– безопасность окружающей среды (законы, нормативные документы, организационные меры, физическое окружение, определяющие условия применения ИТ, а также существующие и возможные угрозы безопасности ИТ);
– цели безопасности (намерения, определяющие направленность мер по противодействию выявленным угрозам и обеспечению безопасности);
– требования безопасности (полученный в результате анализа целей безопасности набор технических требований для механизмов безопасности и гарантированности их реализации, обеспечивающий достижение сформулированных целей);
– спецификации безопасности (проектное представление механизмов безопасности, реализация которых гарантирует выполнение требований безопасности);
– разработка (реализация механизмов безопасности со спецификациями).
• обеспечение комплексности оценки безопасности ИТ;
Адаптация ОК позволяет оценивать безопасность ИТ в процессе их разработки на наиболее важных этапах. Предусмотрены следующие стадии оценки:
– профиля защиты,
– задания по безопасности,
– реализованных механизмов безопасности.
В первом случае устанавливается, что сформированный профиль является полным, последовательным, технически правильным и пригодным для использования в качестве типового для определенного класса ИТ. Использование оцененных, апробированных и стандартизованных профилей защиты дает возможность избежать затрат на разработку требований по информационной безопасности к создаваемым системам и изделиям и исключить дополнительные затраты на их обоснование.
Вторая стадия призвана установить, что задание соответствует требованиям профиля защиты и содержит полный, последовательный и технически правильный набор требований, необходимых для обеспечения безопасности конкретного объекта. Задание по безопасности подлежит согласованию на предприятии и является в дальнейшем основным документом, в соответствии с которым оценивается безопасность разрабатываемой ИС.
Наконец, цель третьей стадии – установить, что механизмы безопасности обеспечивают выполнение всех требований, содержащихся в задании по безопасности.
• предусмотреть расширяемость требований к безопасности ИТ.
Адаптация ОК позволяет предложить наиболее полный на сегодня набор критериев в области безопасности ИТ, который удовлетворяет потребностям основных категорий и групп пользователей, а также разработчиков информационных систем.
Интересно отметить, что в настоящее время Европейской ассоциацией производителей компьютерной техники ЕСМА уже осуществляются проекты по разработке стандарта "Расширенный коммерческий функциональный класс оценки безопасности (E-COFC)". В этом документе принятый в 1993 году стандарт ЕСМА-205 "Коммерческий функциональный класс оценки безопасности (COFC)" перерабатывается в соответствии с требованиями и терминологией ОК.
И если данный подход дополнить, кроме того, анализом требований по организации режима информационной безопасности компании, то получится достаточно мощный инструмент для оценки безопасности информационных технологий отечественных компаний и разработки эффективных политик безопасности.
3.3. Германский стандарт BSI
В отличие от ISO 17799 германское "Руководство по защите информационных технологий для базового уровня защищенности" 1998 года посвящено детальному рассмотрению частных вопросов создания политик безопасности компании и управления безопасностью в целом. Это руководство представляет собой гипертекстовый электронный учебник объемом примерно 4 Мб (в формате HTML). Общая структура германского стандарта BSI приведена на рис 3.9.
...
Рис. 3.9. Структура германского стандарта BSI
В германском стандарте BSI представлены:
• общая методика разработки политик безопасности и управления информационной безопасностью в целом (организация менеджмента в области информационной безопасности, методология использования руководства);
• описания компонентов современных информационных технологий;
• описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);
• характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);
• характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и серверы под управлением операционных систем семейства DOS, Windows и UNIX);
• характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows;
• характеристика активного и пассивного телекоммуникационного оборудования ведущих вендоров, например Cisco Systems;
• подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
Существенно, что политики безопасности компании рассматриваются по определенному сценарию: общее описание информационного актива компании – возможные угрозы и уязвимости безопасности – возможные меры и средства контроля и защиты. С версиями этого стандарта на немецком и английском языках можно познакомиться подробнее на Web-сервере BSI (http://www.bsi.de).
3.4. Стандарт CobiT
К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий (см. табл. 3.3).
Таблица 3.3. Сравнение некоторых стандартов аудита ИТ
Ассоциация ISACA, в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969 году и в настоящее время объединяет более 35 тыс. членов из более чем 100 стран, в том числе и России. Ассоциация ISACA координирует деятельность более чем 38 тыс. сертифицированных аудиторов информационных систем (CISA – Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.
Ассоциация ISACA под аудитом информационной безопасности в информационной системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятии в части эффективности информационных технологий.
По заявлениям руководящих органов ISACA, основная цель ассоциации – исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем. В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по разработке политик безопасности компании.
Концепция изложена в документе под названием CobiT 3rd Edition (Control Objectives for Information and Related Technology), который состоит из шести частей:
Часть 1: Резюме для руководителей (Executive Summary);
Часть 2: Определения и основные понятия (Framework). Помимо определений и основных понятий в этой части сформулированы требования к ним;
Часть 3: Цели контроля (Control Objectives);
Часть 4: Принципы аудита (Audit Guidelines);
Часть 5: Набор средств внедрения (Implementation Tool Set);
Часть 6: Принципы управления (Management Guidelines).
Третья часть этого документа в некотором смысле аналогична международному стандарту ISO 17799:2005 (BS 7799-1:2002). Примерно так же подробно приведены практические рекомендации по разработке политик безопасности и управлению информационной безопасностью в целом, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт CobiT (Control Objectives for Information and Related Technology) – пакет открытых документов, первое издание которого было опубликовано в 1996 году. Кратко основная идея стандарта CobiT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов (рис. 3.10) для обеспечения компании необходимой и надежной информацией.
...
Рис. 3.10. Процессы управления ресурсами информационной системы
В модели CobiT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса, сгруппированным определенным образом (рис. 3.11).