'

Оценка защищенности информационных систем, использующих СКЗИ

Понравилась презентация – покажи это...





Слайд 0

Оценка защищенности информационных систем, использующих СКЗИ Костевич А.Л. НИИ прикладных проблем математики и информатики


Слайд 1

Защита информации Информационные системы: распределенная архитектура удаленные пользователи: аутентификация, права доступа передача информации по открытым каналам: защита … ценность обрабатываемой информации электронные документы: юридическая значимость (подлинность) персональные данные: защита … Какие методы применять? Криптографические методы (протоколы аутентификации, шифрование, электронная цифровая подпись, …) …


Слайд 2

Требования законодательства США: Federal Information Security Management Act of 2002 «Все федеральные ведомства должны разработать, оформить и реализовать внутриведомственную программу информационной безопасности, целью которой будет являться обеспечение безопасности информации и информационных систем, поддерживающих деятельность и активы ведомства, включая информационные системы, предоставляемые или контролируемые другими ведомствами, подрядчиками или другими сторонами…» Россия: Закон «Об информации, информационных технологиях и о защите информации» Статья 16. Защита информации Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. Республика Беларусь: Закон РБ «Об информации, информатизации и защите информации» (май 2009 г.) Статья 28. Основные требования по защите информации Информация, распространение и (или) предоставление которой ограничено, а также информация, содержащаяся в государственных информационных системах, должны обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном СМ РБ… Для создания системы защиты информации используются средства защиты информации, имеющие сертификат соответствия… или положительное экспертное заключение…


Слайд 3

Средство защиты информации Средство криптографической защиты информации Информационная система Автоматизированная система информационная система (набор из) организационное обеспечение Информационная система сетевая подсистема операционная система ИТ продукты (СУБД, ППО) средства защиты информации (в том числе криптографической защиты) … Сетевые компоненты Информационная система Система защиты информации Операционная система Управление доступом (НСД) Средство защиты информации Средство криптографической защиты информации Прикладное ПО Аттестовать!


Слайд 4

1. Кто виноват? 2. Что делать? Звонок интегратору/разработчику!


Слайд 5

Требования законодательства I. Сертификация средств защиты информации (СЗИ) Сертификат — соответствие требованиям стандартов, ТУ, ТКП, ТР Особенность РБ: стандарты только для криптографических алгоритмов Экспертиза — оценка задания безопасности для СЗИ и оценка ИТ продукта в рамках Общих критериев, оценка соответствия другим нормативным документам Особенность: отставание национальной нормативной базы от международной, трудоемкость оценки ИТ продукта Защита информации строится с использованием ИТ продуктов, которые не являются средствами защиты информации (управление доступом в ОС, СУБД, прикладном ПО) II. Аттестация информационной (автоматизированной) системы


Слайд 6

Сертификация/экспертиза


Слайд 7

Требования законодательства I. Сертификация средств защиты информации (СЗИ) II. Аттестация информационной (автоматизированной) системы “Управленческий” подход: политика безопасности ? механизмы безопасности ? контроль за внедрением и соблюдением политики ISO/IEC 27000 (ISO/IEC 17799) ISO BS 7799 Англия NIST SP 800-53 (США) США IT Baseline Protection Manual Германия “Технический” подход формализованное доказательство безопасности ISO TR 19791 (развитие Общих критериев для АС) ISO ISO/IEC 15408 (Общие критерии)


Слайд 8

Управленческий подход Точка опоры: лучшие практики и рекомендации В случае СКЗИ: ISO/IEC 27002 (ISO/IEC 17799): наличие политики применения СКЗИ принципы применения СКЗИ для защиты информации (конфиденциальность, целостность, подлинность, аутентификация) управление ключами СКЗИ распределение ролей и обязанностей за защиту информации NIST SP 800-53: рекомендованные механизмы безопасности для государственных информационных систем применение СКЗИ для защиты информации (конфиденциальность, целостность, подлинность, аутентификация) управление ключами СКЗИ имеется большое число нормативных документов, уточняющих требования по криптографии (требования к криптомодулям, к управлению ключами, …)


Слайд 9

Аттестация: прецеденты Управленческий подход: оценка политики безопасности имеются действующие стандарты: требования по безопасности и методики их оценки у организации имеется возможность (частичной) самоаттестации известен положительный опыт аттестации автоматизированных систем крупных организаций но нет гарантии отсутствия инцидентов, есть гарантия разбора инцидента и исключения выявленной уязвимости


Слайд 10

Технический подход Точка опоры: методология Общих критериев ISO TR 19791: Оценка безопасности эксплуатирующихся систем профиль защиты для АС задание безопасности для АС декомпозиция АС в домены, подлежащие оценке новые классы функциональных требований организационные меры: администрирование, управление персоналом… новые классы гарантийных требований проектная документация, тестирование, оценка уязвимостей…


Слайд 11

Аттестация: прецеденты Управленческий подход: оценка политики безопасности нет гарантии отсутствия инцидентов, есть гарантия разбора инцидента и исключения выявленной уязвимости Технический подход: формализованная оценка формализация в выявлении уязвимостей и принятии мер по предотвращении возможных инцидентов но требования только разрабатываются (проект ISO TR 19791) методика оценки отсутствует известен положительный опыт оценки по методологии Общих критериев только для ИТ продуктов, но не ИТ систем; стандарт меняется: СТБ на основе версии 2.1 (1999 г.), ISO/IEC на основе версий 2.3 (2005 г.), 3.1 (2008 г.) проблема: изменения конфигурации АС


Слайд 12

Аттестация: выбор Беларуси Разрабатывается Положение о порядке аттестации государственных информационных систем. Аттестация проводится на базе: политики безопасности (управленческий подход) и задания безопасности (технический подход) Аналог ISO TR 19791: объединение формализованного подхода Общих критериев и управленческого подхода (организационная политика безопасности)


Слайд 13

Обсуждение Высокая сложность технического подхода Экономическая целесообразность: нужны категории АС Трудоемкость, сроки и стоимость экспертизы должны отличаться для разных АС пример: защита несекретных данных персональные данные (ответственность по закону) (high impact) служебная переписка (ущерб организации) (low impact) NIST SP 800-53: low impact - анализ документации и тестирование high impact – дополнительно трудоемкий анализ исходных текстов


Слайд 14

Прецеденты США: управленческий подход, (2004-2008) ВНЕДРЕН Россия: банковская сфера — управленческий подход (2004) ВНЕДРЕН государственные АС — проект ТР «О безопасности ПРОЕКТ информационных технологий» (статус федерального Закона) (2005) — технический подход


Слайд 15

Выводы Оценка существующих информационных систем: осуществимо в рамках управленческого подхода Оценка в рамках технического подхода: затруднительна только для новых разрабатывающихся систем только на базе СКЗИ порядок разработки: экспертиза решений на каждом этапе


×

HTML:





Ссылка: