Оценка защищенности информационных систем, использующих СКЗИ Костевич А.Л. НИИ прикладных проблем математики и информатики

Защита информации Информационные системы: распределенная архитектура –удаленные пользователи: аутентификация, права доступа –передача информации по открытым каналам: защита –… ценность обрабатываемой информации –электронные документы: юридическая значимость (подлинность) –персональные данные: защита –… Какие методы применять? Криптографические методы (протоколы аутентификации, шифрование, электронная цифровая подпись, …) …

Требования законодательства США: Federal Information Security Management Act of 2002 «Все федеральные ведомства должны разработать, оформить и реализовать внутриведомственную программу информационной безопасности, целью которой будет являться обеспечение безопасности информации и информационных систем, поддерживающих деятельность и активы ведомства, включая информационные системы, предоставляемые или контролируемые другими ведомствами, подрядчиками или другими сторонами…» Россия: Закон «Об информации, информационных технологиях и о защите информации» Статья 16. Защита информации Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. Республика Беларусь: Закон РБ «Об информации, информатизации и защите информации» (май 2009 г.) Статья 28. Основные требования по защите информации Информация, распространение и (или) предоставление которой ограничено, а также информация, содержащаяся в государственных информационных системах, должны обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном СМ РБ… Для создания системы защиты информации используются средства защиты информации, имеющие сертификат соответствия… или положительное экспертное заключение…

Средство защиты информации Средство криптографической защиты информации Информационная система Автоматизированная система информационная система (набор из) организационное обеспечение Информационная система сетевая подсистема операционная система ИТ продукты (СУБД, ППО) средства защиты информации (в том числе криптографической защиты) … Сетевые компоненты Информационная система Система защиты информации Операционная система Управление доступом (НСД) Средство защиты информации Средство криптографической защиты информации Прикладное ПО Аттестовать!

1. Кто виноват? 2. Что делать? Звонок интегратору/разработчику!

Требования законодательства I. Сертификация средств защиты информации (СЗИ) Сертификат соответствие требованиям стандартов, ТУ, ТКП, ТР Особенность РБ: стандарты только для криптографических алгоритмов Экспертиза оценка задания безопасности для СЗИ и оценка ИТ продукта в рамках Общих критериев, оценка соответствия другим нормативным документам Особенность: отставание национальной нормативной базы от международной, трудоемкость оценки ИТ продукта Защита информации строится с использованием ИТ продуктов, которые не являются средствами защиты информации (управление доступом в ОС, СУБД, прикладном ПО) II. Аттестация информационной (автоматизированной) системы

Сертификация/экспертиза СШАРоссия Беларусь Криптоалгоритмы+++ КриптоядраFIPS 140ФСБПКЗ05СТБ (ПЗ.ПСКЗИ) СКЗИNSA/NISTПЗ: PKI, VPN, криптотокен ФСБПКЗ05, ФСТЭКПЗ: УЦ, VPN ЗБ на некоторые СКЗИ СЗИ от НСДNSA/NISTПЗ: Biometric, IDS/IPS ФСТЭКПЗ: «Замок» СТБ-ПЗ Срок действия? Оценка продуктов на EAL-4? ОС/СУБДNSA/NISTПЗ: перечень ФСТЭКПЗ: перечень Cетевая подсистема NSA/NISTПЗ: Router, Firewall, Wireless, Web ФСТЭКПЗ: МСЭ

Требования законодательства I. Сертификация средств защиты информации (СЗИ) II. Аттестация информационной (автоматизированной) системы Управленческий подход: политика безопасности механизмы безопасности контроль за внедрением и соблюдением политики –ISO/IEC (ISO/IEC 17799)ISO –BS 7799Англия –NIST SP (США)США –IT Baseline Protection Manual Германия Технический подход формализованное доказательство безопасности –ISO TR (развитие Общих критериев для АС) ISO ISO/IEC (Общие критерии)

Управленческий подход Точка опоры: лучшие практики и рекомендации В случае СКЗИ: ISO/IEC (ISO/IEC 17799): наличие политики применения СКЗИ –принципы применения СКЗИ для защиты информации (конфиденциальность, целостность, подлинность, аутентификация) –управление ключами СКЗИ –распределение ролей и обязанностей за защиту информации NIST SP : рекомендованные механизмы безопасности для государственных информационных систем –применение СКЗИ для защиты информации (конфиденциальность, целостность, подлинность, аутентификация) –управление ключами СКЗИ –имеется большое число нормативных документов, уточняющих требования по криптографии (требования к крипто модулям, к управлению ключами, …)

Аттестация: прецеденты Управленческий подход: оценка политики безопасности –имеются действующие стандарты: требования по безопасности и методики их оценки –у организации имеется возможность (частичной) самоаттестации –известен положительный опыт аттестации автоматизированных систем крупных организаций но –нет гарантии отсутствия инцидентов, есть гарантия разбора инцидента и исключения выявленной уязвимости

Технический подход Точка опоры: методология Общих критериев ISO TR 19791: Оценка безопасности эксплуатирующихся систем профиль защиты для АС задание безопасности для АС декомпозиция АС в домены, подлежащие оценке новые классы функциональных требований –организационные меры: администрирование, управление персоналом… новые классы гарантийных требований –проектная документация, тестирование, оценка уязвимостей…

Аттестация: прецеденты Управленческий подход: оценка политики безопасности –нет гарантии отсутствия инцидентов, есть гарантия разбора инцидента и исключения выявленной уязвимости Технический подход: формализованная оценка –формализация в выявлении уязвимостей и принятии мер по предотвращении возможных инцидентов но –требования только разрабатываются (проект ISO TR 19791) –методика оценки отсутствует –известен положительный опыт оценки по методологии Общих критериев только для ИТ продуктов, но не ИТ систем; –стандарт меняется: СТБ на основе версии 2.1 (1999 г.), ISO/IEC на основе версий 2.3 (2005 г.), 3.1 (2008 г.) –проблема: изменения конфигурации АС

Аттестация: выбор Беларуси Разрабатывается Положение о порядке аттестации государственных информационных систем. Аттестация проводится на базе: политики безопасности (управленческий подход) и задания безопасности (технический подход) Аналог ISO TR 19791: объединение формализованного подхода Общих критериев и управленческого подхода (организационная политика безопасности)

Обсуждение Высокая сложность технического подхода Экономическая целесообразность: нужны категории АС Трудоемкость, сроки и стоимость экспертизы должны отличаться для разных АС пример: защита несекретных данных персональные данные (ответственность по закону) (high impact) служебная переписка (ущерб организации) (low impact) NIST SP : low impact - анализ документации и тестирование high impact – дополнительно трудоемкий анализ исходных текстов

Прецеденты США: управленческий подход, ( )ВНЕДРЕН Россия: банковская сфера управленческий подход (2004)ВНЕДРЕН государственные АС проект ТР «О безопасности ПРОЕКТ информационных технологий» (статус федерального Закона) (2005) технический подход

Выводы Оценка существующих информационных систем: осуществимо в рамках управленческого подхода Оценка в рамках технического подхода: затруднительна только для новых разрабатывающихся систем только на базе СКЗИ порядок разработки: экспертиза решений на каждом этапе