Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных системах

Вид материала

Документы

Содержание Стандарты информационной безопасности в Интернете Протокол SSL Протокол SET Протокол IPSec. Инфраструктура управления открытыми ключами PKI Раздел 6. Меры и средства защиты информации (Меры контроля) Законодательные меры Описание мер по обеспечению ИБ Выбор средств контроля (мер защиты) в соответствии с проектом стандарта ИСО/МЭК 27005 Операционные средства контроля Кадровая безопасность Административная (Процедурная) безопасность Техническая безопасность Идентификация вида системы информационно-коммуникационных технологий. Идентификация физических условий/условий внешней среды.

Подобный материал:

• Руководящий документ средства защиты информации защита информации в контрольно-кассовых, 241.75kb.
• Рабочая программа по дисциплине: Теория информации Для специальности: 230102 Автоматизированные, 90.58kb.
• «Алтайский государственный технический университет», 257.85kb.
• Методы анализа данных, 17.8kb.
• Конституцией Российской Федерации, федеральными закон, 193.91kb.
• Виртуальное место администратора безопасности информации в автоматизированных системах, 130.69kb.
• Моделирование в автоматизированных системах управления экологической безопасностью, 293.07kb.
• Гостехкомиссия   росси и руководящий документ автоматизированные системы. Защита, 479.05kb.
• Сохранение культурных ценностей Введение, 940.47kb.
• И. И. Троицкий Научно-образовательный материал «Подсистема защиты от несанкционированного, 1146.23kb.

Стандарты информационной безопасности в Интернете

В Интернете уже давно существует ряд комитетов, в основном из организаций-добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть рабочей группы инженеров Интернета IETF (Internet Engineering Task Force) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете. Непосредственными результатами усилий IETF являются такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а также SNMP (Simple Network Management Protocol) для управления сетью.

Фактическая разработка новых стандартов и протоколов для Интернета выполняется рабочими группами, создаваемыми по разрешению группы IETF. Членство в рабочей группе является добровольным; участвовать может любая заинтересованная организация. При разработке спецификации рабочая группа создает документ под названием «Проект стандарта для Интернета» (Internet draft) и размещает его в Интернете для всеобщего доступа. Этот документ может оставаться проектом до шести месяцев, и заинтересованные стороны могут рецензировать и комментировать его. В течение этого времени группа IESG может одобрить публикацию проекта в виде документа RFC (Request for Comment — запрос комментариев). Если проект не приобретает статуса документа RFC в течение шестимесячного периода, он теряет также статус проекта стандарта для Интернета. Однако впоследствии рабочая группа может опубликовать переработанную версию проекта.

Группа IETF публикует документы RFC с одобрения группы IEsG. Документы RFC представляют собой рабочие записи сообщества исследователей и разработчиков Интернета. Документ этой серии может быть чем угодно, от доклада о собрании до спецификации стандарта.


В Интернете популярны протоколы безопасной передачи данных, а именно SSL, SET, IPSec. Перечисленные протоколы появились в Интернете сравнительно недавно как необходимость защиты ценной информации и сразу стали стандартами де-факто.

Протокол SSL (Secure Socket Layer) — популярный сетевой протокол с шифрованием данных для безопасной передачи по сети. Он позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи. Протокол SSL обеспечивает защиту данных между сервисными протоколами (такими как HTTP, FTP и др.) и транспортными протоколами (TCP/IP) с помощью современной криптографии. Протокол SSL подробно рассмотрен в главе 11.

Протокол SET (Security Electronics Transaction) — перспективный стандарт безопасных электронных транзакций в сети Интернет, предназначенный для организации электронной торговли через сеть Интернет. Протокол SET основан на использовании цифровых сертификатов по стандарту Х.509.

Протокол выполнения защищенных транзакций SET является стандартом, разработанным компаниями MasterCard и Visa при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет, используя защищенный механизм выполнения платежей.

SET является открытым стандартным многосторонним протоколом для проведения безопасных платежей с использованием пластиковых карточек в Интернете. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET более правильно можно назвать стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет. SET позволяет потребителям и продавцам подтверждать подлинность всех участников сделки, происходящей в Интернете, с помощью криптографии, в том числе применяя цифровые сертификаты.

SET обеспечивает следующие специальные требования защиты операций электронной коммерции:

• секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;
  
• сохранение целостности данных платежей. Целостность информации платежей обеспечивается с помощью цифровой подписи;
  
• специальную криптографию с открытым ключом для проведения аутентификации;
  
• аутентификацию держателя по кредитной карточке. Она обеспечивается применением цифровой подписи и сертификатов держателя карт;
  
• аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;
  
• аутентификацию того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процессинговой карточной системой. Аутентификация банка продавца обеспечивается использованием цифровой подписи и сертификатов банка продавца;
  
• готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
  
• безопасность передачи данных посредством преимущественного использования криптографии.
  

Основное преимущество SET по сравнению с другими существующими системами обеспечения информационной безопасности заключается в использовании цифровых сертификатов (стандарт Х509), которые ассоциируют держателя карты, продавца и банк продавца с банковскими учреждениями платежных систем Visa и Mastercard. Кроме того, SET позволяет сохранить существующие отношения между банком, держателями карт и продавцами и интегрируется с существующими системами.

Протокол IPSec. Спецификация IPSec входит в стандарт IP v.6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разработана Рабочей группой IP Security IETF. В настоящее время IPSec включает 3 алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты. Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защи­щает информацию на основе сквозного шифрования: независимо от работающего приложения при этом шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. Протокол IPSec подробно рассмотрен в гл. 12.

Инфраструктура управления открытыми ключами PKI (Public Key Infrastructure) предназначена для защищенного управления криптографическими ключами электронного документооборота, основанного на применении криптографии с открытыми ключами. Эта инфраструктура подразумевает использование цифровых сертификатов, удовлетворяющих рекомендациям международного стандарта Х.509 и развернутой сети центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами.


Конечно, в этом разделе представлено только несколько самых известных стандартов. Общее число их огромно. Даже для банковской сферы их очень много. В стандарте ISO TR 17944-2002 была сделана попытка их разбить на некоторые классы и перечислить. Изучить их все – сложнейшая задача.


Раздел 6. Меры и средства защиты информации (Меры контроля)


Защитные меры (см. например ГОСТ ИСО/МЭК 13335) — это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов.

Эффективная безопасность обычно требует комбинации различных защитных мер для обеспечения заданных уровней безопасности при защите активов. Например, механизмы контроля доступа, применяемые к вычислительным средствам, должны подкрепляться аудитом, определенным порядком действий персонала, его обучением, а также физической защитой. Часть защитных мер может быть обеспечена внешними условиями, свойствами актива или может уже существовать в системе или организации.

Порядок выбора защитных мер очень важен для правильного планирования и реализации программы информационной безопасности. Защитная мера может выполнять много функций безопасности и, наоборот, одна функция безопасности может потребовать нескольких защитных мер. Защитные меры могут выполнять одну или несколько из следующих функций:

предотвращение; сдерживание; обнаружение; ограничение; исправление; восстановление; мониторинг; осведомление.

Некоторые защитные меры могут характеризовать позицию организации в области информационной безопасности. В связи с этим важно выбирать специфические защитные меры, не причиняющие ущерба культурной и социальной среде, в которой функционирует организация.

Примерами тааких специфическими защитными мерами являются:

- политики и процедуры; механизмы контроля доступа; антивирусное программное обеспечение; шифрование; цифровая подпись; инструменты мониторинга и анализа; резервный источник питания; резервные копии информации.


Меры обеспечения ИБ (или меры контроля в понятиях ГОСТ Р ИСО/МЭК 27001, или защитные меры в терминах ISO 13335-1) имеют разветвленную сложную структуру и состоят из организационных и программно-технических мер на верхнем уровне.

В свою очередь, организационные меры включают законодательные, административные и процедурные меры обеспечения ИБ

Законодательные меры включают в себя законы, стандарты, регламенты и другие нормативные документы.

Основой административных мер, осуществляемых руководством организации, является политика безопасности.

Процедурные, то есть реализуемые людьми, меры безопасности, включают меры по:

• управлению персоналом;
  
• физической защите;
  
• поддержке работоспособности;
  
• реагированию на нарушения режима безопасности;
  
• планированию восстановительных работ.
  

Идентификация мер защиты важна и на этапе оценки рисков. В процессе идентификации мер защиты должна быть проведена проверка, что эти средства работают корректно.


Описание мер по обеспечению ИБ, приведенное ниже, выполнено в нотациях стандарта ГОСТ Р ИСО/МЭК 27001 и ISO/IEC 17799:2005 с указанием цели и описанием требований. Стандарты ГОСТ Р ИСО/МЭК 27001 и ISO/IEC 17799:2005 выделяют следующие области контроля:

- политика безопасности;

- управление активами(ресурсами);

- безопасность кадровых ресурсов(персонала);

- физическая безопасность и безопасность от воздействия окружающей среды;

- управление средствами связи и функционированием;

- контроль доступа;

- приобретение, разработка и обслуживание информационных систем;

- управление инцидентами с информационной безопасностью;

- управление непрерывностью бизнес-процессов;

- соответствие различным требованиям.


Ориентировочно, весь объем мероприятий (в денежном исчислении) по охране и защите информации (См.[Тихонов-Райх]) можно разделить в следующем соотношении:

1. Правовые меры (законы, ведомственные акты, инструкции) – 5%.

2. Физические меры (ограда по периметру, служба охраны, разграничение полномочий и др.) – 15%.

3. Технические меры (различные технические и программные средства защиты) – 25 30%.

4. Административные меры (разработка политики в области безопасности, процедур ее внедрения, кадровая политика, обучение персонала, контроль и др.) – 50%.


Выбор средств контроля (мер защиты) в соответствии с проектом стандарта ИСО/МЭК 27005


Средства контроля выбираются в соответствии с вопросами безопасности, идентифицированными в результате оценки риска (стандарт ISO/IES 27005 посвящен именно управлению рисками), принимая в расчет угрозы и наконец, вид рассматриваемого информационного процесса или системы.

Выбор средств контроля всегда включает баланс операционных (нетехнических) и технических средств контроля.

Операционные средства контроля включают те, которые обеспечивают физическую, кадровую и административную безопасность.

Физические средства контроля безопасности включают прочность внутренних стен строения, дверные замки с кодовым набором, противопожарные системы и охрану.

Кадровая безопасность охватывает проверки, связанные с набором персонала (особенно лиц, занимающих ответственные посты), мониторинг персонала и программы повышения осознания безопасности.

Административная (Процедурная) безопасность включает надежное документирование операционных процедур, процедуры разработки и одобрения приложений, а также процедуры менеджмента инцидентов информационной безопасности. В связи с этой категорией очень важно, чтобы для каждой системы разрабатывались соответствующие планы и стратегия обеспечения непрерывности бизнеса, включая планирование действий в чрезвычайных ситуациях/восстановление после сбоев.

План должен включать подробности об основных функциях и приоритетах для восстановления, потребности обработки и организационные процедуры, которым нужно следовать в том случае, если происходит бедствие или прерывание обслуживания. Такие планы должны включать шаги, необходимые для контроля значимой информации, которая обрабатывается или хранится, позволяя все же при этом организации вести дела.

Техническая безопасность охватывает аппаратную и программную защиту, а также средства контроля системы связи. Эти средства контроля выбираются в соответствии с рисками для обеспечения функциональных возможностей безопасности и доверия.

Функциональные возможности будут, например, охватывать идентификацию и аутентификацию, требования логического контроля доступа, потребности контрольного журнала/журнала безопасности, обеспечение безопасности с помощью обратного звонка, аутентификацию сообщений, шифрование и т.д. Требования доверия документируют необходимый уровень доверия к функциям безопасности и, следовательно, объем и вид проверок, тестирования безопасности и т.д., необходимых для подтверждения этого уровня. При вынесении решения о дополняющем сочетании операционных и технических средств контроля будут существовать различные варианты выполнения технических требований безопасности. Для каждого варианта должна быть определена техническая архитектура безопасности, чтобы способствовать установлению того, что безопасность может быть обеспечена, как необходимо, и что это осуществимо с доступной технологией.

Организация может решить использовать оцененные (сертифицированные) продукты и системы как часть окончательного системного решения. Оцененными продуктами являются те, которые были изучены третьей стороной. Третья сторона может быть другой частью той же организации или независимой организацией, специализирующейся на оценивании продуктов и систем. Оценивание может проводиться по совокупности заранее установленных критериев, специально разработанных для создаваемой системы, или может использоваться обобщенная совокупность критериев, которая может применяться в разнообразных ситуациях. Критерии оценивания могут определять функциональные требования и/или требования доверия. Существует целый ряд систем оценивания, многие из которых финансируются правительством или международными организациями, занимающимися стандартизацией. Организация может решить использовать оцененные продукты и системы, когда ей необходима уверенность в том, что совокупность реализованных функциональных возможностей является такой, как требуется, и когда ей необходимо доверие к правильности и завершенности реализации этих функциональных возможностей. Альтернативным образом, сконцентрированное практическое тестирование безопасности может предоставить гарантию уверенности в обеспечиваемой безопасности.

При выборе средств контроля для реализации следует рассматривать ряд факторов, включая:

• виды выполняемых функций — предотвращение, сдерживание, обнаружение, восстановление, исправление, мониторинг, информированность;
  
• относительную стойкость средств контроля;
  
• капитальные, операционные и эксплуатационные расходы на средства контроля;
  
• помощь, предоставляемую пользователям для выполнения их функций;
  
• простоту использования средства контроля для пользователя.
  

Обычно средство контроля будет выполнять более чем одну из этих функций. При изучении общей безопасности или совокупности средств контроля, которые должны использоваться, следует поддерживать баланс видов функций, если вообще это возможно. Это способствует тому, чтобы общая безопасность была более эффективной и продуктивной. Может требоваться анализ затрат и выгод, как и анализ компромиссных решений (метод сравнения соперничающих альтернатив, используя совокупность критериев, которые взвешиваются на предмет относительной значимости в отношении к конкретной ситуаций).

Существует две различные совокупности средств контроля, механизмов и/или процедур, которые могут использоваться для защиты информационных систем. С одной стороны, есть довольно много организационных категорий средств контроля, которые обычно применимы к каждой информационной системе или системе информационно-коммуникационных технологий, если конкретные обстоятельства вызывают в них необходимость, независимо от индивидуальных компонентов. С другой стороны, существуют средства контроля, характерные для систем ИКТ; выбор этих средств контроля зависит от вида и характеристик рассматриваемой системы ИКТ. Конечно, всегда возможно, что одна или более из этих категорий или специфических средств контроля не нужны в данной системе ИКТ. Например, в шифровании может не быть необходимости, если для посылаемой или получаемой информации нет потребности в конфиденциальности.

Перед реализацией выбранных средств контроля их следует тщательно проверить на соответствие уже существующим и/или планируемым средствам контроля. Следует обдумать использование более детального анализа для выбора дополнительных средств контроля. Если средства контроля выбираются в соответствии с разными критериями (например, базовые средства контроля и дополнительные средства контроля), окончательная совокупность требующих реализации средств контроля должна объединяться с осторожностью.

После проверки нескольких систем ИКТ должно быть рассмотрено, может ли быть установлена базовая линия в масштабах организации. Другой возможностью выбора средств контроля без детального рассмотрения является применение характерных для приложений базовых линий. Например, руководства по базовым линиям доступны для телекоммуникаций, здравоохранения, банковского дела и много другого. При использовании этих руководств, например, есть возможность проверки существующих или планируемых средств контроля на соответствие рекомендованным.

Процесс выбора средств контроля всегда требует некоторых знаний о виде и характеристиках рассматриваемой информационной системы (например, автономная рабочая станция или рабочая станция, подсоединенная к сети), поскольку это оказывает существенное влияние на средства контроля, выбранные для защиты системы. Также полезно иметь представление об инфраструктуре, с точки зрения строений, помещений и т.д. Еще одним важным фактором, вовлеченным в выбор средств контроля, является оценка существующих и/или планируемых средств контроля. Это помогает избежать ненужной работы, излишней траты времени, усилий и денежных средств.

Идентификация вида системы информационно-коммуникационных технологий.

Для оценки существующей или планируемой системы ИКТ рассматриваемая система ИКТ должна быть сравнена со следующими компонентами и должны быть идентифицированы компоненты, представляющие систему. В последующих пунктах предлагаются средства контроля для каждого из перечисленных ниже компонентов. Компоненты для выбора включают:

• автономную рабочую станцию;
  
• рабочую станцию (клиент без коллективно используемых ресурсов), подсоединенную к сети;
  
• сервер или рабочую станцию с коллективно используемыми ресурсами, подсоединенную к сети.
  

Идентификация физических условий/условий внешней среды.

Оценка внешней среды включает идентификацию физической инфраструктуры, поддерживающей существующую и планируемую систему ИКТ, а также соответствующих существующих и/или планируемых средств контроля. Поскольку все средства контроля должны быть совместимы с физической средой, эта оценка очень важна для успешного выбора.

При рассмотрении инфраструктуры могут быть полезны следующие вопросы.

- Периметр и здание.

• Где расположено здание - на собственной площадке с забором по периметру или на улице с интенсивным движением и т.д.?
  
• У здания один или несколько арендаторов?
  
• Если арендаторов несколько, то кто остальные арендаторы?
  
• Где расположены значимые/критичные сферы?
  

- Управление доступом.

• Кто имеет доступ к зданию?
  
• Существует ли система физического контроля доступа?
  
• Насколько прочна конструкция здания?
  
• Насколько прочны двери, окна и т.д., и какая защита им обеспечивается?
  
• Охраняется ли здание и, если это так, происходит ли это в течение всех суток или только в рабочее время?
  
• Оснащено ли здание и/или помещения, в которых расположено критичное оборудование информационно-коммуникационных технологий, охранной сигнализацией?
  

- Защита на местах.

• Как защищается помещение (помещения), содержащее систему ИКТ?
  
• Какие системы обнаружения возгорания, пожарной сигнализации и ликвидации пожара установлены и где?
  
• Какие системы обнаружения утечки воды/жидкости, сигнализации и ликвидации установлены и где?
  
• Существуют ли поддерживающие коммунальные услуги типа водопроводно- канализационной сети, системы бесперебойного питания, кондиционирования воздуха (для контроля температуры и влажности)?
  

Отвечая на эти вопросы, можно легко идентифицировать существующие физические средства контроля.

Подробную информацию о выборе средств контроля в определенных охраняемых сферах можно найти также в