Левадний С.М.

Національний авіаційний університет(НАУ), Україна

 

КРИТЕРІЇ ВИБОРУ СТАНДАРТІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

 

Вступ. Сучасні глобальні та інтегральні процеси в сфері інформатизації викликають велику кількість змін у функціонуванні суспільних об’єктів інформаційної діяльності. Це в свою чергу призводить до зміни якості обслуговування, ефективності промисловості та загальної оптимізації структури народного господарства. Маючи реальні здатності та можливості впливати на хід розвитку кожної країни, світу загалом, основні положення і принципи обігу інформації (у тому числі і конфіденційної) повинні  бути регламентовані та затверджені на законодавчому рівні у вигляді Державних стандартів України (ДСТУ) та нормативних документів (НД).  Ключовим аспектом забезпечення властивостей інформації кожної держави є створення надійної інфраструктури, що реалізує обмін та обробку конфіденційної інформації, яка залежить від якості організованості інформаційної безпеки.

Актуальність. З огляду на зв’язок між інформаційним простором і систематизованим підходом використання даних, проблема безпеки інформації займає головне місце у нормотворчих документах з інформаційних технологій Міжнародної Організації по Стандартизації (ISO – International Organization for Standardization).

Метою даної роботи є порівняння стандартів інформаційної безпеки з врахуванням сфери їх використання.

Викладення матеріалу. У відповідності з міжнародними і національними стандартами забезпечення інформаційної безпеки в будь-якій організації припускає: визначення цілей забезпечення інформаційної безпеки, створення ефективної системи управління інформаційною безпекою, розрахунок сукупності якісних і кількісних показників для оцінки інформаційної безпеки, застосування інструментарію забезпечення та оцінки поточного стану і використання методик управління безпекою, що дозволяють об’єктивно оцінити захищеність інформаційних активів й управляти інформаційною безпекою компанії.

У межах даної статті проведемо порівняння міжнародних стандартів з огляду на їх особливості використання без застосування критеріального аналізу. Розглянемо найбільш відомі міжнародні стандарти в області захисту інформації: ISO 15408, ISO 17799 та основні стандарти серії ISO 27000.

Стандарт ISO 15408. У 1990 році Міжнародною Організацією зі Стандартизації була розпочата робота по створенню міжнародних критеріїв оцінки безпеки комп’ютерних систем. Результатом з’явився стандарт «Загальні критерії безпеки інформаційних технологій», який на даний момент визнається одним з найбільш функціональних стандартів, що стали основою для розвитку стандартизаціїу сфері інформаційної безпеки.

ISO 15408 розроблений таким чином, щоб задовольнити потреби трьох груп фахівців: розробників, експертів з сертифікації та користувачів продуктів інформаційних технологій[1]. Цей стандарт корисний в якості керівництва при розробці функцій безпеки, а також в придбанні комерційних продуктів з подібними властивостями. Основний напрямок оцінки – це загрози, що з’являються при злочинних діях користувача інформаційних технологій, але стандарт також можуть використовувати і при оцінці загроз, викликаних іншими факторами.

Стандарт ISO 15408 складається з трьох частин: частина 1 – «Введення і загальна модель», частина 2 –«Функціональні вимоги безпеки», частина 3 – «Гарантійні вимоги безпеки». Стандарт передбачає наявність двох типів вимог безпеки – функціональних і гарантованості. Функціональні вимоги ставляться до сервісів безпеки, таким як ідентифікація, аутентифікація, управління доступом, аудит і т.д. Вимоги гарантованості відносяться до технології розробки, тестування, аналізу вразливостей, постачання, супроводу, експлуатаційної документації.

Основні структури безпеки згідно до стандарту – це «Профіль захисту» та «Проект захисту». За визначенням стандарту ISO 15408 «Профіль Захисту»  – незалежні від реалізації, вимоги безпеки для деякої категорії об’єктів оцінки, які відповідають певним потребам споживачів. Профіль складається з компонентів або пакетів функціональних вимог і одного з рівнів гарантованості.

«Профіль захисту» служить основою для створення «Проекту захисту», який є технічним проектом для розробки об’єкта оцінки. На відміну від «Профілю», «Проект» захисту описує рівень функціональних можливостей засобів і механізмів захисту, реалізованих в об’єкті оцінки, і призводить обґрунтування ступеня їх адекватності. У процесі дослідження будуються моделі загроз [1].

У стандарті визначаються поняття «потенціал нападу» та його склад. Також стандарт визначає функцію безпеки інформації, його критерії із детальною структурою, схему обчислення «потенціалу нападу».

Впровадження стандарту за кордоном відбувалося розробкою нової архітектури, яка має забезпечити інформаційну безпеку обчислювальних систем. Іншими словами, створювались технічні і програмні засоби, що відповідалистандарту. Наприклад, міжнародна організація «Open Group», випустила нову архітектуру безпеки інформації для комерційних автоматизованих систем з урахуванням зазначених критеріїв.

Стандарт ISO/IEC 17799. Має на сьогоднішній день світове визнання і статус міжнародного стандарту ISO. У вересні 2005 р. головні положення ISO/IEC 17799 були переглянуті і доповнені з урахуванням розвитку сучасних інформаційних технологій і вимог до організації режиму ІБ.

Стандарт регламентує загальні принципи, які пропонується конкретизувати стосовно досліджуваних інформаційних технологій. Також увагу приділено сертифікації інформаційної системи на відповідність.

Стандарт містить систематичний, універсальний перелік регуляторів безпеки, корисний для організації практично будь – якого розміру, структури і сфери діяльності. Призначений для використання в якості довідкового документа керівниками і рядовими співробітниками, відповідальними за планування, реалізацію та підтримку внутрішньої системи інформаційної безпеки.

Згідно стандарту, мета інформаційної безпеки – забезпечити безперебійну роботу організації, по можливості запобігти і мінімізувати збиток від порушень безпеки [2].

Пропоновані в першій частині стандарту регулятори безпеки розбиті на десять груп:

·        політика безпеки;

·        загально-організаційні аспекти захисту;

·        класифікація активів і управління ними;

·        безпеку персоналу;

·        фізичної безпеки і безпеку навколишнього середовища;

·        адміністрування систем і мереж;

·        управління доступом до систем і мереж;

·        розробка та супроводження інформаційних систем;

·        управління безперебійною роботою організації;

·        контроль відповідності вимогам.

Наступні фактори виділені в якості визначальних для успішної реалізації системи інформаційної безпеки в організації:

·        цілі безпеки та її забезпечення повинні ґрунтуватися на виробничих завданнях і вимогах. Функції управління безпекою повинна взяти на себе керівництво організації;

·        необхідна явна підтримка і прихильність до дотримання режиму безпеки з боку вищого керівництва;

·        потрібно гарне розуміння ризиків (як загроз, так і вразливостей), яким піддаються активи організації, і адекватне уявлення про цінність цих активів;

·        необхідно ознайомлення з системою безпеки всіх керівників і рядових співробітників організації [3].

У другій частині стандарту ISO/IEC 17799 «Системи управління інформаційною безпекою - специфікація з керівництвом по використанню» предметом розгляду є система управління інформаційною безпекою [2].

            В основу процесу управління покладена чотирьохфазна модель, та що використовується у сучасному ISO 27001, що включає: планування, реалізацію, оцінку,  коригування.

Стандарти серії ISO/IEC 27000 – ISO/IEC 27001:2005, ISO/IEC 27002:2007, ISO/IEC 27005:2010. В даний час ISO модернізує стандарти серії 27000 у сфері управління інформаційною безпекою. Вони є універсальним інструментом для оцінки відповідності діяльності будь–якого IТ–підрозділу, що не залежить від того, які методики з управління IT–сервісами використовуються.

Стандарт ISO 27001 «Вимоги до системи менеджменту захисту інформації» замінює стандарт ISO17799(BS7799). У порівнянні з BS7799, в ISO 27001 є ряд змін у особливостях підходів керування безпекою та повного застосування моделі PDCA («Plan–Do–Check–Act», тобто «планування-виконання-перевірка-виправлення»).

Стандарт ISO 27002 є подальшим розвитком ISO 17799, а стандарт ISO 27005 присвячений менеджменту інформаційним ризикам системи.

Важливо відзначити, що вся подальша діяльність з міжнародної сертифікації в області безпеки інформації повинна буде відбуватися за вимогами стандартів серії 27000, що є кращими практиками та рекомендаціями в області інформаційної безпеки для створення, розвитку та підтримки «Системи Менеджменту Інформаційної Безпеки».

ISO/IEC 27001. Цей стандарт створений для встановлення сучасних інформаційних понять та положень, засад моделі PDCA та стратегічно направлених дій у бік забезпечення інформаційної безпеки кожної організації.

Визначає основи для використання процесного підходу, вимог до документації та розмежовує обов’язки керівників та користувачів для ефективної співпраці, яка дозволяє проводити аудит та постійний контроль над інформаційною системою. Містить практичні рекомендації та критерії оцінки по кожному етапу впровадження «Системи Менеджменту Інформаційної Безпеки» та визначає цілі та засоби керування у політиці захисту, організаційної структури, менеджменту активів та фізичному захисту технічних та комутаційних систем інформаційного об’єкту.

Метою інформаційної безпеки є забезпечення безперервності бізнесу компанії і мінімізація бізнес-ризиків шляхом попередження інцидентів безпеки та зменшення розмірів потенційного збитку.

Сертифікація ISO/IEC 27001 в організації дозволяє отримати наступні переваги:

·        Підвищити довіри до організації з боку контрагентів;

·        Спростити процедуру виходу на зовнішні ринки;

·        Систематизувати процеси забезпечення інформаційної безпеки;

·        Своєчасно виявляти і управляти ризиками, пов'язаними з зовнішніми та внутрішніми загрозами;

·        Оптимізувати процеси менеджменту.

ISO/IEC 27002. Встановлює практичні правила управління інформаційною безпекою. Стандарт може використовуватися, як комерційними, так і некомерційними організаціями на всіх рівнях і у всіх секторах ринку, незалежно від розміру організації. Є основною інструкцією при створенні системи управління безпекою, для аналізу стану, підвищення рівня безпеки в організації та забезпечення необхідних умов для реалізації безпечного середовища інформаційного обміну.

Стандарт надає кращі практичні поради з менеджменту інформаційної безпеки для тих, хто відповідає за створення, реалізацію або обслуговування систем інформаційної безпеки. Яка визначається стандартом як «збереження конфіденційності (впевненості в тому, що інформація доступна тільки тим, хто уповноважений мати такий доступ), цілісності (гарантії точності і повноти інформації, а також методів її обробки) і доступності (гарантії того, що уповноважені користувачі мають доступ до інформації і пов'язаним з нею ресурсів)».

Актуальна версія стандарту складається з наступних основних розділів:

·        політика безпеки (Security policy);

·        організація інформаційної безпеки (Organization of information security);

·        управління ресурсами (Asset management);

·        безпека персоналу (Human resources security);

·        фізична безпека та безпека оточення (Physical and environmental security);

·        управління комунікаціями та операціями (Communications and operations management);

·        управління доступом (Access control);

·        придбання, розробка та підтримка систем (Information systems acquisition, development and maintenance);

·        управління інцидентами інформаційної безпеки (Information security incident management);

·        управління безперебійною роботою організації (Businesscontinuitymanagement);

·        відповідність нормативним вимогам (Compliance) [5].

Відповідність вимогам стандарту ISO/IEC 27002 і дотримання правових норм з безпеки є необхідними для сталого розвитку бізнесу, що використовує інформаційний обмін. Система управління інформаційною безпекою (СУІБ) – ISO/IEC 27002 забезпечує оптимізацію управлінських процесів та підвищення ефективності функціонування СУІБ та захищеності інформаційних систем.

ISO/IEC 27005. Міжнародний стандарт ISO/IEC 27005 описує принципи управління ризиками, що дозволяють керівникам і персоналу департаментів ІТ управляти ризиками в системах менеджменту інформаційної безпеки (ISMS).

Ризики інформаційної безпеки являють собою серйозну загрозу для бізнесу внаслідок виникнення потенційної можливості фінансових збитків або шкоди, виходу з ладу ключових мережевих служб, втрати репутації та довіри клієнтів. Управління ризиками є одним із ключових елементів, що дозволяють запобігати Інтернет – шахрайству, перехопленню ідентифікаторів, пошкодженню Веб-сайтів, крадіжці персональних даних та інших загроз. Без засобів захисту організації піддають себе численним типам атак [7].

У цьому стандарті описана процедура та супутні заходи на основі загальних принципів, описаних в ISO/IEC 27001. Управління ризиками відіграє ключову роль у належному управлінні бізнесом, і даний стандарт допоможе організаціям рекомендаціями з питань «навіщо», «чому» та «як» керувати інформаційною безпекою для підтримки бізнес – цілей.

ISO/IEC 27005 допоможе користувачам при впровадженні ISO/IEC 27001, який базується на підході управління ризиками. Знання принципів, моделей, процедур і термінології відіграє важливу роль для повного розуміння даного міжнародного стандарту. Процедура менеджменту ризиків інформаційної безпеки включає в себе: визначення контексту, оцінку ризиків, розгляд ризиків, визначення ступеня допустимого ризику, інформування про ризики, моніторинг ризиків і звітність про ризики [6,7].

Однак, стандарт встановлює не конкретні методи управління ризиками інформаційної безпеки, а тільки загальний підхід. Організація визначає свій власний підхід до управління ризиками, в залежності, наприклад, від галузі застосування системи менеджменту інформаційної безпеки в залежності від контексту або галузі промисловості [7].

Висновок. Отже, сукупність нормативно – правових документів та стандартів  у галузі управління інформаційною безпекою регламентує та забезпечує основні засади інформаційної діяльності будь – якого підприємства та надає рекомендації зі створення «Системи менеджменту інформаційної безпеки». Метою якої є скорочення матеріальних втрат та протиправних дій, пов’язаних з порушенням інформаційної безпеки. Основна ідея впровадження та розробки цих стандартів – допомогти комерційним та державним господарським організаціям вирішити достатньо складне завдання: не тільки забезпечити надійний захист інформації, але й організувати ефективний доступ до даних та нормальну роботу з ними.

Література:

1.    ISO/IEC 15408-x: “Common Criteria. Evaluation Criteria for IT – Security”

2.    BS 7799-2:1999: “Information Security Management — Part 2:Specification for Information Security Management Systems”;

3.    ISO 17799:2000 “Information technology - Code of practice for information security management (IDT)”;

4.    ISO/IEC 27001 ”Information technology. Security techniques. Information security management systems. Requirements”;

5.    ISO/IEC 27002 “Information technology. Security techniques. Code of practice for information security management”;

6.    ISO/IEC 27005“Information technology. Security techniques. Information security risk management (IDT)”;

7.    ElizabethGasiorowski-Denis. «Угрожают ли вашему бизнесу информационные риски?»//http://www.iso.org:URL:http://www.iso.org/iso/ru/home/news_index/news_archive/news.htm?refid=Ref1451(дата звертання: 03.03.2012).