В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
С.А. Игнатенко
эксперт
Прошло примерно три года с тех пор, как приказом Гостехкомиссии России № 187 от 19 июня 2002 г. был введен в действие ГОСТ Р ИСО/МЭК 15408-2002 "Общие критерии оценки безопасности информационных технологий". Попытаемся проанализировать, насколько эффективен оказался данный стандарт для обеспечения информационной безопасности организаций
Оценка угроз безопасности - основа грамотной политики
Анализ руководства по разработке профилей защиты и заданий по безопасности, а также анализ примеров профилей защиты, представленных на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК) России, показывает, что основой формирования профилей защиты и заданий по безопасности систем и продуктов информационных технологий (ИТ) являются угрозы безопасности, политика безопасности организации, предположения безопасности организации и сформированные на их основе цели безопасности, которые, в свою очередь, должны покрываться соответствующими функциональными требованиями. Таким образом, можно с уверенностью сказать, что ошибки при оценке угроз безопасности и разработке политики безопасности организации неминуемо приводят к некорректному формированию функциональных требований безопасности, излагаемых в профиле защиты системы или продукта ИТ. Однако в настоящий момент какие-либо нормативные документы, определяющие общую методологию оценки угроз безопасности организации и порядок формирования политики безопасности, отсутствуют. Как правило, для оценки угроз безопасности и разработки политики безопасности организации используются внутренние методики, личный опыт, открытые публикации и рекомендации "знакомых специалистов (организаций)", уже имеющих опыт в данной области.
Механизм корректировки угроз информационной безопасности
В связи со всем вышеизложенным возникают сомнения в корректности, полноте и качестве оценки угроз безопасности, а также в качестве разработки политики безопасности организации. Вместе с тем необходимо помнить, что с течением времени и развитием ИТ состав угроз, выявленных при формировании профиля защиты, может существенно измениться. Подтверждение данному выводу мы можем найти при анализе сообщений об обнаруженных уязвимостях программного и аппаратного обеспечения, ежедневно публикуемых в средствах массовой информации (в том числе на соответствующих ресурсах глобальной информационной сети общего пользования Интернет). Кроме того, новые угрозы безопасности информации возникают в ходе усовершенствования существующих и разработки новых методов получения несанкционированного доступа к информации с целью ее модификации, удаления, подмены или использования в своих интересах. Таким образом, для поддержания системы защиты информации организации в актуальном состоянии должен существовать механизм, позволяющий вносить изменения в разработанные профили защиты, пересматривать политику безопасности организации и переоценивать угрозы безопасности организации.
Данные механизмы и правила целесообразно закрепить в проектах нормативных документов по оценке угроз безопасности и формированию политики безопасности организации.
Классификация уязвимостей -основа классификации угроз
Любая оценка угроз безопасности информации должна начинаться с их классификации и оценки существующих уязвимостей, так как угрозы могут быть реализованы только через известные или предполагаемые уязвимости организационно-технического обеспечения организации. Исходя из этого классификацию угроз безопасности информации предлагается проводить через классификацию уязвимостей. Приведенный на рисунке обобщенный подход, который сделан на основе анализа существующих классификаций угроз безопасности и уязвимостей, может использоваться при оценке угроз безопасности организации.
Как видно из представленной классификации, половина угроз безопасности информации связана с организационными мерами, осуществляемыми в процессе жизнедеятельности организации. Однако ГОСТ Р ИСО/МЭК 15408-2002 не содержит критериев оценки безопасности, касающихся организационных мер безопасности. Вместе с тем в Руководстве по разработке профилей защиты и заданий по безопасности говорится о том, что организационные и другие меры нетехнического характера (отражающие угрозы безопасности информации, которым объект оценки непосредственно не противостоит) могут включаться в раздел "Среда безопасности ОО" разрабатываемого профиля защиты.
Целесообразность использования стандарта ISO/IEC 17799-2000
Разработка политики безопасности организации также затруднена в связи с отсутствием введенного в действие в РФ нормативного документа, определяющего порядок ее разработки. В связи с этим наиболее целесообразным является использование при разработке политики безопасности организации положений международного стандарта ISO/IEC 17799 издания 2000 г. Положения данного стандарта могут быть также использованы при разработке нормативного документа РФ, определяющего требования по управлению политикой безопасности организации.
Литература
1.ISO/IEC 17799:2000.
2.ГОСТ Р ИСО/МЭК 15408-2002.
3.Руководящий документ. Руководство по разработке профилей защиты и заданий по безопасности. Гостехкомиссия России, 2003.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1+2, 2006