Общее описание процедуры аттестации автоматизированных систем по требованиям информационной безопасности (Астахов)


СОДЕРЖАНИЕ
Введение
Используемая терминология
Описание процедуры аттестации
>Планирование
Инициирование
Анализ
Планирование ресурсов
Документирование плана проведения аттестации
Сбор информации
Документы, содержащие требования безопасности
Отчет по результатам анализа рисков
Диаграммы информационных потоков приложений
Описание механизмов безопасности АС
Базовый анализ
Оценка адекватности требований безопасности
Единые критерии оценки безопасности информационных технологий
Анализ механизмов безопасности
Проверка существования механизмов безопасности
Обзор методологии реализации механизмов безопасности
Детальный анализ
Подходы к проведению детального анализа
Стратегии сосредоточения усилий при детальном анализе
Анализ конкретных сценариев атак и процессов
Подготовка отчетных документов по результатам аттестации
Содержание отчетных документов
Введение

В современных условиях наиболее перспективным способом проверки достигнутого качества функционирования и уровня защищенности автоматизированных систем (АС) является процедура аттестации. В то время как для многих коммерческих АС аттестация носит добровольный характер, существует достаточно многочисленная категория АС, для которых аттестация, согласно действующему законодательству, является обязательным условием для начала или продолжения их эксплуатации. В их число входят АС, предназначенные для обработки информации, составляющей государственную тайну, для управления экологически опасными объектами и для ведения секретных переговоров.

В России аттестация по существу только начинает внедряться в практику создания и применения АС. В связи с этим существует целый комплекс нерешенных проблем, в числе которых проблемы стандартизации и совершенствования нормативной документации, состоящие в разработке, выборе и адаптации документов, применяемых при аттестации и описывающих процедуру, критерии и методику ее проведения. Целесообразным является использование для решения этих проблем опыта, накопленного мировым сообществом.

В США набор руководящих документов в области аттестации был сформирован еще в начале 80-х годов. Изучение и адаптация этих документов к российским условиям может существенно ускорить процесс создания отечественной нормативной базы. Для федеральных органов США основополагающим документом в области аттестации является Руководство по Проведению Аттестации и Аккредитации безопасности АС (FIPS PUB 102).

Данная работа является попыткой использования отечественного опыта и американской нормативной базы для создания общего руководства по проведению аттестации АС по требованиям безопасности информации.
Используемая терминология

Система аттестации АС является составной частью Единой системы сертификации средств защиты информации (СЗИ) и аттестации объектов информатизации по требованиям безопасности информации, организация функционирования которой осуществляется Гостехкомиссией при Президенте РФ. В соответствии с принятой в нашей стране концепцией защиты информации от несанкционированного доступа (НСД), существует два относительно самостоятельных направления решения этой проблемы: направление, связанное со средствами вычислительной техники (СВТ), и направление, связанное с АС. Отличие между этими направлениями заключается в том, что при рассмотрении вопросов защиты СВТ огрганичиваются только программно-техническими аспектами функционирования системы, в то время как защита АС предполагает рассмотрение организационных мер защиты, вопросов физического доступа, защиты информации от утечки по техническим каналам и т. п. СВТ представляют собой программно-технические средства, разрабатываемые и поставляемые на рынок как элементы, из которых строятся АС. Помимо набора СВТ, АС включает в себя обслуживающий персонал и систему организационных мероприятий, обеспечивающих ее функционирование, а также помещения, пользовательскую информацию, бумажную документацию и т. д. Существование двух условно различающихся направлений в защите информации является причиной отличия используемой в нашей стране терминологии от принятой в других странах. Понятие «сертификация по требованиям безопасности» в России применяется по отношению к СВТ, в то время как тот же самый процесс по отношению к АС называется аттестацией. В США в обоих случаях используется понятие «сертификация».

Cогласно американским руководящим документам, сертификация по требованиям безопасности — это проводимый независимыми экспертами комплекс организационно-технических мероприятий по проверке соответствия реализованных в АС или СВТ механизмов безопасности определенному набору требований. Требования безопасности используются в качестве критерия для оценки уровня защищенности АС или СВТ. Они могут быть сформулированы в руководящих документах органов государственного управления, внутриведомственных и межведомственных приказах, национальных и международных стандартах, стандартизированных профилях защиты или заданиях по безопасности, а также в виде требований конкретной организации или пользователей АС.

Примечание: Для определенности, в остальной части настоящей статьи по отношению к АС будет использоваться принятый в нашей стране термин — аттестация.

В случае положительного результата аттестационных испытаний создается специальный документ — «Аттестат соответствия», в котором подтверждается, что объект испытаний соответствует требованиям стандартов или иных нормативно-технических документов по информационной безопасности. Таким образом, основным продуктом аттестации является аттестат соответствия. Но не менее важным является то, что к проведению обследования и аттестационных испытаний активно привлекается обслуживающий персонал АС, ее разработчики и пользователи, в результате чего повышается их осведомленность в вопросах обеспечения безопасности и общий уровень защищенности АС.

Аттестация АС по требованиям безопасности информации является лишь одним из аспектов общей процедуры аттестации, выполняемой с целью получения гарантий того, что АС удовлетворяет предъявляемым к ней требованиям по функциональности, производительности, безопасности, качеству и надежности функционирования. Поэтому ее лучше всего осуществлять как часть общей процедуры аттестации, охватывающей все требования к эффективности функционирования АС и зачастую использующей те же методы проведения обследования и испытаний.

В американской нормативной документации термин «сертификация» применяется по отношению к программному обеспечению, аппаратным компонентам, приложениям, системам, терминалам, сетям и другим объектам. Природа сертифицируемого объекта оказывает минимальное влияние на общий процесс проведения аттестации, хотя она оказывает существенное влияние на детали выполнения отдельных работ.

В США термином «аккредитация безопасности АС» обозначается основывающаяся на результатах аттестации санкция руководства предприятия, позволяющая использовать АС для обработки жизненно-важной и/или конфиденциальной информации в данной среде функционирования.

Таким образом, аккредитация является официальным разрешением руководства использовать данную АС в данной среде функционирования. Хотя в этом определении фигурируют только «жизненно-важные и/или конфиденциальные данные», предполагается его более широкая трактовка, охватывающая также критичные АС, которые могут и не содержать жизненно-важных и/или конфиденциальных данных. Такие АС считаются критичными скорее из-за того вреда, который может быть нанесен организации в случае отказа в обслуживании этой АС, чем от несанкционированного раскрытия или использования данных.

Критичные АС — это АС, для которых необходима определенная степень защищенности, потому что они обрабатывают критичные данные или существует риск причинения вреда в результате их неправильного функционирования или злоумышленного манипулирования ими.

Все АС имеют определенную степень критичности. Важным вопросом является наличие соглашения о том, для каких АС требуется проводить аттестацию. Желательно иметь упорядоченный по приоритетам список таких АС.
Описание процедуры аттестации

Процедуру аттестации АС можно условно разделить на несколько последовательных этапов: планирование, сбор информации, базовый анализ, детальный анализ, подготовка отчетных документов и аккредитация. Далее рассматривается содержание каждого из этих этапов.
Планирование

План подготовки и проведения аттестации должен определять проблемные области, потребности в специальных знаниях, потребности в инструментарии для поддержки процедуры оценивания и другие вопросы, ответы на которые невозможно дать без проведения соответствующего анализа, характерного для этапа базового оценивания и специфичного для каждой конкретной ситуации. Можно выделить четыре стадии планирования:
Инициирование.
Анализ.
Планирование ресурсов.
Документирование плана проведения аттестации.
Рисунок 1. Планирование процедуры аттестации.

Инициирование

На этапе инициирования осуществляется определение общей схемы проведения аттестации и ее согласование с заказчиком работ. Схема определяет общий порядок выполнения работ и необходимые затраты ресурсов. Рассматриваются следующие вопросы:
Назначение, выполняемые функции и структура объекта информатизации; критичность АС и обрабатываемой в ней информации; границы проведения обследования; узкие места и проблемные области; состав и структура комплекса средств защиты; привлечение для проведения работ специалистов различных технических профилей.
Оценка временных затрат и затрат ресурсов на проведение работ; наличие результатов ранее проведенного анализа рисков и аудита безопасности, которые можно было бы использовать для определения трудоемкости и объема работ по аттестации.
Состав экспертной группы; распределение обязанностей между специалистами.
Факторы, оказывающие влияние на качество и глубину аттестационных испытаний.
Наличие специфических для данного объекта требований, которые должны использоваться в качестве критерия для проведения аттестации, помимо имеющейся нормативной документации.
Наличие и полнота документации, документированность используемых механизмов безопасности.
Наличие и документированность политики безопасности организации.

Принятая схема проведения аттестации оформляется в виде Технического задания и Плана-графика работ.
Анализ

Анализ составляет основную часть процесса планирования. В процессе анализа рассматриваются следующие вопросы:
Требования безопасности
Исходные данные
Границы проведения аттестации и распределение работ
Области повышенного внимания
Требуемый уровень детализации
Анализ требований безопасности

Целью аттестации является проверка соответствия исследуемой АС предъявляемым к ней требованиям безопасности. Поэтому анализ начинается с рассмотрения требований безопасности. Основным критерием для аттестации служат требования, сформулированные в виде руководящих документов Гостехкомиссии РФ, законов РФ, внутриведомственных, межведомственных, национальных и международных стандартов. Для каждой АС рассматривается также набор внутренних требований, которые формулируются по результатам анализа рисков и учитывают специфику и особенности среды функционирования исследуемой АС. Некоторые внутренние требования могут быть очень специфичными для данной АС и касаться критичности данных, ограничений на раскрытие некоторых видов информации и других вопросов безопасности.
Анализ состава исходных данных

Для разработки программы и методики аттестационных испытаний помимо стандартного перечня исходных данных, содержащегося в РД Гостехкомиссии «Положение по аттестации объектов информатизации по требованиям безопасности информации», необходимо предоставить также дополнительные данные, состав которых уточняется в каждой конкретной ситуации. Например, сообщения об известных слабостях АС, попытках НСД к информации или отчеты о возникших проблемах, полученные в ходе предшествующего периода ее эксплуатации, приводят к необходимости сбора дополнительных сведений из более узких областей.

Руководство организации, владеющей либо эксплуатирующей АС, может иметь собственное мнение по поводу информации, которая может быть предоставлена в качестве исходных данных для аттестации. При планировании эти мнения необходимо учитывать. Например, для обеспечения сохранности коммерческой тайны между заказчиком и исполнителем работ может быть заключено соглашение о конфиденциальности.
Определение границ проведения аттестации и распределение работ

При определении границ проведения аттестации необходимо в равной степени учитывать организационный, физический и программно-технический уровни обеспечения безопасности. В противном случае результаты аттестации не будут отражать реальный уровень защищенности АС. Например, надежные технические методы защиты окажутся бесполезными, если неправильно определен состав административных мероприятий или меры обеспечения физической безопасности являются неадекватными.

После определения границ проведения аттестации необходимо задокументировать предположения относительно среды функционирования. Например, если операционная система не попадает в границы объекта исследования, то нужно задокументировать предположение о том, что ОС обеспечивает достаточный базовый уровень защищенности в таких областях, как изоляция процессов, аутентификация, авторизация, мониторинг, контроль целостности, регистрация и учет событий и т. п. Предположения относительно среды и условий функционирования АС указываются в «Аттестате соответствия» и являются необходимым условием для разрешения обработки в АС критичной либо конфиденциальной информации.

Когда границы проведения аттестации определены, осуществляется распределение ответственности между специалистами экспертной группы. В большинстве случаев в подготовке и проведении аттестационных испытаний требуется участие специалистов различных технических профилей.

При определении состава экспертной группы и распределении работ учитывается ряд характеристик АС. Основные характеристики, на которые обращается внимание, включают количество и сложность программно-технических компонентов АС и их документированность.

Количество и сложность программно-технических компонентов АС определяют объем трудозатрат, необходимый для проведения аттестации. Кроме того, следует учитывать такие характеристики АС, как физическая, логическая или функциональная распределенность ее компонентов.

Документированность АС является важным фактором при планировании процедуры аттестации. Необходимо учитывать наличие описания подсистемы информационной безопасности АС, включая описание механизмов безопасности, комплекса средств защиты и системы организационных мероприятий; делается ли в документации разделение между механизмами безопасности и другими механизмами; документированы ли функциональные требования, имеются ли спецификации системы, тестовая документация, справочные руководства и т. п. Учитывается также полнота представленной документации, ее соответствие текущему состоянию дел, требованиям нормативной и методической документации.
Области повышенного внимания

При проведении аттестационных испытаний основное внимание должно уделяться компонентам и подсистемам, осуществляющим передачу, обработку и хранение критичной информации. Критичность информации определяется величиной возможного ущерба, который может быть нанесен организации в случае нарушения безопасности этой информации.

Помимо критичности информации на определение областей повышенного внимания могут также влиять и другие факторы. Например, меньше внимания может уделяться тем компонентам АС, все уязвимости которых уже хорошо изучены. Однако, существование этих уязвимостей должно найти отражение в документах.

Для определения областей повышенного внимания и концентрации усилий при аттестации могут использоваться различные методы экспертных оценок. Например, широко распространенный метод Дельфи. В качестве исходных данных для принятия решения могут служить результаты проведения аудита безопасности, либо комплексного аудита АС, результаты анализа рисков и данные об имевших место нарушениях безопасности. Уязвимые места, требующие особого внимания, могут быть выявлены по результатам опросов пользователей и обслуживающего персонала.
Требуемый уровень детализации

В большинстве случаев для получения адекватных результатов достаточно провести базовый анализ механизмов безопасности АС, позволяющий определить общий уровень ее защищенности и степень соответствия требованиям безопасности. Базовый анализ ограничивается уровнем функциональных спецификаций и заключается в проверке наличия в составе системы компонентов, реализующих необходимый набор требований безопасности.

В некоторых ситуациях, по причине высокой критичности обрабатываемой информации или когда механизмы безопасности расположены на нижних уровнях абстракции и невидимы на верхних уровнях, оправдано проведение детального анализа. При детальном анализе не ограничиваются констатацией факта наличия необходимых функций безопасности, но оценивают также эффективность их реализации.

Существует большое количество критериев для определения уровня детализации, используемого при аттестации. В большинстве случаев основными критериями являются: критичность АС, состав исходных данных (например, доступность исходных текстов программ) и размещение механизмов безопасности (используются встроенные или наложенные средства защиты). Другими критериями могут служить: степень детализации, необходимая заказчику, размер и сложность АС, опыт экспертов. Решения, принятые на основании перечисленных выше критериев, могут относиться как ко всей АС, так и к ее отдельным компонентам и подсистемам.
Планирование ресурсов

На основе проведенного анализа осуществляется выделение ресурсов (временных, людских, технических средств и т. п.), необходимых для выполнения намеченных задач. Оценка времени включает не только время, необходимое для решения поставленных задач, но также, и время связанное с решением организационных вопросов при выделении соответствующих ресурсов. Выделение ресурсов производится с учетом возможных незапланированных ситуаций, способных оказать влияние на доступность людских и других ресурсов.
Документирование плана проведения аттестации

На основе проведенного анализа осуществляется подготовка и согласование плана проведения аттестации, который в общем случае включает в себя следующие разделы:
Резюме. Включает все необходимые сведения о порядке проведения работ.
Введение. Описывает структуру АС и границы проведения обследования, уровень критичности обрабатываемой информации и других ресурсов, группы задач, решаемых системой, и ограничения, накладываемые политикой безопасности, общий график работ, а также критерии для оценки уровня защищенности АС, включая требования нормативных документов и требования, специфичные для данной АС.
Распределение ответственности. Определяется организационная структура и обязанности экспертной группы и других участников процедуры аттестации. Определяются обязанности обслуживающего персонала по поддержке процедуры аттестации.
Требования безопасности. Определяется набор требований безопасности, используемых в качестве критерия при аттестации. Помимо существующей нормативной базы обычно имеются дополнительные требования, предъявляемые пользователями и политикой безопасности организации и специфичные для исследуемой АС. Универсальным методом для определения требований безопасности, адекватных существующим угрозам, является анализ рисков.
Подход к оцениванию. В этом разделе перечисляются задачи, выполняемые при проведении базового анализа и, в случае необходимости, детального анализа. Осуществляется распределение работ между участниками процедуры аттестации. Состав задач сильно зависит от того, находится ли АС на стадии разработки или на стадии эксплуатации. Затрагиваются следующие вопросы: области повышенного внимания, уровни детализации, конкретные задачи и используемые методы проведения испытаний, источники информации.
План-график работ. Определяет сроки подготовки промежуточных отчетных документов и исходных данных, сроки проведения совещаний и сроки окончания этапов выполнения работ. Сроки подготовки промежуточных отчетов определяются на основании оценки времени, сделанной на этапе планирования ресурсов.
Поддержка. Перечисляются требования к видам административной и технической поддержки процедуры аттестации со стороны обслуживающего персонала и руководства организации.
Отчетные документы. Основными отчетными документами являются отчет по результатам предварительного обследования объекта информатизации, программа и методика проведения аттестационных испытаний, протокол испытаний и заключение по результатам испытаний.
Приложения. В приложениях приводится структура отчета по результатам аттестационных испытаний, а также информация по методам и средствам, которые использовались при проведении испытаний и анализа или даются ссылки на источники такой информации.

Различия между процедурами аттестации, выполняемыми на стадии разработки АС и на стадии ее эксплуатации, проявляются при рассмотрении деталей выполнения отдельных задач. Например, при тестировании механизмов безопасности, аттестация, проводящаяся на стадии разработки, располагает только данными тестирования, в то время как на стадии эксплуатации доступны также данные аудита и мониторинга безопасности.
Сбор информации

Большая часть работы, выполняемой при аттестации (включая фазу планирования), заключается в сборе информации. Рассмотрим три основных метода сбора информации:
Получение информации от обслуживающего персонала и разработчиков АС.
Изучение документации.
Проведение опросов.

При проведении аттестации наибольшее количество времени тратится на изучение характеристик АС. При изучении АС рассматриваются два основных вопроса: (1) назначение и принципы функционирования АС, (2) уровень защищенности АС (угрозы безопасности, ресурсы, механизмы защиты, уязвимости). Оба эти вопроса могут быть разрешены при изучении документации и в ходе опросов пользователей и разработчиков АС. Однако, эти способы сбора информации требуют больших временных затрат.

В идеале лучшим источником информации об объекте информатизации является проектная, рабочая и эксплуатационная документация. К сожалению, качество документации часто бывает низким, а иногда она просто отсутствует. С другой стороны, там, где она существует, ее объем может исчисляться сотнями и тысячами страниц печатного текста. Документация также может содержать устаревшие сведения. Механизмы безопасности в документации часто не отделяются от других механизмов или вообще не описываются. Поэтому существующая документация зачастую трудна для изучения и не содержит достаточного количества исходных данных для аттестации.

Метод проведения опросов также не лишен недостатков. Одним из основных недостатков этого метода является то, что для получения необходимой информации требуются значительные затраты времени. Типичный опрос требует, по крайней мере, один человеко-день работы, включая время его подготовки и документирования, и отнимает время и у проводящих опрос, и у опрашиваемых.

Наиболее эффективным методом сбора информации об АС является метод, при котором руководство организации, разрабатывающей либо эксплуатирующей АС, ставит перед ее разработчиками или обслуживающим персоналом задачу подготовить эту информацию и представить ее в экспертную группу.

Для проведения аттестационных испытаний должны быть подготовлены следующие документы:

Документы, содержащие требования безопасности.
Отчет по результатам анализа рисков.
Диаграммы информационных потоков приложений.
Рисунок 2. Сбор информации для аттестации.

Документы, содержащие требования безопасности

Требования безопасности являются критерием для проведения аттестации. Если требования безопасности не были должным образом сформулированы, то это делается в ходе аттестации. Формулировка требований является результатом совместной работы специалистов, осуществляющих поддержку АС, и экспертов, проводящих ее аттестацию. Участие экспертов, проводящих аттестацию, необходимо по той причине, что у специалистов по поддержке АС недостаточно знаний в области информационной безопасности, особенно в отношении нормативной и правовой базы. Участие специалистов по поддержке АС необходимо по причине недостаточного понимания экспертами, проводящими аттестацию, особенностей функционирования АС, а также требований пользователей.

Типичный набор руководящих документов, используемых при аттестации АС в нашей стране, включает в себя, но не исчерпывается, следующими документами:
Закон РФ от 20 февраля 1995 г. № 24-Ф3 «Об информации, информатизации и защите информации»;
Закон РФ от 4 июля 1996 г. № 85-Ф3 «Об участии в международном информационном обмене»;
Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации», Гостехкомиссия России, 1997;
«Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации», Гостехкомиссия России, 1992.

Из перечисленных нормативных документов последние два имеют особое значение для аттестации.

Руководящий документ (РД) Гостехкомиссии РФ «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации» устанавливает классификацию СВТ по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защищенности:
первая группа содержит только один седьмой класс;
вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

РД Гостехкомиссии РФ «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» устанавливает классификацию АС, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. Определяющими признаками, по которым производится группировка АС в различные классы, являются:
наличие в АС информации различного уровня конфиденциальности;
уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
режим обработки данных в АС — коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

Кроме этого, в зависимости от характера АС, могут использоваться другие руководящие документы Гостехкомиссии РФ, содержащие требования, предъявляемые к конкретным классам СВТ, входящим в состав АС.
Отчет по результатам анализа рисков

Анализ рисков на объекте информатизации проводится с целью обоснования требований безопасности, предъявляемых к АС, уточнения состава этих требований и выработки системы контрмер, необходимых для успешного противодействия существующим в данной среде угрозам безопасности. Отчет по результатам анализа рисков содержит описание ресурсов АС, оценку их критичности, описание существующих угроз и уязвимостей, оценку ущерба, связанного с осуществлением угроз, и оценку рисков. Оценка рисков определяется вероятностью осуществления угрозы, величиной уязвимости и величиной возможного ущерба, причиняемого организации в случае успешного осуществления угрозы. Проведение анализа рисков требует деятельного участия специалистов, отвечающих за эксплуатацию АС.
Диаграммы информационных потоков приложений

Диаграммы информационных потоков приложений описывают входные, выходные и внутренние информационные потоки приложений, выполняющихся в рамках АС. Диаграммы информационных потоков необходимы для понимания принципов функционирования АС. Этот документ готовится при участии специалистов, отвечающих за поддержку АС.
Описание механизмов безопасности АС

К механизмам безопасности относится любая реализация защитных мер, включая организационный, физический и программно-технический уровни, а также любые действия и процедуры, уменьшающие вероятность нарушения безопасности АС.

Документы, содержащие описание механизмов безопасности АС, полученные от разработчиков или обслуживающего персонала АС, должны подкрепляться изучением документации и проведением опросов.
Базовый анализ

Аттестация может проводиться на двух уровнях детализации: базовый анализ и детальный анализ. Основное отличие между базовым и детальным анализом заключается в том, что базовый анализ концентрируется главным образом на общих функциональных возможностях обеспечения безопасности АС, а не на особенностях отдельных защитных механизмов. Например, при базовом анализе определяется, является ли достаточным контроль доступа на уровне файлов или на уровне отдельных записей; достаточно ли осуществлять аутентификацию на уровне хостов или на уровне пользователей. При базовом анализе также проверяется существование механизмов безопасности. При детальном анализе проверяется правильность функционирования механизмов безопасности, удовлетворяют ли они критерию производительности, являются ли они достаточно надежными и их устойчивость к попыткам взлома.

В ходе базового анализа решаются следующие основные задачи:
Оценка адекватности требований безопасности.
Оценка адекватности механизмов безопасности.
Проверка существования механизмов безопасности.
Обзор методологии реализации механизмов безопасности.
Рисунок 3. Этапы базового анализа АС

Оценка адекватности требований безопасности

Основной целью аттестации является проверка соответствия механизмов безопасности АС предъявляемым к ним требованиям. Поэтому требования безопасности должны быть четко определены и должны быть адекватны существующим рискам. Для большинства АС не существует четко определенного набора адекватных требований безопасности.

На этапе базового анализа существующие требования безопасности должны быть критически исследованы с целью определения их пригодности для целей аттестации и соответствия ожиданиям пользователей, политике безопасности организации, законодательной и нормативной базе. Основная часть требований может содержаться в техническом задании на создание АС.

Если требования безопасности ранее не были определены и документированы, то их необходимо сформулировать и документировать в процессе анализа рисков.

Как при определении, так и при оценке адекватности требований безопасности рассматриваются два класса требований: общие требования и требования, специфичные для исследуемой АС. Общие требования формулируются на основе федеральных законов, руководящих документов государственных органов, стандартов и политики безопасности организации. Специфичные требования формулируются в процессе анализа рисков.
Мероприятия по анализу и управлению рисками

Анализ рисков — это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности АС, целью которых является определение того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Ниже раскрываются сущность и содержание мероприятий по анализу и управлению рисками.

Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам АС в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину, т. е. дать им количественную оценку. Его можно разделить на несколько последовательных этапов:
Идентификация ключевых ресурсов АС.
Определение важности тех или иных ресурсов.
Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз.
Вычисление рисков, связанных с осуществлением угроз безопасности.

Ресурсы АС можно разделить на три категории:
Информационные ресурсы.
Программное обеспечение.
Технические средства.

В каждой категории ресурсы можно разделить на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность АС и существенны с точки зрения обеспечения безопасности.

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиОбновлено: 11.03.2015