Особенности национальной стандартизации информационной безопасности

НОРМАТИВЫ

Стандарты в структуре информационной безопасности (ИБ) являются связующим звеном между технической и концептуальной стороной вопроса. Их нельзя сравнить, скажем, со стандартом на изготовление кривошипно-шатунных изделий по одной простой причине: в стандартах на ИБ косвенно затрагиваются правовые вопросы - такие, как защита жизненно важных интересов личности (закон РФ N 2446-1 "О безопасности" от 5 марта 1992 г. с изменениями от 25 декабря 1992 г.).

В связи с необходимостью обеспечить совместимость аппаратно-программных систем и их компонентов за основу российских стандартов ИБ (Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. - М., 1992) брались стандарты США - так называемая "Оранжевая книга" (Department of Defense Trusted Computer System Evaluation Criteria.- DoD 5200.28 - STD, December 26, 1985). Эта "оранжевая революция" в ИТ привела к тому, что правовую базу пришлось так или иначе подтягивать к стандартам. Возникают определенные трудности с пониманием вопроса, тем более что количество стандартов и спецификаций (международных, национальных, отраслевых и т. п.) в области ИБ весьма велико.

Чтобы разобраться в вопросах применения российских стандартов, необходимо представить всю административно-правовую структуру информационной безопасности и понять, какое место они в ней занимают. Она отражена на схеме (рис. 1).

Рис. 1. Административно-правовая структура российской ИБ

Из приведенной схемы видно, что стандарты относятся к специальным нормативным документам по технической защите информации и находятся в определенном логическом соответствии с правовыми и организационно-распорядительными документами. Наименование стандартов представлено в таблице.

На сегодня самым полным стандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования, является ГОСТ Р ИСО/МЭК 15408, еще называемый "Общими критериями" (ОК). Как отмечается во введении к нему: "Обеспечение безопасности информационных технологий (ИТ) представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения ИТ". Там же (ч. 1, гл. 1, п. в) сказано: "В "Общих критериях" не рассматривается ни методология оценки, ни административно-правовая структура, в рамках которой критерии могут применяться". Соответственно все правовые и методико-технологические вопросы придется рассматривать отдельно, при этом не теряя из виду контекста, заложенного в стандартах. В этом как раз и состоит основная сложность.

"Общие критерии" предназначены для использования в качестве основы при оценке характеристик безопасности продуктов и систем ИТ. Заложенные в стандарте наборы требований позволят сравнивать результаты независимых оценок безопасности. На основании этих результатов потребитель может принимать решение о том, являются ли ИТ-продукты или системы достаточно безопасными для их применения с заданным уровнем риска. "Общие критерии" направлены на защиту информации от несанкционированного раскрытия, модификации, ее полной или частичной потери и применимы к защитным мерам, реализуемым аппаратными, программно-аппаратными и программными средствами.

В первой части (ГОСТ Р ИСО/МЭК 15408-1-2002. "Введение и общая модель") устанавливается общий подход к формированию требований оценки безопасности, на их основе разрабатываются профили защиты и задания по безопасности, представленные в классах данного стандарта - APE "Оценка профиля защиты" и ASE "Оценка задания по безопасности", а также AMA "Поддержка доверия".

Часть вторая (ГОСТ Р ИСО/МЭК 15408-2-2002. "Функциональные требования безопасности") представляет собой весьма обширную библиотеку функциональных требований к безопасности, описывающую 11 классов, 66 семейств, 135 компонентов и содержащую сведения о том, какие цели безопасности могут быть достигнуты и каким образом.

Третья часть (ГОСТ Р ИСО/МЭК 15408-3-2002. "Требования доверия к безопасности") включает в себя оценочные уровни доверия (ОУД), образующие "шкалу" для измерения уровня доверия к объекту оценки. Под доверием понимается "...основа для уверенности в том, что продукт или система информационных технологий отвечает целям безопасности". Способом его достижения считается активное исследование, определяющее свойства безопасности ИТ (причем большее доверие является результатом приложения больших усилий при оценке) и сводящееся к их минимизации для обеспечения необходимого уровня доверия. Другими словами, мы должны свести затраты усилий к минимуму, при этом не переусердствовав в достижении необходимого уровня доверия.

Обобщая вышесказанное, можно сделать вывод: каркас безопасности, заложенный частью 1 ОК, заполняется содержимым из классов, семейств и компонентов в части 2, а третья часть определяет, как оценить прочность всего "строения". В роли чертежей для многократного повторения архитектуры выступают профили защиты (ПЗ) и задания по безопасности (ЗП).

Профили защиты

Рассмотрим подробнее профили защиты. Они составляют универсальную совокупность требований к безопасности ИТ, независимую от определенной категории объекта оценки (ОО). Под ОО понимается подлежащий оценке продукт информационных технологий или система с руководствами администратора и пользователя. Нормативными документами в области разработки профилей защиты и заданий по безопасности являются:

- "Руководство по формированию семейств профилей защиты";

- "Положение по разработке профилей защиты и заданий по безопасности", определяющее порядок разработки, оценки, регистрации и публикации профилей защиты и заданий по безопасности для продуктов и систем информационных технологий, предназначенных для обработки информации, отнесенной к информации ограниченного доступа в соответствии с законодательством Российской Федерации;

- "Руководство по разработке профилей защиты и заданий по безопасности", представляющее собой детальное руководство по разработке различных частей ПЗ или ЗБ и дающее исчерпывающее представление об их взаимосвязи;

- "Руководство по регистрации профилей защиты" (Гостехкомиссия - ныне ФСТЭК России 2003 г.).

Структура нормативно-методической документации представлена на рис. 2. Именно официально принятые профили защиты образуют построенную на основе ОК и используемую на практике нормативную базу в области информационной безопасности.

Рис. 2. Состав нормативно-методических документов по оценке безопасности ИТ

В структуру типового профиля защиты включены следующие элементы:

- маркировка, позволяющая идентифицировать и каталогизировать профиль;

- аннотация, т. е. подробная общая характеристика в описательной форме, на основе которой можно выбрать удовлетворяющий задачам профиль;

- описание, где содержится информация, полно раскрывающая предназначение профиля и служащая для выявления противоречий, возникающих в процессе оценки;

- среда безопасности, включающая описание предполагаемой области применения, описание угроз, относительно которых требуется защита, и политику безопасности предприятия;

- цели безопасности, т. е. намерения противостоять угрозам полностью или частично, в соответствии с принятой политикой безопасности, причем некоторые пункты могут повторять описание среды безопасности;

- требования по безопасности как для ИТ, так и для работающего в их среде объекта оценки, причем если его безопасность не зависит от ИТ, то данный пункт может быть пропущен;

- замечания по применению, содержащие дополнительную информацию, которая считается уместной или полезной для создания, оценки и использования объекта оценки;

- обоснование, используемое при оценке профиля защиты и состоящее из логического обоснования целей безопасности и требований безопасности.

Задание по безопасности содержит требования к ИБ для конкретного ОО и однозначно определяет функции безопасности и меры доверия, удовлетворяющие поставленным требованиям. Оно является основой для соглашения между разработчиками, оценщиками и потребителями по характеристикам безопасности и области применения оценок. В его состав могут входить требования из одного или нескольких профилей защиты. Структура типового задания по безопасности во многом напоминает структуру профиля защиты с той только разницей, что содержит краткую спецификацию ОО с изложением функций безопасности и мер доверия и утверждение о соответствии профилю защиты.

С чего начать формирование профиля защиты? Первым делом придется провести инвентаризацию, составив подробный список используемых информационных систем (ИС) с описанием каждой. Такое описание должно содержать информацию о задачах, решаемых ИС, функциональную схему информационных потоков, наличие сертификатов, лицензий с указанием сроков окончания их использования. Кроме того, должно быть выполнено подробное описание с точки зрения ИБ, составлен список документов по безопасности с исчерпывающей информацией о персонале, работающем с данной системой, список имеющихся должностных документов.

После проведения инвентаризации полученные материалы необходимо классифицировать для удобства дальнейшего их использования. Информационные объекты (информация - создаваемая, хранимая, обрабатываемая) классифицируются по степени их значимости для предприятия. Средства обработки информации (совокупность соответствующего аппаратного и программного обеспечения) классифицируются по их способности удовлетворять определенному оценочному уровню доверия (согласно "Общим критериям" ОУД образуют возрастающую шкалу, состоящую из семи компонентов и позволяющую соотнести получаемый уровень доверия со сложностью, стоимостью и сроками его достижения). Субъекты (любой пользователь информационной системы) классифицируются по степени их допуска к работе с тем или иным объектом. Лучше всего составить документ - классификатор информационной безопасности, содержащий следующие разделы:

- классификация объектов;

- классификация субъектов;

- классификация средств обработки;

- таблица разрешений, сопоставляющая субъекты с объектами и средствами обработки.

Российские стандарты, регулирующие ИБ

Практика

Теперь рассмотрим пример. Две ИТ-компании, объединившись, хотят расширить область своей деятельности. Для этого им необходимо получить лицензию, согласно Федеральному закону N 128-ФЗ "О лицензировании отдельных видов деятельности" от 8 августа 2001 г. и соответствующим положениям: "О государственном лицензировании деятельности в области защиты информации" (N10 от 27 апреля 1994 г.), "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" (N 333 от 15 апреля 1995 г.).

Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:

а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности "компьютерная безопасность", "комплексное обеспечение информационной безопасности автоматизированных систем" или "информационная безопасность телекоммуникационных систем", либо специалистами, прошедшими переподготовку по вопросам защиты информации;

б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации, руководящими и нормативно-методическими документами, утвержденными приказами Государственной технической комиссии при Президенте Российской Федерации;

в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;

г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.

Как исторически сложилось во многих небольших российских компаниях, инфраструктура аппаратного и программного обеспечения во многом формировалась под воздействием личных предпочтений персонала и его квалификации, а не исходя из экономического расчета целесообразности и технологичности. Соответственно каждая компания обладает ИТ-структурой, имеющей свои особенности как в аппаратном и программном обеспечении, так и в системе должностных инструкций персонала.

Законодательным актом, "...регулирующим отношения, возникающие при: формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации", является Федеральный закон N 24-ФЗ "Об информации, информатизации и защите информации" от 20 февраля 1995 г. (с изменениями и дополнениями N 15-ФЗ от 10 января 2003 г.), в котором особый интерес представляет раздел 3 статьи 22: "Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации". Можно сделать вывод, что закон недвусмысленно признает правомерность использования несертифицированных систем, перекладывая ответственность за это на потребителя информации. Однако "Положением о сертификации средств защиты информации" (N 608, утверждено постановлением Правительства Российской Федерации от 26 июня 1995 г. , с изменениями и дополнениями N 509 от 23 апреля 1996 г. и N 342 от 29 марта 1999 г.) в пункте 7 однозначно определено: "Изготовители производят (реализуют) средства защиты информации только при наличии сертификата". Опять возникает вопрос: а что, если использовать несертифицированные средства защиты информации иностранных разработчиков, закупленные непосредственно у производителя и ввезенные в страну (причем Интернет не считается средством ввоза программных продуктов)? Ответ на данный вопрос мы находим в Указе Президента РФ N 334 от 3 апреля 1995 г. "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации", в пункте 5 которого сказано: "Государственному таможенному комитету Российской Федерации принять меры к недопущению ввоза на территорию Российской Федерации шифровальных средств иностранного производства без лицензии Министерства внешних экономических связей Российской Федерации...". Причем в пункте 4 того же указа говорится: "В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации...". Напомним, что к шифровальным средствам относятся аппаратные, программные и аппаратно-программные инструменты, системы и комплексы, реализующие криптографические алгоритмы преобразования информации, если они служат:

- для обеспечения безопасности информации при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику;

- защите от несанкционированного доступа к информации при ее обработке и хранении;

- защите от навязывания ложной информации, включая средства имитозащиты и электронной цифровой подписи;

- изготовлению ключевых документов для шифровальных средств независимо от вида носителя информации.

Однако подобная расширенная трактовка, согласно формулировкам ГОСТ Р ИСО 7498-2-99. "Архитектура защиты информации", ч. 2, позволяет под термин "шифровальное средство" подвести практически любой продукт, где реализуется преобразование информации с использованием ключа. Таковыми можно считать и Microsoft Word, и Microsoft Excel, и утилиты для работы с файловой системой, и средства организации виртуальных сетей, и многое другое, к ним можно отнести даже некоторые виды программных архиваторов, почтовых клиентов, программ терминального доступа, которые при обработке данных изменяют их семантическую структуру. В спорных случаях вопрос отнесения продукта к средствам криптографической защиты информации решается путем проведения технической экспертизы либо самого продукта, либо его описания в сертификационных испытательных центрах ФАПСИ. В случае признания продукта шифровальным средством потенциальному пользователю следует получить лицензию на его применение, а для продукта иностранного производства - еще и лицензию на ввоз.

Выводы

Из проделанного выше анализа напрашивается следующее.

1. Конфиденциальную информацию, включая персональные данные, не только можно, но и нужно защищать. Если средства защиты не содержат шифровальных средств, то владелец системы вправе применять любые, в том числе несертифицированные продукты на свой страх и риск. Однако государственные учреждения для защиты от несанкционированного доступа обязаны использовать сертифицированные ФСТЭК России средства (а если речь идет о классах защищенности 1А, 1Б и 2Б, - то и сертифицированные ФАПСИ).

2. Если государственные учреждения применяют шифровальные средства, то эти средства должны иметь сертификат ФАПСИ. Это относится и к банкам при их взаимодействии с ЦБ.

3. Если юридическое или физическое лицо применяет шифровальные средства, то оно должно получить лицензию ФАПСИ на эксплуатацию. Таким образом, помимо того что они обязаны приобретать только сертифицированные ФАПСИ средства, банки (при взаимодействии с ЦБ) и госучреждения должны получить лицензию на их использование; всем остальным достаточно получить лицензии ФАПСИ - применять же они могут несертифицированные продукты. Однако для работы с импортными шифровальными средствами пользователям необходимо получить лицензию Министерства торговли совместно с ФАПСИ на право ввоза таких средств. Возникает закономерный вопрос: где пользователи могут легально приобрести средства шифрования, если они не хотят заниматься весьма утомительной процедурой получения лицензии (кстати, она выдается только на конкретную партию продуктов) на ввоз таких средств? Так вот, только у разработчиков и распространителей шифровальных средств. Те, в свою очередь, обязаны иметь лицензии ФАПСИ на разработку и распространение. Чтобы получить подобную лицензию, разработчик должен выпускать продукты в соответствии с нашими ГОСТами, и эти продукты должны пройти сертификационные испытания.

4. Без приведения структуры информационных технологий компаний к виду, удовлетворяющему условиям лицензирования, их совместная деятельность на новом поприще будет невозможной. Причем выполнить весь комплекс мер, необходимых для этого, без помощи квалифицированного юриста почти невозможно. Удобнее всего воспользоваться услугами сертифицированных в области информационной безопасности компаний.

Михаил Вячеславович Тюрин - ведущий специалист ОАО "Российская Телекоммуникационная Сеть РОСНЕТ". Связаться с ним можно по адресу: mturin@rosnet.ru.