История развития нормативной базы РФ в области защиты информации

Этот пока не оконченный экскурс в прошлое нормативной базы РФ в области защиты информации, содержит обзор нормативных документов, которые были актуальны 20 лет назад. Польза данного материала может заключаться в том, что нынешние специалисты, изучающие основы информационной безопасности, включая соответствующее регулирование, будут понимать “откуда ноги растут”. Присоединив к данному материалу обзор современной нормативной базы, мы сможем увидеть некоторую историческую перспективу, показывающую нам как развивались и изменялись взгляды на ИБ и подходы к защите информации в РФ, со стороны государственных регуляторов.

Сначала хотелось выбросить данный материал как утративший актуальность, но потом подумал о том, что ничего не делается просто так. Он нам еще послужит. Просто надо грамотно его применить. Изучение нынешнего состояния законодательства и нормативки РФ, не будет достаточно плодотворным и глубоким, при отсутствии представлений о том, с чего все начиналось, что из чего выросло, что было отброшено, заменено или усовершенствовано и в связи с чем. Надо знать ближайшую историю, чтобы лучше понимать нынешнюю ситуацию.

Я сам никогда не испытывал удовольствия от изучения нормативных документов и всегда делал это вынужденно. Поэтому не уверен хватит ли мне времени и желания доделать данный материал. Если кто-же желает этим заняться, то может взять его как отправную точку и опубликовать собственную статью на эту тему. Если это уже сделано, то обязательно напишите в комментариях и дайте ссылку на соответствующую статью (книгу), чтобы мы зря не теряли время.

Нормативная база РФ в области защиты информации в прошлом веке и в начале нынешнего

Нормативную базу в области сертификации безопасности автоматизированных систем в нашей стране составляют государственные стандарты, руководящие документы Гостехкомиссии РФ, Министерства обороны РФ и ФАПСИ.

Правовой базой работ по сертификации информационных технологий являются законы РФ “О сертификации продукции и услуг”, “О стандартизации”, “Об информатизации и защите информации”, “О государственной тайне”, “О защите прав потребителей”, Указы президента РФ, постановления правительства РФ, а также ряд других подзаконных актов. Национальным органом по сертификации определен Госстандарт РФ. Процедура сертификации безопасности автоматизированных систем, входящая в состав более общей процедуры сертификации качества функционирования АС, должна опираться на государственные стандарты, определяющие систему функциональных показателей, оцениваемых при сертификации, регламентирующие управление проектированием и документирование программного обеспечения. Поскольку комплексы отечественных стандартов, регламентирующих документирование АС на различных стадиях ее создания, представляют во многом морально устаревшие стандарты серий “Информационная технология”, “Единая система стандартов автоматизированной системы управления” и “Единой системы программной документации”, поэтому не имеет смысла приводить их полный перечень.

Указом Президента РФ от 30.03.94г. № 614 функции межведомственной комиссии по защите гостайны были временно возложены на Гостехкомиссию при Президенте РФ. В целом же на Гостехкомиссию возложены обязанности по координации, организационно-методическому руководству, лицензированию деятельности предприятий и сертификации продукции в области защиты информации. В соответствии с Постановлением Правительства РФ от 26.06.95г. № 608 “О сертификации средств защиты информации” созданы системы сертификации Гостехкомиссии при Президенте РФ, Министерства обороны РФ, разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации в этих системах. Центральным органом системы сертификации средств криптографической защиты информации является ФАПСИ.

В нашей стране методологической базой нормативно-технических и методических документов, посвященных вопросам сертификации безопасности СВТ и АС, является РД Гостехкомиссии “Концепция защиты СВТ и АС от НСД к информации”, а также “Защита от НСД к информации. Термины и определения.” Эти документы содержат:

• Основные термины и определения в области защиты информации
• Определение понятия НСД
• Основные принципы защиты от НСД
• Модель нарушителя в АС
• Основные способы НСД
• Основные направления обеспечения защиты от НСД
• Основные характеристики технических средств защиты от НСД
• Классификация АС
• Организация работ по защите от НСД

Другим основополагающим РД в области сертификации СЗИ является “Положение о сертификации средств защиты информации по требованиям безопасности информации”, устанавливающее организационную структуру системы сертификации, порядок проведения сертификации СЗИ и контроля и основные требования к нормативным и методическим документам по сертификации СЗИ.

Организационную структуру системы сертификации образуют:

• Гостехкомиссия России (федеральный орган по сертификации средств защиты информации);
• центральный орган системы сертификации средств защиты информации;
• органы по сертификации средств защиты информации;
• испытательные центры (лаборатории);
• заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).

Порядок проведения сертификации включает следующие действия:

• подачу и рассмотрение заявки на сертификацию средств защиты информации;
• испытания сертифицируемых средств защиты информации и аттестация их производства;
• экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
• осуществление государственный контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации;
• информирование о результатах сертификации средств защиты информации;
• рассмотрение апелляций.

Критерии оценки безопасности АС и СВТ выражены в РД Гостехкомиссии РФ: “АС. Защита от НСД к информации. Классификация АС и требования по защите информации.” и “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”.

РД “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации” устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

• первая группа содержит только один седьмой класс;
• вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
• третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
• четвертая группа характеризуется верифицированной защитой содержит только первый класс.

РД “АС. Защита от НСД к информации. Классификация АС и требования по защите информации” устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

• наличие в АС информации различного уровня конфиденциальности;
• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
• режим обработки данных в АС – коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

РД “Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ” регламентирует следующие основные вопросы:

• организационную структуру и порядок проведения работ по защите информации от НСД и взаимодействия при этом на государственном уровне;
• систему государственных нормативных актов, стандартов, руководящих документов и требований по этой проблеме;
• порядок разработки и приемки защищенных СВТ, в том числе программных и технических (в частности, криптографических) средств и систем защиты информации от НСД;
• порядок приемки указанных средств и систем перед сдачей в эксплуатацию в составе АС, порядок их эксплуатации и контроля за работоспособностью этих средств и систем в процессе эксплуатации.

Согласно настоящему временному положению, при разработке средств и систем защиты в АС и СВТ необходимо руководствоваться требованиями следующих руководящих документов:

• Концепция защиты СВТ и АС от НСД к информации;
• Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ;
• Термины и определения по защите от НСД к информации;
• Показатели защищенности СВТ от НСД к информации;
• Классификация АС и требования по защите информации от НСД в АС различных классов.

Обзор нормативных документов РФ прошлого века и начала нынешнего, регламентирующих вопросы сертификации безопасности

Для проведения сертификации безопасности необходимо наличие критерия оценки и методики оценки. В качестве критерия оценки при сертификации выступает набор требований безопасности, сформулированных в Руководящих Документах (РД) органов государственного управления, внутриведомственных и межведомственных приказах, соответствующих национальных и международных стандартах, требования конкретной организации, требования пользователей и, возможно, какие-либо другие требования.

Нормативные документы, регламентирующие вопросы проведения сертификации безопасности, определяют процедуру сертификации, функции участников этого процесса, основные методики, концепции и критерии оценки безопасности. Кроме этого, при проведении сертификации используются нормативные документы, посвященные жизненному циклу программных средств и вопросам защиты информации. Важную роль также играют документы, регламентирующие правовые аспекты проведения сертификации безопасности. В каждой системе сертификации используется свой набор нормативных документов, который можно разделить на следующие группы:

• законодательные акты;
• международные и национальные стандарты;
• межведомственные и внутриведомственные приказы, руководящие документы и временные положения;
• внутриведомственные методики и руководства.

Рассмотрим те группы документов, которые используются или в перспективе должны использоваться в отечественной практике проведения сертификационных испытаний.

Условно все множество международных стандартов, используемых при сертификации, можно разделить на три группы. Первая группа стандартов создается под руководством подкомитета ПК27 – ISO/IEC JTC/SC27 и ориентирована преимущественно на конкретные методы и алгоритмы защиты. В этой группе создаются методологические стандарты защиты информации и криптографии независимо от базовой модели взаимодействия открытых систем (ВОС). Делается попытка обобщения конкретных методов и средств защиты в систему организации и управления защитой информации.

Вторая группа стандартов создается под руководством подкомитета ПК22 – ISO/IEC JTC1/SC22 и посвящена развитию и детализации концепции взаимосвязи открытых систем (ВОС). Защита информации в этой группе рассматривается как одна из компонент, обеспечивающих возможность полной реализации концепции. Для этого определены услуги и механизмы защиты по уровням базовой модели ВОС и разрабатываются стандарты, последовательно детализирующие методические основы защиты информации и конкретные протоколы защиты на разных уровнях ВОС.

Третья группа стандартов направлена на защиту функционирования банковских систем. Она создается под руководством технического комитета – ISO/TC 68 – Банковское дело и соответствующие финансовые операции. Стандарты ориентированы, в основном, на шифрование и аутентификацию при обмене финансовой информацией в процессе деятельности банков. С точки зрения критерия и методики сертификации, интерес представляет лишь первая группа стандартов, начало которой положил стандарт министерства обороны США – DOD 5200.28 – STD (Оранжевая книга). Оранжевая книга посвящена защите грифованных данных, составляющих государственную тайну, которые обрабатываются в многопользовательских АС.

Она определяет два подхода к оценке безопасности, связанных со следующими условиями:

• оценкой, проведенной в отсутствии влияния окружающей среды;
• оценкой, выполненной на функционирующей компьютерной системе в реальной среде (или в моделируемой).

Оранжевая книга определяет четыре уровня безопасности, которые делятся на классы:

• уровень А означает гарантированную защиту. Он предназначен только для некоторых военных систем;
• уровень В означает полное управление доступом (MAC – Mandatory Access Control);
• уровень C означает избирательное управление доступом (DAC – Discretionary Access Control). DAC позволяет пользователям предоставлять другим пользователям доступ к своим личным данным. Если оценивать коммерческие системы, то можно почти всех их отнести к уровню C.
• уровень D предлагает минимальную безопасность.

Национальный Институт Компьютерной Безопасности (National Computer Security Institute) США выпустил приложение к Оранжевой книге под названием Интерпретация для надежных СУБД (Trusted Database Management Systems Interpretation), которое расширяет и конкретизирует критерий оценки безопасности по отношению к СУБД. На практике необходимы подходы, позволяющие производить оценку безопасности или сертификацию системы по частям, и, на основе анализа отдельных частей, делать вывод о безопасности системы в целом. Механизмы безопасности, реализуемые СУБД, опираются на соответствующие механизмы безопасности ОС и расширяют их. Разработка ОС и СУБД обычно осуществляется различными производителями, поэтому и сертификация этих продуктов осуществляется по раздельности. В связи с этим, встает вопрос об оценке безопасности всей системы ОС + СУБД. Интерпретация критерия оценки безопасности для СУБД расширяет понятие надежной вычислительной базы (НВБ), путем введения понятия подмножества НВБ, формулирует условия разбиения НВБ на подмножества и определяет требования критерия оценки безопасности для каждого подмножества.

В результате интерпретации Оранжевой книги для нужд безопасности сетей появилась Красная книга. Фактически Красная книга – это две отдельные книги под названиями Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria (NCSC-TG-005) и Trusted Network Interpretation Enviroments Guideline: Guidance for Applying the Trusted Network Interpretation (NCSC-TG-0011). Эти книги были выпущены Национальным центром компьютерной безопасности Министерства обороны США (NCSC) в качестве инструкций для оценки сетей автоматизированных систем Министерства обороны. В руководстве рассматриваются два вопроса – определение метрик для классификации сетей в соответствии с уровнем обеспечиваемой ими защиты и определение минимального уровня защиты, требуемой в различных средах.

В целом американская “радужная серия” насчитывает десятки книг с разноцветными обложками, послужившими основой для разработки соответствующих государственных и международных стандартов в области защиты информации.

Зеленая книга (Green Book) Агентства информационной безопасности Германии является ответом на американскую Оранжевую книгу. В сентябре 1990 г. этот документ был предложен в качестве основы для всеевропейской Белой книги, определяющей стандарты по обеспечению безопасности информации. В отличие от Оранжевой книги, в которой основной упор сделан на вопросы конфиденциальности, Зеленая книга рассматривает в комплексе требования к доступности, целостности и конфиденциальности данных. Ее требования предназначены не только для использования в военном деле, но и в частном секторе. Она также затрагивает вопросы передачи секретной информации по открытым каналам.

Белая книга (White Book): ITSEC – Information Technology Security Evaluation Criteria – это европейский стандарт, который определяет критерии, требования и процедуры для создания систем повышенной безопасности.

Стандарт имеет две различные схемы оценки: по эффективности (E1-E6, E6 – для наиболее защищенных систем) и по функциональности (F-IN, F-AV, F-DI, F-DC, F-DX). Оценка по функциональности описывает доступность, целостность системы, целостность данных, их конфиденциальность и передачу данных.

Отечественными аналогами перечисленных стандартов являются Руководящие документы Гостехкомиссии РФ “АС. Защита от НСД к информации. Классификация АС и требования по защите информации” и “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”.

Среди направлений международной стандартизации можно выделить ряд наиболее важных для обеспечения защищенности информационных технологий. Рабочая группа – ISO/ITC JTC1/SC27/WG3 – Критерии оценки безопасности – разрабатывает в этой области следующие направления:

• критерии оценки защищенности информационных технологий;
• методические документы по применению критериев защищенности;
• административные процедуры, необходимые для реализации соответствующих систем испытаний и сертификации методов и средств защиты информации.

По этим направлениям созданы проекты стандартов:

• JTC1.27.13 – Служебные информационные объекты защиты;
• JTC1.27.14 – Руководство по управлению и административным мерам защиты информации. Часть 1: Концепция и модели защиты информации. Часть 2: Управление и планирование защиты информации. Часть 3: Методы административного управления защитой информации;
• JTC1.27.15 – Сбор и анализ требований к критериям оценки безопасности ИТ;
• JTC1.27.16 – Критерии оценки безопасности информационных технологий. Часть 1: Общая модель. Часть 2: Функциональность защиты в продуктах, системах и компонентах информационных технологий. Часть 3: Удостоверение защищенности продуктов, систем и компонент информационных технологий;
• JTC1.27.17 – Механизмы защиты на базе методов с нулевым знанием;
• JTC1.27.18 – Управление ключами.

В существующих стандартах пока намечены только первые шаги по формализации аттестации и сертификации качества защиты в АС. Необходимо расширение номенклатуры и углубление содержания стандартов по следующим направлениям: разграничение доступа, контроль и регистрация использования ресурсов, аутентификация, цифровые подписи, тестирование, испытания и сертификация качества средств защиты.

Обзор основных руководящих документов ФСТЭК России (в прошлом – Гостехкомиссии при Президенте РФ)

Государственная Техническая Комиссия при Президенте Российской Федерации (ее функции по защите информации перешли к ФСТЭК России) является основным государственным органом в России, курирующем вопросы защиты информации от НСД. Руководящие документы, Положения и Постановления Гостехкомиссии России формируют большую часть отечественной нормативной базы в области защиты информации.

Наиболее полную информацию о деятельности ФСТЭК России, включая тексты документов, можно найти на их официальном сайте по адресу: http://www.fstec.ru

Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, также выражены в РД Гостехкомиссии РФ “АС. Защита от НСД к информации. Классификация АС и требования по защите информации.” и “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”.

РД “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации” устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

• первая группа содержит только один седьмой класс;
• вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
• третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
• четвертая группа характеризуется верифицированной защитой содержит только первый класс.

РД “АС. Защита от НСД к информации. Классификация АС и требования по защите информации” устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

• наличие в АС информации различного уровня конфиденциальности;
• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
• режим обработки данных в АС – коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

При анализе системы защиты внешнего периметра корпоративной сети, в качестве основных критериев используется РД “”СВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации”. Данный документ определяет показатели защищенности МЭ. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

1. Управление доступом
2. Идентификация и аутентификация
3. Регистрация событий и оповещение
4. Контроль целостности
5. Восстановление работоспособности

На основании показателей защищенности определяется следующие пять классов защищенности МЭ:

1. Простейшие фильтрующие маршрутизаторы – 5 класс
2. Пакетные фильтры сетевого уровня – 4 класс
3. Простейшие МЭ прикладного уровня – 3 класс
4. МЭ базового уровня – 2 класс
5. Продвинутые МЭ – 1 класс

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию “Особой важности”. Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки “совершенно секретной” информации и т. п.

В настоящее время описанные РД уже устарели и содержащаяся в них классификация АС, СВТ и МЭ не может признаваться состоятельной. Достаточно заметить, что классификация АС и СВТ, разрабатывалась без учета распределенной (сетевой) природы современных АС, а все современные коммерческие МЭ по своим возможностям существенно превосходят требования 1-го класса защищенности (за исключением требования по использованию сертифицированных криптографических алгоритмов).

Развитием нормативной базы в этом направлении является разработка “Профилей защиты” для различных классов СВТ, АС и МЭ на базе “Общих критериев”. В настоящее время создано уже значительное количество англоязычных профилей защиты. Значительные усилия в этом направлении предпринимаются и в России под эгидой Гостехкомиссии России.

Проект РД Гостехкомиссии России “Специальные требования и рекомендации по защите конфиденциальной информации” (СТР-К), официально еще не принятый, содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой информации, информации, обрабатываемой средствами вычислительной техники, а также по защите информации при подключении к сетям общего пользования.

В документе рассматриваются в том числе следующие вопросы:

• Защита информации на рабочих местах на базе автономных ПЭВМ;
• Защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ;
• Защита информации в локальных вычислительных сетях;
• Защита информации при межсетевом взаимодействии;
• Защита информации при работе с системами управления базами данных.

СТР-К может использоваться при проведении аудита безопасности АС для оценки полноты и правильности реализации организационных мер защиты информации в АС.

Аттестации АС и сертификация СВТ по требованиям безопасности информации, аудит и обследование безопасности, в отдельных случаях, предполагают использование помимо перечисленных, и других документов Гостехкомиссии России.