бесплано рефераты

Разделы

рефераты   Главная
рефераты   Искусство и культура
рефераты   Кибернетика
рефераты   Метрология
рефераты   Микроэкономика
рефераты   Мировая экономика МЭО
рефераты   РЦБ ценные бумаги
рефераты   САПР
рефераты   ТГП
рефераты   Теория вероятностей
рефераты   ТММ
рефераты   Автомобиль и дорога
рефераты   Компьютерные сети
рефераты   Конституционное право
      зарубежныйх стран
рефераты   Конституционное право
      России
рефераты   Краткое содержание
      произведений
рефераты   Криминалистика и
      криминология
рефераты   Военное дело и
      гражданская оборона
рефераты   География и экономическая
      география
рефераты   Геология гидрология и
      геодезия
рефераты   Спорт и туризм
рефераты   Рефераты Физика
рефераты   Физкультура и спорт
рефераты   Философия
рефераты   Финансы
рефераты   Фотография
рефераты   Музыка
рефераты   Авиация и космонавтика
рефераты   Наука и техника
рефераты   Кулинария
рефераты   Культурология
рефераты   Краеведение и этнография
рефераты   Религия и мифология
рефераты   Медицина
рефераты   Сексология
рефераты   Информатика
      программирование
 
 
 

Информационная безопасность, стандарты информационной безопасности

Информационная безопасность, стандарты информационной безопасности

СОДЕРЖАНИЕ

Введение

Глава 1 Теоретическое исследование

1.1.   История и Государственная политика в области информационной безопасности

1.2.   Проблемы информационной безопасности и борьба с терроризмом. Угрозы и их показатели.

1.3.   Методика реализации политики безопасности

1.4.   Стандарты безопасности Гостехкомиссии. Стандарты Европы и США

1.5.   Стеганография и ее применение в информационной безопасности

1.6.   Классы информационной безопасности

1.7.   Информационная безопасность Российской Федерации

Приложение

Вывод

Литература


ВВЕДЕНИЕ

Вопросы информационной безопасности играют сегодня огромную роль в сфере высоких технологий, где именно информация (особенно цифровая) становится одновременно «продуктом и сырьём». Огромный мегаполис IT построен на всемирных реках данных из разных точек планеты. Её производят, обрабатывают, продают и, к сожалению, зачастую воруют.

Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

Если говорить о безопасности информации, сохраняющейся на "традиционных" носителях (бумага, фотоотпечатки и т.п.), то ее сохранность достигается соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более широким по сравнению с информационной безопасностью относительно "традиционных" носителей.

Если говорить о различиях в подходах к решению проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют. Подход к обеспечению безопасности Государственной автоматизированной системы "Выборы" не отличается от подхода к обеспечению безопасности локальной сети в маленькой фирме.

Потому жизненно необходимы методы защиты информации для любого человека современной цивилизации, особенно использующего компьютер. По этой причине практически любой пользователь ПК в мире так или иначе «подкован» в вопросах борьбы с вирусами, «троянскими конями» и другими вредоносными программами, а также личностями стоящими за их созданием и распространением — взломщиками, спамерами, крэкерами, вирусмэйкерами (создателями вирусов) и просто мошенниками, обманывающих людей в поисках наживы — корпоративной информации, стоящей немалых денег.

Причём последние зачастую осуществляют задуманное руками своих жертв. А потому «технические» и «физические» методы защиты информации должны совмещаться с образованием пользователей в области компьютерных технологий и в частности компьютерной безопасности.

Одними из первых эти проблемы осознали и предприняли решительный шаг к их решению государственные ведомства США в конце 60-х годов, когда компьютеры стоили сотни тысяч долларов, а интернет зарождался из немногочисленных чисто военных и научных сетей.

Невозможно переоценить роль Средств Массовой Информации в их влиянии на формирование или деформирование институтов общества. Современный уровень таких наук, как социология и социальная психология в соединении с различными видами искусств, управляемых законами рекламы и маркетинга, позволяет использовать слово, кино- и видеоизображение в качестве новых инструментов управления. Завоевания новейшей демократии – свобода слова и плюрализм мнений, к сожалению, не могут послужить преградой Силам, желающим использовать эти свободы в своекорыстных интересах, обращенных во зло обществу.

Каждое человеческое общество имеет общую систему ценностей, обусловленную историей и менталитетом страны, нации. Эта система ценностей выработана опытом предшествующих поколений и представляет собой наиболее целесообразный, успешный способ существования, обеспечивающий интеграцию различных слоев общества. Для России это - христианские, православные моральные ценности. Все проблемы, встающие перед обществом, решаются в контексте этих ценностей. Их разрушение ведет к аномии, возникающей в эпохи крушения, моральному коллапсу, дезинтегрирующему социум.

До последнего времени проблема обеспечения безопасности компьютерной информации в нашей стране не только не выдвигалась на передний край, но фактически полностью игнорировалась. Считалось, что путем тотальной секретности, различными ограничениями в сфере передачи и распространения информации, можно решить проблему обеспечения информационной безопасности.

Существуют, так называемые, правовые меры обеспечения информационной безопасности.  К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.

Цель исследования: определить существует ли в природе система, которая защитит информацию от взлома.

Задачи исследования:

·  Определить, защищенность информации от взлома.

·  Выявить проблемы информационной безопасности.

·  Рассмотреть виды информационной безопасности.

Объектом исследования является информационная безопасность.

Предметом исследования являются проблемы информационной безопасности, законы, регулирующие информационную безопасность, угрозы и их показатели, стандарты безопасности и применение.


Глава 1 Теоретическое исследование

1.1.  История и Государственная политика в области информационной безопасности

При объединении и синхронизации вышеупомянутых сетей остро встал вопрос защиты «от шпионов» секретной государственной информации, особенно учитывая то насколько легко и быстро можно скопировать информацию в цифровом виде.

В 1967 под патронажем Национального Комитета Стандартов была учреждена Инициативная Группа исследователей по вопросам компьютерной безопасности, в которую вошли представители университетов, компаний по производству компьютеров, научно-исследовательских центров и других организаций.

Результатом объединения усилий промышленных и научных специалистов, множества теоретических исследований в широкой области математики — теории информации, а также огромного опыта в реальной индустрии, оказалась «радужная серия» - ряд стандартов и требований предъявляемых к оборудованию, программному обеспечению и персоналу так называемых систем автоматической обработки данных — компьютерных сетей, принадлежавших таким гос. структурам США как : NASA, Министерство Обороны, Национальный комитет стандартов, Министерство Труда, Отдел по охране окружающей среды, Министерство по контролю за вооружением, Национальное научное общество, Федеральная резервная система и наконец Центр Объединенного Командования ВС.

Был даже создан Национальный Центр Компьютерной Безопасности, занимавшийся этими вопросами.

А в 1981 был создан подобный центр при Министерстве Обороны, разработавший и внедривший «радужную серию» в 1985 году. Наиболее значимым для истории в силу своей общности и направленности не только на сугубо внутренние цели, но и на некую оценку качества коммерческих продуктов так или иначе обрабатывающих и хранящих конфиденциально важную информацию, стал стандарт «Критерии оценки доверенных компьютерных систем», названный Оранжевой книгой в силу цвета обложки (кстати говоря, оранжевую обложку имеет не только этот мировой стандарт — по меньшей мере спецификации на лазерный аудиодиск и на шейдерную модель OpenGL называют оранжевыми книгами). Её целью были максимальная гибкость и универсальность оценки безопасности.

Системы безопасности появились, чтобы защитить её от шпионом и от других взломов.

Информационная безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Под национальными интересами Российской Федерации понимается:

·  Информационное обслуживание руководства

·  Сохранность инфраструктуры

·  Развитие информационных средств

·  Защита прав человека в информационной сфере

·  Защита прав на частную информацию

·  Защита баз данных

·  Достоверность передаваемой информации

На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.

Государственная политика обеспечения информационной безопасности Российской Федерации определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей и ответственности за защищенность интересов Российской Федерации в информационной сфере в рамках закрепленных за ними направлений деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

Государственная политика Российской Федерации в области информационной безопасности основывается на следующих принципах:

·  Федеральная программа ИБ

·  Нормативно-правовая база

·  Регламентация  доступа к информации

·  Юридическая ответственность за сохранность информации

·  Контроль за разработкой и использованием средств защиты информации

·  Предоставление гражданам доступа к мировым информационным системам

Государство в процессе реализации своих функций по обеспечению информационной безопасности Российской Федерации:

·  проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению;

·  организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации;

·  поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;

·  осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;

·  проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;

·  способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

·  формулирует и реализует государственную информационную политику России;

·  организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области;

·  способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации.

Политика государства заключается в том, чтобы защитить информацию в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

1.2.  Проблемы информационной безопасности и борьба с терроризмом. Угрозы и их показатели

Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:

-   необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;

-   необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);

-   необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).

Следует знать, что любая информационная система потенциально уязвима. И эта уязвимость по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности в разряд важнейших, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях.

Основная работа по снижению дестабилизирующих факторов в области информационной безопасности - раскрыть собственно суть проблемы, конкретизировать дестабилизирующие факторы и представить основные методы, способные значительно повысить защищенность ИС. Эта проблема в значительной степени решается посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для достижения поставленной цели в необходимо рассмотреть исходные данные и факторы, определяющие технологическую безопасность сложных информационных систем:

-   показатели, характеризующие технологическую безопасность информационных систем;

-   требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС;

-   ресурсы, необходимые для обеспечения технологической безопасности ИС;

-   внутренние и внешние дестабилизирующие факторы, влияющие на безопасность функционирования программных средств и баз данных;

-   методы и средства предотвращения и снижения влияния угроз безопасности ИС со стороны дефектов программ и данных;

-   оперативные методы и средства повышения технологической безопасности функционирования ПС и БД путем введения в ИС временной, программной и информационной избыточности;

-   методы и средства определения реальной технологической безопасности функционирования критических ИС.

Основываясь на полученных данных необходимо выработать стратегию и тактику направленную на уменьшение факторов способных вызвать те или иные деструктивные последствия.

Проблема информационной безопасности заключается в том, что любую систему можно взломать.

Терроризм, как выражение крайнего экстремизма, основанное на различного рода разногласиях (как национального, так и транснационального масштаба) в политике, экономике, на религиозной или криминальной почве, обсуждается и осуждается давно. При современном уровне развития высоких технологий расширяются возможности их использования для совершения террористических действий. Во многих странах сегодня ведется активная работа по анализу потенциальных возможностей подобных проявлений и выработке мер по борьбе с этим злом.

Терроризм - совокупность противоправных действий, связанных с покушениями на жизнь людей, угрозами расправ, деструктивными действиями в отношении материальных объектов, искажением объективной информации или рядом других действий, способствующих нагнетанию страха и напряженности в обществе с целью получения преимуществ при решении политических, экономических или социальных проблем.

Направления противоправных, злоумышленных действий на сетевой среде с целью использования их результатов для проведения террористических актов можно представить в виде следующих:

·  Разрушение инфраструктуры сети корпоративного, национального или транснационального масштаба посредством вывода из строя системы управления ею или отдельных подсистем.

·  Несанкционированный (неправомерный) доступ к сетевой информации, охраняемой законом и носящей высокий уровень секретности, нарушение ее целостности, конструктивной управляемости и защищенности.

Следует отличать террористические действия от действий террористов с использованием сетевых ресурсов (в том числе собственных в Интернет) в целях пропаганды своих взглядов, нагнетания обстановки страха, напряженности и т. д.

Ущерб от террористических действий на сетевой среде связан:

·  с человеческими жертвами или материальными потерями, вызванными деструктивным использованием элементов сетевой инфраструктуры;

·  с возможными потерями (в том числе гибелью людей) от несанкционированного использования информации с высоким уровнем секретности или сетевой инфраструктуры управления в жизненно важных (критических) для государства сферах деятельности;

·  с затратами на восстановление управляемости сети, вызванными действиями по ее разрушению или повреждению;

·  с моральным ущербом как владельца сетевой инфраструктуры, так и собственного информационного ресурса;

·  с другими возможными потерями от несанкционированного использования информации с высоким уровнем секретности.

Отличие подходов к предотвращению и реагированию на действия в случае террористического характера целей от других противоправных действий в сетях общего пользования связано с более высоким уровнем требований к безопасности систем, обусловленных их назначением, целями и средой безопасности, и, соответственно, величиной издержек от подобных злоумышленных действий.

В качестве понятия, интегрирующего противодействия кибертерроризму, рассмотрим антитеррористическую информационную безопасность с тем, чтобы подчеркнуть отличие от традиционной информационной безопасности.

Антитеррористическая информационная безопасность - совокупность механизмов, инструментальных средств, методов, мер и мероприятий, позволяющих предотвратить, обнаружить, а в случае обнаружения, - оперативно реагировать на действия, способные привести:

·  к разрушению инфраструктуры сети посредством вывода из строя системы управления ею или отдельных ее элементов;

·  к несанкционированному доступу к информации, охраняемой законом и носящей высокий уровень секретности, нарушению ее целостности, конструктивной управляемости и защищенности.

Основа антитеррористических действий с использованием сетевой среды - традиционная информационная безопасность, ее методология, модели, механизмы и инструментальные средства. Разработка, построение и сопровождение систем информационной безопасности для отдельных продуктов, изделий и комплексов на сетевой среде, особенно на сетях пакетной коммутации и Интернет, - сложная, многоплановая задача.

Антитеррористическая информационная безопасность является важным пунктом в информационной безопасности и ему уделяется особое значение.

Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.

По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

·  несанкционированный доступ к информационным ресурсам;

·  незаконное копирование данных в информационных системах;

·  хищение информации из библиотек, архивов, банков и баз данных;

·  нарушение технологии обработки информации;

·  противозаконный сбор и использование информации;

·  использование информационного оружия.

К программным угрозам относятся:

·  использование ошибок и "дыр" в ПО;

·  компьютерные вирусы и вредоносные программы;

·  установка "закладных" устройств;

К физическим угрозам относятся:

·  уничтожение или разрушение средств обработки информации и связи;

·  хищение носителей информации;

·  хищение программных или аппаратных ключей и средств криптографической защиты данных;

·  воздействие на персонал;

К радиоэлектронным угрозам относятся:

·  внедрение электронных устройств перехвата информации в технические средства и помещения;

·  перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно-правовым угрозам относятся:

·  закупки несовершенных или устаревших информационных технологий и средств информатизации;

·  нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

Словарь терминов Гостехкомиссии определяет понятие угроз национальной безопасности России в информационной сфере следующим образом:

Угрозами национальной безопасности России в информационной сфере являются:

·  стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка;

·  разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем; а также сохранности информационных ресурсов, получения несанкционированного доступа к ним.

К мерам противодействия указанным угрозам необходимо отнести:

·  постановку и проведение научных исследований, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;

·  развитие отечественной индустрии в области создания и производства оборудования элементов телекоммуникационных систем;

·  минимизацию числа иностранных фирм - поставщиков;

·  координацию действий по проверке надежности указанных фирм;

·  уменьшению номенклатуры поставляемого оборудования;

·  переходу от поставок оборудования к поставкам комплектующих на элементарном уровне;

·  установлению приоритета в использовании отечественных средств защиты этих систем.

Существует много видов угроз.

1.3.  Методика реализации политики безопасности

Первоочередными мероприятиями по реализации государственной политики обеспечения информационной безопасности Российской Федерации являются:

·  разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности Российской Федерации;

·  разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;

·  принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, повышение правовой культуры и компьютерной грамотности граждан, развитие инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения;

·  развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации;

·  гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения.

Также существует система обеспечения информационной безопасности Российской Федерации. Она предназначена для реализации государственной политики в данной сфере.

Основными функциями системы обеспечения информационной безопасности Российской Федерации являются:

·  разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;

·  создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;

·  определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;

·  оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

·  координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;

·  предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;

·  развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;

·  проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;

·  организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;

·  защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;

·  обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;

·  осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.

Компетенция федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.

Функции органов, координирующих деятельность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации.

Информационная безопасность Российской Федерации затрагивает все сферы общественной жизни.

1.4.  Стандарты безопасности Гостехкомиссии. Стандарты Европы и США

РД Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.

Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".

РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации"

РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

Первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;

Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

Четвертая группа характеризуется верифицированной защитой содержит только первый класс.

РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации"

РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

·  наличие в АС информации различного уровня конфиденциальности;

·  уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

·  режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации"

При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

·  Управление доступом;

·  Идентификация и аутентификация;

·  Регистрация событий и оповещение;

·  Контроль целостности;

·  Восстановление работоспособности.

На основании показателей защищенности определяются следующие пять классов защищенности МЭ:

·  Простейшие фильтрующие маршрутизаторы - 5 класс;

·  Пакетные фильтры сетевого уровня - 4 класс;

·  Простейшие МЭ прикладного уровня - 3 класс;

·  МЭ базового уровня - 2 класс;

·  Продвинутые МЭ - 1 класс.

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.

Также к стандартам России в области информационной безопасности относятся:

·  Гост 28147-89 – блочный шифр с 256-битным ключом;

·  Гост Р 34.11-94 –функция хэширования;

·  Гост Р 34.10-94 –алгоритм цифровой подписи.

Существует много защит информационной безопасности.

Европейские стандарты безопасности

ISO 15408: Common Criteria for Information Technology Security Evaluation

Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

Общие критерии оценки безопасности информационных технологий (далее "Общие критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

Хотя применимость "Общих критериев" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Первая часть "Общих критериев" содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части "Общих критериев" и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.

Третья часть "Общих критериев" содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

·  Наличие побочных каналов утечки информации;

·  Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;

·  Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;

·  Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.

ISO 17799: Code of Practice for Information Security Management

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.

ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на следующие 10 разделов:

·  Политика безопасности;

·  Организация защиты;

·  Классификация ресурсов и их контроль;

·  Безопасность персонала;

·  Физическая безопасность;

·  Администрирование компьютерных систем и вычислительных сетей;

·  Управление доступом;

·  Разработка и сопровождение информационных систем;

·  Планирование бесперебойной работы организации;

·  Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира.

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

Ключевыми являются следующие средства контроля:

·  Документ о политике информационной безопасности;

·  Распределение обязанностей по обеспечению информационной безопасности;

·  Обучение и подготовка персонала к поддержанию режима информационной безопасности;

·  Уведомление о случаях нарушения защиты;

·  Средства защиты от вирусов;

·  Планирование бесперебойной работы организации;

·  Контроль над копированием программного обеспечения, защищенного законом об авторском праве;

·  Защита документации организации;

·  Защита данных;

·  Контроль соответствия политике безопасности.

Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.

Стандарты безопасности США

"Оранжевая книга "

"Department of Defense Trusted Computer System Evaluation Criteria"

OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное

название документа "Department of Defense Trusted Computer System Evaluation Criteria".

OK предназначается для следующих целей:

·  Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;

·  Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;

·  Обеспечить базу для исследования требований к выбору защищенных систем.

Рассматривают два типа оценки:

·  без учета среды, в которой работает техника;

·  в конкретной среде (эта процедура называется аттестованием).

Во всех документах DOD, связанных с ОК, принято одно понимание фразы обеспечение безопасности информации. Это понимание принимается как аксиома и формулируется следующим образом: безопасность = контроль за доступом.

Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.

1.  Класс (D): Минимальная защита

2.  Класс (C1): Защита, основанная на разграничении доступа (DAC)

3.  Класс (С2): Защита, основанная на управляемом контроле доступом

4.  Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ

5.  Класс (B2): Структурированная защита

6.  Класс (ВЗ): Домены безопасности

7.  Класс (A1): Верифицированный проект

FIPS 140-2 "Требования безопасности для криптографических модулей"

В федеральном стандарте США FIPS 140-2 "Требования безопасности для криптографических модулей" под криптографическим модулем понимается набор аппаратных и/или программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.

В стандарте FIPS 140-2 рассматриваются криптографические модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной. То есть речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. Наличие подобного модуля — необходимое условие обеспечения защищенности сколько-нибудь развитой информационной системы; однако, чтобы выполнять предназначенную ему роль, сам модуль также нуждается в защите, как собственными средствами, так и средствами окружения (например, операционной системы).

Стандарт шифрования DES

Также к стандартам информационной безопасности США относится алгоритм шифрования DES, который был разработан в 1970-х годах, и который базируется на алгоритме DEA.

Исходные идеи алгоритма шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-х годах. Первоначально эта методика шифрования называлась lucifer (разработчик Хорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первым блочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовый ключ. По существу этот алгоритм являлся прототипом DEA.

1.5.  Стеганография и ее применение в информационной безопасности

Задача надежной защиты информации от несанкционированного доступа является одной из древнейших и не решенных до настоящего времени проблем. Способы и методы скрытия секретных сообщений известны с давних времен, причем, данная сфера человеческой деятельности получила название стеганография. Это слово происходит от греческих слов steganos (секрет, тайна) и graphy (запись) и, таким образом, означает буквально “тайнопись”, хотя методы стеганографии появились, вероятно, раньше, чем появилась сама письменность (первоначально использовались условные знаки и обозначения).

Страницы: 1, 2


© 2010 САЙТ РЕФЕРАТОВ