языках имеются на Web-сервере [5] .
В британском стандарте декларируются некоторые общие принципы, которые предлагается конкретизировать применительно к исследуемым информационным технологиям. Во второй части основное внимание уделено сертификации информационной системы на соответствие стандарту, то есть формальной процедуре, позволяющей убедиться, что декларируемые принципы реализованы. Объем стандарта сравнительно невелик — менее 120 страниц в обеих частях. В германском стандарте, напротив, рассмотрено много "частных случаев" — различных элементов информационных технологий. Объем документа очень велик — несколько тысяч страниц; несомненно, он будет возрастать. Такой подход имеет свои достоинства и недостатки. Достоинство — учет специфики различных элементов. В частности, гораздо лучше, по сравнению с британским стандартом, рассмотрены особенности обеспечения ИБ в современных сетях. Другим достоинством является использование гипертекстовой структуры, что позволяет оперативно вносить изменения и корректировать связи между частями стандарта. Последняя версия стандарта всегда доступна на Web. Недостаток — невозможность объять необъятное — все множество элементов современных информационных технологий на одинаковом уровне детализации. Неизбежно приходится вводить раздел "прочее", в котором в общем виде рассматриваются менее распространенные элементы. В свою очередь, недостатком британского стандарта являются высокие требования к квалификации специалистов, осуществляющих проверку на соответствие требованиям стандарта. Кроме того, в нем недостаточно учитывается специфика современных распределенных систем. Таким образом, оба подхода имеют свои достоинства и недостатки, эволюционируют и только практика их использования позволит выявить лучший или, возможно, предложить иной подход.
Ряд организаций и ведомств предложил свои спецификации для базового уровня ИБ.
Консорциум X/Open выпустил документ под названием "Спецификации сервисов базового уровня ИБ" [3] . Спецификация применима к информационным системам, построенным на базе типовых проектных решений. Предполагается, что концепция обеспечения ИБ организации соответствует стандарту BS 7799. При разработке спецификации использовалось понятие профиля защиты с компонентами, удовлетворяющими требованиям "хорошей практики", формализованным в виде четких критериев (см. Прил. III .
Ведомственный стандарт NASA "Безопасность информационных технологий. Минимальные требования к базовому уровню защищенности" [4] соответствует документу "Руководство по политике безопасности для автоматизированных информационных систем" [18] и конкретизирует его положения. Используется дифференцированный подход: вводится 4 уровня критичности технологии, для которых по 30 позициям специфицируются требования. Следует отметить, что подобный подход — определение нескольких вариантов базовых требований для различных типов технологий, безусловно, оправдан и позволяет учесть их специфику.
![]() |
![]() |
![]() |
Концепция обеспечения ИБ | Содержание | Обеспечение повышенных требований к ИБ |
Copyright ╘ 1993-2000, Jet Infosystems |