国際規格

• BS 7799-1:2005 - 英国規格 BS 7799 の最初の部分。 BS 7799 パート 1 - 情報セキュリティ管理の実践規範では、構築に必要な 127 のコントロールについて説明しています 情報セキュリティ管理体制(ISMS) は、この分野における世界的な経験の最良の例 (ベスト プラクティス) に基づいて決定されます。 この文書は、ISMS を作成するための実践的なガイドとして機能します。
• BS 7799-2:2005 - 英国規格 BS 7799 は規格の第 2 部です。 BS 7799 パート 2 - 情報セキュリティ管理 - 情報セキュリティ管理システムの仕様では、ISMS 仕様が規定されています。 標準の 2 番目の部分は、組織の ISMS の公式認証手順の基準として使用されます。
• BS 7799-3:2006 - 英国規格 BS 7799 規格の第 3 部。 情報セキュリティリスク管理の新しい標準
• ISO/IEC 17799:2005 - 「情報技術 - セキュリティ技術 - 情報セキュリティ管理実践」。 BS 7799-1:2005 に基づく国際規格。
• ISO/IEC 27000 - 語彙と定義。
• ISO/IEC 27001 - 「情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件」。 BS 7799-2:2005 に基づく国際規格。
• ISO/IEC 27002 - 現在: ISO/IEC 17799:2005。 「情報技術－セキュリティ技術－情報セキュリティ管理実務規定」 発売日：2007年。
• ISO/IEC 27005 - 現在: BS 7799-3:2006 - 情報セキュリティ リスク管理に関するガイダンス。
• ドイツ情報セキュリティ庁。 IT ベースライン保護マニュアル - 標準的なセキュリティ保護手段。

ロシア連邦の州（国家）基準

• GOST R 50922-2006 - 情報保護。 基本的な用語と定義。
• R 50.1.053-2005 - 情報技術。 技術情報セキュリティの分野における基本的な用語と定義。
• GOST R 51188-98 - 情報保護。 コンピュータウイルスのテストソフトウェア。 模型の説明書。
• GOST R 51275-2006 - 情報保護。 情報オブジェクト。 情報に影響を与える要因。 一般規定。
• GOST R ISO/IEC 15408-1-2012 - 情報技術。 セキュリティを確保する方法と手段。 情報技術のセキュリティを評価するための基準。 パート 1. 概要と一般的なモデル。
• GOST R ISO/IEC 15408-2-2013 - 情報技術。 セキュリティを確保する方法と手段。 情報技術のセキュリティを評価するための基準。 パート 2. 機能安全要件。
• GOST R ISO/IEC 15408-3-2013 - 情報技術。 セキュリティを確保する方法と手段。 情報技術のセキュリティを評価するための基準。 パート 3. セキュリティ保証要件。
• GOST R ISO/IEC 15408 - 「情報技術のセキュリティを評価するための一般基準」 - 情報製品およびシステムのセキュリティを評価するためのツールと方法を定義する規格。 これには、独立した安全性評価の結果と比較できる要件のリストが含まれており、消費者が製品の安全性について決定できるようになります。 「一般基準」の適用範囲は、不正アクセス、改ざん、漏洩等からの情報の保護、その他ハードウェア及びソフトウェアによる保護手段となります。
• GOST R ISO/IEC 17799 - 「情報技術。 情報セキュリティ管理の実践ルール。」 ISO/IEC 17799:2005 を追加した国際規格の直接適用。
• GOST R ISO/IEC 27001 - 「情報技術。 セキュリティ方法。 情報セキュリティマネジメントシステム。 要件"。 国際規格を直接適用するのは ISO/IEC 27001:2005 です。
• GOST R 51898-2002: 安全面。 規格に含めるためのルール。

効果的な保護システムを作成するために、多くの規格が開発されています。 情報セキュリティ標準の主なタスクは、情報技術製品の認定において、製造業者、消費者、専門家の間で相互作用するための基礎を作成することです。 多くの政府機関や民間企業は、特定の要件を満たすシステムのみを購入します。 最も重要な情報セキュリティ基準: 米国国防総省コンピュータ システム セキュリティ基準、 米国TCSEC (米国のトラステッド コンピュータ システムの評価基準、「オレンジブック」。 欧州規格 欧州 ITSEC (情報技術セキュリティ評価基準)).

英国規格協会 ( BSI）商業団体の参加を得て： シェル、ナショナル ウェストミンスター銀行、ミッドランド銀行、ユニリーバ、ブリティッシュ テレコミュニケーションズ、マークス & スペンサー、ロジカなどの企業が情報セキュリティ標準を開発しました。 この規格は 1998 年に承認され、「 BS7799企業の活動分野に関係なく、組織の情報セキュリティを管理します。」 セキュリティ サービス、情報部門、および会社の経営陣は、採用された規制に従って機能する必要があります。 英国規格 BS7799英国連邦、スウェーデン、オランダを含む 27 か国でサポートされています。 2000 年末に、国際標準協会は ISOイギリスをベースにした BS7799国際安全管理規格を開発・発表 ISO/IEC 17799.

国際標準化機構の枠組み内で力を合わせる国家グループ ( ISO)、新しい安全基準を開発しました ISO15408、テクノロジーの複雑さのレベルの増加と国際標準化のニーズの高まりを反映するように設計されています。 その創設に参加しているのは、米国国立標準技術研究所および国家安全保障局（米国）、通信セキュリティ機関（カナダ）、情報セキュリティ局（ドイツ）、国家通信セキュリティ局（オランダ）、および国家安全保障局（オランダ）です。 Information Technology Security and Certification Program (イギリス)、Systems Security Center (フランス)。 この規格が完成すると、ISO 15408 という番号が付けられました。

この規格は古い評価方法に取って代わりました。 スタンダードとして知られるようになりました 情報技術セキュリティ評価の共通基準 (CCITSE– 情報技術のセキュリティを評価するための一般的な基準）であり、1999 年に国際的な基準として承認されました。 批准した国 共通基準、この規格の使用により、データ保護技術を使用する製品の信頼性の向上が期待されます。 これは、IT 消費者がソフトウェアを選択する際に適切にナビゲートできるようになり、情報製品のセキュリティに対するユーザーの信頼を高めるのに役立ちます。

要件に応じて 共通基準特定のクラスの製品 (オペレーティング システムなど) は、機能および信頼性に関する多数の基準「セキュリティ プロファイル」 ( 保護プロファイル）。 オペレーティング システム、ファイアウォール、スマート カード、および特定のセキュリティ要件を満たす必要があるその他の製品のセキュリティ プロファイルにはさまざまな定義があります。 たとえば、アクセス制御を備えたシステムのセキュリティ プロファイル ( アクセス制御保護プロファイル)オペレーティング システムに適用され、古い C2 保護レベルを置き換える必要があります。 標準 共通基準また、多数のコンプライアンスの保証レベルも確立します 評価保証レベル (EAL)、製品の評価に使用されます。

より高いレベルの認証 EALこれは、製品のセキュリティ システムが正しく効果的に機能しているという高い信頼性を意味します。 レベルのセキュリティプロファイル EAL1-EAL4標準をサポートするすべての国に共通です 共通基準。 より高いレベルに向けて EAL5-EAL7保護プロファイルは、国家機密の保護に関する各国の特性を考慮して、各国によって個別に開発されます。 それが理由です EAL4もともとコンプライアンスを考慮して設計されていない製品が達成できる最高レベル EAL5-EAL7.

製品が規格に準拠していることの認定 共通基準非常に厳格で時間のかかる検証手順を通過した後にのみ発生します。

この基準は品質を保証するものであり、ユーザーは情報製品の購入を決定する際、あらゆる基準を考慮した厳格な独立したテストの結果に基づいて情報製品を評価できます。 それで標準は 共通基準これにより、製品品質の要件が強化され、製品が信頼できる保護を備えていると主張できるようになります。 規格の利点 共通基準:

この標準は、ユーザーが情報製品のセキュリティを客観的に評価するのに役立ちます。

ユーザーは、明確かつ普遍的な基準を適用して自分のニーズを評価し、必要な保護レベルを選択できます。

ユーザーは、特定の製品がセキュリティ要件を満たしているかどうかを判断することが容易になります。

評価は独立した試験機関によって実施されるため、ユーザーは規格への準拠の認証中に行われた評価を信頼できます。 政府機関や大企業は、購入を決定する際にこの基準をますます重視しています。

なぜなら 共通基準は国際標準であるため、この標準で認証された製品を使用する組織は、各国の組織の関連会社に適用されるセキュリティ要件を満たすことになります。

標準 共通基準 ISO 15408ロシアの国家規格でもあります。 2004 年 1 月 1 日、次の州基準が施行されました。

GOST R ISO/IEC 15408-1-2002 安全性を確保する方法と手段。 情報技術のセキュリティを評価するための基準。 パート 1. 概要と一般モデル。

GOST R ISO/IEC 15408-2-2002 安全性を確保する方法と手段。 情報技術のセキュリティを評価するための基準。 パート 2. 機能安全要件。

GOST R ISO/IEC 15408-3-2002 安全性を確保する方法と手段。 情報技術のセキュリティを評価するための基準。 パート 3. セキュリティ保証要件。

この規格の主な利点は、情報セキュリティ要件の完全性、適用の柔軟性、科学技術の最新の成果を考慮したその後の開発に対するオープン性です。 新しい規格の採用と規格証明書の国際相互承認 共通基準許可する：

ユーザーは製品認証にかかるコストを削減できます。

認証機関には、海外からの認証の追加注文が集まります。

ロシアのハイテク製品の製造業者はロシアで国際証明書を受け取ります。

我が国に存在するさまざまな情報技術セキュリティ標準の中で、オープン システムの相互接続の保護を規制する多数の文書を取り上げる価値があります。 コンピュータ機器および自動化システムのセキュリティを評価するためのツール、システム、基準に関する規制文書。 主に国家機密の保護に焦点を当てた文書 (表 6.1.)

表6.1。

情報技術セキュリティの評価を規制する規制文書

ソフトウェア製品のセキュリティは、広範なテストを経て適切に作成されたコードから始まります。 次に、テクノロジーを使用して、セキュリティ システムで見つかった脆弱性を検索、修正、排除します。 最終段階では、一般に認められている規格に準拠しているかどうかがチェックされます。

例。 2002 年 10 月に Microsoft Corporation がプラットフォームを提供 マイクロソフト Windows 2000規格の条項で定義されている、認定されたオペレーティング システムの中で最も広範な実際のアプリケーション シナリオに対する「一般基準」に従って国際証明書を取得しました。 共通基準。 2004 年 2 月 12 日、ロシア連邦オペレーティング システム大統領直下の国家技術委員会の代表者 Microsoft Windows XP (Service Pack 1a)ロシアの情報セキュリティ要件への準拠が認定されました。

このセクションでは、情報セキュリティ GOST R の分野におけるロシア連邦の国家標準の一般情報とテキストを提供します。

近年開発され、開発が計画されている最新の GOST の現在のリスト。 情報セキュリティ要件 No. ROSS RU.0001.01BI00 (ロシアの FSTEC) に準拠した情報セキュリティ ツールの認証システム。 ロシア連邦の国家基準。 データ保護。 安全な実行における自動システムの作成手順。 一般規定。 モスクワ ロシア連邦の国家基準。 コンピューター設備。 情報への不正アクセスからの保護。 一般的な技術要件。 導入日 1996-01-01 ロシア連邦の国家規格。 データ保護。 基本的な用語と定義。 情報の保護。 基本的な用語と定義。 導入日 2008-02-01 ロシア連邦の国家基準。 データ保護。 基準体系。 基本規定（情報の安全性、基準体系、基本原則） ロシア連邦の国家基準。 データ保護。 コンピューター ウイルスの存在についてのソフトウェアのテスト。 モデルマニュアル（情報セキュリティ。コンピュータウイルスの有無に関するソフトウェアテスト。サンプルマニュアル）。 情報技術。 秘密のチャネルを使用して実装される情報セキュリティの脅威から情報テクノロジーと自動システムを保護します。 パート 1. 一般規定 情報技術。 秘密のチャネルを使用して実装される情報セキュリティの脅威から情報テクノロジーと自動システムを保護します。 パート 2. 秘密チャネルを使用した攻撃から情報、情報技術、および自動システムを保護するための推奨事項 情報技術。 セキュリティを確保する方法と手段。 セキュリティ プロファイルとセキュリティ タスクの開発に関するガイダンス 自動識別。 生体認証。 生体認証のパフォーマンス テストとテスト レポート。 パート 3. さまざまな生体認証モダリティの検査の特徴 情報技術。 セキュリティを確保する方法と手段。 情報技術セキュリティを評価するための方法論 GOST R ISO/IEC 15408-1-2008 情報技術。 セキュリティを確保する方法と手段。 情報技術のセキュリティを評価するための基準。 第 1 部 概要と一般モデル (情報技術、セキュリティ技術、IT セキュリティの評価基準。第 1 部、概要と一般モデル) GOST R ISO/IEC 15408-2-2008 - 情報技術。 セキュリティを確保する方法と手段。 情報技術のセキュリティを評価するための基準。 第2部 機能セキュリティ要件（情報技術、セキュリティ技術、ITセキュリティの評価基準、第2部 セキュリティ機能要件） GOST R ISO/IEC 15408-3-2008 情報技術。 セキュリティを確保する方法と手段。 情報技術のセキュリティを評価するための基準。 第3部 セキュリティ保証要件（情報技術、セキュリティ技術、ITセキュリティの評価基準。第3部 セキュリティ保証要件） GOST R 53109-2008 公衆通信ネットワークの情報セキュリティを確保するためのシステム。 情報セキュリティ通信機構パスポート。 公衆通信網提供システムの情報セキュリティ。 情報セキュリティの組織コミュニケーションのパスポート。 発効日: 2009 年 9 月 30 日。 GOST R 53114-2008 情報保護。 組織内の情報セキュリティを確保します。 基本的な用語と定義。 情報の保護。 組織における情報セキュリティの確保。 基本的な用語と定義。 発効日: 2009 年 9 月 30 日。 GOST R 53112-2008 情報保護。 スプリアス電磁放射および干渉のパラメータを測定するための複合体。 技術的要件とテスト方法。 情報保護。 側方電磁放射およびピックアップパラメータを測定するための設備。 技術的要件とテスト方法。 発効日: 2009 年 9 月 30 日。 GOST R 53115-2008 情報保護。 不正アクセスに対するセキュリティ要件に準拠するための情報処理の技術的手段のテスト。 方法と手段。 情報保護。 技術情報処理施設の不正アクセス保護要件への適合性テスト。 方法とテクニック。 発効日: 2009 年 9 月 30 日。 GOST R 53113.2-2009 情報技術。 秘密チャネルを使用して実装される情報セキュリティの脅威から情報テクノロジーと自動システムを保護します。 パート 2. 秘密チャネルを使用した攻撃から情報、情報技術、および自動システムを保護するための推奨事項。 情報技術。 秘密チャネルの使用によってもたらされるセキュリティ脅威から情報テクノロジーと自動システムを保護します。 パート 2. 情報、情報技術、および自動化システムを秘密チャネル攻撃から保護するための推奨事項。 発効日: 2009 年 12 月 1 日。 GOST R ISO/IEC TO 19791-2008 情報技術。 セキュリティを確保する方法と手段。 自動化システムのセキュリティ評価。 情報技術。 セキュリティ技術。 運用システムのセキュリティ評価。 発効日: 2009 年 9 月 30 日。 GOST R 53131-2008 情報保護。 情報通信技術のセキュリティ機能とメカニズムの災害復旧サービスに関する推奨事項。 一般規定。 情報保護。 情報通信技術のセキュリティ機能およびメカニズムの復旧サービスに関するガイドライン。 一般的な。 発効日: 2009 年 9 月 30 日。 GOST R 54581-2011 情報技術。 セキュリティを確保する方法と手段。 IT セキュリティの信頼の基礎。 パート 1: 概要と基本。 情報技術。 セキュリティ技術。 IT セキュリティ保証のフレームワーク。 パート 1. 概要と枠組み。 発効日: 2012 年 7 月 1 日。 GOST R ISO/IEC 27033-1-2011 情報技術。 セキュリティを確保する方法と手段。 ネットワークセキュリティー。 パート 1: 概要と概念。 情報技術。 セキュリティ技術。 ネットワークセキュリティー。 パート 1. 概要と概念。 発効日: 2012 年 1 月 1 日。 GOST R ISO/IEC 27006-2008 情報技術。 セキュリティを確保する方法と手段。 情報セキュリティマネジメントシステムの監査と認証を実施する機関の要件。 情報技術。 セキュリティ技術。 情報セキュリティ管理システムの監査と認証を提供する機関の要件。 発効日: 2009 年 9 月 30 日。 GOST R ISO/IEC 27004-2011 情報技術。 セキュリティを確保する方法と手段。 情報セキュリティ管理。 測定。 情報技術。 セキュリティ技術。 情報セキュリティ管理。 測定。 発効日: 2012 年 1 月 1 日。 GOST R ISO/IEC 27005-2010 情報技術。 セキュリティを確保する方法と手段。 情報セキュリティのリスク管理。 情報技術。 セキュリティ技術。 情報セキュリティのリスク管理。 発効日: 2011 年 12 月 1 日。 GOST R ISO/IEC 31010-2011 リスク管理。 リスク評価方法（リスク管理。リスク評価方法）。 発効日: 2012 年 12 月 1 日 GOST R ISO 31000-2010 リスク管理。 リスク管理の原則とガイドライン。 発効日: 2011 年 8 月 31 日 GOST 28147-89 情報処理システム。 暗号化保護。 暗号変換アルゴリズム。 発効日: 1990 年 6 月 30 日。 GOST R ISO/IEC 27013-2014 「情報技術。 セキュリティを確保する方法と手段。 ISO/IEC 27001 と ISO/IEC 20000-1 の併用に関するガイダンス - 2015 年 9 月 1 日発効。 GOST R ISO/IEC 27033-3-2014「ネットワーク セキュリティ。 パート 3. 参照ネットワーク シナリオ。 「脅威、設計手法、管理上の問題」 – 2015 年 11 月 1 日発効 GOST R ISO/IEC 27037-2014 「情報技術。 セキュリティを確保する方法と手段。 デジタル証拠の識別、収集、検索、および保持に関するガイドライン - 2015 年 11 月 1 日発効。 GOST R ISO/IEC 27002-2012 情報技術。 セキュリティを確保する方法と手段。 情報セキュリティ管理のための規範やルールを定めたもの。 情報技術。 セキュリティ技術。 情報セキュリティ管理の実践規範。 発効日: 2014 年 1 月 1 日。 OKS コード 35.040。 GOST R 56939-2016 情報保護。 安全なソフトウェア開発。 一般要件 (情報保護、安全なソフトウェア開発、一般要件)。 発効日: 2017 年 6 月 1 日。 GOST R 51583-2014 情報保護。 安全な設計で自動化システムを作成する手順。 一般規定。 情報保護。 保護された運用システム形成のシーケンス。 一般的な。 2014/09/01 GOST R 7.0.97-2016 情報、図書館、出版に関する標準システム。 組織および管理に関する文書。 文書の準備に関する要件（情報、図書館、出版に関する基準体系。組織および管理上の文書。文書の提示に関する要件）。 発効日: 2017 年 7 月 1 日。 OKSコード01.140.20。 GOST R 57580.1-2017 金融 (銀行) 取引のセキュリティ。 金融機関の情報の保護。 組織的および技術的対策の基本構成 - 金融（銀行）業務のセキュリティ。 金融機関の情報保護。 組織的および技術的対策の基本セット。 GOST R ISO 22301-2014 事業継続マネジメントシステム。 一般要件 - 事業継続管理システム。 要件。 GOST R ISO 22313-2015 事業継続管理。 導入ガイド - 事業継続管理システム。 導入のためのガイダンス。 GOST R ISO/IEC 27031-2012 情報技術。 セキュリティを確保する方法と手段。 事業継続のための情報通信技術の準備に関するガイド - 情報技術。 セキュリティ技術。 事業継続のための情報通信技術の準備に関するガイドライン。 GOST R IEC 61508-1-2012 電気、電子、プログラム可能な電子安全関連システムの機能安全。 パート 1. 一般的な要件。 電気、電子、プログラム可能な電子安全関連システムの機能安全。 パート 1. 一般的な要件。 導入日は 2013 年 8 月 1 日です。 GOST R IEC 61508-2-2012 電気、電子、プログラム可能な電子安全関連システムの機能安全。 パート 2. システム要件。 電気、電子、プログラム可能な電子安全関連システムの機能安全。 パート 2. システムの要件。 導入日は 2013 年 8 月 1 日です。 GOST R IEC 61508-3-2012 電気、電子、プログラム可能な電子、安全関連システムの機能安全。 ソフトウェア要件。 IEC 61508-3:2010 電気/電子/プログラム可能な電子安全関連システムの機能安全 - パート 3: ソフトウェア要件 (IDT)。 GOST R IEC 61508-4-2012 電気、電子、プログラム可能な電子、安全関連システムの機能安全性パート 4 用語と定義。 電気、電子、プログラム可能な電子安全関連システムの機能安全。 パート 4. 用語と定義。 導入日は 2013 年 8 月 1 日です。 。 GOST R IEC 61508-6-2012 電気、電子、プログラム可能な電子安全関連システムの機能安全。 パート 6. GOST R IEC 61508-2 および GOST R IEC 61508-3 の使用に関するガイドライン。 IEC 61508-6:2010。 電気/電子/プログラム可能な電子安全関連システムの機能安全 - パート 6: IEC 61508-2 および IEC 61508-3 (IDT) の適用に関するガイドライン。 GOST R IEC 61508-7-2012 電気システムの機能安全、安全に関連する電気、電子、プログラム可能な電子システムの機能安全。 パート 7. 方法と手段。 電気電子プログラマブル電子安全関連システムの機能安全。 その7. テクニックと対策。 導入日は 2013 年 8 月 1 日です。 GOST R 53647.6-2012。 事業継続管理。 データ保護を確実にするための個人情報管理システムの要件

GOST R 53113.1-2008 情報技術 (IT)。 秘密のチャネルを使用して実装される情報セキュリティの脅威から情報テクノロジーと自動システムを保護します。 パート 1. 一般規定

GOST R 53113.1-2008

グループT00

ロシア連邦の国家基準

情報技術

秘密ルートを使用した情報セキュリティの脅威からの情報テクノロジーと自動化システムの保護

パート1

一般規定

情報技術。 秘密チャネルの使用によってもたらされるセキュリティ脅威から情報テクノロジーと自動システムを保護します。 パート 1. 一般原則

OKS 35.040

導入日 2009-10-01

序文

序文

1 合同会社「クリプトコム」が開発

2 連邦技術規制計量庁によって導入

3 2008 年 12 月 18 日付けの連邦技術規制計量庁の命令により承認および発効 N 531-st

4 初めて導入されました

5 再出版。 2018年10月


この規格の適用規則は次のように定められています。 2015 年 6 月 29 日の連邦法 N 162-FZ「ロシア連邦における標準化について」第 26 条。 この規格の変更に関する情報は、年次（今年の 1 月 1 日現在）の情報索引「国家規格」に掲載され、変更および修正の正式なテキストは毎月の情報索引「国家規格」に掲載されます。 この規格の改訂（置き換え）または廃止の場合は、月刊情報索引「国家規格」の次号にその旨を掲載します。 関連する情報、通知、テキストは、インターネット上の連邦技術規制計量庁の公式ウェブサイト (www.gost.ru) の公共情報システムにも掲載されます。

導入

分散型情報システムとテクノロジーの開発、実装、使用、設計文書なしで輸入されたソフトウェアとハ​​ードウェア プラットフォームの使用は、いわゆる隠れた情報チャネルの使用に関連したある種の情報セキュリティ (IS) 脅威の出現につながりました。 、従来の情報セキュリティ手段にとって「目に見えない」もの。

アクセス制御ツール、ファイアウォール、侵入検知システムなどの従来の情報セキュリティ ツールは、送信を目的としたチャネルを通過する情報フローのみを制御します。 この枠組みの外で秘密チャネル (CC) を介して情報を交換する可能性は考慮されていません。

より高い信頼レベルが必要なシステムでは、CS を使用した不正なアクションの可能性から生じるセキュリティ上の脅威を考慮する必要があります。

情報技術 (IT) および自動化システム (AS) および組織のその他の資産の IC の危険性は、情報フローの保護による制御の欠如に関連しており、情報漏洩、情報リソースの完全性の侵害、および情報フローの保護につながる可能性があります。コンピュータ システムのソフトウェアに影響を与えたり、IT の実装に他の障害を引き起こしたりする可能性があります。

自動化システムで処理される情報を確実に保護するには、従来の情報チャネルと隠れた情報チャネルの両方を含め、不正な行為が行われる可能性のあるすべての情報チャネルを特定し、無力化する必要があります。

この規格は、相互に関連する一連の規格の一部であり、「情報技術。秘密チャネルを使用して実装される情報セキュリティ脅威からの情報技術および自動化システムの保護」という共通名で統一されており、以下が含まれます。

- 一般規定;

- CS を使用した攻撃からの情報、IT、および AS の保護を組織化するための推奨事項。

一般規定では、セキュリティシステムを分析する際に解決すべき課題を定義し、セキュリティシステムの分類を記述し、セキュリティシステムを利用した攻撃の危険度に応じた資産の分類を規定します。

IT および AS システムのセキュリティの重要な側面は、セキュリティ システムに対する信頼です。 信頼性の確保は、ソフトウェアおよびハードウェア製品をセキュリティの観点から徹底的に分析または検査することによって実行されます。 多くの場合、実装のためのソース データ、つまりソース コード、設計およびテストのドキュメントが不足しているため、この分析は困難です。その結果、未知のソフトウェアおよびハードウェア システムを使用して、インターフェイスを通じて実装できる情報リソースが脅威にさらされます。ソフトウェア製品とハードウェア製品の相互作用を実現します。

情報セキュリティの信頼性の要件は GOST R ISO/IEC 15408-3 で確立されており、これに従って、EAL5 以降の推定信頼レベル (EAL) を持つシステムでは、IC の必須分析が提供されます。 設計、テスト文書、およびソース コードがない状態で外国メーカーのハードウェアおよびソフトウェア製品を使用する場合、意図的に含まれている、または偶然発生した悪意のあるコンポーネント (ソフトウェアの脆弱性など) が存在しないことを保証することはできません。 したがって、ロシア連邦における IC の分析要件は、EAL5 未満の EAL を備えたシステムを含め、貴重な情報を処理するシステム、または輸入されたハードウェアおよびソフトウェアを使用するシステムを安全に運用するために必要な条件です。

CS を使用した攻撃から情報、IT、および AS を保護するための推奨事項では、CS の探索と CS への対抗手順が定義されています。

この規格は、GOST R ISO/IEC 15408-3、GOST R ISO/IEC 27002（セキュリティシステムを利用して実施される情報セキュリティの脅威への対策に関する）を発展させて策定されました。

1使用エリア

この標準は、セキュリティ システムの分類を確立し、セキュリティ システムの分析中に解決されるタスクを定義します。セキュリティ システムは、システムを使用した攻撃から情報を保護するためのさらなる手順を決定するために必要な要素であり、また、 IT および AS 製品およびシステムのセキュリティ システムの分析を実施するための手順。その結果は、情報システムおよび IT 保護対策の信頼性を評価する際に使用されます。

この標準は、規制要件に従って保護の対象となる情報を処理、保存、または送信することを目的とした IT 製品およびシステムの開発、取得、使用に関する要件を策定する顧客、開発者、および IT ユーザーを対象としています。情報の所有者によって確立された文書または要件。 この規格は、IT および AS セキュリティのセキュリティ評価および認証を実施する認証機関および試験機関だけでなく、貴重な情報資産に対する脅威とセキュリティ システムによる損害の可能性を比較するための分析ユニットおよびセキュリティ サービスも対象としています。

2 規範的参照

この規格では、次の規格への規範的な参照が使用されます。

GOST R ISO/IEC 15408-3 情報技術。 セキュリティを確保する方法と手段。 情報技術のセキュリティを評価するための基準。 パート 3: セキュリティ トラストの構成要素

GOST R ISO/IEC 27002 情報技術。 セキュリティを確保する方法と手段。 情報セキュリティ管理に関する規範およびルール

注 - この規格を使用する場合、インターネット上の連邦技術規制計量庁の公式ウェブサイト、または年次情報索引「国家規格」を使用して、公共情報システム内の参照規格の有効性を確認することをお勧めします。 、今年の 1 月 1 日時点で発行された、および今年の月刊情報インデックス「国家標準」の号について説明します。 日付のない参照標準を置き換える場合は、そのバージョンに加えられた変更を考慮して、その標準の現在のバージョンを使用することをお勧めします。 日付の古い参照規格を置き換える場合は、上に示した承認 (採用) 年のバージョンのその規格を使用することをお勧めします。 この規格の承認後、参照された条項に影響を与える、日付付きの参照が行われた参照規格に変更が加えられた場合、その変更に関係なくその条項を適用することが推奨されます。 参照規格が置き換えられずに取り消される場合には、参照規格への参照が与えられている規定を、この参照に影響を与えない部分に適用することが推奨されます。

3 用語と定義

この規格では、次の用語と対応する定義が使用されます。

3.1 自動化システム:確立された機能を実行するために情報技術を実装する、人材とその活動のための一連の自動化ツールで構成されるシステム。

3.2 犯罪者の代理人:侵害者に代わって行動する人、ソフトウェア、ファームウェア、またはハードウェア。

3.3 資産(資産): 組織にとって価値があり、組織が所有しているあらゆるもの。

注: 組織の資産には次のものが含まれる場合があります。

- コンピューティング、電気通信、その他のリソース。

- 情報資産（以下を含む） さまざまな種類の情報が、そのライフサイクルの次の段階で生成（作成）、処理、保存、送信、破壊されます。

- 第三者に提供される製品およびサービス。

3.4 (情報への) アクセスのブロック:正当なユーザーによる情報へのアクセスの終了または妨害。

3.5 マルウェア:情報システムの情報やリソースに不正なアクセスや影響を与えることを目的としたプログラム。

3.6 コバートチャネル分析の深さ:秘密チャネルとその特性を識別するために使用される手段の複雑さの変動の程度。

3.7 自信保証: オブジェクトがセキュリティ目標を満たしているという確信の基礎。

3.8 秘密チャネルの識別:隠しチャネルが存在する可能性を特定し、分類におけるその位置を決定します。

3.9 制限された情報:アクセスが制限されており、その開示が他人、社会、国家の利益を損なう可能性がある情報の一種。

3.10 情報セキュリティー(情報セキュリティ): 情報または情報の処理手段の機密性、完全性、可用性、否認防止、責任、信頼性、信頼性の定義、達成、維持に関連するすべての側面。

3.11 情報システム：組織的に順序付けられた一連の文書 (文書の配列) と情報技術 (情報プロセスを実装するコンピューター技術および通信の使用を含む)。

注 - 情報システムは、情報を保存、処理、検索、配布、送信、および提供するように設計されています。

3.12 情報技術：データの収集、保存、処理、送信、使用の機能を実行する際にコンピューターテクノロジーを使用する技術、方法、および方法。

3.13 情報オブジェクト:プログラム内で流通する情報を含むプログラム要素。

注 - プログラミング言語によっては、変数、配列、レコード、テーブル、ファイル、RAM のフラグメントなどが情報オブジェクトとして機能することがあります。

3.14 情報の流れ情報フロー: 情報のソースとその受信者間の対話のプロセス。

注 - 情報フローは許可または無許可にすることができます。 オブジェクト X と Y 間の情報フローは、平均相互情報量 I (X, Y) が 0 より大きい場合に存在します。情報フローの数学的モデルは、メッセージ ソースが入力単語を送信する有限状態マシンとして定義できます。マシンの入力、およびメッセージ受信者にはマシンの出力シーケンスが表示されます。

3.15 包括的な隠れチャネル分析徹底的な秘密チャネル分析: 秘密チャネル特定計画がすべての可能な秘密チャネル調査が試みられたことを確立するのに十分であることを示す追加証拠の提示を必要とする分析。

3.16 鍵：暗号化データ変換アルゴリズムの一部のパラメーターの特定の秘密状態。特定のアルゴリズムで可能なすべての変換のセットから 1 つの変換を確実に選択できます。

3.17 コミュニケーションチャネル:メッセージを送信元から受信者に配信する一連の情報媒体。

3.18 重要なオブジェクト:運営の中断または停止により、制御の喪失、インフラの破壊、国、主題、または行政領域単位の経済の不可逆的なマイナスの変化または破壊、あるいは国民の生命の安全の重大な悪化につながる物体。これらの地域に長期間住む人々。

3.19 情報転送メカニズム:送信者から受信者に情報を送信する実装された方法。

3.20 情報変更:情報の表示形式および内容を意図的に変更すること。

3.21 情報セキュリティ違反者(敵対者): 情報システム内で技術的手段によって処理される際に、情報のセキュリティを侵害する結果となる行為を偶然または意図的に行った個人 (主体)。

3.22 情報への不正アクセス(情報への不正アクセス): コンピュータ技術や自動システムによって提供される標準的な手段を使用した、アクセス制御規則に違反する情報へのアクセスまたは情報を使用した行為。

注 - オブジェクトへのアクセスには、オブジェクトに含まれる情報へのアクセスも含まれます。

3.23 オブジェクト(オブジェクト): 情報を保存、受信、または送信するシステムの受動コンポーネント。

3.24 危険性評価:起こり得る破壊的な影響の程度を判断する。

3.25 推定信頼レベル評価保証レベル: 事前定義された保証スケール上の位置を表す保証コンポーネントのパッケージ。

注 - トラストコンポーネントのパッケージは、GOST R ISO/IEC 15408-3 の要件に従って決定されます。

3.26 アクセスパスワード(パスワード): アクセス主体の識別子。これは彼 (主体) の秘密です。

3.27 個人情報：当該情報に基づいて特定または判断される個人に関する情報（個人データの対象）。

注意事項 ・個人データの対象となる個人の姓、名、父称、年、月、日、出生地、住所、家族、社会、財産状況、学歴、職業、収入等の情報を利用することができます。個人データ。

3.28 情報セキュリティポリシー情報セキュリティ ポリシー: 組織の活動を導く、情報セキュリティの分野における文書化された一連の規則、手順、実践、またはガイドライン。

3.29 製品(製品): 特定の機能を提供し、さまざまなシステムに直接使用または組み込むことを目的とした、ソフトウェア、ファームウェア、および/または情報技術ハードウェアのセット。

3.30 秘密チャネルの容量秘密チャネル容量: 単位時間当たり、または他の測定スケールと比較して、秘密チャネルを介して送信できる情報の量。

3.31 システム(システム): 特定の目的と動作条件を備えた情報技術の特定の実施形態。

3.32 秘密チャネルの体系的な分析体系的な秘密チャネル分析: 情報技術および自動システムの設計者が、特定の状況に適用できる特定の方法で秘密チャネルを特定するのではなく、構造化された反復可能な方法で秘密チャネルを特定する必要がある分析。

注 秘密チャネルは通常、セキュリティ計画に従って特定されます。

3.33 隠しチャンネル(秘密チャネル): セキュリティ ポリシーに違反するために使用できる、情報技術および自動化システムの開発者が意図していない通信チャネル。

3.34 伝送媒体:情報転送プロセスの物理的な実装。

3.35 主題(サブジェクト): システムのアクティブなコンポーネント。通常はユーザー、プロセス、またはデバイスによって表され、オブジェクトからオブジェクトへの情報の流れを引き起こしたり、システムの状態を変更したりすることができます。

3.36 セキュリティ上の脅威(脅威): 情報漏洩および/または情報への不正な影響および/または意図的でない影響に関連する潜在的または実際の危険を生み出す一連の条件および要因。

3.37 許可されたユーザー(許可されたユーザー): セキュリティ ポリシーによって操作を実行することが許可されたユーザー。

3.38 ダメージ：資産への損害から生じるマイナスの影響。

3.39 脆弱性:情報技術システムおよび自動化システムの情報セキュリティを侵害するために使用される可能性のあるシステムの特性。

4 一般規定

4.1 この規格は、組織の資産に対するシステムの危険度を判断し、システムを特定して対抗するための次の手順を定義します。

- 資産に対する潜在的なセキュリティ脅威を考慮した、CS を使用した攻撃の危険度に応じた資産の分類。

- 資産の種類に応じて保険システムの必要な分析の深さを決定する。

- 品質管理システムの分析を実施します。これには次のタスクの実行が含まれます。

SCの識別（検出）、

SC の能力の評価と、その隠れた機能によってもたらされる危険性の評価。

- セキュリティ システムを使用して実装される脅威から保護するための対策。これには次のタスクの実装が含まれます。

特定のセキュリティ脅威に対抗するための保護措置の実施に関する決定を下す、

IC の破壊に至るまでの実装に反対する。

4.2 CC を使用した攻撃の危険度に応じた保護資産の分類は、セクション 7 に記載されています。

4.3 セキュリティ システムの分析の深​​さは、資産の価値、つまり、セキュリティ システムを使用して実装されたセキュリティ脅威の実行の結果として引き起こされる可能性のある損害、つまり、セキュリティ システムから生じるリスクによって決まります。これらの脅威の存在。 このような脅威の分類はセクション 6 に記載されています。

4.4 CS の識別により、CS が存在する可能性のある主体 (送信元と受信者)、操作される情報が送信されるパラメータ、情報が読み取られるパラメータの変化、情報送信媒体が決定されます。 、情報が送信される論理条件。 SC の特定は、システム開発中に潜在的な漏洩チャネルまたは暴露チャネルを検査することによって実行でき、システム運用中に SC の存在を識別する兆候を観察することによって実行できます。 後者の場合、SC はシステム パラメータを監視することによって識別されます。 情報セキュリティ文書には、使用される監視システムを使用してどのクラスのセキュリティ システムを識別できるかを反映する必要があります。

4.5 特定された SC の能力は、形式的、技術的、またはモデリング手法を使用して評価されます。

4.6 CS を使用して実装されるセキュリティ脅威に対抗するための保護措置の実装について決定を下す場合、組織の資産に損害を与える可能性のあるリスクを考慮する必要があり、これは CS のスループットにも関連しています。

4.7 危険な SC への対抗は、次の手段と方法を使用して実行できます。

- IC をブロックしたり、チャネルが無害になるほどスループットを低くしたりできる IT または AS アーキテクチャを構築します。 この手法は、IT または AS の設計段階で使用されます。

- SC をブロックしたり、SC のスループットを所定のレベル以下に低下させたりすることを可能にする技術的手段の使用。

- システム動作中に危険な SC の動作を識別できるようにするソフトウェアおよびハードウェア ツールの使用。 IC の動作の兆候を特定すると、情報リソースへの影響をブロックできる可能性があります。

- SC を排除するか、その容量を安全な値まで削減するための組織的および技術的手段の適用。

5 秘密チャネルの分類

5.1 CS は、情報伝達メカニズムに従って次のように分類されます。

- 記憶からの SC;

- 時間によるSC。

- 隠された統計チャネル。

5.2 メモリベースのシステムは、送信主体が情報を書き込み、受信主体がそれを読み取るメモリの存在に基づいています。

メモリ チャネルの隠蔽は、外部の観察者が隠された情報が記録されているメモリ内の場所を知らないという事実によって決まります。

メモリ ベースのシステムではメモリ リソースが使用されますが、メモリの使用方法はセキュリティ システム開発者によって考慮されていないため、使用されているセキュリティ ツールによって検出できません。

5.3 CS in timeでは、情報を送信する主体が、送信された情報の何らかの時変プロセスを利用して変調し、情報を受信する主体が、情報伝達プロセスを時間内に観察することによって送信信号を復調できると仮定する。 たとえば、マルチタスク オペレーティング システム (OS) では、中央プロセッサはアプリケーション プログラムの共有情報およびコンピューティング リソースです。 CPU 時間を調整することにより、アプリケーションは不正なデータを相互に転送できます。

5.4 隠れた統計チャネルは、ランダムと考えられ、確率統計モデルによって記述されるシステムの特性の確率分布パラメータの変化情報を送信するために使用されます。

このようなチャネルの秘密性は、情報の受信者が、ソーシャルネットワークの構造についての知識を持たない観察者よりも、システムの観察された特性の分布パラメータを決定する際の不確実性が少ないという事実に基づいています。

たとえば、一定期間内に送信されたパケットに実際にはありそうにない組み合わせが出現すると、コンピュータ システムの障害を示す可能性があります。

5.5 記憶からの CS は、次のように分割されます。

- 構造化データ内の情報の隠蔽に基づく SC。

- 非構造化データ内の情報の隠蔽に基づく SC。

5.6 構造化データ内の情報の隠蔽に基づく SC は、正式に記述された構造と正式な処理規則を備えた情報オブジェクトに埋め込まれたデータを使用します。 たとえば、最新のワード プロセッサで使用される内部ファイル形式には、ファイルの編集時に表示されないフィールドが多数含まれているため、隠し情報を挿入するために使用できます。

5.7 非構造化データ内の情報の隠蔽に基づく SC は、正式に記述された構造を考慮せずに、情報オブジェクトに埋め込まれたデータを使用します (たとえば、目に見える画像の歪みを引き起こさない、画像の最下位ビットに隠された情報を書き込む)。

5.8 スループットに応じた SC は次のように分割されます。

- 低帯域幅チャネル。

- 大容量チャネル。

5.9 CS は、その伝送に関連する期間中に最小限の量の貴重な情報オブジェクト (暗号キー、パスワードなど) またはコマンドを伝送するのに十分な容量がある場合、低帯域幅チャネルです。

5.10 CS は、その容量が中型および大型の情報オブジェクト (テキスト ファイル、画像、データベースなど) を、これらの情報オブジェクトが価値のある期間にわたって送信できる場合、高帯域幅チャネルです。

複雑な問題を解決するには、さまざまな伝送メカニズムに基づく SC の組み合わせを使用できます。

6 秘密チャネルを使用して実装されるセキュリティ脅威の分類

6.1 CS を使用して実装される可能性のあるセキュリティ脅威には次のものがあります。

- 悪意のあるプログラムとデータの導入。

- 攻撃者がエージェントにコマンドを発行して実行する。

- 暗号キーまたはパスワードの漏洩。

- 個人情報オブジェクトの漏洩。

6.2 これらの脅威が実行されると、次のような事態が生じる可能性があります。

- 情報資産の機密性の侵害。

- IT および AS 機能の中断。

- リソースへのアクセスをブロックする。

- データとソフトウェアの完全性の侵害。

6.3 CS を使用した攻撃の影響を最も受けやすいシステムは次のとおりです。

- マルチユーザー分散システム。

- グローバルネットワークにアクセスできるシステム。

- 暗号化セキュリティ対策を使用するシステム。

- マルチレベル (必須) アクセス制御ポリシーを使用するシステム。

- ソフトウェアおよびハードウェア エージェントが検出できないシステム (アクセスできないソース コードを持つソフトウェアおよびハードウェアの使用、および設計ドキュメントの欠如が原因)。

6.4 CS を使用して実装される脅威と、そのスループットに応じた CS の種類との関係を表 1 に示します。


表 1 - 秘密チャネルを通じて実装される脅威と、その能力に応じた秘密チャネルの種類との関係

7 秘密チャネルによる攻撃の危険度に応じた資産の分類

7.1 CS を使用した攻撃の危険度に応じて、組織の保護資産は次のクラスに分類されます。

第 1 クラス - 情報を含む資産。自動化されたシステムを使用して実装される攻撃に対する感受性の程度は所有者によって決定されます。

クラス 2 - アクセスが制限された情報または個人データを含み、オープン ネットワークまたは公共のコンピューター システムとの技術的インターフェイスを持つシステム、および技術的チャネルを通じた漏洩に対する保護を提供しないコンピューター システムで処理される資産。

第 3 クラス - 国家機密を構成する情報を含む資産。

7.2 さらに、低帯域幅のセキュリティ システムを使用して実行される脅威に対して脆弱な特別なクラスの資産が存在します。 このグループには次のものが含まれます。

クラス A - 重要な施設の運用に関連する資産。 たとえば、このタイプのオブジェクトに対する破壊的な効果を初期化できるコマンドの送信は、低スループットの CS を介して実行できます。

クラス B - 暗号化情報保護システムのキーや他の資産にアクセスするためのパスワードなど、キー/パスワード情報を含む資産。 たとえば、保険システムを介してキー/パスワード情報が漏洩すると、情報システム全体の機能が危険にさらされる可能性があります。

参考文献

電子文書テキスト
Kodeks JSC によって作成され、以下に対して検証されています。
公式出版物
M.: スタンダード、2018

GOST R 53113.1-2008 情報技術 (IT)。 秘密のチャネルを使用して実装される情報セキュリティの脅威から情報テクノロジーと自動システムを保護します。 パート 1. 一般規定

GOST R 53113.1-2008 情報技術 (IT)。 秘密のチャネルを使用して実装される情報セキュリティの脅威から情報テクノロジーと自動システムを保護します。 パート 1. 一般規定