Принимая во внимание важность вопросов создания и развития нормативной базы в области информационной безопасности, необходимо проведение комплекса работ, направленных на развитие стандартизации и сертификации в области информационной безопасности.
Стандарты, определяющие требования по информационной безопасности и являющиеся основой нормативно-правовой базы, важны для всех субъектов отношений в этой области, в первую очередь для тех организаций и предприятий, которые заинтересованы в защите своих информационных ресурсов. Руководству и службам безопасности предприятий следует четко представлять себе, каким требованиям, в зависимости от условий функционирования, должны соответствовать их информационные системы. Разработчики информационных технологий и информационных систем должны руководствоваться стандартами для обеспечения безопасности своих разработок.
Иными словами, задача стандартов в области информационной безопасности - это создание основы для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из перечисленных групп имеет свои интересы и свои взгляды на проблему информационной безопасности.
Учитывая процессы глобализации телекоммуникаций и интеграции Республики Узбекистан в международное информационное сообщество, можно отметить, что назрела необходимость ускорения работ в области гармонизации отечественной нормативной базы в области информационной безопасности с международными стандартами.
Одним из способов гармонизации нормативной базы в области информационной безопасности является разработка механизмов, позволяющих прямое применение международных стандартов ИСО/МЭК (так называемых "базовых стандартов") и внедрение методов функциональной стандартизации (разработка стандартизованных профилей защиты).
На международном уровне разработкой стандартов в области защиты информации занимается Совместный технический комитет СТК 1 ИСО/МЭК "Информационные технологии". На региональном уровне - Европейский институт стандартов телекоммуникаций (ETSI), европейские организации по стандартизации - Европейский комитет по стандартизации в области электротехники (СЕНЕЛЕК), Европейский комитет по стандартизации (СЕН) и другие, на национальном уровне - институт инженеров электротехники и радиоэлектроники (IEEE), Американский национальный институт по стандартизации и технологиям (НИСТ), Британский институт стандартов (BSI) и другие.
Проблема обеспечения безопасности информационных технологий занимает все более значительное место в реализации компьютерных систем и сетей по мере того, как возрастает их роль в информатизации общества. Обеспечение безопасности информационных технологий представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения информационных технологий, совершенствования методов и средств их разработки, развития системы сертификации, обеспечения соответствующих организационно-технических условий эксплуатации.
Наиболее значимыми стандартами информационной безопасности являются (в хронологическом порядке):
- «Критерии безопасности компьютерных систем министерства обороны США»;
- руководящие документы Гостехкомиссии России;
- «Европейские критерии безопасности информационных технологий»;
- «Федеральные критерии безопасности информационных технологий США»;
- «Канадские критерии безопасности компьютерных систем»;
«Общие критерии оценки безопасности информационных технологий»;
«Общая методология оценки безопасности информационных технологий»;
Перечисленные нормативные документы, и особенно последние два, вносят существенный вклад в формирование единой международной научно-методологической базы.
Стандарт ИСО/МЭК 15408 «Общие критерии оценки безопасности информационных технологий» прошел достаточно долгий эволюционный путь развития. При его разработке учитывались положения международных стандартов в области защиты информации, например ИСО-7498-2, и ряда других документов. Общие критерии могут и должны применяться на единой методологической основе. Поэтому вполне естественно, что сразу же после появления версии ИСО/МЭК 15408 начались работы по разработке нормативного документа, определяющего общую методологию оценки безопасности информационных технологий ISO/IEC 17799. В нем, наиболее полно представлены критерии для оценки механизмов безопасности организационного уровня.
Данный стандарт, являющийся международной версией британского стандарта BS 7799, содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.
Область эффективного применения Общих критериев связана в основном с оценкой безопасности продуктов ИТ и не охватывает ряд аспектов (оценка рисков, управление персоналом, физическая защита, эксплуатационные требования и другие организационные аспекты), необходимых при оценке безопасности АС, а том числе АС связи и телекоммуникации. Основываясь на выше изложенном, был разработан новый стандарт ISO/IECISO/IEC 15408 теми аспектами, которые позволяют повысить эффективность оценки автоматизированных систем. 19791, который дополняет стандарт
Существует очень большое количество международных стандартов в области информационной безопасности, но основополагающими, на которые ориентированы все страны мирового сообщества при формировании своей нормативной базы являются Общие критерии.
Для обеспечения доверия к надежности оценок информационных продуктов, технологий и профилей защиты ведущими в области информационных технологий странами мира, было заключено и действует международное "Соглашение о признании сертификатов соответствия «Общим критериям» (в области безопасности ИТ)” (далее - Соглашение). Данное Соглашение устанавливает, что оценка по Общим критериям, проведенная в одной стране, будет официально признана во всех странах, подписавших данное Соглашение.
Учитывая актуальность интеграционных процессов в области международной стандартизации и подтверждения соответствия, представляется важным проведение работ по анализу перспектив участия Узбекистана в данном Соглашении.
Вхождение Узбекистана в мировое информационное пространство предполагает признание выработанных мировым сообществом критериев оценки безопасности информационных технологий.
Присоединение Узбекистана к международному Соглашению о взаимном признании оценок по «Общим критериям», позволит:
- оказывать влияние на развитие методологии «Общих критериев» посредством участия в соответствующих рабочих группах;
- получить доступ на международный рынок сертифицированной продукции продуктам и системам отечественного производства;
- поддержать отечественных специалистов, работающих в области информационной безопасности при проведении ими сертификации продуктов и систем по требованиям «Общих критериев» зарубежных фирм-изготовителей, а также создать новые рабочие места в этой области;
- получить доступ к современным зарубежным ИТ и технологиям разработки программных продуктов, материалам сертификационных испытаний, проведенных зарубежными испытательными центрами;
- при допуске на отечественный рынок зарубежных поставщиков продуктов и систем ИТ гарантировать качество поставляемой продукции с позиции информационной безопасности;
- сэкономить средства на сертификацию продуктов и систем ИТ благодаря признанию в рамках «Общих критериев» зарубежных сертификатов для невысоких классов уверенности в безопасности.
Необходимо рассмотреть вопрос о возможности ввода в действие в Республике Узбекистан Международного стандарта «Общие критерии», как основы для совершенствования нормативно-методической базы оценки безопасности ИТ.
Интеграция национальных информационных инфраструктур в глобальную информационную инфраструктуру, с целью создания единого информационного пространства, невозможна без сертификации безопасности этих систем на глобальном уровне. С этой точки зрения принятие стандарта «Общие критерии» поднимут стандартизацию требований информационной безопасности информационных технологий Республики Узбекистан на международный уровень.
Средства информационно-коммуникационных технологий зарубежного производства, в программном обеспечении и аппаратных средствах могут иметь ряд скрытых, случайных ошибок или преднамеренно внесенных закладных элементов которые способны при эксплуатации привести либо к искажению и потере информации, либо к нарушению нормального функционирования инфокоммуникационных систем и комплексов, вплоть до блокирования их работы.
Поэтому, разработка отечественных уникальных систем оценки безопасности в рамках Общих критериев и методологии позволит не только оценить собственные продукты и системы, но активно участвовать в сертификации изделий, продуктов и систем зарубежного производства, тем самым, создав условия, защиты рынка страны от низкопробной продукции.
Как показывает международный опыт, важнейшими составляющими системы обеспечения информационной безопасности, отсутствие которых сдерживает создание и развитие защищенных инфокоммуникационных сетей и систем, являются:
законодательные акты в области информационной безопасности;
система международных и национальных стандартов, а также руководящих нормативно-технических и методических документов по информационной безопасности, включающих требования, показатели и критерии оценки безопасности ИКТ;
сертификация средств ИКТ по требованиям безопасности информации;
аттестация инфокоммуникационных сетей и систем по требованиям безопасности информации.
Процесс гармонизации отечественных и международных стандартов в области информационной безопасности, это значительный шаг Республики Узбекистан для интеграции в мировое информационное сообщество.
Разработка и внедрение отечественных нормативных документов, гармонизированных с международными стандартами, позволит создать нормативную базу в области информационной безопасности, которая будет направлена на обеспечение:
выхода на современный уровень создания базы критериев оценки безопасности информационных технологий;
ускорения разработки функциональных стандартов для базовых видов информационных технологий на основе гармонизации с разработанными в мире профилями защиты;
аттестационного тестирования (испытания) и сертификации средств информационных технологий по единой методике оценки безопасности информационных технологий.
В заключение необходимо отметить, что результаты работ по гармонизации отечественных нормативных документов в области стандартизации с международными документами в области информационной безопасности призваны обеспечить в нормативном аспекте достижение современного уровня защищенности продукции информационных технологий и сокращения отставания уровня развития отечественной нормативной базы от современного международного уровня.