ГОСТ Р 53113.2-2009

Группа Т00

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

ЗАЩИТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, РЕАЛИЗУЕМЫХ С ИСПОЛЬЗОВАНИЕМ СКРЫТЫХ КАНАЛОВ

Часть 2

Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов

Information technologies. Protection of information technology and automated systems against security threats posed by use of covert channels. Part 2. Recommendations on protecting information, information technologies and automated systems against covert channel attacks

ОКС 35.040

Дата введения 2009-12-01

Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью "Криптоком"

2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. N 841-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Октябрь 2018 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

В настоящем стандарте установлены рекомендации по организации защиты информации (ЗИ), информационных технологий и автоматизированных систем от атак с использованием скрытых каналов (СК).

СК используются для систематического взаимодействия вредоносных программ (компьютерных вирусов) с нарушителем безопасности при организации атаки на автоматизированную систему (АС), которая не обнаруживается средствами контроля и защиты.

Опасность СК основана на предположении постоянного доступа нарушителя безопасности к информационным ресурсам организации и воздействии через эти каналы на информационную систему для нанесения максимального ущерба организации.

Настоящий стандарт разработан с учетом требований ГОСТ Р ИСО/МЭК 15408-3 и ГОСТ Р ИСО/МЭК 27002, в которых предусматривается осуществление мероприятий по противодействию угрозам безопасности организации, реализуемым с использованием СК. В данных стандартах мероприятия по противодействию угрозам ИБ с использованием СК представлены в общем виде, а их детализация представлена в настоящем стандарте.

Кроме этого, существует ряд технологий по обеспечению информационной безопасности и нормативных документов (НД) ФОИВ (ФСТЭК России, в которых рассматриваются отдельные аспекты этой проблемы).

Так ГОСТ Р 51188 устанавливает общие правила организации и проведения испытаний программных средств и их компонентов с целью обнаружения и устранения в них компьютерных вирусов. В данном стандарте также регламентирован порядок проверки компьютера на наличие компьютерных вирусов и их устранение. Такая проверка может выявить агента нарушителя безопасности, используемого им для организации скрытого канала, но только в том случае, если агент не является неотъемлемой частью операционной системы или аппаратной платформы проверяемого компьютера. Поскольку антивирусные проверки не способны выявить всех потенциальных агентов, возникает необходимость в противодействии СК, которые такие "невидимые" агенты могут использовать для взаимодействия с нарушителем безопасности.

НТД ФСТЭК России [1] установлена классификация программного обеспечения (как отечественного, так и зарубежного производства) для средств ЗИ, в том числе встроенных в общесистемное и прикладное программное обеспечение (ПО), по уровню контроля отсутствия в нем недекларированных возможностей. В процессе такой проверки недекларированные возможности, признанные неопасными, могут оказаться более опасными в процессе эксплуатации ПО в результате взаимодействия через СК с внешним нарушителем безопасности.

В НТД ФСТЭК России [2] установлена классификация межсетевых экранов по уровню защищенности от несанкционированного доступа к информации путем выбора соответствующих показателей защищенности. Данные показатели содержат требования, предъявляемые к средствам ЗИ, реализованным в виде межсетевых экранов, обеспечивающие безопасное взаимодействие сетей ЭВМ АС посредством управления межсетевыми потоками информации. Межсетевой экран реализует функции ограничения сетевого взаимодействия, а также требования принятой политики информационной безопасности организации. Взаимодействие с использованием СК осуществляется в рамках ограничений, вводимых межсетевым экраном, поэтому СК могут функционировать даже при использовании правильно настроенного межсетевого экрана, имеющего достаточный уровень защищенности.

Настоящий стандарт также устанавливает типовой порядок организации противодействия СК, который может уточняться с учетом условий и особенностей применения информационных технологий в АС. Кроме того, могут разрабатываться и применяться дополнительные меры защиты.

Организация защиты ИТ и АС от атак с использованием СК включает в себя процедуры их выявления и подавления. Набор применяемых методов выявления и/или подавления СК должен определяться исходя из модели угроз безопасности организации.

Мероприятия по защите от атак с использованием СК должны быть интегрированы в систему информационной безопасности организации.

Настоящий стандарт применяется совместно с ГОСТ Р 53113.1.

     1 Область применения

Настоящий стандарт предназначен для заказчиков, разработчиков и пользователей информационных технологий в процессе формирования требований по защите информации на стадиях разработки, приобретения и применения продуктов, информационных технологий и автоматизированных систем в соответствии с требованиями нормативных правовых документов ФОИВ (ФСТЭК России) [1], [2] или требованиями, устанавливаемыми обладателем информации.

Настоящий стандарт предназначен для органов сертификации, а также испытательных лабораторий при проведении подтверждения соответствия информационных технологий и автоматизированных систем требованиям к обеспечению безопасности информации, циркулирующей в этих системах, аналитических подразделений и служб безопасности.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК 7498-1-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель

ГОСТ Р ИСО/МЭК 15408-3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности

ГОСТ Р ИСО/МЭК 27002 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента

ГОСТ Р 51188 Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство

ГОСТ Р 51901.1 Менеджмент риска. Анализ риска технологических систем

ГОСТ Р 53113.1-2008 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 53113.1.

     4 Обозначения и сокращения

В настоящем стандарте использованы следующие обозначения и сокращения: