№ п/п | Номер документа | Описание |
ГОСТ Р ИСО 7498-2-99 | Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации | |
ГОСТ Р ИСО/МЭК 9594-8-98 | Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации | |
ГОСТ Р ИСО/МЭК 9594-9-95 | Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование | |
- | Руководящий документ Гостехкоммиссии "РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1997) | |
ГОСТ Р 50739-95 | "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" | |
ГОСТ 28147-89 | Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования | |
ГОСТ Р 34.10-94 | Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма | |
ГОСТ Р 34.11-94 | Информационная технология. Криптографическая защита информации. Функция хэширования |
Все имеющиеся на сегодняшний день стандарты являются разноуровневыми. Это значит, что их применение ограничено определенным уровнем абстракции в информационных системах (например, нельзя применять "Common Criteria" для детального описания механизма выработки сеансового ключа в протоколе TLS). Очевидно, что для эффективного применения стандартов необходимо хорошо знать об их уровне и назначении.
Так, при формировании политики безопасности и системы оценок эффективности, а также при проведении комплексных испытаний защищенности лучше всего использовать положения ISO 15408 ("Common Criteria"). Для реализации и оценки технического совершенства систем шифрования и электронно-цифровой подписи предназначены соответствующие ГОСТы. Если нужно защитить канал обмена произвольной информацией, то целесообразно использовать протокол TLS. Когда же речь идет не просто о защите линии связи, а о безопасности финансовых транзакций, в дело вступает SET, включающий в себя протоколы защиты каналов в качестве одного из стандартов более низкого уровня.
Применение стандартов дает уверенность в том, что подсистема информационной безопасности реализуема и достаточна для соответствия сформулированным требованиям. В то же время практика внедрения средств защиты позволяет выделить специфичные для данной системы вопросы, обратить внимание на критичные моменты как с точки зрения организации подсистемы информационной безопасности, так и с точки зрения ее последующей эксплуатации. Наконец, практика разработки собственных средств защиты дает возможность более четко представлять, почему применяемые решения (даже если это решения сторонних фирм) построены именно таким образом, позволяет выделить наиболее и наименее надежные конструктивные особенности применяемых решений.
Руководящие документы Гостехкомиссии РФ |
F «Концепция защиты СВТ и АС от НСД к информации». 1992 F «Защита от НСД к информации. Термины и определения». 1992 F «Средства ВТ. Защита от НСД к информации. Показатели надежности от НСД к информации». 1992 F «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации». 1992 F «Средства ВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НДС к информации». 1992 F Руководящий документ. «Защита от НСД к информации». Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». 1999 F Специальные технические требования и рекомендации по технической защите конфиденциальной информации (СТР-К, проект). 2002 F Положение по аттестации объектов информатизации по требованиям безопасности информации. 1994 |
Нормативы и стандарты |
Наличие стандартов служит наиболее важным свидетельством зрелости подхода к обеспечению информационной безопасности. Существует целый ряд отечественных и международных стандартов, которые делятся на нормативные (требования к средствам защиты информации), функциональные (основные действия по защите информации) и технологические (отдельные технологические протоколы и форматы работы механизмов безопасности). В последние годы по инициативе Гостехкомиссии проводится большая работа по гармонизации отечественной и международной нормативной базы. В рамках этой работы выполнена адаптация стандарта ISO 15408 и предложен отечественный стандарт ГОСТ Р ИСО/МЭК 15408-х-2002. Стандарт ГОСТ/ ИСО 15408 служит для унификации описания требований и решений в отношении средств защиты информации. Необходимо отметить его продуманное сопряжение с существующей нормативной базой, возможностью конкретизации старых требований в новых терминах. Примером функционального стандарта может служить стандарт ГОСТ Р 51583-2000, описывающий этапность построения защищенных информационных систем. Важным функциональным стандартом является документ СТР-К. F ГОСТ Р 50922-96. Защита информации. Основные термины и определения. F ГОСТ Р 50739-95. Средства ВТ. Защита от НСД к информации. Общие технические требования. F ГОСТ Р 51275-99. Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения. F ГОСТ Р 51583-2000. Защита информации. Порядок создания систем в защищенном исполнении. F ГОСТ Р ИСО/МЭК 15408-х-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». F ISO 15408. Information technology. Security technigues. Evaluation criteria for IT security. |