Политики безопасности компании при работе в Интернет
Шрифт:
Поэтому необходимо дополнять данный подход рядом своих собственных апробированных методик оценки важнейших элементов защиты. Дополненные таким образом ОК можно использовать как при задании требований к продуктам и системам информационных технологий, правилам и политикам безопасности компании, так и при оценке безопасности ИТ.
В результате на практике становится возможным реализовать следующие существенные особенности:
• охватить весь спектр ИТ и учесть особенности каждой конкретной системы при задании требований и правил безопасности;
Предлагаемые адаптированные ОК предназначены для оценки безопасности как систем ИТ, разрабатываемых для автоматизации в конкретной области применения,
• избежать жесткой классификации ИТ по уровню безопасности;
Вместо этого становится возможным использовать сформированные по определенным правилам типовые наборы требований по различным видам ИТ, уровням ЗИ и другим классификационным признакам. Перечень типовых требований не регламентируется – они формируются по результатам прохождения определенной процедуры согласования и апробации. Для оптимального сочетания типовых требований с требованиями, учитывающими особенности конкретной области применения ИТ, используются два ключевых понятия: профиль защиты и задание по безопасности.
Профиль защиты представляет собой функционально полный, прошедший апробацию, стандартизованный набор требований, предназначенный для многократного использования.
Задание по безопасности – это полная комбинация требований, являющихся необходимыми для создания и оценки информационной безопасности конкретной системы или продукта ИТ.
Таким образом, работы по анализу требований, реализуемые на основе стандарта ОК, позволяют грамотно задать требования к безопасности ИТ. Результаты работы могут также использоваться для сравнительного анализа различных систем и продуктов ИТ. В целом же предоставляется развитая система структурированных требований для выбора механизмов обеспечения безопасности при проектировании и разработке ИТ.
• предложить детальный и структурированный перечень требований для механизмов безопасности, мер и средств обеспечения их реализации;
Предлагаемые адаптированные ОК содержат две категории требований: функциональные и требования гарантированности.
Первые описывают функции, которые необходимо реализовать в ИТ для обеспечения их безопасности. Вторые определяют меры и средства, которые должны быть использованы в процессе создания ИТ для полной уверенности в правильности реализации механизмов безопасности и в их эффективности. Все требования ОК разбиваются по классам, семействам, компонентам и элементам с определением зависимостей одних компонентов от других. Определяются допустимые действия над компонентами, которые могут применяться для конкретизации задаваемых требований безопасности.
• охватить весь жизненный цикл ИТ, начиная от формирования целей и требований обеспечения безопасности, разработки действенных политик безопасности и кончая поставкой и наладкой ИТ на конкретном объекте;
• реализовать возможность формирования наборов требований и правил безопасности по уровням безопасности ИТ, сопоставимых с другими системами оценки;
Преемственность предлагаемых оценок безопасности достигается за счет возможности формирования профилей защиты, соответствующих наборам требований, которые определяют уровни безопасности ИТ в других системах.
• гарантировать комплексность подхода к обеспечению безопасности ИТ;
Адаптация ОК позволяет обеспечить безопасность ИТ на всех этапах жизненного цикла КИС – от этапа анализа требований (на этапе формирования замысла информационной системы) до реализации, эксплуатации и сопровождения системы. Здесь предусматриваются следующие уровни рассмотрения безопасности ИТ:
– безопасность окружающей среды (законы, нормативные документы, организационные
– цели безопасности (намерения, определяющие направленность мер по противодействию выявленным угрозам и обеспечению безопасности);
– требования безопасности (полученный в результате анализа целей безопасности набор технических требований для механизмов безопасности и гарантированности их реализации, обеспечивающий достижение сформулированных целей);
– спецификации безопасности (проектное представление механизмов безопасности, реализация которых гарантирует выполнение требований безопасности);
– разработка (реализация механизмов безопасности со спецификациями).
• обеспечение комплексности оценки безопасности ИТ;
Адаптация ОК позволяет оценивать безопасность ИТ в процессе их разработки на наиболее важных этапах. Предусмотрены следующие стадии оценки:
– профиля защиты,
– задания по безопасности,
– реализованных механизмов безопасности.
В первом случае устанавливается, что сформированный профиль является полным, последовательным, технически правильным и пригодным для использования в качестве типового для определенного класса ИТ. Использование оцененных, апробированных и стандартизованных профилей защиты дает возможность избежать затрат на разработку требований по информационной безопасности к создаваемым системам и изделиям и исключить дополнительные затраты на их обоснование.
Вторая стадия призвана установить, что задание соответствует требованиям профиля защиты и содержит полный, последовательный и технически правильный набор требований, необходимых для обеспечения безопасности конкретного объекта. Задание по безопасности подлежит согласованию на предприятии и является в дальнейшем основным документом, в соответствии с которым оценивается безопасность разрабатываемой ИС.
Наконец, цель третьей стадии – установить, что механизмы безопасности обеспечивают выполнение всех требований, содержащихся в задании по безопасности.
• предусмотреть расширяемость требований к безопасности ИТ.Адаптация ОК позволяет предложить наиболее полный на сегодня набор критериев в области безопасности ИТ, который удовлетворяет потребностям основных категорий и групп пользователей, а также разработчиков информационных систем.
Интересно отметить, что в настоящее время Европейской ассоциацией производителей компьютерной техники ЕСМА уже осуществляются проекты по разработке стандарта «Расширенный коммерческий функциональный класс оценки безопасности (E-COFC)». В этом документе принятый в 1993 году стандарт ЕСМА-205 «Коммерческий функциональный класс оценки безопасности (COFC)» перерабатывается в соответствии с требованиями и терминологией ОК.
И если данный подход дополнить, кроме того, анализом требований по организации режима информационной безопасности компании, то получится достаточно мощный инструмент для оценки безопасности информационных технологий отечественных компаний и разработки эффективных политик безопасности.3.3. Германский стандарт BSI
В отличие от ISO 17799 германское «Руководство по защите информационных технологий для базового уровня защищенности» 1998 года посвящено детальному рассмотрению частных вопросов создания политик безопасности компании и управления безопасностью в целом. Это руководство представляет собой гипертекстовый электронный учебник объемом примерно 4 Мб (в формате HTML). Общая структура германского стандарта BSI приведена на рис 3.9.