Базовый уровень ИБ

Во многих информационных системах требования в области ИБ не являются жесткими: недоступность системы может составлять несколько десятков часов в год, степень конфиденциальности сведений не очень высока. Примерами таких систем являются практически все офисные системы, системы поддержки принятия решений для приложений, где не требуется высокая оперативность. Практические правила обеспечения режима ИБ в подобных случаях обычно основываются на концепции базового уровня ИБ. Базовый уровень обеспечивается совокупностью проверенных практикой правил обеспечения ИБ на всех этапах жизненного цикла информационной технологии. Эти правила носят комплексный характер, то есть охватывают административный, процедурный, программно-технический уровни и все этапы жизненного цикла информационной технологии. Достоинством подобного подхода является сравнительно низкая трудоемкость и ориентация на проверенные стандартные решения. Недостатком является отсутствие оценок параметров, характеризующих режим ИБ. При подобном подходе можно упустить из вида специфические для конкретной информационной системы классы угроз.

В последнее время появились национальные и ведомственные стандарты, в которых определены требования к базовому уровню безопасности информационных технологий.

Британские стандарты BS7799

Документ "BS7799: Управление ИБ" состоит из двух частей.

В "Части 1: Практические рекомендации", 1995 г. [2] , определяются и рассматриваются следующие аспекты ИБ:

• Политика безопасности.
• Организация защиты.
• Классификация и управление информационными ресурсами.
• Управление персоналом.
• Физическая безопасность.
• Администрирование компьютерных систем и сетей.
• Управление доступом к системам.
• Разработка и сопровождение систем.
• Планирование бесперебойной работы организации.
• Проверка системы на соответствие требованиям ИБ.

"Часть 2: Спецификации системы", 1998 г. [9] , рассматривает эти же аспекты с точки зрения сертификации информационной системы на соответствие требованиям стандарта.

Краткое содержание стандартов рассмотрено в Прил. II .

Другие методические материалы

Британский институт стандартов BSI выпустил серию практических рекомендаций [8] [10] [11] [12] [13] [14] [15] [16] [17] , посвященных различным аспектам: оценке и управлению рисками, аудиту режима ИБ, сертификации информационной системы на соответствие стандартам BS7799, организации работы персонала. Эта серия существенно дополняет стандарт BS7799.

Базовые требования в области ИБ в США

В США имеется похожий по подходу и степени подробности документ "Руководство по политике безопасности для автоматизированных информационных систем" [18] , в котором рассмотрены:

• общие положения политики безопасности;
• поддержание безопасности на протяжении жизненного цикла;
• минимальные (базовые) требования в области ИБ.

Германский стандарт BSI

В 1998 году вышло "Руководство по защите информационных технологий для базового уровня". Руководство представляет собой гипертекст объемом около 4 МБ (в формате HTML). Общая структура документа приведена на Рис. 3 .

Можно выделить следующие блоки:

• Методология управления ИБ (организация менеджмента в области ИБ, методология использования Руководства).
• Компоненты информационных технологий:
  • Основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях).
  • Инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа).
  • Клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы).
  • Сети различных типов (соединения "точка-точка", сети Novell NetWare, сети с ОС UNIX и Windows, разнородные сети).
  • Элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.).
  • Телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы).
  • Стандартное ПО.
  • Базы данных.

• Каталоги угроз безопасности и контрмер (около 600 наименований в каждом каталоге). Каталоги структурированы следующим образом.

  Угрозы по классам:

  • форсмажорные обстоятельства;
  • недостатки организационных мер;
  • ошибки человека;
  • технические неисправности;
  • преднамеренные действия.

  Контрмеры по классам:

  • улучшение инфраструктуры;
  • административные контрмеры;
  • процедурные контрмеры;
  • программно-технические контрмеры;
  • уменьшение уязвимости коммуникаций;
  • планирование действий в чрезвычайных ситуациях.

Все компоненты рассматривается по следующему плану: общее описание, возможные сценарии угроз безопасности (перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности), возможные контрмеры (перечисляются возможные контрмеры из каталога контрмер).

Фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты информационных технологий и максимально учесть их специфику. К примеру, существуют разделы с описанием сетей на базе Novell Netware 3.x и Novell Netware 4.x. Предполагается оперативное пополнение и обновление стандарта по мере появления новых компонент. Версии стандарта на немецком и английском языках имеются на Web-сервере [5] .

Сравнение подходов, используемых в британском и германском стандартах

В британском стандарте декларируются некоторые общие принципы, которые предлагается конкретизировать применительно к исследуемым информационным технологиям. Во второй части основное внимание уделено сертификации информационной системы на соответствие стандарту, то есть формальной процедуре, позволяющей убедиться, что декларируемые принципы реализованы. Объем стандарта сравнительно невелик — менее 120 страниц в обеих частях. В германском стандарте, напротив, рассмотрено много "частных случаев" — различных элементов информационных технологий. Объем документа очень велик — несколько тысяч страниц; несомненно, он будет возрастать. Такой подход имеет свои достоинства и недостатки. Достоинство — учет специфики различных элементов. В частности, гораздо лучше, по сравнению с британским стандартом, рассмотрены особенности обеспечения ИБ в современных сетях. Другим достоинством является использование гипертекстовой структуры, что позволяет оперативно вносить изменения и корректировать связи между частями стандарта. Последняя версия стандарта всегда доступна на Web. Недостаток — невозможность объять необъятное — все множество элементов современных информационных технологий на одинаковом уровне детализации. Неизбежно приходится вводить раздел "прочее", в котором в общем виде рассматриваются менее распространенные элементы. В свою очередь, недостатком британского стандарта являются высокие требования к квалификации специалистов, осуществляющих проверку на соответствие требованиям стандарта. Кроме того, в нем недостаточно учитывается специфика современных распределенных систем. Таким образом, оба подхода имеют свои достоинства и недостатки, эволюционируют и только практика их использования позволит выявить лучший или, возможно, предложить иной подход.

Ведомственные стандарты и спецификации базового уровня ИБ

Ряд организаций и ведомств предложил свои спецификации для базового уровня ИБ.

Консорциум X/Open выпустил документ под названием "Спецификации сервисов базового уровня ИБ" [3] . Спецификация применима к информационным системам, построенным на базе типовых проектных решений. Предполагается, что концепция обеспечения ИБ организации соответствует стандарту BS 7799. При разработке спецификации использовалось понятие профиля защиты с компонентами, удовлетворяющими требованиям "хорошей практики", формализованным в виде четких критериев (см. Прил. III .

Ведомственный стандарт NASA "Безопасность информационных технологий. Минимальные требования к базовому уровню защищенности" [4] соответствует документу "Руководство по политике безопасности для автоматизированных информационных систем" [18] и конкретизирует его положения. Используется дифференцированный подход: вводится 4 уровня критичности технологии, для которых по 30 позициям специфицируются требования. Следует отметить, что подобный подход — определение нескольких вариантов базовых требований для различных типов технологий, безусловно, оправдан и позволяет учесть их специфику.

Концепция обеспечения ИБ	Содержание	Обеспечение повышенных требований к ИБ