Формирование и обеспечение комплексной защищенности информационных ресурсов
АНО ВПО ЦС РФ
«РОССИЙСКИЙ УНИВЕРСИТЕТ КООПЕРАЦИИ»
Реферат по дисциплине: «Информационный менеджмент»
Для специальности 351400 «Прикладная информатика (в экономике)»
Тема: «Формирование и обеспечение комплексной защищенности информационных ресурсов»
Выполнил:
Студент Маркин М.П.
Группа ПИ07-оч.1
Преподаватель:
Суркова Л.Е.
Москва 2011 г
Содержание
Введение
1. Программные и программно-аппаратные средства обеспечения безопасности информации
3
4
2. Проблемы информационной безопасности
4
3. Криптографические методы защиты информации
5
4. Государственная политика в области информационной безопасности
7
5. Проблемы информационной безопасности
9
6. Законы, регулирующие информационную безопасность
10
7. Методика реализации политики безопасности
11
8. Угрозы и их показатели
13
9. Стандарты безопасности Гостехкомиссии
14
10. Европейские стандарты безопасности
16
11. Стандарт безопасности США
Заключение
17
18
Литература
19
Введение
Проблема защиты информации: надежное обеспечение ее сохранности и установление статуса использования - является одной из важнейших проблем современности.
Еще 25-30 лет назад задача защиты информации могла быть эффективно решена с помощью организационных мер и отдельных программно - аппаратах средств разграничения доступа и шифрования. Появление персональных ЭВМ, локальных и глобальных сетей, спутниковых каналов связи, эффективных технической разведки и конфиденциальной информации существенно обострило проблему защиты информации.
Особенностями современных информационных технологий являются:
Увеличение числа автоматизированных процессов в системах обработки данных и важности принимаемых на их основе решений;
Территориальная распределенность компонентов компьютерной системы и передача информации между этими компонентами;
Усложнение программных и аппаратных средств компьютерных систем;
Накопление и длительное хранение больших массивов данных на электронных носителях;
Интеграция в единую базу данных информацию различной направленности различных методов доступа;
Непосредственный доступ к ресурсам компьютерной системы большого количества пользователей различной категории и с различными правами доступа в системе;
Рост стоимости ресурсов компьютерных систем.
Рост количества и качества угроз безопасности информации в компьютерных системах не всегда приводит к адекватному ответу в виде создания надежной системы и безопасных информационных технологий. В большинстве коммерческих и государственных организаций, не говоря о простых пользователях, в качестве средств защиты используются только антивирусные программы и разграничение прав доступа пользователей на основе паролей.
1. Программные и программно-аппаратные средства обеспечения безопасности информации
К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав КС и выполняющие(как самостоятельно, так и при помощи программных средств) некоторые функции по обеспечению безопасности информации.
К основным аппаратным средствам защиты информации относятся:
Устройства ввода идентифицирующий пользователя информации;
Устройства шифрования информации;
Устройства для воспрепятствования несанкционированному включению рабочих станций серверов
Под программными средствами информационной безопасности понимают специальные программные средства, включаемые в состав программного обеспечения КС исключительно для выполнения защитах функций.
К основным программным средствам защиты информации относятся:
Программы идентификации аутентификации пользователей КС;
Программы разграничения доступа пользователя к ресурсам КС;
Программы от несанкционированного доступа , копирования изменения и использования.
Под идентификацией пользователя, применительно к обеспечению безопасности КС, однозначное распознание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует именно данному субъекту.
К преимуществам программных средств защиты информации относятся:
простота тиражирования
Гибкость (возможность настройки на различные условия применения)
Простота применения
Практически неограниченные возможности их развития
К недостатка программных средств относятся:
снижение эффективности КС за счет потребления ее ресурсов, требуемых для функционирования программ защиты.
Более низкая производительность по сравнению с аналогичными функциями защиты аппаратными средствами
Пристыкованность многих программных средств(а не встроенность в средства КС)
2.Требования к комплексным к комплектным система защиты информации
Основные требования к комплексной системе защиты информации
Разработка на основе положений и требований существующих законов, стандартов и нормативно - методических документов по обеспечению информационной безопасности;
Использование комплекса программно-технических средств и организационных мер по защите КС;
Надежность, конфигурируемость, производительность;
Экономическая целесообразность;
Выполнение на всех этапах жизни обработки информации в КС
Возможность совершенствования
Обеспечения разграничения доступа к конфиденциальной информации и отвлечение нарушителя на ложную информацию;
Взаимодействие с незащищенными КС по установленным для этого правилами разграничения доступа;
Обеспечение провидения учета и расследования случаев нарушения безопасности;
не должна вызывать у пользователя психологического противодействия и стремление обойтись без ее средств;
возможность оценки эффективности ее применения
3.Криптографические методы защиты информации
Проблема защиты информации путем ее преобразования, исключающего ее прочтение посторонним лицом волновала человеческий ум с давних времен. История криптографии - ровесница истории человеческого языка. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии тому примеры.
С широким распространением письменности криптография стала формироваться как самостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры. Так, Цезарь в своей переписке использовал уже более менее систематический шифр, получивший его имя.
Бурное развитие криптографические системы получили в годы первой и второй мировых войн. Начиная с послевоенного времени и по нынешний день появление вычислительных средств ускорило разработку и совершенствование криптографических методов.
Почему проблема использования криптографических методов в информационных системах (ИС) стала в настоящий момент особо актуальна?
С одной стороны, расширилось использование компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера, не допускающего возможность доступа к ней посторонних лиц.
С другой стороны, появление новых мощных компьютеров, технологий сетевых и нейронных вычислений сделало возможным дискредитацию криптографических систем еще недавно считавшихся практически не раскрываемыми.
Проблемой защиты информации путем ее преобразования занимается криптология (kryptos - тайный, logos - наука). Криптология разделяется на два направления - криптографию и криптоанализ. Цели этих направлений прямо противоположны.
Криптография занимается поиском и исследованием математических методов преобразования информации.
Сфера интересов криптоанализа - исследование возможности расшифровывания информации без знания ключей.
Современная криптография включает в себя четыре крупных раздела:
Симметричные криптосистемы.
Криптосистемы с открытым ключом.
Системы электронной подписи.
Управление ключами.
Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.
2.1.1.Системы с открытым ключом
Как бы ни были сложны и надежны криптографические системы - их слабое мест при практической реализации - проблема распределения ключей. Для того, чтобы был возможен обмен конфиденциальной информацией между двумя субъектами ИС, ключ должен быть сгенерирован одним из них, а затем каким-то образом опять же в конфиденциальном порядке передан другому. Т.е. в общем случае для передачи ключа опять же требуется использование какой-то криптосистемы.
Для решения этой проблемы на основе результатов, полученных классической и современной алгеброй, были предложены системы с открытым ключом.
Суть их состоит в том, что каждым адресатом ИС генерируются два ключа, связанные между собой по определенному правилу. Один ключ объявляется открытым, а другой закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение адресату. Секретный ключ сохраняется в тайне.
Исходный текст шифруется открытым ключом адресата и передается ему. Зашифрованный текст в принципе не может быть расшифрован тем же открытым ключом. Дешифрование сообщение возможно только с использованием закрытого ключа, который известен только самому адресату
.
Криптографические системы с открытым ключом используют так называемые необратимые или односторонние функции, которые обладают следующим свойством: при заданном значении x относительно просто вычислить значение f(x), однако если y=f(x), то нет простого пути для вычисления значения x.
Множество классов необратимых функций и порождает все разнообразие систем с открытым ключом. Однако не всякая необратимая функция годится для использования в реальных ИС.
В самом определении необратимости присутствует неопределенность. Под необратимостью понимается не теоретическая необратимость, а практическая невозможность вычислить обратное значение используя современные вычислительные средства за обозримый интервал времени.
Поэтому чтобы гарантировать надежную защиту информации, к системам с открытым ключом (СОК) предъявляются два важных и очевидных требования:
1. Преобразование исходного текста должно быть необратимым и исключать его восстановление на основе открытого ключа.
2. Определение закрытого ключа на основе открытого также должно быть невозможным на современном технологическом уровне. При этом желательна точная нижняя оценка сложности (количества операций) раскрытия шифра.
Алгоритмы шифрования с открытым ключом получили широкое распространение в современных информационных системах. Так, алгоритм RSA стал мировым стандартом де-факто для открытых систем и рекомендован МККТТ.
Вообще же все предлагаемые сегодня криптосистемы с открытым ключом опираются на один из следующих типов необратимых преобразований:
Разложение больших чисел на простые множители.
Вычисление логарифма в конечном поле.
Вычисление корней алгебраических уравнений.
Здесь же следует отметить, что алгоритмы криптосистемы с открытым ключом (СОК) можно использовать в трех назначениях.
1. Как самостоятельные средства защиты передаваемых и хранимых данных.
2. Как средства для распределения ключей. Алгоритмы СОК более трудоемки, чем традиционные криптосистемы. Поэтому часто на практике рационально с помощью СОК распределять ключи, объем которых как информации незначителен. А потом с помощью обычных алгоритмов осуществлять обмен большими информационными потоками.
Средства аутентификации пользователей.
2.1.2.Электронная подпись
В 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA.
В чем состоит проблема аутентификации данных?
В конце обычного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие обычно преследует две цели. Во-первых, получатель имеет возможность убедиться в истинности письма, сличив подпись с имеющимся у него образцом. Во-вторых, личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и т.д.
Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами - техническая деталь, то с подписью электронной дело обстоит иначе. Подделать цепочку битов, просто ее скопировав, или незаметно внести нелегальные исправления в документ сможет любой пользователь.
С широким распространением в современном мире электронных форм документов (в том числе и конфиденциальных) и средств их обработки особо актуальной стала проблема установления подлинности и авторства безбумажной документации.
В разделе криптографических систем с открытым ключом было показано, что при всех преимуществах современных систем шифрования они не позволяют обеспечить аутентификацию данных. Поэтому средства аутентификации должны использоваться в комплексе и криптографическими алгоритмами.
Иногда нет необходимости зашифровывать передаваемое сообщение, но нужно его скрепить электронной подписью. В этом случае текст шифруется закрытым ключом отправителя и полученная цепочка символов прикрепляется к документу. Получатель с помощью открытого ключа отправителя расшифровывает подпись и сверяет ее с текстом В 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA.
4. Государственная политика в области информационной безопасности
Информационная безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Под национальными интересами Российской Федерации понимается:
Информационное обслуживание руководства
Сохранность инфраструктуры
Развитие информационных средств
Защита прав человека в информационной сфере
Защита прав на частную информацию
Защита баз данных
Достоверность передаваемой информации
На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.
Государственная политика обеспечения информационной безопасности Российской Федерации определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей и ответственности за защищенность интересов Российской Федерации в информационной сфере в рамках закрепленных за ними направлений деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.
Государственная политика Российской Федерации в области информационной безопасности основывается на следующих принципах:
Федеральная программа ИБ
Нормативно-правовая база
Регламентация доступа к информации
Юридическая ответственность за сохранность информации
Контроль за разработкой и использованием средств защиты информации
Предоставление гражданам доступа к мировым информационным системам
Государство в процессе реализации своих функций по обеспечению информационной безопасности Российской Федерации:
проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению;
организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации;
поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;
осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;
проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;
способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;
формулирует и реализует государственную информационную политику России;
организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области;
способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.
Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации.
5. Проблемы информационной безопасности
Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:
необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;
необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);
необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).
Следует знать, что любая информационная система потенциально уязвима. И эта уязвимость по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности в разряд важнейших, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях.
Основная работа по снижению дестабилизирующих факторов в области информационной безопасности - раскрыть собственно суть проблемы, конкретизировать дестабилизирующие факторы и представить основные методы, способные значительно повысить защищенность ИС. Эта проблема в значительной степени решается посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для достижения поставленной цели в необходимо рассмотреть исходные данные и факторы, определяющие технологическую безопасность сложных информационных систем:
показатели, характеризующие технологическую безопасность информационных систем;
требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС;
ресурсы, необходимые для обеспечения технологической безопасности ИС;
внутренние и внешние дестабилизирующие факторы, влияющие на безопасность функционирования программных средств и баз данных;
методы и средства предотвращения и снижения влияния угроз безопасности ИС со стороны дефектов программ и данных;
оперативные методы и средства повышения технологической безопасности функционирования ПС и БД путем введения в ИС временной, программной и информационной избыточности;
методы и средства определения реальной технологической безопасности функционирования критических ИС.
Основываясь на полученных данных необходимо выработать стратегию и тактику направленную на уменьшение факторов способных вызвать те или иные деструктивные последствия.
6. Законы, регулирующие информационную безопасность
До последнего времени проблема обеспечения безопасности компьютерной информации в нашей стране не только не выдвигалась на передний край, но фактически полностью игнорировалась. Считалось, что путем тотальной секретности, различными ограничениями в сфере передачи и распространения информации, можно решить проблему обеспечения информационной безопасности.
Существуют, так называемые, правовые меры обеспечения информационной безопасности. К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.
К основным законам и подзаконным актам, регламентирующим деятельность в области защиты информации относятся:
1. Законы Российской Федерации:
"О федеральных органах правительственной связи и информации" от 19.02.92 № 4524-1;
"О безопасности" от 05.03.92 № 2446-1;
"О правовой охране программ для электронно-вычислительных машин и баз данных" от 23.09.92 № 3523-1;
"О правовой охране топологий интегральных микросхем" от 23.09.92 № 3526-1;
"О сертификации продукции и услуг" от 10.06.93 № 5151-1;
"О стандартизации" от 10.06.93 № 5154-1;
"Об архивном фонде Российской Федерации и архивах" от 07.07.93 № 5341-1;
"О связи" от 16.02.95 № 15-ФЗ;
"Об информации, информатизации и защите информации" от 20.02.95 № 24-ФЗ;
"Об органах федеральной службы безопасности в Российской федерации" от 03.04.95 № 40-ФЗ;
"Об оперативно-розыскной деятельности" от 12.08.95 № 144-ФЗ;
"Об участии в международном информационном обмене" от 04.07.96 № 85-ФЗ;
2. Нормативные правовые акты Президента Российской Федерации:
"Об основах государственной политики в сфере информатизации" от 20.01.94 № 170;
"Вопросы межведомственной комиссии по защите государственной тайны" от 20.01.96 № 71;
"Об утверждении перечня сведений конфиденциального характера" от 06.03.97 № 188;
"О некоторых вопросах межведомственной комиссии по защите государственной тайны" от 14.06.97 № 594;
"О перечне сведений, отнесенных к государственной тайне" от 24.01.98 № 61;
"Вопросы Государственной технической комиссии при Президенте Российской Федерации" от 19.02.99 № 212;
"О концепции национальной безопасности Российской Федерации" от 10.01.2000 N 24;
"Об утверждении перечня должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне" от 17.01.2000 N 6-рп;
Доктрина информационной безопасности Российской Федерации от 09.09.2000 № ПР 1895.
3. Нормативные правовые акты Правительства Российской Федерации:
"Об установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР" от 20.02.95 N 170;
"О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" от 15.04.95 N 333;
"О сертификации средств защиты информации" от 26.06.95 N 608;
"Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности" 04.09.95 N 870;
"О подготовке к передаче сведений, составляющих государственную тайну, другим государствам" от 02.08.97 N 973;
"О лицензировании отдельных видов деятельности" от 11.04.00 N 326.
4. Руководящие документы Гостехкомиссии России:
Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;
Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники;
Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;
Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации;
Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;
Защита информации. Специальные защитные знаки. Классификация и общие требования;
Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.
5. Уголовный кодекс Российской Федерации.
7. Методика реализации политики безопасности
Первоочередными мероприятиями по реализации государственной политики обеспечения информационной безопасности Российской Федерации являются:
разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности Российской Федерации;
разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;
принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, повышение правовой культуры и компьютерной грамотности граждан, развитие инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения;
развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации;
гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения.
Также существует система обеспечения информационной безопасности Российской Федерации. Она предназначена для реализации государственной политики в данной сфере.
Основными функциями системы обеспечения информационной безопасности Российской Федерации являются:
разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;
создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;
определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;
координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;
предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;
развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;
проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;
организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;
защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;
обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;
осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.
Компетенция федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.
Функции органов, координирующих деятельность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации.
8. Угрозы и их показатели
Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее
По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.
К информационным угрозам относятся:
несанкционированный доступ к информационным ресурсам;
незаконное копирование данных в информационных системах;
хищение информации из библиотек, архивов, банков и баз данных;
нарушение технологии обработки информации;
противозаконный сбор и использование информации;
использование информационного оружия.
К программным угрозам относятся:
использование ошибок и "дыр" в ПО;
компьютерные вирусы и вредоносные программы;
установка "закладных" устройств;
К физическим угрозам относятся:
уничтожение или разрушение средств обработки информации и связи;
хищение носителей информации;
хищение программных или аппаратных ключей и средств криптографической защиты данных;
воздействие на персонал;
К радиоэлектронным угрозам относятся:
внедрение электронных устройств перехвата информации в технические средства и помещения;
перехват, расшифровка, подмена и уничтожение информации в каналах связи.
К организационно-правовым угрозам относятся:
закупки несовершенных или устаревших информационных технологий и средств информатизации;
нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.
Словарь терминов Гостехкомиссии определяет понятие угроз национальной безопасности России в информационной сфере следующим образом:
Угрозами национальной безопасности России в информационной сфере являются:
стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка;
разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем; а также сохранности информационных ресурсов, получения несанкционированного доступа к ним.
К мерам противодействия указанным угрозам необходимо отнести:
постановку и проведение научных исследований, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;
развитие отечественной индустрии в области создания и производства оборудования элементов телекоммуникационных систем;
минимизацию числа иностранных фирм - поставщиков;
координацию действий по проверке надежности указанных фирм;
уменьшению номенклатуры поставляемого оборудования;
переходу от поставок оборудования к поставкам комплектующих на элементарном уровне;
установлению приоритета в использовании отечественных средств защиты этих систем.
9. Стандарты безопасности Гостехкомиссии
РД Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.
Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".
1. РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации"
РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:
Первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;
Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
Четвертая группа характеризуется верифицированной защитой содержит только первый класс.
2. РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации"
РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
наличие в АС информации различного уровня конфиденциальности;
уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.
3. РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации"
При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:
Управление доступом;
Идентификация и аутентификация;
Регистрация событий и оповещение;
Контроль целостности;
Восстановление работоспособности.
На основании показателей защищенности определяются следующие пять классов защищенности МЭ:
Простейшие фильтрующие маршрутизаторы - 5 класс;
Пакетные фильтры сетевого уровня - 4 класс;
Простейшие МЭ прикладного уровня - 3 класс;
МЭ базового уровня - 2 класс;
Продвинутые МЭ - 1 класс.
МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.
Также к стандартам России в области информационной безопасности относятся:
Гост 28147-89 – блочный шифр с 256-битным ключом;
Гост Р 34.11-94 –функция хэширования;
Гост Р 34.10-94 –алгоритм цифровой подписи.
10. Европейские стандарты безопасности
ISO 15408: Common Criteria for Information Technology Security Evaluation
Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.
Общие критерии оценки безопасности информационных технологий (далее "Общие критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).
Хотя применимость "Общих критериев" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.
Первая часть "Общих критериев" содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.
Требования к функциональности средств защиты приводятся во второй части "Общих критериев" и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.
Третья часть "Общих критериев" содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:
Наличие побочных каналов утечки информации;
Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;
Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;
Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.
ISO 17799: Code of Practice for Information Security Management
Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.
ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.
Практические правила разбиты на следующие 10 разделов:
Политика безопасности;
Организация защиты;
Классификация ресурсов и их контроль;
Безопасность персонала;
Физическая безопасность;
Администрирование компьютерных систем и вычислительных сетей;
Управление доступом;
Разработка и сопровождение информационных систем;
Планирование бесперебойной работы организации;
Контроль выполнения требований политики безопасности.
В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира.
Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.
Ключевыми являются следующие средства контроля:
Документ о политике информационной безопасности;
Распределение обязанностей по обеспечению информационной безопасности;
Обучение и подготовка персонала к поддержанию режима информационной безопасности;
Уведомление о случаях нарушения защиты;
Средства защиты от вирусов;
Планирование бесперебойной работы организации;
Контроль над копированием программного обеспечения, защищенного законом об авторском праве;
Защита документации организации;
Защита данных;
Контроль соответствия политике безопасности.
Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.
11. Стандарт безопасности США
1. "Оранжевая книга "
"Department of Defense Trusted Computer System Evaluation Criteria"
OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное
название документа "Department of Defense Trusted Computer System Evaluation Criteria".
OK предназначается для следующих целей:
Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;
Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;
Обеспечить базу для исследования требований к выбору защищенных систем.
Рассматривают два типа оценки:
без учета среды, в которой работает техника;
в конкретной среде (эта процедура называется аттестованием).
Во всех документах DOD, связанных с ОК, принято одно понимание фразы обеспечение безопасности информации. Это понимание принимается как аксиома и формулируется следующим образом: безопасность = контроль за доступом.
Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.
Класс (D): Минимальная защита
Класс (C1): Защита, основанная на разграничении доступа (DAC)
Класс (С2): Защита, основанная на управляемом контроле доступом
Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ
Класс (B2): Структурированная защита
Класс (ВЗ): Домены безопасности
Класс (A1): Верифицированный проект
2. FIPS 140-2 "Требования безопасности для криптографических модулей"
В федеральном стандарте США FIPS 140-2 "Требования безопасности для криптографических модулей" под криптографическим модулем понимается набор аппаратных и/или программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.
В стандарте FIPS 140-2 рассматриваются криптографические модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной. То есть речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. Наличие подобного модуля — необходимое условие обеспечения защищенности сколько-нибудь развитой информационной системы; однако, чтобы выполнять предназначенную ему роль, сам модуль также нуждается в защите, как собственными средствами, так и средствами окружения (например, операционной системы).
3. Стандарт шифрования DES
Также к стандартам информационной безопасности США относится алгоритм шифрования DES, который был разработан в 1970-х годах, и который базируется на алгоритме DEA.
Исходные идеи алгоритма шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-х годах. Первоначально эта методика шифрования называлась lucifer (разработчик Хорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первым блочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовый ключ. По существу этот алгоритм являлся прототипом DEA.
Заключение
Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.
Можно сказать, что не существует одного абсолютно надежного метода защиты. Наиболее полную безопасность можно обеспечить только при комплексном подходе к этому вопросу. Необходимо постоянно следить за новыми решениями в этой области.
Литература
Закон РФ "О государственной тайне"
Закон РФ "Об информации, информатизации и защите информации"
Доктрина информационной безопасности Российской Федерации от 09.09.2000 № ПР 1895.
Словарь терминов Гостехкомиссии при президенте РФ
Стандарт безопасности США “Оранжевая книга” ("Department of Defense Trusted Computer System Evaluation Criteria")
Носов В.А. Вводный курс по дисциплине “Информационная безопасность”
http://www.jetinfo.ru/2002/7/1/article1.7.200231.html - Нормативная база анализа защищенности
http://snoopy.falkor.gen.nz/~rae/des.html - описание алгоритма DES
http://markova-ne.narod.ru/infbezop.html - Вопросы ИБ и СМИ
http://www.ctta.ru/ - Некоторые проблемы ИБ
http://www.infosecurity.ru/_site/problems.shtml - Суть проблемы Информационной Безопасности
http://www.jetinfo.ru/2004/11/3/article3.11.2004.html - Федеральный стандарт США FIPS 140-2
Нравится материал? Поддержи автора!
Ещё документы из категории информатика:
Чтобы скачать документ, порекомендуйте, пожалуйста, его своим друзьям в любой соц. сети.
После чего кнопка «СКАЧАТЬ» станет доступной!
Кнопочки находятся чуть ниже. Спасибо!
Кнопки:
Скачать документ