ГОСТ Р ИСО/МЭК 15408-2002: спустя три года

ГОСТ Р ИСО/МЭК 15408-2002: спустя три года

С.А. Игнатенко
эксперт

Прошло примерно три года с тех пор, как приказом Гостехкомиссии России № 187 от 19 июня 2002 г. был введен в действие ГОСТ Р ИСО/МЭК 15408-2002 "Общие критерии оценки безопасности информационных технологий". Попытаемся проанализировать, насколько эффективен оказался данный стандарт для обеспечения информационной безопасности организаций

Оценка угроз безопасности - основа грамотной политики

Анализ руководства по разработке профилей защиты и заданий по безопасности, а также анализ примеров профилей защиты, представленных на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК) России, показывает, что основой формирования профилей защиты и заданий по безопасности систем и продуктов информационных технологий (ИТ) являются угрозы безопасности, политика безопасности организации, предположения безопасности организации и сформированные на их основе цели безопасности, которые, в свою очередь, должны покрываться соответствующими функциональными требованиями. Таким образом, можно с уверенностью сказать, что ошибки при оценке угроз безопасности и разработке политики безопасности организации неминуемо приводят к некорректному формированию функциональных требований безопасности, излагаемых в профиле защиты системы или продукта ИТ. Однако в настоящий момент какие-либо нормативные документы, определяющие общую методологию оценки угроз безопасности организации и порядок формирования политики безопасности, отсутствуют. Как правило, для оценки угроз безопасности и разработки политики безопасности организации используются внутренние методики, личный опыт, открытые публикации и рекомендации "знакомых специалистов (организаций)", уже имеющих опыт в данной области.

Механизм корректировки угроз информационной безопасности

В связи со всем вышеизложенным возникают сомнения в корректности, полноте и качестве оценки угроз безопасности, а также в качестве разработки политики безопасности организации. Вместе с тем необходимо помнить, что с течением времени и развитием ИТ состав угроз, выявленных при формировании профиля защиты, может существенно измениться. Подтверждение данному выводу мы можем найти при анализе сообщений об обнаруженных уязвимостях программного и аппаратного обеспечения, ежедневно публикуемых в средствах массовой информации (в том числе на соответствующих ресурсах глобальной информационной сети общего пользования Интернет). Кроме того, новые угрозы безопасности информации возникают в ходе усовершенствования существующих и разработки новых методов получения несанкционированного доступа к информации с целью ее модификации, удаления, подмены или использования в своих интересах. Таким образом, для поддержания системы защиты информации организации в актуальном состоянии должен существовать механизм, позволяющий вносить изменения в разработанные профили защиты, пересматривать политику безопасности организации и переоценивать угрозы безопасности организации.

Данные механизмы и правила целесообразно закрепить в проектах нормативных документов по оценке угроз безопасности и формированию политики безопасности организации.

Классификация уязвимостей -основа классификации угроз

Любая оценка угроз безопасности информации должна начинаться с их классификации и оценки существующих уязвимостей, так как угрозы могут быть реализованы только через известные или предполагаемые уязвимости организационно-технического обеспечения организации. Исходя из этого классификацию угроз безопасности информации предлагается проводить через классификацию уязвимостей. Приведенный на рисунке обобщенный подход, который сделан на основе анализа существующих классификаций угроз безопасности и уязвимостей, может использоваться при оценке угроз безопасности организации.

Как видно из представленной классификации, половина угроз безопасности информации связана с организационными мерами, осуществляемыми в процессе жизнедеятельности организации. Однако ГОСТ Р ИСО/МЭК 15408-2002 не содержит критериев оценки безопасности, касающихся организационных мер безопасности. Вместе с тем в Руководстве по разработке профилей защиты и заданий по безопасности говорится о том, что организационные и другие меры нетехнического характера (отражающие угрозы безопасности информации, которым объект оценки непосредственно не противостоит) могут включаться в раздел "Среда безопасности ОО" разрабатываемого профиля защиты.

Целесообразность использования стандарта ISO/IEC 17799-2000

Разработка политики безопасности организации также затруднена в связи с отсутствием введенного в действие в РФ нормативного документа, определяющего порядок ее разработки. В связи с этим наиболее целесообразным является использование при разработке политики безопасности организации положений международного стандарта ISO/IEC 17799 издания 2000 г. Положения данного стандарта могут быть также использованы при разработке нормативного документа РФ, определяющего требования по управлению политикой безопасности организации.

Литература

1.ISO/IEC 17799:2000.

2.ГОСТ Р ИСО/МЭК 15408-2002.

3.Руководящий документ. Руководство по разработке профилей защиты и заданий по безопасности. Гостехкомиссия России, 2003.