Приложение В (справочное). Характеристики доверия выбранных методов. Национальный стандарт РФ ГОСТ Р 54583-2011/ISO/IEC/TR 15443-3:2007 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 01.12.2011 N 691-ст)

Приложение В
(справочное)

Характеристики доверия выбранных методов

Содержание настоящего приложения было сформировано из общедоступного материала.

В.1 ИСО/МЭК 15408

В основу ИСО/МЭК 15408 положены общие критерии оценки безопасности ИТ. Основные положения методологии по ИСО/МЭК 15408 подробно изложены в ИСО/МЭК ТО 15443-1.

В ИСО/МЭК 15408 границы оцениваемого определены в разделе "Объект оценки".

Объект оценки имеет четкое определение и представляет заданные функциональные возможности продукта, связанные с безопасностью.

Объект оценки не обязательно представлен готовым продуктом. Тем не менее в целях упрощения в настоящем разделе объект оценки называется "продуктом".

В.1.1 Цель обеспечения доверия

ИСО/МЭК 15408 допускает сравнимость результатов независимых оценок безопасности. Данный стандарт делает сравнимость возможной путем предоставления общепринятого набора требований к функциональным возможностям продуктов, связанным с обеспечением безопасности, и к мерам измерения доверия, примененным к продуктам при оценивании безопасности. Процедура оценивания определяет степень уверенности в том, что функциональные возможности продуктов, связанные с обеспечением безопасности, и меры измерения, примененные к доверию к этим продуктам ИТ, соответствуют общепринятому набору требований. Результаты оценивания могут помочь пользователям в определении того, соответствуют ли эти продукты ИТ требованиям безопасности.

ИСО/МЭК 15408 полезен также в качестве руководства по разработке, оцениванию и/или закупке продуктов с функциями обеспечения безопасности.

ИСО/МЭК 15408 предусматривает защиту от трех типов сбоев в системе безопасности: несанкционированное раскрытие, модификация или невозможность использования. Категории защиты, связанные с этими тремя типами сбоев в системе безопасности, обычно называются "конфиденциальность", "целостность" и "доступность" соответственно. Стандарт можно также применять к риску, являющемуся результатом человеческой деятельности (вредоносной или любой другой), или к риску, являющемуся результатом деятельности, не связанной с человеком. ИСО/МЭК 15408 может также применяться к другим областям ИТ, но не претендует на компетентность в этих областях ИТ.

ИСО/МЭК 15408 может использоваться также применительно к функциям безопасности, внедренным в аппаратные, программно-аппаратные средства или программное обеспечение.

В.1.2 Целевая аудитория

Существуют три группы, заинтересованные в оценивании характеристик безопасности объекта оценки: пользователи, разработчики и оценщики. Все они считаются главными пользователями

В.1.2.1 Пользователи

Пользователи могут использовать результаты оценивания для принятия решения о соответствии продукта предъявляемым требованиям безопасности. Обычно эти требования идентифицируются в результате как в отношении оценки риска, так и направления политики. ИСО/МЭК 15408 представляет пользователям, в особенности группам и коллективам пользователей, независимую от реализации структуру под названием "профиль защиты" ("ПЗ"), в которой изложены их конкретные требования безопасности.

В.1.2.2 Разработчики

ИСО/МЭК 15408 предназначен для содействия разработчикам в подготовке оценивания их продуктов и определении требований безопасности, которым эти продукты должны соответствовать. Требования безопасности содержатся в зависимой от реализации конструкции, называемой "задание безопасности" ("ЗБ"). ЗБ может иметь в основе один или несколько профилей защиты (с требованиями безопасности, как было определено ранее).

Затем ИСО/МЭК 15408 может применяться для определения обязанностей и мер по поддержке свидетельства, необходимого для поддержки оценивания продукта в отношении этих требований. Он также дает определение содержанию и представлению этого свидетельства.

В.1.2.3 Оценщики

ИСО/МЭК 15408 содержит критерии, предназначенные для применения оценщиками при формировании заключений о соответствии продуктов требованиям их безопасности. В ИСО/МЭК 15408 описывается совокупность основных действий, которые оценщик должен выполнять, и функциональных требований безопасности (ФТБ), в соответствии с которыми должны выполняться эти действия. Следует отметить, что ИСО/МЭК 15408 не специфицирует процедуры выполнения этих действий.

В.1.2.4 Другие заинтересованные стороны

ИСО/МЭК 15408 может также использоваться в качестве ссылочного материала для всех сторон, заинтересованных в безопасности ИТ или несущих ответственность за нее. Некоторые дополнительные заинтересованные группы, которые могут извлечь из него пользу, включают в себя:

- лиц, ответственных за систему и ее безопасность;

- внутренних и внешних аудиторов;

- архитекторов и проектировщиков безопасности, ответственных за спецификацию характеристик безопасности продуктов;

- аттестующих лиц, ответственных за принятие решения по использованию ИТ в определенной среде;

- спонсоров оценивания, ответственных за запрос и поддержку оценивания;

- органы оценки, ответственные за управление программами оценивания безопасности ИТ и контроль за их выполнением.

В.1.3 Характеристики доверия

Уверенность в безопасности ИТ можно обеспечить мерами, принимаемыми в ходе процессов разработки, оценивания и эксплуатации. Продукт специфицируется заданием по безопасности. Проектно-конструкторская информация предоставляется неформально, полуформально или формально.

Подробные инструкции по испытанию доверия представлены в ИСО/МЭК 18045 - аналоге "Общей методологии оценки" и предназначены для обеспечения последовательного проведения оценивания и предоставления воспроизводимых результатов.

Формальные структуры созданы за пределами области действия ИСО/МЭК 15408 для управления действиями по оцениванию, осуществляемыми независимыми тестирующими организациями, и наблюдения за ними.

В.1.4 Разносторонность

ИСО/МЭК 15408 предлагает наборы как функциональных требований, так и требований доверия, выбираемых пользователем в соответствии со своими потребностями. ИСО/МЭК 15408 также содержит семь предопределенных пакетов требований доверия EAL1-7 для облегчения выбора пользователем и признания на рынке.

В.1.5 Своевременность

Группы методов обеспечения доверия являются относительно стабильными и редко модифицируются. Предыдущие системы критериев безопасности (TCSEC, ITSEC и т.д.) были заменены в ИСО/МЭК 15408, первая редакция которого была опубликована в 1999 г. с последующей редакцией в 2005 г.

В.1.6 Завершенность

Данная характеристика специфицирована в ЗБ.

В.1.7 Стоимость реализации/объем работ по реализации

Объем работ по оцениванию одного из наборов критериев и расходы на них возрастают при специфицировании большей степени доверия.

Промежуток времени, требуемый для оценивания, может зависеть от нескольких факторов, включая:

- способность повторного использования предыдущей работы;

- зрелость технологического процесса организации-разработчика;

- зрелость продукта, опыт лаборатории;

- принятую стратегию оценивания (например, выполнение оценивания параллельно разработке);

- ресурсы, доступные для органа по валидации (схема).

Стоимость формального оценивания включает в себя следующие элементы:

- оплата схем (изменяется от схемы к схеме);

- оплата лаборатории (изменяется от лаборатории к лаборатории);

- внутренняя работа по контрактам и незначительные модификации, требуемые для оценщика;

- разработка задания по безопасности.

Кроме того:

- некоторые документы, такие как модель политики безопасности и анализ уязвимостей, редко предоставляются разработчиком;

- процедура оценивания часто выявляет уязвимости продукта, требующие устранения. Эти уязвимости могут ранжироваться от незначительных до серьезных.

В.1.8 Поддержка инструментальными средствами

На коммерческом рынке имеются лишь несколько инструментальных средств. Имеются вспомогательные документы, например, ИСО/МЭК ТО 15446 "Руководство по разработке профилей защиты и заданий по безопасности".

В.1.9 Сфера применения криптографии

Формальное оценивание не включает в себя оценку качества выбранных криптографических алгоритмов. Однако правильность внедрения выбранного алгоритма можно оценить.

В.1.10 Оценка и сертификация

Оценивание с использованием методологий, соответствующих требованиям ИСО/МЭК 15408, может проводиться испытательными лабораториями. На примере системы оценки, определенной Советом по разработке Общих критериев, лаборатории должны сертифицироваться в соответствии с ИСО/МЭК 17025, а результаты испытаний могут документироваться путем опубликования отчета о сертификации и выдачи сертификата. Сертификаты выдаются аккредитованными органами по сертификации (национальные схемы) и публикуются на международном уровне.

В.1.11 Убедительность и признание

ИСО/МЭК 15408 является международным стандартом, который соответствует стандартам Общих критериев, опубликованным Советом по разработке Общих критериев.

ИСО/МЭК 15408 и Общие критерии имеют широкое признание и в достаточной степени убедительны.

В.2 ИСО/МЭК 19790

В.2.1 Цель обеспечения доверия

Документ "Требования безопасности для криптографических модулей" был изначально опубликован как федеральный стандарт по обработке информации (FIPS) 140-2 Национальный институт стандартов и технологий (НИСТ) США и применялся для спецификации криптографических модулей. НИСТ и Институт безопасности коммуникаций (CSE) Канады разработали в июле 1995 г. совместную программу верификации криптографических модулей (CMVP), которая использует испытательную схему и дополняет FIPS 140-2 документацией, включающей в себя "Руководство по реализации FIPS 140-2" и "Производные требования к испытаниям FIPS 140-2", предназначенные для поддержки и разъяснения FIPS, а также процесса испытаний и валидации.

Проверка соответствия FIPS проводится лабораториями, аккредитованными национальной программой добровольной аккредитации лабораторий (NVLAP), и по стандартам Канады. CMVP анализирует результаты проверок на соответствие и при успешном завершении анализа проверяет достоверность и выдает аттестационные сертификаты проверенным криптографическим модулям. На сегодняшний день было выдано более 650 сертификатов более чем для 1000 проверенных модулей.

Подгруппа требований FIPS 140-2 была опубликована в 2006 г. как ИСО/МЭК 19790.

В.2.2 Целевая аудитория

ИСО/МЭК 19790 применяется для криптографических модулей и является без исключения обязательным для правительства США, как и FIPS 140-2. Другие организации и правительственные учреждения подтвердили их использование.

В.2.3 Характеристики доверия

Метод обеспечения доверия использует подход проверки на соответствие и применяется главным образом в следующих областях:

- спецификация криптографических модулей;

- порты и интерфейсы;

- роли, услуги (сервисы) и аутентификация;

- машинная модель конечного состояния;

- физическая защита;

- эксплуатационная среда;

- распределение криптографического ключа;

- самопроверки;

- доверие к проекту;

- ослабление атак.

В.2.4 Разносторонность

Различные области испытаний структурированы по четырем уровням 1-4, расположенным один на другом. Испытание по ИСО/МЭК 19790 проводилось со ссылкой на специфическую версию криптографического модуля. В случае любых модификаций испытание должно проводиться повторно. CMVP предоставляет собой программное руководство по различным методам поддержания валидации (в зависимости от характера изменения) для обеспечения своевременного и экономически эффективного поддержания валидации.

Эволюция требований к испытаниям представлена на рисунке В.1.

В.2.5 Своевременность

В.2.6 Полнота

В качестве соответствующей проверки - доверие к соответствию криптографического модуля требованиям спецификации (ИСО/МЭК 19790) является высоким.

Производные требования к испытаниям и руководство по реализации предназначены для обеспечения полноты и воспроизводимости испытаний.

В.2.7 Стоимость реализации/объем работ по реализации

Расходы на проверку достоверности могут включать в себя следующие элементы:

- расходы на организацию, проводящую проверку (например, стоимость CMVP НИСТ);

- расходы на испытательную лабораторию;

- стоимость внутренних работ по проведению валидации, проведению незначительных модификаций, требуемых для испытателя, и написанию специальной документации.

Проверка по ИСО/МЭК 19790 по времени всегда короче оценивания по ИСО/МЭК 15408, поскольку область ее действия уже. Продолжительность проверки по ИСО/МЭК 19790 меняется в зависимости от:

- зрелости организации-разработчика;

- квалификации лаборатории;

- ограничений по органу по валидации;

- зрелости продукта;

- соответствия в сравнении с оцениванием.

В.2.8 Поддержка инструментальными средствами

Коммерчески доступны лишь несколько инструментов. Вспомогательная документация и инструментарий предоставляются НИСТ на сайте http://csrc/nist.gov/criptval.

В.2.9 Сфера действия криптографии

Метод обеспечения доверия определяет, что для криптографических модулей утвержденные функции обеспечения безопасности должны проходить валидацию и сертифицироваться для правильной реализации по программе валидации криптографического алгоритма (CAVP), разработанной НИСТ, который обеспечивает алгоритмические инструменты проверки для испытательных лабораторий, аккредитованных NVLAP.

В.2.10 Оценка и сертификация

Североамериканская схема аккредитации CMVP существует и поддерживается совместно с НИСТ и CSE.

В.2.11 Убедительность и признание

ИСО/МЭК 19790 является производным от FIPS 140-2, признанной спецификации США, опубликованной НИСТ. Соответствие спецификации требуется администрацией США для продуктов безопасности, содержащих криптографическое устройство для защиты уязвимых несекретных данных. Сертификаты выдаются для криптографических модулей, прошедших проверку на соответствие и соответствующих другим программным требованиям.

В.3 ИСО/МЭК 21827

В.3.1 Цель обеспечения безопасности

Назначением ИСО/МЭК 21827 является обеспечение доверия, относящегося к процессам проектирования безопасности системы организации пользователя.

В.3.2 Целевая аудитория

Данный метод обеспечения доверия включает в себя, в первую очередь, доверие к разработке и доверие к интеграции и, таким образом, предназначен как для разработчиков, так и для интеграторов системы.

В.3.3 Характеристики

Метод обеспечения доверия использует подход доверия к процессу.

В.3.4 Разносторонность

В ИСО/МЭК 21827 рассматриваются требования на пяти уровнях возможностей, связанных со зрелостью процесса, определенных организацией на основе ее доминирующих целей.

В.3.5 Своевременность

В основу ИСО/МЭК 21827 была положена более ранняя работа, проведенная ISSEA в период с 1994 по 2001 г. Данный стандарт был опубликован ИСО/МЭК в 2001 г. и основан на представлении общедоступной спецификации от ISSEA. Пересмотр ИСО/МЭК 21827 был начат в 2005 г. и завершен в 2007 г.

В.3.6 Завершенность

В ИСО/МЭК 21827 подробно рассматриваются пять уровней требований к функциональным возможностям, включающим в себя все аспекты дисциплины проектирования безопасности. Организация базовых практик, участвующих в процессе, обеспечивает организации потребителя гибкость для комбинирования процессов способом, соответствующим ее организационной структуре.

В.3.7 Стоимость реализации/объем работ по реализации

Основная часть стоимости оценивания по ИСО/МЭК 21827 приходится на первый проект. Стоимость дополнительных проектов, использующих аналогичную методологию, представляет собой только малую часть этой начальной стоимости. Начальная стоимость уменьшается посредством привлечения внутренних оценщиков. Обычно никакая специальная документация не прилагается.

При наличии необходимого персонала процесс оценивания может быть недолгим и длиться от двух до трех недель.

В.3.8 Поддержка инструментальными средствами

Существуют несколько общедоступных основанных на электронных таблицах инструментальных средств, поддерживающих прослеживание результатов оценки, суммирующих и представляющих эти результаты.

В.3.9 Сфера действия криптографии

Специфические требования отсутствуют.

В.3.10 Оценка и сертификация

В отношении данного метода существуют система подготовки и квалификационная система.

В.3.11 Убедительность и признание

Схема, представленная в ИСО/МЭК 21827, обеспечивает оценивание группой оценки.

Организация поддержки SSE-CMM (SSO) предоставляет опытных методистов и группы по оценке по ИСО/МЭК 21827 для оказания помощи организациям при оценке их возможностей проектирования безопасности. Ниже приведены следующие предоставляемые услуги:

а) содействие в оценке по ИСО/МЭК 21827;

b) оценка по ИСО/МЭК 21827;

c) последующий аудит по ИСО/МЭК 21827;

d) составление плана улучшения процесса проектирования безопасности.

В отличие от ИСО/МЭК 15408 или ИСО/МЭК 19790 любое официальное или федеральное агентство, представляющее какую-нибудь систему сертификации по ИСО/МЭК 21827, отсутствует.

В.4 ИСО/МЭК 13335

В.4.1 Цель обеспечения безопасности

Комплект, в настоящее время содержащий ИСО/МЭК 13335-1, был опубликован как технический отчет (часть 1 - в 1996 г., часть 2 - в 1997 г., часть 3 - в 1998 г., часть 4 - в 2000 г. и часть 5 - в 2001 г.). В части 1 "Концепции и модели безопасности ИТ" даны определения основных терминов, относящихся к безопасности ИТ, элементарным аспектам (угрозы, риск, уязвимости и т.д.) и процессам (например, планирование непредвиденных обстоятельств, оценка риска, повышение осведомленности). Данная часть предназначена для ответственных руководителей и работников службы безопасности в организациях. В части 2 "Управление безопасностью ИТ и ее планирование" представлена информация по проектированию процесса обеспечения безопасности ИТ и его интеграции в существующие технологические процессы предприятия и предлагается организация безопасности ИТ. В части 3 "Способы управления безопасностью ИТ" уточняются этапы процесса обеспечения безопасности ИТ и предоставляется информация о методах и способах, которые могут использоваться для достижения этой цели. Наконец, в части 4 "Выбор мер безопасности" представлена информация о том, какие меры безопасности соответствуют каким угрозам и как можно определить приемлемый уровень базовой защиты для организации. В части 5 "Руководство по управлению сетевой безопасностью" представлены рекомендации по управлению безопасностью ИТ без регламентирования каких-либо определенных решений.

Вторая редакция ИСО/МЭК 13335 была опубликована как международный стандарт, состоящий из двух частей; ИСО/МЭК 13335-1 был издан в 2004 г.; он отменяет и заменяет ИСО/МЭК ТО 13335-1-1996 г. и ИСО/МЭК ТО 13335-2-1997 г. ИСО/МЭК 13335-2 заменяет ИСО/МЭК ТО 13335-3 и ИСО/МЭК ТО 13335-4. ИСО/МЭК ТО 13335-5 (управление сетями) объединен с ИСО/МЭК 18028-1.

Существует намерение изменить обозначение стандарта ИСО/МЭК 13335-2 на ИСО/МЭК 27005.

В.4.2 Целевая аудитория

Данный метод обеспечения доверия касается доверия к эксплуатации.

Основной целевой группой являются руководители предприятий или организаций, непосредственно участвующие в планировании и реализации процесса обеспечения безопасности ИТ.

Часть 1 предназначена для руководителей на уровне правления, особенно тех, кто несет ответственность за программу обеспечения безопасности ИТ в масштабе предприятия.

Часть 2 предназначена для руководителей, ответственных за системы ИТ предприятия, или для тех, чья сфера ответственности в значительной степени зависит от использования ИТ.

Части 3 и 4 предназначены для тех, кому приходится иметь дело с безопасностью ИТ на различных этапах жизненного цикла проектов.

Отчеты могут использоваться учреждениями независимо от их начальной структуры. Однако они предназначены для изучения и (при необходимости) модификации структуры необходимых процессов обеспечения безопасности ИТ. Предоставляемая для этого информация не зависит от сложности имеющихся структур и целевого уровня безопасности.

В.4.3 Характеристики

Метод обеспечения доверия включает в себя подход к доверию к среде. В отдельных частях ИСО/МЭК 13335 не излагаются какие-либо конкретные процедуры и решения, а содержатся рекомендации по разработке этих процедур и решений и их адаптации для конкретного предприятия, а также существующие для этих целей методы и модели. Документация не предназначена для измерения уровня безопасности ИТ или любой демонстрации соответствия стандарту.

В.4.4 Разносторонность

В основном стандарты следует адаптировать к конкретным особенностям учреждений и инфраструктуре их ИТ или проектам. Различные части стандарта содержат рекомендации для разных уровней - от уровня правления до уровня проекта. В реальности процессы и процедуры могут реализоваться полностью только в учреждениях среднего масштаба или крупных учреждениях. Однако повсеместно стандарты используются в качестве руководства.

В.4.5 Своевременность

ИСО/МЭК 13335 был опубликован недавно и находился в процессе публикации на момент разработки ИСО/МЭК 15443. Однако общий характер положений ИСО/МЭК 13335 не предполагает необходимости в повторном их пересмотре в обозримом будущем.

В.4.6 Завершенность

Данные стандарты являются завершенными относительно описания организации и компонентов процесса обеспечения безопасности ИТ. Они дают только направление определения этих процессов и структур внутри организации; уровень безопасности не обозначается, так как определение этого уровня происходит только в рамках сформированных с их использованием организации и процессов.

В.4.7 Стоимость реализации/объем работ по реализации

Расходы на внедрение и поддержание процесса обеспечения безопасности ИТ на предприятии зависят от имеющейся организационной структуры и не могут утверждаться для всех аспектов. Аналогичные соображения применимы к ИСО/МЭК 27002.

В.4.8 Поддержка инструментальными средствами

Поддержка инструментальными средствами не кажется целесообразной. Решения по управлению, которые должны приниматься с учетом формы управления безопасностью ИТ на предприятии, не зависят от системы показателей.

В.4.9 Сфера действия криптографии

Криптография рассматривается на уровне мер (единиц измерения). Требования не обозначены, а вместо них дается ссылка на ИСО/МЭК 11770-1, особенно в отношении управления ключами.

В.4.10 Оценка и сертификация

Сертификация не предусматривается и не считается необходимой.

В.4.11 Убедительность и признание

Признан в качестве международного метастандарта.

В.5 ИСО/МЭК 27001 и ИСО/МЭК 27002

В.5.1 Цель обеспечения безопасности

Назначением ИСО/МЭК 27001 и ИСО/МЭК 27002 является представление требований к подходу "передовой опыт" в управлении информационной безопасностью. В ИСО/МЭК 27002 даются рекомендации по методам обеспечения информационной безопасности, тогда как в ИСО/МЭК 27001 определены требования к системам менеджмента информационной безопасности.

Основные рассматриваемые темы включают в себя планирование, внедрение (реализацию), эксплуатацию и улучшение системы менеджмента информационной безопасности. Связанные с основными темы касаются идентификации и оценки риска, а также выбора соответствующих целей средств управления.

В.5.2 Целевая аудитория

ИСО/МЭК 27001 и ИСО/МЭК 27002 предназначены для предприятий и учреждений всех размеров, но не для частных пользователей. Кроме того, стандарты могут применяться сервисными фирмами в областях аудита и сертификации.

Целевой аудиторией стандартов являются:

- руководители, ответственные за обеспечение адекватной защиты информации, соответствующей их обязанностям;

- лица, ответственные за выбор и внедрение мер безопасности ИТ, такие, например, как работники службы безопасности ИТ, лица, ответственные за ИТ;

- персонал с обязанностями по мониторингу, например, внутренние и внешние аудиторы;

- внешние заинтересованные стороны, такие, например, как заказчики и поставщики, полагающиеся на меры безопасности ИТ;

- органы по сертификации систем менеджмента информационной безопасности.

Применимость стандартов в целом не зависит от организационной структуры. Ориентированный на руководство подход не ограничивает применимость стандартов к определенным технологическим системам и типам систем.

В.5.3 Характеристики

Данный метод обеспечения доверия использует подход к доверию к процессу и охватывает следующие этапы:

- формирование системы менеджмента информационной безопасности;

- внедрение и эксплуатация системы менеджмента информационной безопасности;

- мониторинг и проверка системы менеджмента информационной безопасности;

- поддержание и улучшение системы менеджмента информационной безопасности.

Будучи связан с этими этапами, ИСО/МЭК 27001 содержит требования к документации, обязанностям руководства, внутренним аудитам системы менеджмента информационной безопасности, ее проверкам со стороны руководства и улучшению системы менеджмента информационной безопасности.

ИСО/МЭК 27001 содержит требования к выбору мер управления обработкой риска информационной безопасности, основанным на ИСО/МЭК 27002.

Данные стандарты можно применять различными путями. Во-первых, ИСО/МЭК 27002 можно использовать как ссылку для конкретного руководства в отношении спецификации и применения отдельных мер управления. Во-вторых, ИСО/МЭК 27001 может использоваться для внедрения современной системы менеджмента информационной безопасности. В-третьих, для внедрения системы менеджмента информационной безопасности, которая может сертифицироваться независимым органом по сертификации, может применяться комбинация требований ИСО/МЭК 27001 и ИСО/МЭК 27002.

В.5.4 Разносторонность

ИСО/МЭК 27001 и ИСО/МЭК 27002 предназначены для организаций любого размера, а также для отдельно идентифицируемых подразделений организаций. При наличии у организации нескольких систем менеджмента информационной безопасности, включающих в себя различные сферы применения (например, различных подразделений организации), отсутствует какой-либо автоматизированный способ, помогающий сделать вывод о безопасности информации вообще. Однако на основе документации, имеющейся по каждой системе менеджмента информационной безопасности, можно провести экспертную оценку и определить согласованность подходов к информационной безопасности с общими целями.

В.5.5 Своевременность

ИСО/МЭК 27001 и ИСО/МЭК 27002 апробированы и полностью совместимы. Запланированы регулярные обновлениям соответствии с общим подходом к модификации стандартов ИСО/МЭК и сохранение при таких обновлениях совместимости стандартов.

В.5.6 Завершенность

ИСО/МЭК 27001 и ИСО/МЭК 27002 в значительной степени ориентированы на нисходящий подход и содержат общие требования и руководство по безопасности. Эти требования охватывают все области, имеющие значение в настоящее время. Стандарты не содержат каких-либо ориентированных на продукт требований, а ориентированные на технологии требования обобщены и содержат лишь незначительное число подробностей.

ИСО/МЭК 27001 и ИСО/МЭК 27002 не ограничиваются одним конкретным уровнем безопасности, а рекомендуемые ими меры управления ориентированы на основной подход к обеспечению безопасности и пригодны только для уровней безопасности от высокого до максимального после модификации. Однако ориентированный на руководство подход обеспечивает поддержку всем уровням безопасности.

ИСО/МЭК 27001 позволяет исключить меры управления, изложенные в ИСО/МЭК 27002, на основании, например, их несоответствия деятельности в рамках сферы действия или отсутствия необходимости обработки связанных с этой деятельностью рисков безопасности. Для адаптации к небольшим предприятиям возможна модификация мер управления.

В.5.7 Стоимость реализации/объем работ по реализации

Придание особого значения деятельности руководства делает усилия, необходимые для внедрения систем менеджмента информационной безопасности, в большой степени зависимыми от общего качества организованности учреждения. Для недостаточно хорошо организованных учреждений требуются значительно большие усилия, чем для учреждений с вполне определенными организационными структурами.

Метод использования правил для обеспечения рекомендаций по внедрению мер управления в основном делает возможным применение имеющихся мер управления для выполнения относящихся к ним требований без дополнительных затрат.

Объем работ по внедрению системы менеджмента информационной безопасности на основе требований ИСО/МЭК 27001 в значительной мере определяется областью действия системы. Выбор метода оценки риска оказывает большое влияние на необходимый объем работы.

Стоимость сертификации по ИСО/МЭК 27001 аналогична стоимости сертификации по ИСО/МЭК 9000.

Следует отметить, что стоимость сертификации надо рассматривать отдельно от стоимости внедрения соответствующей системы менеджмента информационной безопасности. Подобные затраты зависят от масштаба организации, характера принятых мер и имеющихся угроз. Обобщенное определение таких затрат невозможно.

Для оценивания обычно требуется определенный период времени с перерывами на внедрение различных аспектов СМИБ или решение возникающих проблем. Обычно фактическая продолжительность оценивания составляет от трех до 12 месяцев.

В.5.8 Поддержка инструментальными средствами

ИСО/МЭК 27001 и ИСО/МЭК 27002 можно поддерживать различными инструментальными средствами. Для оценки риска, поддержки разработки и сохранения необходимых документов и записей и сравнения внедренных мер управления с поставленными целями существуют специфические инструментальные средства в соответствии с ИСО/МЭК 27001.

В.5.9 Сфера действия криптографии

Криптография рассматривается в ИСО/МЭК 27002, в котором представлен практический опыт, касающийся политики применения криптографических мер контроля и управления ключами. Учитывая общий характер данного стандарта, какие-либо специфические для продукта рекомендации отсутствуют.

В.5.10 Оценка и сертификация

ИСО/МЭК 27001 был разработан для того, чтобы сделать возможной сертификацию реализаций независимыми органами по сертификациям. Независимая сертификация СМИБ действительна несколько лет (обычно три года). Надзорные аудиты проводятся через каждые 6-12 месяцев в течение этого периода. Сертификация аннулируется при наличии серьезных несоответствий и/или если они своевременно не устранены. Находящийся в настоящее время на стадии разработки ИСО/МЭК 27006 специфицирует требования по аккредитации органов по сертификации.

В.5.11 Убедительность и признание

Различные федеральные и региональные службы по аккредитации обеспечивают независимое доверие к тому, что органы по сертификации по ИСО/МЭК 27001 выполняют стабильные процедуры, задействуют компетентный персонал и выдают непротиворечивые результаты. Примерами этих органов по аккредитации являются UKAS в Великобритании и JANSANZ в Австралии и Новой Зеландии.

Федеральные и региональные службы по аккредитации сотрудничают в международном масштабе посредством форума международного аккредитования (IAF) и Европейской организации сотрудничества по аккредитации. Эти региональные и международные ассоциации обеспечивают согласованность действий по международной аккредитации.

В.6 Руководство по базовой защите ИТ

В.6.1 Цель обеспечения доверия

В руководстве по базовой защите ИТ представлены стандартные меры безопасности, направленные на формирование предопределенного уровня безопасности для систем ИТ. Этот уровень может также служить отправной точкой для областей с более строгими требованиями безопасности. Руководство по базовой защите ИТ содержит перечни стандартных мер безопасности в каждой из областей: Инфраструктура, Персонал, Аппаратные средства и программное обеспечение, Коммуникация и планирование непредвиденных обстоятельств. Подход включает в себя следующие действия: анализ структур ИТ, оценка требований к защите, моделирование, основные проверки безопасности, дополнительный анализ безопасности и внедрение мер безопасности ИТ.

В.6.2 Целевая аудитория

Данный метод обеспечения доверия включает в себя доверие к эксплуатации, а также доверие к разработке и интеграции в условиях эксплуатации ИТ.

Руководство по базовой защите ИТ предназначено для учреждений и предприятий всех масштабов, а не для частных пользователей. Для облегчения адресации стандартных мер безопасности ответственным работникам текстовая информация по каждой мере начинается с информации о том, кто несет ответственность за инициирование и внедрение рассматриваемой меры. В каждом случае для этого в рамках учреждения или предприятия обозначены одна или более ролей. Примерами таких ролей являются начальник отделения ИТ, работник службы безопасности ИТ, персонал, инспектор пожарной охраны, администратор и пользователь ИТ.

Основываясь на типичных компонентах, которые преимущественно рассматриваются в руководстве по базовой защите ИТ, данное руководство очень полезно для провайдеров услуг, создающих или предоставляющих содержание в Интернете, но менее полезно для операторов сети. По причине расширенного набора требований по безопасности ИТ, содержащихся в руководстве по базовой защите ИТ, документ также применим для поставщиков аппаратных изделий или программных продуктов. Однако о разработке программного обеспечения упоминается лишь мимоходом. Администраторы найдут в руководстве по базовой защите ИТ всеобъемлющую и подробную техническую информацию.

Поскольку руководство по базовой защите ИТ следует общему принципу рассмотрения типичных компонентов (ИТ), оно в основном не зависит от структуры предприятия. Руководство применимо для всех областей, в которых используются стандартные системы и приложения ИТ и в которых (в общем) требования безопасности являются обычными. Меры безопасности ИТ с более высокими требованиями безопасности сохраняются лишь в ограниченном объеме.

В.6.3 Характеристики

Метод обеспечения доверия использует подход к доверию к процессу, но включает в себя также элемент доверия к продукту в случае его модификации во время эксплуатации. В зависимости от компонентов рассматриваемой среды ИТ пользователь выбирает подходящие разделы (или "модули") в руководстве по базовой защите ИТ и использует их для "моделирования" среды ИТ. Подход делится на пять уровней: аспекты высшего порядка, инфраструктура, системы ИТ, сети и приложения.

Уровень 1. Аспекты высшего порядка охватывают аспекты безопасности ИТ, которые нельзя зафиксировать для отдельной ИТ или компонентами инфраструктуры, но которые оказывают влияние на большие области или даже всю среду ИТ.

В.6.4 Разносторонность

Поскольку руководство по базовой защите ИТ предназначено для компонентов рассматриваемой среды ИТ, объем работ и расходы, затраченные на применение этого метода, в значительной степени зависят от однородности рассматриваемой среды. В руководстве по базовой защите ИТ содержится механизм группирования идентичных компонентов, чтобы избежать необходимости обрабатывать каждый компонент в отдельности. Однако, если среда ИТ неоднородна в целом, объем работ и расходы возрастают пропорционально числу компонентов (систем ИТ, приложений ИТ, и т.д.).

В.6.5 Своевременность

Руководство по базовой защите ИТ пересматривают и расширяют дважды в год. Это особенно необходимо для адаптации технического содержания к новейшим разработкам. Дополнительный материал основан на требованиях, определенных зарегистрированными пользователями руководства по базовой защите ИТ.

В.6.6 Завершенность

Руководство по базовой защите ИТ содержит как общие, так и специфические для продукта и технологий стандартные меры безопасности. Общие меры охватывают все важные аспекты безопасности ИТ, например, планирование организационной структуры или непредвиденных обстоятельств. С учетом огромного разнообразия продуктов и решений в области ИТ неизбежен охват специфическими для продукта и технологий мерами безопасности только наиболее широко применяемых компонентов.

Руководство по базовой защите ИТ ориентировано, в первую очередь, на защиту информации, приложения ИТ и системы ИТ, к которым предъявляются так называемые "нормальные" требования безопасности. При более высоких требованиях к стандартным мерам безопасности, приведенным в руководстве по базовой защите ИТ, необходимо привлекать дополнительные меры.

В.6.7 Стоимость реализации/объем работ по реализации

Поскольку стандартные меры безопасности ориентированы на нормальные требования безопасности, обычно дорогостоящие услуги или компоненты безопасности или инфраструктуры не требуются. Следовательно, основными издержками внедрения мер безопасности являются организационные усилия и затраты на оплату труда. Следует также учитывать работу по проведению анализа. Это в значительной степени зависит от однородности рассматриваемой среды. Для анализа базовой защиты ИТ предприятия среднего масштаба необходимо планировать по крайней мере три месяца.

В.6.8 Поддержка инструментальными средствами

Руководство по базовой защите ИТ поддерживается инструментальными средствами в отношении как подхода (программа базовой защиты ИТ BSI), так и содержания (администрация UNIX программы USEIT-BSI).

Дальнейшая разработка инструментальных средств ориентирована на продление действия руководства по базовой защите ИТ. Другие инструментальные средства обеспечения безопасности, ориентированные на подход или содержание руководства по базовой защите ИТ или к его содержанию, также имеются в продаже.

В.6.9 Сфера действия криптографии

Подобно другим рекомендациям рекомендации по применению криптографических процедур также ориентированы на стандартные требования безопасности. Руководство включает введение в основное понятие о криптографии, общие рекомендации по применению криптографических механизмов и специфические рекомендации по продуктам.

В.6.10 Оценка и сертификация

Недавно разработана классификационная схема, предлагающая администрации и предприятиям возможность документировать факт успешного внедрения ими базовой защиты ИТ в интересах внешнего мира. Были предусмотрены три уровня: самопровозглашенный "начальный уровень", самопровозглашенный "повышенный уровень" и действительный сертификат базовой защиты ИТ. Такой сертификат выдают только независимые сертификационные организации.

В рамках отдельных глав руководства по базовой защите ИТ дается разъяснение о том, какие меры требуются для каждого квалификационного уровня. Завершение разработки классификационной схемы планировалось к концу 2001 г.

В.6.11 Убедительность и признание

Руководство по базовой защите ИТ является национальным стандартом, доступным на немецком и английском языках.

В.7 COBIT

В.7.1 Цель обеспечения доверия

Интенсивное использование ИТ для поддержки и обработки значимых для бизнеса операций делает крайне важным создание соответствующей среды контроля. COBIT (цели контроля информационных и связанными с ними технологий) были разработаны ISACA как метод тестирования полноты и эффективности такой среды контроля при ограничении риска.

В.7.2 Целевая аудитория

Этот метод обеспечения доверия включает в себя доверие к эксплуатации.

COBIT применяется следующими целевыми группами:

- руководством - для оказания поддержки при взвешивании риска в сопоставлении с капиталовложениями, сопряженными с применением мер контроля;

- пользователями - для улучшения оценки надежности и мониторинга услуг ИТ, предоставляемых в рамках организации или третьими сторонами;

- испытателями - для объективного обоснования фактов испытаний и выдачи консультаций в связи с созданием и эксплуатацией внутрифирменных средств контроля;

- владельцами процесса или лицами, ответственными за ИТ - для поддержки своей работы.

COBIT может применяться в качестве ориентированного на процесс метода независимо от внутренней структуры или правовой формы предприятия.

В.7.3 Характеристики

Этот метод обеспечения доверия применяет подход к доверию к среде.

При использовании COBIT пользователь вначале определяет процессы ИТ, значимые для конкретной ситуации. Затем для каждой цели контроля выбранных процессов ИТ ему необходимо взвесить и решить, в какой степени существующие меры контроля соответствуют его требованиям.

COBIT различает семь разных бизнес-требований и группирует их по трем категориям - качества, безопасности и регулярности:

- качество ИТ, определяемое эффективностью и экономичностью выполняемых процессов, выражается критериями эффективности и результативности;

- требования безопасности по конфиденциальности, целостности и доступности - отражены в COBIT;

- критерий надежности - применяется в COBIT для обеспечения надежности финансовой отчетности (требования по финансовой отчетности) наряду с критерием соблюдения правовых требований внутренних и внешних стандартов.

В соответствии с COBIT поддерживаемые ИТ бизнес-процессы основываются на следующих ресурсах:

- данные: элементы данных от внутренних и внешних источников в самом широком смысле;

- совокупность ручных и запрограммированных процедур, называемая "приложениями";

- технологии, включающие в себя аппаратные средства, операционные системы, системы администрирования базами данных, сети, коммуникационные приложения и т.д.;

- активы: все ресурсы, используемые для обеспечения и поддержки информационных систем;

- персонал: знания, осведомленность и продуктивность, связанные с планированием, организацией, закупкой, обеспечением соответствия, поддержкой и мониторингом информационных систем и услуг.

Ресурсы ИТ следует планировать, разрабатывать, внедрять, эксплуатировать и подвергать мониторингу контролируемым способом. В COBIT дано определение 34 критическим процессам, играющим важную роль в определении успешности управления ИТ. Эти процессы, использующие ресурсы ИТ, можно сгруппировать в четыре основные области, которые образуют следующий замкнутый жизненный цикл:

- планирование и организация;

- закупка и внедрение;

- эксплуатация и поддержка;

- наблюдение.

Для 34 критических процессов ИТ указано общее число из 300 основных задач (заданий). Для каждого задания распределены необходимые ресурсы и определены цели контроля, основанные на требованиях категорий качества, безопасности и регулярности.

В.7.4 Разносторонность

Благодаря матричной структуре COBIT пользователь может рассматривать только отдельные области или процессы и/или выбирать подгруппу из семи бизнес-требований (например, только требования безопасности к конфиденциальности, целостности и доступности).

В.7.5 Своевременность

COBIT были разработаны в 1996 г. Ассоциацией аудита и контроля информационных систем. В 1998 г. они были расширены и полностью переработаны. Во второй редакции были предложены материалы и программное обеспечение для работы с COBIT. Третья редакция (опубликованная в 2000 г.) была издана как "открытый стандарт".

В.7.6 Завершенность

COBIT предлагает метод фиксирования ориентированных на ИТ и сопутствующих им процессов. Связанные с ними цели контроля определяются независимо от технологий и могут использоваться для различных системных окружений. Однако для создания концепций безопасности необходимо добавить дополнительные меры контроля, специфические для той или иной системы.

COBIT ориентированы на интересы типичного предприятия, связанные с безопасностью. Рассматриваются сохранение основных интересов компаний (целостность и конфиденциальность внутренней информации и процессов) и соблюдение обязательных положений (защита секретности данных, финансовая отчетность).

Фиксированный уровень безопасности отсутствует, а ориентация делается на цели предприятия.

В.7.7 Стоимость реализации/работа по реализации

Полный анализ всех целей контроля в рамках предприятия среднего масштаба с COBIT длится не более одного рабочего месяца.

В.7.8 Поддержка инструментальными средствами

Применение COBIT поддерживается различными инструментальными средствами, среди которых:

- "Консультант по COBIT" - Methodware Limited, г. Веллингтон, Новая Зеландия;

- "Самооценка по COBIT" - Институт по обучению в области сертификации, США.

Вторая редакция COBIT содержит также полезную дополнительную информацию, заявочные материалы и материалы по представлению.

В самом COBIT упоминаются примеры проведения проверок (специфические меры безопасности). С помощью этих примеров можно оценить степень удовлетворения целей контроля. Однако, как правило, пользователи COBIT (например, аудиторские организации) применяют собственные схемы оценки.

В.7.9 Сфера действия криптографии

Криптографические процедуры рассматриваются как меры, применимые для защиты информации и верификации аутентичности. В этой связи учитываются как соблюдение обязательных требований, так и проблемы легального сохранения зашифрованных данных.

В.7.10 Оценка и сертификация

Сертификат COBIT в полном смысле этого слова не существует. Однако метод используется аудиторскими организациями в условиях ежегодного аудита счетов для тестирования среды контроля ИТ. Результаты тестирования ИТ помещаются в ревизионный отчет о годовой отчетности.

В.7.11 Убедительность и признание

COBIT является стандартом, поддерживаемым крупнейшими международными бухгалтерскими фирмами.

В.8 ИСО 9000

В.8.1 Цель обеспечения доверия

Назначением серии ИСО 9000 является определение метода испытаний, в котором обозначена необходимость документирования требований к системе менеджмента качества как доказательство ее способности соответствовать требованиям заказчика и возможности оценивать эту способность внутренними и внешними контролерами. Проводятся также проверки в отношении выполнения средой ИТ организации требований заказчика и ее соответствия бизнес-целям заказчика.

Данный стандарт не подразумевает однородность систем менеджмента качества. На проектирование и внедрение системы менеджмента качества в организации оказывают влияние цели организации, требования заказчика, продукция или предлагаемые услуги и процессы.

В.8.2 Целевая аудитория

К данному методу обеспечения доверия относится доверие к среде в рамках любой организации на относительно высоком уровне. Содержащиеся в ИСО 9000 требования являются высокоуровневыми и независимыми от какого-либо промышленного или экономического сектора. Они относятся к организациям любого типа и масштаба.

В данном случае документация по процессам помогает организации достичь единообразия, определить области взаимодействия и разъяснить установившуюся практику каждому работнику.

Благодаря интеграции в процессы менеджмента структура стандарта стопроцентно применима к предприятию. Стандарты применимы ко всем областям, в которых структура ИТ применяется для поддержки внутренних процессов и/или требований заказчика. Более того, по причине их доминирования данные стандарты можно применять ко всем категориям продуктов или услуг и в любом промышленном или экономическом секторе. Они также независимы от типа и масштаба организации.

В.8.3 Характеристики

Этот метод обеспечения доверия использует доверие к среде.

Содержащиеся в данном стандарте требования не заставляют предприятия изменять структуры своих систем менеджмента качества или подгонять свою документацию под структуру стандарта.

Более того, документация по процессам в системе менеджмента качества организации должна быть создана в виде, наиболее соответствующем деятельности этой организации.

Документация по сопровождению ИТ на предприятии интегрирована в среду процесса системы менеджмента качества и в качестве такового может восприниматься только в контексте других процессов управления.

В данном случае ИТ служит для поддержки внутренних процессов и требований заказчика и должна всегда рассматриваться как средство сопряжения. Функциональный аспект существует только как функция других документированных процессов управления организации.

В.8.4 Разносторонность

Поскольку ИТ в серии стандартов ИСО 9000 зависит от других процессов управления, объем работ, затраченных на тестирование, зависит от согласованности документации и функциональности других процессов. Если доля ИТ в производственном процессе, процессе предоставления услуг или из-за требований заказчика очень велика, метод испытаний будет более детальным. Однако, поскольку ИТ-процесс никогда нельзя рассматривать отдельно от других процессов управления, объем тестирования остается пропорционально постоянным.

В.8.5 Своевременность

Содержащиеся в ИСО 9001 требования относительно стабильны и модифицируются редко.

Однако они часто пересматриваются на предмет их современности и полезности. Например, технический комитет ИСО опубликовал переработанное издание данного стандарта под обозначением ИСО 9000:2000. В названии, а также в пересмотренной области применения данного издания стандарта исключен термин "доверие к качеству". Это означает, что основное значение имеет способность выполнять требования заказчика и осуществлять постоянное улучшение качества продукта. Более того, результат лучше соответствует требованиям серии стандартов ИСО 14000 и системе управления средой.

В.8.6 Завершенность

Требования в отношении системы менеджмента качества, в первую очередь, служат цели достижения удовлетворения заказчика через выполнение его требований, как минимум, путем приложения этих требований и постоянного их совершенствования и предотвращения ошибок. Таким образом, в данном случае обеспечивается только функциональность среды ИТ в рамках документированных процессов. Следовательно, требование о пересмотре самой технологии отсутствует, а существует только пересмотр функциональности в рамках организации, например, концепция непредвиденных обстоятельств, назначение лица, ответственного за защиту секретности данных.

В.8.7 Стоимость реализации/объем работ по реализации

Объем работ и издержки, связанные с интеграцией среды ИТ в процесс, относительно невелики. При условии сосредоточения на внутренних процессах и требованиях заказчика обычно отсутствует какая-либо потребность в дорогостоящих услугах или компонентах обеспечения безопасности. Большинство издержек в данном случае отражают трудовые и организационные усилия, затраченные на интегрирование процессов в процессную среду и выдачу определений средств сопряжения.

Так как этот процесс ИТ нельзя отделить от общего рассмотрения документации серии ИСО 9000, оценка усилия, требуемого для этой подобласти, вряд ли возможна.

В.8.8 Поддержка инструментальными средствами

В данном случае вопрос о том, какие инструментальные средства следует использовать, в значительной степени зависит от предприятия.

Допускается рассматривать все имеющиеся в продаже инструментальные средства.

В.8.9 Сфера действия криптографии

Как и во всех других процессах среды ИТ, серия стандартов ИСО 9000 ориентирована на деловые операции организации и требования заказчика, применимые для этой организации. Следовательно, возможны серьезные противоречия между ними.

В.8.10 Оценка и сертификация

Тестирование и сертификация по серии стандартов ИСО 9000:2000 проводятся независимыми аккредитованными органами, и результаты тестов документируются посредством выдачи сертификата. Эти сертификаты выдаются и публикуются во многих странах многими организациями.

В.8.11 Убедительность и признание

Существует возможность наиболее широкого признания в качестве международного стандарта.