Автор: Пользователь скрыл имя, 20 Октября 2013 в 23:40, реферат
Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.
1. Введение
2. Организация ISO
3. Критерии определения безопасности компьютерных систем
3.1 Структура Книги
3.2 Механизмы реализации безопасности
3.3 Разделы и классы
4. Международный стандарт управления информационной безопасностью ISO 17799
4.1 Критерии оценки защищенности информационных систем
4.2 Критерии проведения аудита безопасности информационных систем
4.3 Международный стандарт безопасности информационных систем ISO 17799
4.4 ISO 17799 в странах СНГ
4.5 Преимущества, получаемые компанией после прохождения сертификации по ISO 17799
4.6 Практика прохождения аудита и получения сертификата ISO 17799
4.7 Программные средства создания и проверки политики безопасности на соответствие требованиям ISO 17799
5. Стандарты безопасности в Интернете
6. Вывод
7. Список литературы
C — Дискреционная защита
C1 — Дискреционное обеспечение секретности.
Разделение пользователей и данных
Дискреционное управление доступом, допускающее принудительное ограничение доступа на индивидуальной основе.
C2 — Управление доступом
Более чётко оформленное дискреционное управление доступом.
Индивидуальные учётные записи, вход под которыми возможен через процедуру авторизации.
Журнал контроля доступа к системе.
Изоляция ресурсов.
B — Мандатная защита
B1
Мандатное управление доступом к выбранными субъектам и объектам.
Все обнаруженные недостатки должны быть устранены или убраны каким-либо другим способом.
B2 — Структурная защита
Чётко определённая и документированная модель правил безопасности.
Применение расширенного дискреционного и мандатного управления доступом ко всем объектам и субъектам.
Скрытые каналы хранения.
B3 — Защищённые области
Соответствие требованиям монит
Структурирование для исключения кода не отвечающего требованиям обязательной политики безопасности.
Поддержка администратора системы безопасности.
Примером подобной системы является XTS-300, предшественница XTS-400.
A — Проверенная защита
A1 — Проверенный дизайн.
По функциям идентично B3.
Формализованный дизайн и проверенные техники, включающие высокоуровневую спецификацию.
Формализованные процедуры управления и распространения.
Примером подобной системы является SCOMP, предшественница XTS-400.
Выше A1
Системная архитектура демонстрирующая,
что требования самозащиты и полноценности
для мониторов обращений были
выполнены в соответствии с «Базой
безопасных вычислений» (коллекцией программного
и аппаратного обеспечения
4. Международный стандарт управления информационной безопасностью ISO 17799
4.1 Критерии оценки защищенности информационных систем
Какой вопрос наиболее часто
задают руководители высшего звена
компании ИТ менеджерам и специалистам
по информационной безопасности? Думаю,
что это очевидно: "Насколько
защищена наша информационная система?".
Этот вопрос действительно является
краеугольным камнем информационной безопасности
и тем самым "тонким" местом,
которое обычно стараются избегать
секьюрити специалисты. И действительно
оценить защищенность информационной
системы достаточно сложно: но, как
известно, можно. Для этого существуют,
в основном, качественные методы оценки
уровня защищенности, которые на выходе
позволяют получить не количественную
оценку ("система защищена на 4.2 балла
или на 58%"), а качественную - система
соответствует определенному
4.2 Критерии проведения аудита безопасности информационных систем
Перейдем к следующей части и вспомним, какой вопрос обычно является ключевым при проведении аудита безопасности. Обычно, это вопрос о стандарте безопасности, проверку на соответствие которому будет выполнять аудитор. В России обычной практикой при проведении аудита является выполнение данных работ без привязки к какому либо критерию или стандарту - аудитор ограничивается оценкой текущего уровня защищенности и выработке рекомендаций по его повышению в соответствии со своей экспертной оценкой и своим пониманием об уровнях и критериях защиты. И, в общем, это нормальная практика, когда компания доверяет выбранному эксперту или группе экспертов, но проводить аудит, основываясь только на собственной экспертной оценке, не учитывая мировой опыт и существующие стандарты безопасности, на сегодняшний день практически недопустимо.
4.3 Международный стандарт безопасности информационных систем ISO 17799
Несколько лет назад Британский
институт стандартов ( BSI ) при участии
коммерческих организаций, таких как
Shell , National Westminster Bank , Midland Bank , Unilever , British
Telecommunications , Marks & Spencer , Logica и др., занялся
разработкой стандарта
Ниже приведены основные разделы стандарта ISO 17799:
Политика безопасности
Организационные меры по обеспечению безопасности
Управление форумами по информационной безопасности
Координация вопросов, связанных с информационной безопасностью
Распределение ответственности за обеспечение безопасности
Организационные меры по обеспечению безопасности
Инвентаризация ресурсов
Классификация ресурсов
Безопасность персонала
Безопасность при выборе и работе с персоналом
Тренинги персонала по вопросам безопасности
Реагирование на секьюрити инциденты и неисправности
Физическая безопасность
Управление коммуникациями и процессами
Рабочие процедуры и ответственность
Системное планирование
Защита от злонамеренного программного обеспечения (вирусов, троянских коней)
Управление внутренними ресурсами
Управление сетями
Безопасность носителей данных
Передача информации и программного обеспечения
Контроль доступа
Бизнес требования для контроля доступа
Управление доступом пользователя
Ответственность пользователей
Контроль и управление удаленного (сетевого) доступа
Контроль доступа в операционную систему
Контроль и управление доступом к приложениям
Мониторинг доступа и использования систем
Мобильные пользователи
Разработка и техническая
Требования по безопасности систем
Безопасность приложений
Криптография
Безопасность системных файлов
Безопасность процессов разработки и поддержки
Управление непрерывностью бизнеса
Процесс управления непрерывного ведения бизнеса
Непрерывность бизнеса и анализ воздействий
Создание и внедрение плана непрерывного ведения бизнеса
Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса
Соответствие системы основным требованиям
Соответствие требованиям законодательства
Анализ соответствия политики безопасности
Анализ соответствия техническим требованиям
Анализ соответствия требованиям системного аудита
4.4 ISO 17799 в странах СНГ
В последние несколько лет ISO 17799 начал уверенно продвигаться по странам СНГ. В Молдове благодаря позиции Национального Банка все банки уже более года проходят регулярную проверку на соответствие ISO 17799. В ближайшее время в Молдове ISO 17799 получит статус государственного стандарта. В Украине также существуют планы принятия данного стандарта в качестве государственного - эту позицию озвучил выступавший в 2002 году в Киеве на одном из семинаров Digital Security представитель Службы Безопасности Украины. В России стандарт ISO 17799 пока не имеет статус государственного стандарта. Однако в последнее время ситуация меняется: Государственная Техническая Комиссия при Президенте РФ уже отказалась от использования собственных стандартов защищенности автоматизированных систем и принимает ГОСТ 15408 ( ISO 15408). Ожидается, что подобная ситуация в ближайшие годы в России произойдет и с ISO 17799 и нам следует ожидать появления ГОСТ 17799.
4.5 Преимущества, получаемые компанией после прохождения сертификации по ISO 17799
Какие преимущества получает
компания, которая провела аудит
безопасности своих информационных
ресурсов и получила сертификат соответствия
системы управления информационной
безопасности по стандарту ISO 17799? Прежде
всего, это "неформальные" преимущества:
после проведения аудита информационная
система компании становится "прозрачнее"
для менеджмента, выявляются основные
угрозы безопасности для бизнес - процессов,
вырабатываются рекомендации по повышению
текущего уровня защищенности для защиты
от обнаруженных угроз и недостатков
в системе безопасности и управления.
В результате компании предлагается
комплексный план внесения изменений
в систему управления информационной
безопасностью, как для повышения
реального уровня защищенности, так
и для непосредственного
4.6 Практика прохождения аудита и получения сертификата ISO 17799
Для получения сертификата соответствия ISO 17799 компания должна пройти аудит информационной безопасности, провести подготовку информационной системы на соответствие стандарту, внедрить изменения и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов. Предварительный этап заключается в проведении аудита и, на его основании, подготовки необходимых изменений системы управления информационной безопасностью. Его может выполнить специализированная секьюрити компания, имеющая опыт в проведение подобных работ. Затем, после подготовки комплекта необходимых документов и внесения изменений в систему, необходимо провести итоговую проверку соответствия ISO 17799, для чего требуется участие специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при UKAS (United Kingdom Accreditation Service, http://www.ukas.com) - уполномоченном государственном органе Великобритании. Также, отметим, что в настоящее время официальная сертификация возможно только по BS 7799 (до выхода 2-ой части ISO 17799 - требования к аудиторам, которая намечена на 2004 год). Однако между ISO и UKAS существует соглашение, согласно которому после принятия второй часто ISO 17799 все сертификаты BS 7799 автоматически получают статус ISO 17799.
4.7 Программные средства создания и проверки политики безопасности на соответствие требованиям ISO 17799
Для решения задачи создания
и проверки политики информационной
безопасности компании применяются
следующие программные
5. Стандарты безопасности в Интернете
В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.
SSL (TLS)
Наиболее популярный сейчас
сетевой протокол шифрования данных
для безопасной передачи по сети представляет
собой набор криптографических
алгоритмов, методов и правил их
применения. Позволяет устанавливать
защищенное соединение, производить
контроль целостности данных и решать
различные сопутствующие
SET
SET (Security Electronics Transaction) - перспективный
протокол, обеспечивающий безопасные
электронные транзакции в
Данный протокол является
стандартом, разработанным компаниями
"MasterCard" и "Visa" при участии
"IBM", "GlobeSet" и других партнеров.
С его помощью покупатели могут
приобретать товары через Интернет,
используя самый защищенный на сегодняшний
день механизм выполнения платежей. SET
- это открытый стандартный многосторонний
протокол для проведения платежей в
Интернете с использованием пластиковых
карточек. Он обеспечивает кросс-аутентификацию
счета держателя карты, продавца
и банка продавца для проверки
готовности оплаты, а также целостность
и секретность сообщения, шифрование
ценных и уязвимых данных. SET можно
считать стандартной
IPSec
Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.
Протокол IPSec обеспечивает стандартный
способ шифрования трафика на сетевом
(третьем) уровне IP и защищает информацию
на основе сквозного шифрования: независимо
от работающего приложения, шифруется
каждый пакет данных, проходящий по
каналу. Это позволяет организациям
создавать в Интернете
Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:
поддержку немодифицированных конечных систем;
поддержку транспортных протоколов, отличных от ТСР;
поддержку виртуальных сетей в незащищенных сетях;
защиту заголовка
защиту от атак типа "отказ в обслуживании".
Кроме того, IPSec имеет два важных преимущества:
его применение не требует
изменений в промежуточных
рабочие места и серверы не обязательно должны поддерживать IPSec.
6.Вывод
Самыми частыми и самыми
опасными, с точки зрения размера
ущерба, являются непреднамеренные ошибки
пользователей, операторов, системных
администраторов и других лиц, обслуживающих
информационные системы. Иногда такие
ошибки являются угрозами: неправильно
введенные данные, ошибка в программе,
а иногда они создают слабости,
которыми могут воспользоваться
злоумышленники - таковы обычно ошибки
администрирования. Согласно исследованиям,
65% потерь - следствие непреднамеренных
ошибок. Пожары и наводнения можно
считать пустяками по сравнению
с безграмотностью и