Tietoturvastandardit. Kansainväliset tietoturvastandardit Kansainväliset tietoturvastandardit

Katsotaanpa tunnetuimpia kansainvälisiä standardeja tietoturvan alalla.

ISO-standardi 17799 "Tietoturvallisuuden hallinnan käytännön säännöt" ottaa huomioon seuraavat tietoturvan näkökohdat:

Peruskäsitteet ja määritelmät;

Tietoturvapolitiikka;

Organisaation turvallisuuskysymykset;

Omaisuuden luokittelu ja hallinta;

Henkilökuntaan liittyvät turvallisuuskysymykset;

Fyysinen ja ympäristönsuojelu;

Tiedonsiirron ja operatiivisten toimintojen hallinta;

Kulunvalvonta;

Järjestelmien kehittäminen ja ylläpito;

Liiketoiminnan jatkuvuuden hallinta;

Yhtiön tietoturvan sisäinen tarkastus;

Lakisääteisten vaatimusten noudattaminen.

Tärkeä paikka standardijärjestelmässä standardi käyttää ISO 15408"Yleiset turvallisuuskriteerit tietotekniikat", joka tunnetaan nimellä "Yleiset kriteerit". ”Yleiset kriteerit” luokittelee laajan joukon tietotekniikan turvallisuusvaatimuksia, määrittelee niiden ryhmittelyrakenteet ja käyttöperiaatteet.

Tärkeä osa standardointijärjestelmää on infrastruktuuri julkisia avaimia PKI (Public Key Infrastructure). Tämä infrastruktuuri sisältää keskeisten varmenteiden myöntäjien verkoston käyttöönoton ja X.509-suositusten mukaisten digitaalisten varmenteiden käytön

Venäjän tietoturvastandardit

GOST R 50739-95. Tietokonetilat. Suojaus tietojen luvattomalta pääsyltä. Ovat yleisiä tekniset vaatimukset. Venäjän Gosstandart

GOST R 50922-2006. Datan suojelu. Perustermit ja määritelmät. Venäjän Gosstandart

GOST R 51188-98. Datan suojelu. Testit ohjelmisto saatavuuden vuoksi tietokonevirukset. Mallin käsikirja. Venäjän Gosstandart

GOST R 51275-2006. Datan suojelu. Tietoobjekti. Tietoon vaikuttavat tekijät. Yleiset määräykset. Venäjän Gosstandart

GOST R 51583-2000. Datan suojelu. Luontijärjestys automatisoidut järjestelmät suojatussa versiossa. Yleiset määräykset

GOST R 51624-2000. Datan suojelu. Automatisoidut järjestelmät turvallisessa suunnittelussa. Yleiset vaatimukset

GOST R 52069-2003. Datan suojelu. Standardijärjestelmä. Perussäännökset

GOST R 53131-2008 (ISO/IEC TO 24762-2008). Datan suojelu. Tieto- ja tietoliikennetekniikan turvatoimintojen ja -mekanismien katastrofipalautuspalvelujen suositukset. Yleiset määräykset

GOST R ISO 7498-1-99. Tietotekniikka. Suhde avoimet järjestelmät. Perusreferenssimalli. Osa 1. Perusmalli. Venäjän Gosstandart

GOST R ISO 7498-2-99. Tietotekniikka. Avointen järjestelmien yhteenliittäminen. Perusreferenssimalli. Osa 2. Tietoturva-arkkitehtuuri. Venäjän Gosstandart

GOST R ISO/IEC 13335-1-2006. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Osa 1. Tieto- ja televiestintäteknologian turvallisuuden hallinnan käsite ja mallit

GOST R ISO/IEC TO 13335-3-2007. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Osa 3. Tietotekniikan turvallisuuden hallinnan menetelmät

GOST R ISO/IEC TO 13335-4-2007. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Osa 4. Suojatoimenpiteiden valinta

GOST R ISO/IEC TO 13335-5-2007. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Osa 5: Verkkoturvallisuuden hallintaopas

GOST R ISO/IEC 15408 -1-2008. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietotekniikan turvallisuuden arviointikriteerit. Osa 1. Johdanto ja yleinen malli. Venäjän Gosstandart

GOST R ISO/IEC 15408-2-2008. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietotekniikan turvallisuuden arviointikriteerit. Osa 2. Toiminnalliset turvallisuusvaatimukset. Venäjän Gosstandart

GOST R ISO/IEC 15408-3-2008. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietotekniikan turvallisuuden arviointikriteerit. Osa 3. Turvallisuusvaatimukset. Venäjän Gosstandart

GOST R ISO/IEC TO 15443-1-2011. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. IT-turvallisuuden luottamuksen perusteet. Osa 1: Yleiskatsaus ja perusteet

GOST R ISO/IEC TO 15443-2-2011. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. IT-turvallisuuden luottamuksen perusteet. Osa 2. Luottamusmenetelmät

GOST R ISO/IEC TO 15443-3-2011. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. IT-turvallisuuden luottamuksen perusteet. Osa 3. Luottamusmenetelmien analyysi

GOST R ISO/IEC 17799- 2005. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietoturvan hallintakäytännöt

GOST R ISO/IEC 18028-1-2008. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietotekniikan verkkoturvallisuus. Verkkoturvallisuuden hallinta

GOST R ISO/IEC TO 19791-2008. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Automatisoitujen järjestelmien turvallisuusarviointi

GOST R ISO/IEC 27001- 2006. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietoturvan hallintajärjestelmät. Vaatimukset

GOST R ISO/IEC 27004-2011. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietoturvan hallinta. Mitat

GOST R ISO/IEC 27005-2009. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietoturvariskien hallinta

GOST R ISO/IEC 27033-1-2011. Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Verkkoturvallisuus. Osa 1: Yleiskatsaus ja käsitteet

GOST 28147 -89 Tietojenkäsittelyjärjestelmät. Kryptografinen suojaus. Kryptografinen muunnosalgoritmi.

GOST R 34.10 -2001 Tietotekniikka. Kryptografinen suojaus tiedot. Prosessit elektronisten luomiseen ja tarkistamiseen digitaalinen allekirjoitus.

GOST R 34.11 -94 Tietotekniikka. Kryptografisten tietojen suojaus. Hash-funktiot.

Erittäin tärkeä on ISO 27000 -sarjan tietoturvan hallintaan tarkoitettujen kansainvälisten standardien perhe (jotka otetaan pienellä viiveellä myös Venäjän valtion standardeiksi). Huomaamme erikseen GOST/ISO 27001 (Tietoturvallisuuden hallintajärjestelmät), GOST/ISO 27002 (17799) (Käytännön säännöt tietoturvan hallintaan)

Palomuuritekniikat

Palomuuri(ME) - laitteisto- tai ohjelmistokokonaisuus, joka valvoo ja suodattaa sen läpi kulkevia verkkopaketteja määritettyjen sääntöjen mukaisesti. ME kutsutaan myös palomuuri(Saksan kieli) Brandmauer) tai palomuuri(Englanti) palomuuri). ME sallii sinun erota jaettu verkko 2 osaan ja toteuttaa joukko sääntöjä, jotka määrittävät ehdot datapakettien kulkemiselle näytön läpi verkon yhdestä osasta toiseen. Tyypillisesti palomuuri asennetaan yrityksen (paikallisen) verkon ja Internetin väliin, mikä suojaa yrityksen sisäistä verkkoa globaalin verkon hyökkäyksiltä, ​​mutta se voi myös suojata paikallinen verkko yritysverkon uhilta.

Palomuurin päätarkoitus on suojata Tietokoneverkot tai yksittäisiä solmuja luvattomalta käytöltä. Palomuureja kutsutaan usein suodattimiksi, koska niiden päätehtävä ei ole sallia (suodattaa) paketteja, jotka eivät täytä konfiguraatiossa määritettyjä ehtoja.

Tietokoneen tietoturvaongelma ei ole uusi - asiantuntijat ovat käsitelleet sitä siitä hetkestä lähtien, kun tietokone alkoi käsitellä käyttäjälle arvokkaita tietoja. Kuitenkin viime vuosina, koska verkkojen kehitys, kasvava kysyntä sähköisiä palveluja Tietoturva-alan tilanne on heikentynyt vakavasti, ja ongelman ratkaisumallien standardoinnista on tullut erityisen ajankohtainen sekä IT-työkalujen kehittäjille että käyttäjille.

Miksi sinun täytyy tietää teoria?

Jokainen tietoturva-asiantuntija käy läpi ammatillisen kehityksensä kolme vaihetta. Ensimmäinen niistä on "työskentely käsilläsi". Uusi tulokas etsii ja poistaa intensiivisesti erikoistyökaluja käyttäen erittäin erityisiä aukkoja järjestelmä- ja sovellusohjelmistoissa. Skanneri, korjaustiedosto, portti, yhteys - nämä ovat entiteettejä, joiden kanssa hän työskentelee tässä vaiheessa.

Toinen vaihe on "työskentely pään kanssa". Väsyneenä uusien aukkojen paikkaamiseen, asiantuntija alkaa kehittää suunnitelmia ja menetelmiä, joiden tarkoituksena on tehostaa toimia järjestelmien turvallisuuden parantamiseksi ja tietouhkien seurausten poistamiseksi. Juuri tässä vaiheessa syntyy käsite "turvallisuuspolitiikka".

Lopuksi tulee harkinnan aika - tässä vaiheessa kokenut asiantuntija ymmärtää, että hän todennäköisesti keksii pyörän uudelleen, koska turvallisuusstrategiat on todennäköisesti kehitetty jo ennen häntä. Ja tässä hän on varmasti oikeassa.

Lukuisat organisaatiot ympäri maailmaa ovat jo pitkään käsitelleet tietoturvaongelmaa, joiden toiminnan tuloksena on ollut painava määrä standardeja, määräyksiä, suosituksia, sääntöjä jne. Koko niteen tutkiminen tuskin on suositeltavaa, mutta perusasiakirjat kannattaa tietysti tuntea. Siksi tässä artikkelissa mainitsemme vain tärkeimmät venäläiset ja kansainväliset määräykset, jotka luovat standardeja tietoturvan alalla.

Tietoturvakonsepti

Tieto- ja televiestintäjärjestelmien kehittäminen eri tarkoituksiin (ensisijaisesti Internetiin) sekä suojelua tarvitsevan arvokkaan tiedon sähköinen vaihto vaati tällä alalla työskenteleviä asiantuntijoita systematisoimaan ja virtaviivaistamaan tietokonejärjestelmien perusvaatimuksia ja ominaisuuksia. turvallisuudesta. Ennen kuin siirrytään muodostuneiden standardien tarkasteluun, on kuitenkin määriteltävä, mitä turvallisuus on.

Käsitteen tärkeyden vuoksi yritämme muotoilla sen laajennettua määritelmää, jossa otetaan huomioon viimeisimmät kansainväliset ja kotimaiset kehityssuunnat tällä alueella. Tietoturva on siis tila, jossa tieto on vastustuskykyinen vahingossa tai tahallisille vaikutuksille, poissulkien niiden tuhoutumisen, vääristymisen ja paljastumisen ei-hyväksyttävät riskit, jotka johtavat aineellisiin vahinkoihin omistajalle tai käyttäjälle. Tämä määritelmä ottaa täysin huomioon kaupallisen tietotietokonejärjestelmän päätarkoituksen - taloudellisten tappioiden minimoimisen, maksimaalisen voiton saamisen todellisten riskien edessä.

Tämä säännös koskee erityisesti niin kutsuttuja julkisia avoimia järjestelmiä, jotka käsittelevät omistusoikeudellista tietoa rajoitettu pääsy, joka ei sisällä valtiosalaisuuksia. Nykyään tämäntyyppiset järjestelmät kehittyvät nopeasti sekä maailmassa että maassamme.

Kansainvälinen tietoturvastandardi

On tunnettua, että standardointi on kaikenlaisten tuotteiden ja palveluiden laadun määrittämismenetelmien perusta. Yksi tämän toiminnan tärkeimmistä tuloksista turvallisten tietojärjestelmien vaatimusten ja ominaisuuksien systematisoinnin alalla oli Kansainvälisten ja kansallisten tietoturvastandardien järjestelmä, joka sisältää yli sata erilaista dokumenttia. Esimerkki on ISO 15408 -standardi, joka tunnetaan nimellä "Common Criteria".

Vuonna 1998 hyväksytty perustietoturvastandardi ISO 15408 on varmasti erittäin tärkeä venäläisille kehittäjille. Lisäksi tänä vuonna 2001 Gosstandart suunnittelee laativansa yhdenmukaistetun version tästä asiakirjasta. Kansainvälinen standardointijärjestö ISO (International Organisation for Standardization) aloitti yleiseen käyttöön tarkoitettujen tietotekniikan turvallisuuden arviointikriteereiden kansainvälisen standardin, "Yleiset kriteerit", kehittämisen vuonna 1990. Sen perustamiseen osallistuvat: National Institute of Standards and Technology ja National Security Agency (USA), Communications Security Establishment (Kanada), Tietoturvavirasto (Saksa), National Communications Security Agency (Hollanti), täytäntöönpanoviranomaiset IT Security and Certification Program (Englanti), Center for Systems Security (Ranska). Kun standardi oli viimeistelty, sille annettiin numero ISO 15408.

Yhteiset kriteerit (CC) luotiin IT-turvallisuusarvioinnin tulosten vastavuoroiseen tunnustamiseen maailmanlaajuisesti ja edustavat sen perustaa. Niiden avulla voit verrata riippumattomien tietoturva- ja riskinsietoarviointien tuloksia IT-työkalujen ja -järjestelmien turvallisuustoimintojen yleisten vaatimusten sekä niille testausprosessin aikana sovellettavien takuiden perusteella.

OK:n tärkeimmät edut ovat tietoturvavaatimusten kattavuus, sovellusten joustavuus ja avoimuus myöhempään kehitykseen ottaen huomioon tieteen ja tekniikan uusimmat saavutukset. Kriteerit on suunniteltu täyttämään kaikkien kolmen käyttäjäryhmän (kuluttajat, kehittäjät ja arvioijat) tarpeet tarkasteltaessa IT-työkalun tai -järjestelmän (arvioinnin kohteen) turvallisuusominaisuuksia. Tämä standardi on hyödyllinen oppaana kehitettäessä IT-suojausominaisuuksia sekä ostettaessa kaupallisia tuotteita, joissa on samankaltaisia ​​ominaisuuksia. Arvioinnin pääpainopisteenä ovat ihmisen haitallisesta toiminnasta aiheutuvat uhat, mutta OC:ta voidaan käyttää myös muiden tekijöiden aiheuttamien uhkien arvioinnissa. Jatkossa kaupallisille luotto- ja rahoitussektorille odotetaan luovan erikoisvaatimuksia. Muistakaamme, että aiemmat tämän tyyppiset kotimaiset ja ulkomaiset asiakirjat sidottiin valtion tai sotilaallisen järjestelmän ehtoihin, jotka käsittelevät turvaluokiteltua tietoa, joka saattaa sisältää valtiosalaisuuksia.

Tämän standardin julkaisun ja käyttöönoton yhteydessä ulkomailla kehitetään uusi, standardoitu arkkitehtuuri, joka on suunniteltu varmistamaan laskentajärjestelmien tietoturva. Toisin sanoen luodaan tietokonelaitteistot ja -ohjelmistot, jotka täyttävät yleiset kriteerit. Esimerkiksi kansainvälinen järjestö "Open Group", joka yhdistää noin 200 johtavaa laskenta- ja tietoliikenneyritystä eri puolilta maailmaa, on julkaissut uuden tietoturva-arkkitehtuurin kaupallisiin automatisoituihin järjestelmiin ottaen huomioon nämä kriteerit. Lisäksi "Open Group" luo koulutusohjelmia, jotka mahdollistavat standardointiasiakirjojen nopean ja laadukkaan toteuttamisen.

Internetin standardointiprosessin ominaisuudet

Global Networkilla on pitkään ollut useita komiteoita, jotka käsittelevät kaikkien Internet-tekniikoiden standardointia. Nämä organisaatiot, jotka muodostavat suurimman osan Internet Engineering Task Forcesta (IETF), ovat jo standardoineet useita tärkeitä protokollia, mikä on nopeuttanut niiden käyttöönottoa Internetissä. TCP/IP-protokollaperhe tiedonsiirtoon, SMTP ja POP sähköpostille sekä SNMP (Simple Network Management Protocol) verkonhallintaan ovat IETF:n tuloksia.

Muutaman viime vuoden aikana online-markkinat ovat todistaneet niin sanottua pirstoutunutta vaikutusta standardien muodostumiseen. Internetin laajentuessa kuluttaja- ja kaupallisille markkinoille, jotkut yritykset alkoivat etsiä tapoja vaikuttaa standardointiin luomalla vaikutelman kilpailusta. Jopa epäviralliset tahot, kuten IETF, tunsivat painetta. Internetin liittyvien markkinoiden kehittyessä yrittäjät alkoivat muodostaa erityisryhmiä tai yhteenliittymiä edistääkseen omia standardejaan. Esimerkkejä ovat OMG (Object Management Group), VRML (Virtual Reality Markup Language) -foorumi ja Java Development Connection. Joskus vakavat Internet-palvelujen kuluttajat asettavat de facto standardeja ostoilleen tai tilauksilleen.

Yksi ulkonäön syistä erilaisia ​​ryhmiä Standardoinnissa piilee ristiriidassa teknologian jatkuvasti kiihtyvän kehityksen ja standardien pitkän luomissyklin välillä.

Internetin suojausstandardit

Suojatut tiedonsiirtoprotokollat ​​ovat suosittuja keinoja turvata Internetissä, nimittäin SSL (TLS), SET, IP v. 6. Ne ilmestyivät suhteellisen äskettäin ja niistä tuli välittömästi de facto standardeja.

SSL (TLS)

Suosituin nyt verkkoprotokolla Tietojen salaus verkon kautta tapahtuvaa turvallista siirtoa varten on joukko salausalgoritmeja, menetelmiä ja sääntöjä niiden soveltamiseksi. Voit muodostaa suojatun yhteyden, valvoa tietojen eheyttä ja ratkaista erilaisia ​​asiaan liittyviä ongelmia.

ASETA

SET (Security Electronics Transaction) on lupaava protokolla, joka tarjoaa turvallisia sähköisiä tapahtumia Internetissä. Se perustuu X.509-standardin mukaisten digitaalisten sertifikaattien käyttöön ja on tarkoitettu sähköisen kaupankäynnin järjestämiseen verkossa.

Tämä protokolla on MasterCardin ja Visan kehittämä standardi IBM:n, GlobeSetin ja muiden kumppanien kanssa. Sen avulla asiakkaat voivat ostaa tavaroita verkosta käyttämällä turvallisinta saatavilla olevaa maksutapaa. SET on avoin standardi monenvälinen protokolla maksujen suorittamiseen Internetissä muovikorteilla. Se tarjoaa ristiintunnistuksen kortinhaltijan tilin, kauppiaan ja kauppiaan pankin välillä maksuvalmiuden, viestien eheyden ja salassapitoisuuden sekä arvokkaiden ja arkaluonteisten tietojen salauksen varmistamiseksi. SET:tä voidaan pitää vakioteknologiana tai protokollajärjestelmänä, jolla voidaan tehdä suojattuja maksuja muovikorteilla Internetissä.

IPSec

IPSec-spesifikaatio sisältyy IP v -standardiin. 6 ja täydentää TCP/IP-protokollan nykyistä versiota. Sitä kehitetään Työryhmä IP-suojaus IETF. IPSec sisältää tällä hetkellä kolme algoritmista riippumatonta ydinspesifikaatiota, jotka edustavat vastaavia RFC-standardeja.

IPSec-protokolla tarjoaa standardi tapa liikenteen salaus verkon (kolmas) IP-tasolla ja suojaa päästä päähän -salaukseen perustuvaa tietoa: käynnissä olevasta sovelluksesta riippumatta jokainen kanavan läpi kulkeva datapaketti on salattu. Sen avulla organisaatiot voivat luoda virtuaalisia yksityisiä verkkoja Internetiin. IPSec toimii perinteisten tietoliikenneprotokollien päällä ja tukee DES:tä, MD5:tä ja monia muita salausalgoritmeja.

Tietoturvan varmistaminen klo verkon tasolla IPSecillä sisältää:

  • tuki muokkaamattomille päätejärjestelmille;
  • muiden kuin TCP:n siirtoprotokollien tuki;
  • tuki virtuaaliset verkot suojaamattomissa verkoissa;
  • otsikon suojaus kuljetuskerros sieppaukselta (suojaus luvattomalta liikenneanalyysiltä);
  • suojaus palvelunestohyökkäyksiä vastaan.

Lisäksi IPSecillä on kaksi tärkeää etua:

  1. sen käyttö ei vaadi muutoksia väliverkkolaitteisiin;
  2. Pöytätietokoneiden ja palvelimien ei välttämättä tarvitse tukea IPSeciä.

Venäjän markkinoiden ominaisuudet

Historiallisesti Venäjällä tietoturvaongelmia tutkittiin ja ne ratkaistiin nopeasti vain valtionsalaisuuksien suojelemisen alalla. Samankaltaiset mutta erityiset ongelmat talouden kaupallisella sektorilla eivät ole löytäneet sopivia ratkaisuja pitkään aikaan. Tämä tosiasia hidastaa edelleen merkittävästi turvallisten IT-työkalujen syntymistä ja kehitystä kotimarkkinoilla, joita integroidaan globaaliin järjestelmään. Lisäksi kaupallisen automatisoidun järjestelmän tietoturvalla on omat ominaisuutensa, jotka on yksinkertaisesti otettava huomioon, koska niillä on vakava vaikutus tietoturvateknologiaan. Luettelemme tärkeimmät:

  1. Taloudellisten tekijöiden prioriteetti. Kaupallisessa automatisoidussa järjestelmässä on erittäin tärkeää vähentää tai poistaa taloudellisia menetyksiä ja varmistaa, että tämän työkalun omistaja ja käyttäjät saavat voittoa todellisissa riskeissä. Tärkeä edellytys tälle on erityisesti tyypillisten pankkiriskien minimointi (esimerkiksi virheellisistä maksuohjeista aiheutuvat tappiot, maksuasiakirjojen väärentäminen jne.);
  2. Suunnittelun avoimuus, joka mahdollistaa tietoturva-alijärjestelmän luomisen markkinoilla laajasti saatavilla olevista ja avoimissa järjestelmissä toimivista työkaluista;
  3. Kaupallisen tiedon oikeudellinen merkitys, joka voidaan määritellä suojatun tiedon ominaisuudeksi, joka mahdollistaa laillisen voiman antamisen sähköisille asiakirjoille tai tietoprosesseja oikeudellisen järjestelmän mukaisesti tietolähteitä perustettu Venäjän federaation lainsäädännöllä. Tämä ehto on viime aikoina noussut maassamme yhä tärkeämmäksi IT-turvallisuuden sääntelykehyksen luomisen myötä (erityisesti eri oikeushenkilöiden automatisoitujen järjestelmien vuorovaikutuksessa).

On selvää, että turvallisen tietotekniikan luominen, joka käsittelee luottamuksellisia tietoja, jotka eivät sisällä valtiosalaisuuksia, on erittäin tärkeää nyky-Venäjän talous- ja rahoituselämälle. Tietoturvan arvioinnin viimeisimpiä maailmanlaajuisia saavutuksia heijastavan harmonisoidun ISO 15408 -standardin ("Common Criteria") soveltaminen Venäjällä mahdollistaa:

  • tuoda venäläinen IT nykyaikaisiin kansainvälisiin tietoturvavaatimuksiin, mikä yksinkertaistaa esimerkiksi ulkomaisten tuotteiden käyttöä ja omien vientiä;
  • helpottamaan asiaankuuluvien venäläisten erikoissääntely- ja metodologisten materiaalien kehittämistä turvallisten pankki- ja muiden IT-työkalujen ja -järjestelmien testausta, arviointia (seurantaa) ja sertifiointia varten;
  • luoda pohja automatisoitujen järjestelmien vakuuttamiseen tarvittavien tietoriskien laadulliselle ja määrälliselle arvioinnille;
  • vähentää pankkien ja yritysten tietoturvajärjestelmän ylläpidon kokonaiskustannuksia kirjoittamalla ja yhdistämällä tiedon suojausmenetelmiä, toimenpiteitä ja keinoja.

valtion standardit

Maassamme vallitsevista erilaisista tietotekniikan turvallisuusstandardeista on syytä nostaa esiin joukko avoimien järjestelmien yhteenliittämisen suojausta sääteleviä asiakirjoja (taulukko 1, rivit 1-3). Näihin voi lisätä säädösasiakirjoja tietokonelaitteiden ja automatisoitujen järjestelmien turvallisuuden arvioinnin työkaluista, järjestelmistä ja kriteereistä (ks. Taulukko 1, rivit 4-8). Viimeinen asiakirjaryhmä, kuten monet aiemmin luodut ulkomaiset standardit, keskittyy ensisijaisesti valtiosalaisuuksien suojaamiseen.

Pöytä 1. Tietoturvan arviointia koskevat säädökset

p/p 		Asiakirjan numero Kuvaus
1 GOST R ISO 7498-2-99 Tietotekniikka. Avointen järjestelmien yhteenliittäminen. Perusreferenssimalli. Osa 2. Tietoturva-arkkitehtuuri
2 GOST R ISO/IEC 9594-8-98 Tietotekniikka. Avointen järjestelmien yhteenliittäminen. Hakemisto. Osa 8: Todennuksen perusteet
3 GOST R ISO/IEC 9594-9-95 Tietotekniikka. Avointen järjestelmien yhteenliittäminen. Hakemisto. Osa 9. Monistus
4 - Valtion teknisen toimikunnan ohjeasiakirja "RD. SVT. Palomuurit. Suojaus tietojen luvattomalta käytöltä. Tietoturvan indikaattorit luvattomalta pääsyltä tietoihin" (Venäjän valtion tekninen komissio, 1997)
5 GOST R 50739-95 "Tietokonetekniikka. Suojaus tietojen luvattomalta pääsyltä. Yleiset tekniset vaatimukset"
6 GOST 28147-89 Tietojenkäsittelyjärjestelmät. Kryptografinen suojaus. Kryptografinen muunnosalgoritmi
7 GOST R 34.10-94 Tietotekniikka. Kryptografisten tietojen suojaus. Epäsymmetriseen salausalgoritmiin perustuvan sähköisen allekirjoituksen luomis- ja todentamismenettelyt
8 GOST R 34.11-94 Tietotekniikka. Kryptografisten tietojen suojaus. Hash-toiminto

Miten ja missä eri standardit toimivat

Kaikki tällä hetkellä saatavilla olevat standardit ovat monitasoisia. Tämä tarkoittaa, että niiden käyttö on rajoitettu tiettyyn abstraktiotasoon tietojärjestelmissä (esimerkiksi "Common Criteria" ei voi kuvata yksityiskohtaisesti istuntoavaimen luomismekanismia TLS-protokollassa). On selvää, että standardien tehokkaan soveltamisen edellytyksenä on, että niiden taso ja tarkoitus on ymmärrettävä hyvin.

Näin ollen turvallisuuspolitiikkaa ja suorituskyvyn arviointijärjestelmää kehitettäessä sekä kattavia turvallisuustestejä tehtäessä on parasta käyttää ISO 15408:n ("Yleiset kriteerit") säännöksiä. Vastaavat GOST-standardit on tarkoitettu salaus- ja digitaalisten allekirjoitusjärjestelmien toteuttamiseen ja teknisen täydellisyyden arviointiin. Jos haluat suojata kanavaa mielivaltaisten tietojen vaihtamiseksi, on suositeltavaa käyttää TLS-protokollaa. Milloin kyse ei ole vain suojelusta? viestintälinjat, ja rahoitustapahtumien turvallisuuden osalta SET tulee peliin, mukaan lukien kanavien suojausprotokollat ​​yhtenä alemman tason standardeista.

Teoriasta käytäntöön

Osoittaaksemme yllä olevien määräysten käytännön merkityksen tarjoamme luettelon turvastandardeista, joita käytetään Interbankin sähköisten pankkipalvelujen monimutkaisessa toteutuksessa.

SSL (TLS) -protokollaa voidaan käyttää tiedonvaihtokanavan suojaamiseen RS-Portal- ja Internet Client -järjestelmissä. Tietojen salausta ja sähköistä digitaalista allekirjoitusmekanismia säätelevät standardit GOST 28147-89, GOST R 34.10-94 ja GOST R 34.11-94 on toteutettu kaikissa "asiakaspankki"-tyyppisten alajärjestelmien ("Client DOS") salaussuojausjärjestelmissä. , " Windows asiakas", "Internet-asiakas").

IPSec-protokollan avulla voit suojata läpinäkyvästi kaikki asiakkaan ja pankin väliset tiedonvaihtokanavat IP-verkkoprotokollalla. Tämä koskee sekä Internet-järjestelmiä (RS-Portal ja Internet Client) että IP-käyttöä tukevaa RS-Mail-sähköpostijärjestelmää.

Toivomme, että artikkelissa annetut tiedot auttavat sinua arvioimaan järjestelmienne luotettavuutta ja kehittäjien ponnistelut ja aika ohjataan luomaan todella parhaat työkalut, joista tulee uusi askel tietoturvatekniikan kehityksessä.


Artikkelit tästä aiheesta
•
Tietoturva-alan ammattilaisten on nykyään lähes mahdotonta tulla toimeen ilman asiaankuuluvien standardien ja spesifikaatioiden tuntemusta. Tähän on useita syitä. Muodollinen on, että tarve noudattaa tiettyjä standardeja, kuten "salauksen" standardeja tai "ohjeasiakirjoja", on kirjattu lakiin. Todelliset syyt ovat kuitenkin vakuuttavimmat.

Ensinnäkin standardit ja spesifikaatiot ovat yksi tiedon keräämisen muodoista, pääasiassa tietoturvan proseduurista ja ohjelmisto- ja laitteistotasosta. Ne dokumentoivat pätevimpien asiantuntijoiden kehittämiä todistettuja, laadukkaita ratkaisuja ja menetelmiä.

Toiseksi molemmat ovat pääasiallisia keinoja varmistaa laitteisto-ohjelmistojärjestelmien ja niiden komponenttien keskinäinen yhteensopivuus.

Kolmanneksi tietoturvastandardien vaikea tehtävä on sovittaa yhteen kolme eri näkökulmaa, "turvalaitteiden valmistaja", "kuluttaja" ja erilaiset "sertifiointiasiantuntijat", sekä luoda tehokas mekanismi kaikkien osapuolten väliseen vuorovaikutukseen.

Kuluttajat ovat kiinnostuneita menetelmistä, joiden avulla he voivat valita tarpeitaan vastaavan ja ongelmansa ratkaisevan tuotteen, esimerkiksi Windows Server OS -käyttöjärjestelmää käyttävän VPS:n, jolle he tarvitsevat tietoturvaluokitusasteikon. Ja kuluttaja tarvitsee myös työkalun, jolla hän voi muotoilla vaatimuksensa valmistajalle. Valitettavasti monet kuluttajat eivät usein ymmärrä, että turvallisuusvaatimukset eivät välttämättä ole ristiriidassa käytettävyyden ja suorituskyvyn kanssa, vaan useammin myös vaativat tiettyjä rajoituksia yhteensopivuuden suhteen ja yleensä pakottaa meidät luopumaan laajalti käytetyistä, helppokäyttöisistä mutta vähemmän turvallisista työkaluista.

Sertifioijat pitävät standardeja työkaluna, jonka avulla he voivat arvioida turvallisuustason ja antaa kuluttajille mahdollisuuden tehdä itse tehokkaimmat valinnat.

Yksi ensimmäisistä ja tunnetuimmista asiakirjoista oli niin sanottu "oranssi kirja", joka kehitettiin 90-luvulla "Turvallisuuskriteeriksi". tietokonejärjestelmät» Yhdysvaltain puolustusministeriö. Se määrittelee 4 suojaustasoa, A, B, C, D, joissa A on eniten korkeatasoinen turvallisuutta, mikä näin ollen asettaa tiukimmat vaatimukset.

Vaikka "oranssista kirjasta" tuli yksi ensimmäisistä tunnetuimmista asiakirjoista, on selvää, että jokainen valtio, joka haluaa varmistaa tietoturvansa, kehitti oman dokumentaation - "kansalliset standardit" tietoturvan alalla. Näitä ovat muun muassa "European Information Technology Security Criteria", "Canadian Computer Systems Security Criteria" sekä "British Information Security Management Practices", joiden perusteella muuten kansainväliset standardit ISO/IEC 17799:2000 (BS 7799-1:2000). SISÄÄN Tämä hetki uusin versio standardi ISO/IEC 27001:2013 sekä "Neuvostoliiton (ja myöhemmin Venäjän) valtion teknisen komission ohjeasiakirjat".

On huomattava, että amerikkalaiset arvostivat suuresti Neuvostoliiton valtion teknisen komission toimintaa. Amerikkalaiset julkaisut kirjoittivat, että neuvostoelin tietojen suojelemiseksi ja teknisen tiedustelutoiminnan torjumiseksi tutki huolellisesti kaikkea, mitä lännessä tiedetään Neuvostoliitosta, ja kehitti "valtavaa määrää materiaalia vääristääkseen todellista kuvaa". He sanoivat, että komissio valvoo kaikkia sotilaallisia paraatteja ja harjoituksia, joihin ulkomaalaiset osallistuvat, ohjustukikohtien ja kasarmien rakentamista, kun taas joillakin alueilla saavutukset piilotetaan tarkoituksella ja toisilla, kuten ohjuspuolustus, liioitetaan suuresti. Valtion teknisen toimikunnan toiminta tällä alalla kantoi todella pian ensimmäiset hedelmänsä. Kuten amerikkalainen sanomalehti The New York Times kirjoitti, jo vuonna 1977 Neuvostoliiton telakoilla ja telakoilla toteutettujen toimenpiteiden seurauksena amerikkalaisilla oli ongelmia seurata Neuvostoliiton sukellusveneiden rakentamisen edistymistä.

Neuvostoliiton valtion teknisen komission neuvostokauden työn tulokset eivät olleet vain tietoturvan lisääminen sotilas-teollisissa yrityksissä, vaan myös uudentyyppisten aseiden testaus testauskentillä. Automaattisissa valvontajärjestelmissä ja tietokoneissa käsiteltyjen tietojen turvallisuuden varmistamiseksi on tehty vakavaa työtä, erityisesti turvallisia tietokonevalvontajärjestelmiä ja keinoja luottamuksellisten asiakirjojen käsittelyyn on luotu turvaluokiteltujen tietojen vuotamisen estämiseksi, viestintäkanavia on otettu käyttöön tasolle hallintoelinten ja Neuvosto-armeijan korkean johdon ja paljon muuta.

On myös huomattava, että standardien aiemmin ilmoitettu rooli on myös kirjattu liittovaltion lakiin "teknisistä määräyksistä", päivätty 27. joulukuuta 2002 N 184-FZ

On huomattava, että mainitussa laissa julistetuista standardoinnin periaatteista 7 §:ssä "Teknisten määräysten sisältö ja soveltaminen" sisältyy periaate kansainvälisen standardin soveltamisesta kansallisen standardin kehittämisen perustana, paitsi jos soveltaminen katsotaan mahdottomaksi, koska kansainvälisten standardien vaatimukset eivät ole ilmasto- ja maantieteellisten ominaisuuksien, teknisten tai teknologisten ominaisuuksien mukaisia ​​taikka muista syistä tai jos Venäjän federaatio vastustaa kansainvälisen standardin tai sen erillisen säännöksen hyväksymistä.

7 artikla. 8 lauseke:

Kansainväliset standardit on käytettävä kokonaan tai osittain pohjana teknisten määräysluonnosten laatimiselle, paitsi jos kansainväliset standardit tai niiden osat olisivat tehottomia tai sopimattomia tämän liittovaltion lain 6 §:ssä asetettujen tavoitteiden saavuttamiseksi, myös ilmaston vuoksi. ja maantieteelliset ominaisuudet Venäjän federaatio, tekniset ja (tai) tekniset ominaisuudet. (sellaisena kuin se on muutettuna 18. heinäkuuta 2009 päivätyllä liittovaltion lailla N 189-FZ)
Venäjän federaation kansallisia standardeja voidaan käyttää kokonaan tai osittain teknisten määräysten luonnosten kehittämisen perustana.

Koska käytännön näkökulmasta tietoturva-alan kansainvälisten, kansallisten ja toimialakohtaisten standardien ja spesifikaatioiden määrä on loputon, esittelemme niistä vain muutaman, täydellinen lista kansalliset standardit tarjotaan Venäjän FSTEC:n verkkosivustolla vastaavassa osiossa "Kansalliset standardit".
Nimitys Nimi venäjäksi
GOST R 50739-95 Tietokonetilat. Suojaus tietojen luvattomalta pääsyltä. Yleiset tekniset vaatimukset
GOST R 50922-2006 Datan suojelu. Perustermit ja määritelmät
GOST R 51188-98 Datan suojelu. Tietokonevirusten testausohjelmistot. Mallin käsikirja
GOST R 51583-2014 Datan suojelu. Menettely automatisoitujen järjestelmien luomiseksi turvallisessa suunnittelussa. Yleiset määräykset
GOST R 53110-2008 Viestintäverkon tietoturvajärjestelmä yleinen käyttö. Yleiset määräykset
GOST R 53111-2008 Yleisen viestintäverkon toiminnan vakaus. Vaatimukset ja todentamismenetelmät
GOST R 53113.1-2008 Tietotekniikka. Tietotekniikan ja automatisoitujen järjestelmien suojaaminen salaisia ​​kanavia käyttäen toteutetuilta tietoturvauhkilta. Osa 1. Yleiset määräykset
GOST R 53113.2-2009 Tietotekniikka. Tietotekniikan ja automatisoitujen järjestelmien suojaaminen salaisia ​​kanavia käyttäen toteutetuilta tietoturvauhkilta. Osa 2. Suositukset tietojen, tietoteknologioiden ja automatisoitujen järjestelmien suojauksen järjestämiseksi salaisia ​​kanavia käyttäviltä hyökkäyksiltä
GOST R 54581-2011 / I SO/IEC TR 15443-1:2005 Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. IT-turvallisuuden luottamuksen perusteet. Osa 1: Yleiskatsaus ja perusteet
GOST R 54582-2011 / ISO/IEC TR 15443-2:2005 Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietotekniikan turvallisuuden luottamuksen perusteet. Osa 2. Luottamusmenetelmät
GOST R 54583-2011 / ISO/IEC TR 15443-3:2007 Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietotekniikan turvallisuuden luottamuksen perusteet. Osa 3. Luottamusmenetelmien analyysi
GOST R ISO 7498-1-99 Tietotekniikka. Avointen järjestelmien yhteenliittäminen. Perusreferenssimalli. Osa 1. Perusmalli
GOST R ISO 7498-2-99 Tietotekniikka. Avointen järjestelmien yhteenliittäminen. Perusreferenssimalli. Osa 2. Tietoturva-arkkitehtuuri
GOST R ISO/IEC TO 13335-5-2006 Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Osa 5: Verkkoturvallisuuden hallintaopas
GOST R ISO/IEC 15408-1-2012 Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietotekniikan turvallisuuden arviointikriteerit. Osa 1. Johdanto ja yleinen malli

Harkitse esimerkiksi GOST R 53113.2-2009 "Tietotekniikka (IT). Tietotekniikan ja automatisoitujen järjestelmien suojaaminen salaisia ​​kanavia käyttäen toteutetuilta tietoturvauhkilta."

SISÄÄN tämä standardi ei esitetä vain yleistä kaaviota peitekanavien toiminnasta automatisoidussa järjestelmässä, uhkamallin muodostamissäännöt, vaan myös erilaisia ​​suosituksia tiedon suojaamiseksi ja tietoturvajärjestelmän rakentamisessa käytettäviä menetelmiä, jotka huomioivat tällaisten järjestelmien olemassaolon. salaisia ​​kanavia.

Alla kuvassa 1 on esitetty yleinen kaavio piilokanavien toiminnasta automatisoidussa järjestelmässä.

Kuva 1 - Yleinen kaava mekanismi piilotettujen kanavien toimimiseksi automatisoidussa järjestelmässä

1 - tietoturvaloukkaaja (hyökkääjä), jonka tavoite on luvaton pääsy rajoitettu pääsy tietoihin tai luvaton vaikuttaminen automatisoituun järjestelmään;
2 - rajoitettu pääsy tieto tai kriittinen toiminto;
3 - aihe, jolla on valtuutettu pääsy 2:een ja 5:een;
3" on tietoturvaloukkaajan agentti, joka sijaitsee suljetussa silmukassa 2:n kanssa ja on vuorovaikutuksessa 2:n kanssa kohteen 3 puolesta;
4 - tarkastaja (ohjelmisto, laitteisto ja ohjelmisto, laitteisto tai henkilö), joka ohjaa tiedon vuorovaikutusta 3 ylittää informatisointiobjektin ulkoisesta ympäristöstä erottavan suljetun silmukan;
5 - suljetun silmukan ulkopuolella oleva kohde, jonka kanssa 3 suorittaa valtuutettua tietovuorovaikutusta

Suojakanavien kautta toteutettavia turvallisuusuhkia ovat mm.

1. Toteutus haittaohjelma ja tiedot;
2. Hyökkääjä lähettää komentoja agentille suoritettaviksi;
3. Salausavainten tai salasanojen vuotaminen;
4. Yksittäisten tietoobjektien vuotaminen.

Tietojen, tietotekniikan ja automatisoitujen järjestelmien suojaaminen salaisia ​​kanavia käyttäen tehdyiltä hyökkäyksiltä on syklinen prosessi, joka sisältää seuraavat vaiheet, jotka toistetaan jokaisessa prosessin iteraatiossa:

1. Organisaation omaisuuden riskianalyysi, mukaan lukien arvokkaan omaisuuden tunnistaminen ja salaisia ​​kanavia käyttävien hyökkäysten mahdollisten seurausten arviointi
2. Piilotettujen kanavien tunnistaminen ja niiden vaaran arvioiminen organisaation omaisuudelle
3. Suojatoimenpiteiden toteuttaminen piilokanavien torjumiseksi
4. Piilotettujen kanavien vastatoimien hallinnan organisointi.

Piilokanavien avulla toteutetun tietoturvauhkilta suojautumisprosessin syklisyys määräytyy uusien, aiempien iteraatioiden aikaan tuntemattomien salaisten kanavien rakentamistapojen ilmaantumisen myötä.

Piilotettujen kanavien vaaran arvioinnin perusteella riskianalyysin tulokset huomioon ottaen tehdään johtopäätös tällaisten kanavien torjumisen tarkoituksenmukaisuudesta tai sopimattomuudesta.

Piilotettujen kanavien tunnistamisen tulosten perusteella laaditaan toimintasuunnitelma niiden käytön kautta toteutuvien uhkien torjumiseksi. Näihin toimintoihin voi sisältyä jonkin jo tunnetun (tai jo olemassa olevan) tietoturvauhkien torjuntakeinon toteuttaminen, joka toteutetaan salaisia ​​kanavia käyttäen.

Suojatoimenpiteinä on suositeltavaa käyttää seuraavia:

1. Hylkää kaistanleveys tiedonsiirtokanava;
2. Arkkitehtoniset ratkaisut automatisoitujen järjestelmien rakentamiseen;
3. Automatisoitujen järjestelmien suojauksen tehokkuuden seuranta.

Asiantuntijat päättävät suojattavan automatisoidun järjestelmän yksilöllisten ominaisuuksien perusteella vuokraamasi VDS-palvelimen tietoturvaan kohdistuvien salaisten kanavien avulla toteutettujen uhkien torjuntamenetelmien valinnan ja niiden toteuttamista koskevan suunnitelman laatimisen.

Kuten näette, edes lyhyt luettelo standardeista ei ole lyhyt, säännöksistä ja suosituksista puhumattakaan, mutta tällä alalla on oltava vähintään perustiedot, jotta voit paitsi navigoida myös soveltaa tarvittavia standardeja harjoitella.

Kansainväliset standardit

  • BS 7799-1:2005 - British Standard BS 7799 ensimmäinen osa. BS 7799 Osa 1 – Tietoturvan hallinnan käytännesäännöt kuvaa 127 ohjainta, jotka tarvitaan rakentamiseen tietoturvan hallintajärjestelmät(ISMS) määritetään parhaiden esimerkkien perusteella maailmanlaajuisesta kokemuksesta (parhaista käytännöistä). Tämä asiakirja toimii käytännön oppaana ISMS:n luomiseen
  • BS 7799-2:2005 – Brittiläinen standardi BS 7799 on standardin toinen osa. BS 7799 Osa 2 - Tietoturvan hallinta - Tietoturvan hallintajärjestelmien spesifikaatio määrittelee ISMS-spesifikaatiot. Standardin toista osaa käytetään kriteerinä organisaation ISMS:n virallisessa sertifiointimenettelyssä.
  • BS 7799-3:2006 - Brittiläinen standardi BS 7799 standardin kolmas osa. Uusi standardi tietoturvariskien hallinnan alalla
  • ISO/IEC 17799:2005 - "Tietotekniikka - Turvatekniikat - Tietoturvan hallintakäytäntö." Kansainvälinen standardi perustuu BS 7799-1:2005:een.
  • ISO/IEC 27000 - Sanasto ja määritelmät.
  • ISO/IEC 27001 - "Tietotekniikka - Turvatekniikat - Tietoturvan hallintajärjestelmät - Vaatimukset." Kansainvälinen standardi perustuu BS 7799-2:2005:een.
  • ISO/IEC 27002 – nyt: ISO/IEC 17799:2005. "Tietoteknologiat - Turvatekniikat - Käytännön säännöt tietoturvan hallintaan." Julkaisupäivä: 2007.
  • ISO/IEC 27005 - Nyt: BS 7799-3:2006 - Ohjeita tietoturvariskien hallintaan.
  • Saksan tietoturvavirasto. IT-perussuojauskäsikirja – Vakioturvatoimet perustaso tietotekniikan suoja).

Venäjän federaation valtion (kansalliset) standardit

  • GOST R 50922-2006 - Tietosuoja. Perustermit ja määritelmät.
  • R 50.1.053-2005 - Tietotekniikka. Alan perustermit ja määritelmät tekninen suojaus tiedot.
  • GOST R 51188-98 - Tietosuoja. Tietokonevirusten testausohjelmistot. Mallin käsikirja.
  • GOST R 51275-2006 - Tietosuoja. Tietoobjekti. Tietoon vaikuttavat tekijät. Yleiset määräykset.
  • GOST R ISO/IEC 15408-1-2012 - Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietotekniikan turvallisuuden arviointikriteerit. Osa 1. Johdanto ja yleinen malli.
  • GOST R ISO/IEC 15408-2-2013 - Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietotekniikan turvallisuuden arviointikriteerit. Osa 2. Toiminnalliset turvallisuusvaatimukset.
  • GOST R ISO/IEC 15408-3-2013 - Tietotekniikka. Menetelmät ja keinot turvallisuuden takaamiseksi. Tietotekniikan turvallisuuden arviointikriteerit. Osa 3. Turvallisuusvaatimukset.
  • GOST R ISO/IEC 15408 - "Yleiset kriteerit tietotekniikan turvallisuuden arvioimiseksi" - standardi, joka määrittelee työkalut ja menetelmät tietotuotteiden ja -järjestelmien turvallisuuden arvioimiseksi; se sisältää luettelon vaatimuksista, joihin riippumattomien turvallisuusarviointien tuloksia voidaan verrata - jolloin kuluttaja voi tehdä päätöksiä tuotteiden turvallisuudesta. Soveltamisala" Yleiset kriteerit» - tietojen suojaaminen luvattomalta pääsyltä, muuttamiselta tai vuodolta sekä muut laitteiston ja ohjelmiston toteuttamat suojausmenetelmät.
  • GOST R ISO/IEC 17799 - Tietotekniikka. Käytännön säännöt tietoturvan hallinnasta." Kansainvälisen standardin suora soveltaminen sen lisäyksellä - ISO/IEC 17799:2005.
  • GOST R ISO/IEC 27001 - “Tietotekniikka. Turvallisuusmenetelmät. Tietoturvan hallintajärjestelmä. Vaatimukset". Kansainvälisen standardin suora sovellus on ISO/IEC 27001:2005.
  • GOST R 51898-2002: Turvallisuusnäkökohdat. Säännöt standardeihin sisällyttämiseksi.

Georgi Garbuzov,
CISSP, MCSE: Turvallisuus, Tietoturvaosasto, URALSIB Insurance Group

Standardoinnin HISTORIA, joka on prosessi, jossa asetetaan yhtenäisiä vaatimuksia, jotka soveltuvat toistuvaan käyttöön, ulottuu useiden tuhansien vuosien taakse - jopa muinaisen Egyptin pyramidien rakentamisen aikana käytettiin vakiokokoisia lohkoja, ja erityiset ihmiset valvoivat vaatimustenmukaisuuden astetta. tällä vanhalla standardilla. Nykyään standardoinnilla on vahva asema lähes kaikilla ihmisen toiminnan aloilla.

Tietoturvan standardointi

Tietoturvan (IS) standardoinnista on hyötyä sekä IS-tuotteiden ja -palveluiden ammattilaisille että kuluttajille, koska sen avulla voidaan luoda optimaalinen virtaviivaistamisen ja yhtenäistämisen taso, varmistaa IS-tuotteiden keskinäinen vaihdettavuus sekä mitattavuus ja eri maissa ja organisaatioissa saatujen tulosten toistettavuus. Ammattilaisille tämä tarkoittaa ajan säästöä tehokkaiden ja hyväksi havaittujen ratkaisujen etsimisessä, ja kuluttajille se on tae siitä, että lopputulos on odotettu laatu.

Standardoinnin kohteena voi olla mikä tahansa tietoturvatuote tai -palvelu: arviointimenetelmä, toiminnallisuutta turvaominaisuudet ja -asetukset, yhteensopivuusominaisuudet, kehitys- ja tuotantoprosessit, hallintajärjestelmät jne.

Standardointi voi osallistujien kokoonpanosta riippuen olla kansainvälistä, alueellista tai kansallista, kun taas kansainvälinen standardointi (virallisten standardointielinten, kuten ISO:n kanssa) sisältää konsortioiden standardoinnin (esim. IEEE tai SAE), ja kansallinen standardointi voi olla valtion tai teollisuus .

Tarkastellaanpa tarkemmin joitakin nykyään kysyttyjä ulkomaisia ​​standardeja, jotka tavalla tai toisella vaikuttavat tietoturvakysymyksiin.

Kansainväliset standardit tietoturvan alalla - ulkomainen kokemus

Tietoturva-alan standardointi ulkomailla on kehittynyt vuosikymmeniä, ja joillakin mailla, esimerkiksi Isolla-Britannialla, on laaja kokemus standardien kehittämisestä - monet brittiläiset kansalliset standardit, kuten BS7799-1/2, ovat saaneet kansainvälistä asemaa ajan myötä. Aloitetaan niistä.

Kansainväliset standardit ISO 27002 ja ISO 27001

Ehkä nämä ovat tämän hetken suosituimpia standardeja tietoturva-alalla.

ISO 27002 (entinen ISO 17799) sisältää joukon suosituksia tietoturvan hallintajärjestelmien tehokkaalle organisoinnille yrityksessä, joka kattaa kaikki keskeiset osa-alueet, erityisesti:

  • tietoturvapolitiikan muodostaminen;
  • henkilöstöön liittyvä turvallisuus;
  • viestinnän turvallisuus;
  • fyysinen turvallisuus;
  • kulunvalvonta;
  • tapausten käsittely;
  • varmistaa lakisääteisten vaatimusten noudattaminen.

ISO 27001 -standardi on kokoelma johtamisjärjestelmän sertifioinnin kriteereitä, joiden tulosten perusteella akkreditoitu, rekisteriin kuuluva sertifiointielin myöntää kansainvälisen vaatimustenmukaisuustodistuksen.

Rekisterin mukaan Venäjällä on tällä hetkellä noin tusina rekisteröityä yritystä, joilla on tällainen sertifikaatti, ja sertifikaattien kokonaismäärä maailmassa on yli 5 000. Sertifioinnin valmistelun voi tehdä joko organisaatio itse tai konsulttiyritykset, ja käytäntö osoittaa, että ISO 27001 -sertifikaatin saaminen on paljon helpompaa yrityksille, joilla on jo sertifioitu johtamisjärjestelmä (esimerkiksi laatu).

ISO 27001/27002 -standardit edustavat uutta standardisarjaa, jonka lopullista muodostumista ei ole vielä saatu päätökseen: standardit 27000 (perusperiaatteet ja terminologia), 27003 (ohjeet tietoturvan hallintajärjestelmän käyttöönottamiseksi), 27004 ( tietoturvan hallintajärjestelmän tehokkuuden mittaaminen) ja muut ovat kehitteillä - yhteensä 27000-sarjaan odotetaan yli 30 standardia. Lisätietoa sarjan koostumuksesta ja sen kehityksen nykytilasta löytyy viralliselta ISO-sivustolta (www.iso.org).

Kansainväliset standardit ISO13335 ja ISO15408

ISO 13335 -standardi on tietotekniikan tietoturvastandardien perhe, joka kattaa IT-turvallisuuden hallinnan ja tarjoaa erityisiä suojatoimenpiteitä ja -tekniikoita. Tällä hetkellä 13335-sarjaa korvataan vähitellen uudemmalla sarjalla 27000. ISO 15408 -standardi sisältää yhtenäiset kriteerit IT-järjestelmien turvallisuuden arviointiin ohjelmisto- ja laitteistotasolla (samanlainen kuin kuuluisa Orange Book, joka tunnetaan myös nimellä TCSEC-arviointi kriteerit tai eurooppalaiset ITSEC-kriteerit), jotka mahdollistavat eri maissa saatujen tulosten vertailun.

Yleisesti ottaen näitä standardeja, vaikka ne sisältävät vain teknologisen osan, voidaan käyttää sekä itsenäisesti että tietoturvan hallintajärjestelmiä rakennettaessa osana esimerkiksi valmistautumista ISO 27001 -standardin sertifiointiin.

CobiT

CobiT on noin 40 kansainvälisen standardin ja ohjeen sarja IT-hallinnon, auditoinnin ja turvallisuuden aloilla ja sisältää kuvauksia niihin liittyvistä prosesseista ja mittareista. CobiT:n päätavoitteena on löytää yhteinen kieli tiettyjä tavoitteita omaavan yrityksen ja niiden saavuttamista edistävän IT:n välillä, jolloin voidaan luoda riittävät suunnitelmat organisaation tietotekniikan kehittämiseksi.

CobiT:llä auditoidaan ja ohjataan organisaation IT-hallintajärjestelmää ja se sisältää yksityiskohtaiset kuvaukset johtamisen tavoitteet, periaatteet ja kohteet, mahdolliset IT-prosessit ja tietoturvan hallintaprosessit. Täydellisyys, selkeitä kuvauksia erityiset toimet ja työkalut sekä keskittyminen liiketoimintaan tekevät CobiT:stä hyvä valinta tietoinfrastruktuuria ja sen hallintajärjestelmää luotaessa.

Artikkelin seuraavassa osassa tarkastellaan mielenkiintoisia kansallisia ja toimialakohtaisia ​​ulkomaisia ​​standardeja, kuten NIST SP 800, BS, BSI, PCI DSS, ISF, ITU ja muut.

Asiantuntijakommentti

Aleksei Pleshkov,
Tietotekniikan turvallisuusosaston päällikkö, Gazprombank (avoin osakeyhtiö)

Yllä olevan kansainvälisten standardien katsauksen lisäksi haluan kiinnittää huomiota toiseen tietoturvaa koskevaan sääntelyasiakirjaan, joka ei ole laajalle levinnyt Venäjän federaatiossa. Yksi näistä standardeista on asiakirja EBIOS-menetelmäperheestä.

EBIOS-hanketta tietojärjestelmien tietoturvan hallinnan menetelmien ja työkalujen kehittämiseksi tukee Ranskan hallitus ja edistää Ranskan pääministerin alaisuudessa toimiva DCSSI-komissio yleiseurooppalaiselle tasolle. Tämän hankkeen tarkoituksena on auttaa parantamaan julkisten tai yksityisten organisaatioiden tietojärjestelmien turvallisuutta (http://www.securiteinfo.com/conseils/ebios.shtml).

Tietoturvatuen arviointitehtävien automatisointiin tarkoitetun tuotteen dokumentaatiosarjan teksti "Metodologinen työkaluja tietojärjestelmien turvallisuuden saavuttaminen EBIOS (tarpeiden määrittely ja turvallisuustavoitteiden tunnistaminen)" julkaistiin Ranskan hallituksen virallisella verkkosivustolla, joka on omistettu automatisoitujen järjestelmien tietoturvan varmistamiseen vuonna 2004.

Ranskan puolustusministeriön pääsihteeristön ehdottama EBIOS-menetelmä nimeltään "Tarpeiden määrittely ja turvallisuustavoitteiden tunnistaminen" (EBIOS) on kehitetty ottaen huomioon tietoturvan varmistamiseen tähtäävät kansainväliset standardit. Se formalisoi lähestymistavan tietojärjestelmäturvallisuuden riskien arvioimiseen ja käsittelyyn ja sitä käytetään tietoturvatason arvioimiseen kehitetyissä ja olemassa olevissa järjestelmissä.
Menetelmän tarkoituksena on antaa kaikille hallituksen valvomille organisaatioille mahdollisuus määrittää luettelo turvatoimista, jotka on suoritettava ensin. Menetelmän voivat toteuttaa organisaation turvallisuusosaston pääkäyttäjät ja sitä voidaan soveltaa kaikilla kehitettävän tai olemassa olevan rakenteen tasoilla tietojärjestelmä(alijärjestelmät, sovellusohjelmat).

EBIOS-lähestymistapa ottaa huomioon tietoturvan kolme pääominaisuutta: luottamuksellisuus, eheys ja käytettävyys sekä tietojen että järjestelmien sekä ympäristön, jossa ne sijaitsevat. Tietyissä tapauksissa on suositeltavaa huolehtia kiistämättömyyden, valtuutuksen ja todennustarpeiden varmistamisesta.