Роль стандартів інформаційної безпеки

Размещено на http://www.allbest.ru/

Міністерство освіти і науки України

Національний технічний університет України

«Київський політехнічний Інститут»

Звіт по практиці

Виконала:

студентка 6-го курсу група ФЕ-81

Замрачило Дарія

Перевірив: Степаненко Володимир Михайлович

Київ 2013

Вступ

Розвиток інформаційних і телекомунікаційних систем різного призначення (в першу чергу мережі Інтернет), а також електронний обмін цінною інформацією, яка потребує захисту, зажадали від фахівців, що працюють у цій сфері, систематизувати та впорядкувати основні вимоги і характеристики комп'ютерних систем в частині забезпечення безпеки. Однак перед тим, як перейти до розгляду сформованих стандартів, потрібно визначити, що ж таке безпека.

Враховуючи важливість поняття, спробуємо сформулювати його розширене визначення, в якому будуть враховані останні міжнародні та вітчизняні напрацювання в цій галузі. Отже, безпека інформації - це стан стійкості даних до випадкових або навмисних впливів, що виключає неприпустимі ризики їх знищення, спотворення і розкриття, які призводять до матеріальних збитків власника або користувача. Таке визначення найбільш повно враховує головне призначення комерційної інформаційної комп'ютерної системи - мінімізація фінансових втрат, отримання максимального прибутку в умові реальних ризиків.

Це положення особливо актуально для так званих відкритих систем загального користування, які обробляють закриту інформацію обмеженого доступу, що не містить державну таємницю. Сьогодні системи такого типу стрімко розвиваються і в світі, і у нас в країні.

1. Роль стандартів інформаційної безпеки

Головним завданням стандартів безпеки є створення основи для взаємодії між виробниками, споживачами та експертами з кваліфікації продуктів інформаційних технологій.

Споживачі зацікавлені в методикою, що дозволяє обгрунтовано вибрати продукт, що відповідає їх потребам . Для цього їм необхідна шкала оцінки безпеки.

До того ж споживачі мають потребу в інструменті, за допомогою якого вони могли б формулювати свої вимоги виробникам. При цьому споживачів цікавлять лише характеристики та властивості кінцевого продукту, а не методи його отримання.

Виробникам стандарти необхідні в якості засобу порівняння можливостей їх продуктів. Крім того стандарти необхідні для процедури сертифікації, яка є механізмом об'єктивної оцінки властивостей продуктів. З цієї точки зору вимоги повинні бути максимально конкретними і регламентувати необхідність застосування тих чи інших засобів, механізмів, алгоритмів і т.д.

Крім того, вимоги не повинні суперечити існуючим парадигм обробки інформації, архітектурі обчислювальних систем та технологій створення інформаційних продуктів.

Експерти по кваліфікації і фахівці з сертифікації розглядають стандарти як інструмент, що дозволяє їм оцінити рівень безпеки, що забезпечується продуктами інформаційних технологій, і надати споживачам можливість зробити обґрунтований вибір, а виробникам - отримати об'єктивну оцінку можливостей свого продукту.

Найбільш значущими стандартами інформаційної безпеки є: «Критерії безпеки комп'ютерних систем міністерства оборони США», керівні документи Держтехкомісії Росії, «Європейські критерії безпеки інформаційних технологій», «Федеральні критерії безпеки інформаційних технологій США», «Канадські критерії безпеки комп'ютерних систем» і «Єдині критерії безпеки інформаційних технологій».

безпека стандарт ризик

2. Актуальність теми

Найбільш динамічним сегментом телекомунікацій сьогодні є Бездротова Локальна мережа. В останні роки видно все більше зростання попиту на мобільні пристрої, побудовані на основі бездротових технологій.

Варто відзначити, що WiFi продукти передають і отримують інформацію за допомогою радіохвиль. Кілька одночасних віщань можуть відбуватися без взаємного втручання завдяки тому, що радіохвилі передаються на різних радіочастотах, відомими також як канали. Для здійснення передачі інформації WiFi пристрої повинні «накласти» дані на радіохвилю, також відому як несуча хвиля. Цей процес називається модуляцією. Існують різні типи модуляції. Кожен тип модуляції має свої переваги і недоліки з точки зору ефективності та вимог до живлення. Разом, робочий діапазон і тип модуляції, визначають фізичний рівень даних (PHY) для стандартів передачі даних. Продукти сумісні за PHY в тому випадку, коли вони використовують один діапазон і один тип модуляції.

Перший стандарт бездротових мереж 802.11 був схвалений Інститутом інженерів з електротехніки та електроніки (IEEE ) в 1997 році і підтримував швидкість передачі даних до 2 - х Мбіт \ с. Використовувані технологічні схеми модуляції стандарту: псевдовипадкова перебудова робочої частоти ( FHSS - Frequency Hopping Spread Spectrum ) і широкосмугова модуляція з прямим розширенням спектру ( DSSS - Direct Sequence Spread Spectrum ) .

Далі, в 1999 році, IEEE схвалила ще два стандарти бездротових мереж WiFi: 802.11a і 802.11b . Стандарт 802.11a працює в частотному діапазоні 5ГГц зі швидкістю передачі даних до 54Мбіт \ с. Даний стандарт побудований на основі технології цифрової модуляції ортогонального ущільненням каналів з поділом частот ( OFDM - Orthogonal Frequency Division Multiplexing ) . Стандарт 802.11b використовує діапазон частот 2.4 ГГц і досягає швидкостей передачі даних до 11Мбіт \ с. На відміну від стандарту 802.11a, схема стандарту 802.11b побудована за принципом DSSS.

3. Огляд літератури

Давайте розглянемо найбільш відомі міжнародні стандарти в області захисту інформації, звертаючи увагу на можливість їх застосування у вітчизняних умовах.

4. Міжнародний стандарт ISO 15408

Слідуючи по шляху інтеграції, в 1990 р. Міжнародна організація по стандартизації (ISO) і Міжнародна електротехнічна комісія (ТЕС) склали спеціалізовану систему світової стандартизації, a ISO почала створювати міжнародні стандарти за критеріями оцінки безпеки інформаційних технологій для загального використання, названі Common Criteria for Information Technology Security Evaluation або просто Common Criteria.

Надалі "Загальні критерії " неодноразово редагувалися. В результаті 8 червня 1999 був затверджений Міжнародний стандарт ISO / IEC 15408 під назвою "Загальні критерії оцінки безпеки інформаційних технологій" (ОК).

Загальні критерії узагальнили зміст і досвід використання Помаранчевої книги, розвинули європейські та канадські критерії, і втілили в реальні структури концепцію типових профілів захисту федеральних критеріїв США. У ОК проведена класифікація широкого набору вимог безпеки ІТ, визначені структури їх групування і принципи використання. Головні переваги ОК - повнота вимог безпеки та їх систематизація, гнучкість в застосуванні і відкритість для подальшого розвитку.

Разом з тим в ОК головну увагу приділено захисту від несанкціонованого доступу (НСД). Модифікації або втрати доступу до інформації в результаті випадкових або навмисних дій і ряд інших аспектів інформаційної безпеки залишився не розглянутим. Наприклад, оцінка адміністративних заходів безпеки, оцінка безпеки від побічних електромагнітних випромінювань, методики оцінки різних засобів і заходів безпеки, критерії для оцінки криптографічних методів захисту інформації.

5. Стандарти ISO / IEC 17799:2002 (BS 7799:2000 )

В даний час Міжнародний стандарт ISO / IEC 17799:2000 (BS 7799-1:2000 ) "Управління інформаційною безпекою - Інформаційні технології. - Information technology - Information security management" є найбільш відомим стандартом у галузі захисту інформації. Даний стандарт був розроблений на основі першої частини Британського стандарту BS 7799-1:1995 "Практичні рекомендації з управління інформаційною безпекою - Information security management - Part 1: Code of practice for information security management" і відноситься до нового покоління стандартів інформаційної безпеки комп'ютерних інформаційних систем. Поточна версія стандарту ISO / IEC 17799:2000 (BS 7799-1:2000) розглядає наступні актуальні питання забезпечення інформаційної безпеки організацій та підприємств:

Необхідність забезпечення інформаційної безпеки

Основні поняття та визначення інформаційної безпеки

Політика інформаційної безпеки компанії

Організація інформаційної безпеки на підприємстві

Класифікація і керування корпоративними Інформаційні ресурсами

Кадровий менеджмент та інформаційна безпека

Фізична безпека

Адміністрування безпеки корпоративних інформаційних систем управління доступом

Вимоги з безпеки до корпоративних інформаційних систем в ході їх розробки, експлуатації та супроводу

Управління бізнес-процесами компанії з точки зору інформаційної безпеки

Внутрішній аудит інформаційної безпеки компанії

Друга частина стандарту BS 7799-2:2000 "Специфікації систем управління інформаційною безпекою - Information security management - Part 2: Specification for information security management systems", визначає можливі функціональні специфікації корпоративних систем управління інформаційною безпекою з точки зору їх перевірки на відповідність вимогам першої частини даного стандарту. відповідно до положень цього стандарту також регламентується процедура аудиту інформаційних корпоративних систем.

6. Німецький стандарт BSI

На відміну від ISO 17799 німецьке "Керівництво щодо захисту інформаційних технологій для базового рівня захищеності" 1998 присвячено детальному розгляду приватних питань управління інформаційної безпеки компанії. Це посібник є гіпертекстовим електронним підручником обсягом приблизно 4 МБ (у форматі HTML).

У німецькому стандарті BSI представлені:

Загальний метод управління інформаційною безпекою (організація менеджменту в області ІБ, методологія використання керівництва) .

Описи компонентів сучасних інформаційних технологій:

Описи основних компонентів організації режиму інформаційної безпеки (організаційний і технічний рівні захисту даних, планування дій у надзвичайних ситуаціях, підтримка безперервності бізнесу) .

Характеристики об'єктів інформатизації (будівлі, приміщення, кабельні мережі, контрольовані зони).

Характеристики основних інформаційних активів компанії (у тому числі апаратне і програмне забезпечення, наприклад робочі станції і сервери під управлінням операційних систем сімейства DOS, Windows і UNIX).

Характеристики комп'ютерних мереж на основі різних мережевих технологій, наприклад мережі Novell NetWare, мережі UNIX і Windows).

Характеристика активного і пасивного телекомунікаційного обладнання провідних вендорів, наприклад Cisco Systems.

Детальні каталоги загроз безпеки і заходів контролю (більше 600 найменувань у кожному каталозі).

На противагу німецькому стандарту BSI, що надає можливість використовувати конкретні "приватні" сценарії захисту інформаційних активів компанії, стандарти ISO 15408, ISO 17799 дозволяють розглянути тільки найбільш загальні принципи управління інформаційною безпекою, характерні для процесів захисту інформації в цілому. Однак названі підходи мають певні обмеження. Обмеженням німецького стандарту BSI є неможливість поширити рекомендації цього стандарту на захист інформаційних активів українських компаній, які відрізняються за своєю структурою і специфікою бізнес-діяльності. Обмеженням стандартів ISO 17799 є трудність переходу від загальних принципів та питань захисту інформації до приватних практичних процесів забезпечення інформаційної безпеки в українських компаніях. Основна причина цього полягає в тому, що захист інформаційних активів будь-якої української компанії додатково характеризується певними індивідуальними специфічними умовами бізнес діяльності в умовах обмежень та регулювання української нормативної бази в галузі захисту інформації. Іншими словами, тільки спільно використовуючи сильні сторони розглянутих міжнародних стандартів, а також адаптувавши отримані рекомендації відповідно до вимог української нормативної бази в галузі захисту інформації можна ефективно забезпечити захист інформаційних активів конкретної української компанії.

7. Зіставлення стандартів

В якості узагальнених показників, що характеризують стандарти інформаційної, пропонується використовувати універсальність, гнучкість, гарантованість, реалізованість і актуальність.

Універсальність стандарту визначається безліччю типів обчислювальних систем і областю ІТ, до яких можуть бути коректно застосовані його положення. Це дуже важлива характеристика стандарту, бо інформаційні технології переживають період бурхливого розвитку, архітектура комп'ютерних систем вдосконалюється, а сфера їх застосування постійно розширюється. Стандарти інформаційної безпеки в своєму розвитку не повинні відставати від сучасних інформаційних технологій або обходити ту чи іншу сферу їх застосування.

Під гнучкістю стандарту розуміється можливість і зручність його застосування до постійно розвиваються інформаційним технологіям і час його "старіння".

Гарантованість визначається потужністю передбачених стандартом методів і засобів підтвердження надійності результатів кваліфікаційного аналізу.

Реалізованість - це можливість адекватної реалізації вимог і критеріїв стандарту на практиці, з урахуванням витрат на цей процес. Реалізованість пов'язана з універсальністю і гнучкістю, але відображає чисто практичні та технологічні аспекти реалізації положень і вимог стандарту.

Актуальність відображає відповідність вимог і критеріїв стандарту до безлічі загроз безпеки і новітнім методам та засобам, що постійно розвиваються, які використовують зловмисники. Ця характеристика, поряд з універсальністю є однією з найважливіших, т. я. здатність протистояти загрозам і прогнозувати їх розвиток фактично визначає придатність стандарту і є вирішальним чинником при визначенні його придатності.

Класифікація розглянутих стандартів інформаційної безпеки за запропонованими показниками наведена в табл. 1.

Ступінь відповідності стандартів запропонованим показникам визначається за наступною якісною шкалою:

- Обмежена відповідність - недостатня відповідність, при застосуванні стандарту виникають істотні труднощі;

- Помірна відповідність - мінімальна відповідність, при застосуванні стандарту в більшості випадків істотних труднощів не виникає;

- Достатня відповідність - задовільна відповідність, при застосуванні стандарту в більшості випадків не виникає жодних труднощів, проте ефективність пропонованих рішень не гарантується;

- Висока відповідність - стандарт пропонує спеціальні механізми і процедури, спрямовані на поліпшення даного показника, застосування яких дозволяє отримувати достатньо ефективні рішення;

- Чудова відповідність - поліпшення даного показника розглядалося авторами стандарту в якості однієї з основних цілей його розробки, що забезпечує ефективність застосування запропонованих рішень .

Табл. 1

Діюча вітчизняна нормативна база в галузі інформаційної безпеки дозволяє в цілому вирішувати проблеми захисту інформації в автоматизованих системах управління, інформаційних системах, обчислювальних і телекомунікаційних мережах, дозволяє забезпечувати проведення сертифікації засобів і систем інформаційних технологій на відповідність вимогам інформаційної безпеки. Однак аналіз стану вітчизняної та міжнародної нормативної бази в галузі інформаційної безпеки показує, що вітчизняна нормативна база:

- Відстає від сучасного рівня розвитку інформаційних технологій і необхідного нормативного забезпечення;

- Не відповідає сучасному рівню розвитку міжнародної нормативної бази, не враховує зарубіжний досвід і методологію розробки нормативних документів у галузі безпеки інформаційних технологій.

З метою ліквідації відставання вітчизняної нормативної бази від міжнародного та зарубіжного рівня пропоную наступні кроки по розвитку і вдосконалення нормативної бази в даній області:

Сформувати системи сертифікації в області інформаційної безпеки в тому числі:

Систему сертифікації засобів захисту інформації за вимогами безпеки інформації;

Систему сертифікації засобів і систем інформатизації.

Для забезпечення системного підходу у вирішенні проблеми нормативного забезпечення інформаційної безпеки розробити спеціальну цільову програму:

«Програма комплексної стандартизації в галузі захисту інформації», спрямована на створення в країні Державної системи захисту інформації. При розробці даної програми використати основні принципи стандартизації:

- Системність розробки державних стандартів;

- Гармонізація стандартів з міжнародними;

- Централізоване планування і фінансування розробки стандартів.

Наша «Незалежна» Держава все ще намагається триматись осторонь нових технологій. І, можливо, це добре, але і свій «велосипед» вони створювати не хочуть. Міжнародні стандарти в області інформаційно-телекомунікаційних технологій в більшості випадків не співпадають з умовами забезпечення якості, швидкості і безпеки передачі даних в наших НД. Також, якість наших мереж бажає кращого і відмова від поліпшення значно ускладнює впровадження нових змін та стримує інновації.

Література

1. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу: НД ТЗІ 1.1--003--99. -- К.: ДСТС31 СБ України, 1999.- 26 с

2. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу: НД ТЗІ 1.1-002-99.- К.. ДСТСЗІ СБ України, 1999- 16с.

3. Теория и практика обеспечения информационной безопасности / Под ред. П. Д. Зегжды- М: Яхтсмен, 1996- 302 с.

4. Стандарт інституту Institute Electrical & Electronics Engineers (IEEE) для бездротових мереж 802.11b - 1999 р.

Размещено на Allbest.ru