Курсовая работа: Информационная безопасность, стандарты информационной безопасности
РД Гостехкомиссии России
составляют основу нормативной базы в области защиты от НСД к информации в нашей
стране. Наиболее значимые из них, определяющие критерии для оценки защищенности
АС (СВТ), рассматриваются ниже.
Критерии для оценки
механизмов защиты программно-технического уровня, используемые при анализе
защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД
к информации. Классификация АС и требования по защите информации" и
"СВТ. Защита от НСД к информации. Показатели защищенности от НСД к
информации".
РД "СВТ.
Защита от НСД к информации. Показатели защищенности от НСД к информации"
РД "СВТ. Защита от
НСД к информации. Показатели защищенности от НСД к информации"
устанавливает классификацию СВТ по уровню защищенности от НСД к информации на
базе перечня показателей защищенности и совокупности описывающих их требований.
(Основным "источником вдохновения" при разработке этого документа
послужила знаменитая американская "Оранжевая книга"). Устанавливается
семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой,
самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся
уровнем защиты:
Первая группа содержит только один седьмой класс,
к которому относят все СВТ, не удовлетворяющие требованиям более высоких
классов;
Вторая группа характеризуется дискреционной
защитой и содержит шестой и пятый классы;
Третья группа характеризуется мандатной защитой и
содержит четвертый, третий и второй классы;
Четвертая группа характеризуется верифицированной
защитой содержит только первый класс.
РД "АС. Защита
от НСД к информации. Классификация АС и требования по защите информации"
РД "АС. Защита от
НСД к информации. Классификация АС и требования по защите информации"
устанавливает классификацию автоматизированных систем, подлежащих защите от
несанкционированного доступа к информации, и требования по защите информации в
АС различных классов. К числу определяющих признаков, по которым производится
группировка АС в различные классы, относятся:
·
наличие в АС
информации различного уровня конфиденциальности;
·
уровень
полномочий субъектов доступа АС на доступ к конфиденциальной информации;
·
режим обработки
данных в АС - коллективный или индивидуальный.
Устанавливается девять
классов защищенности АС от НСД к информации. Каждый класс характеризуется
определенной минимальной совокупностью требований по защите. Классы
подразделяются на три группы, отличающиеся особенностями обработки информации в
АС. В пределах каждой группы соблюдается иерархия требований по защите в
зависимости от ценности и конфиденциальности информации и, следовательно,
иерархия классов защищенности АС.
РД "СВТ.
Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к
информации"
При анализе системы
защиты внешнего периметра корпоративной сети в качестве основных критериев
целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к
информации. Показатели защищенности от НСД к информации". Данный документ
определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель
защищенности представляет собой набор требований безопасности, характеризующих
определенную область функционирования МЭ. Всего выделяется пять показателей
защищенности:
·
Управление
доступом;
·
Идентификация и
аутентификация;
·
Регистрация
событий и оповещение;
·
Контроль
целостности;
·
Восстановление
работоспособности.
На основании показателей
защищенности определяются следующие пять классов защищенности МЭ:
·
Простейшие
фильтрующие маршрутизаторы - 5 класс;
·
Пакетные фильтры
сетевого уровня - 4 класс;
·
Простейшие МЭ
прикладного уровня - 3 класс;
·
МЭ базового
уровня - 2 класс;
·
Продвинутые МЭ -
1 класс.
МЭ первого класса
защищенности могут использоваться в АС класса 1А, обрабатывающих информацию
"Особой важности". Второму классу защищенности МЭ соответствует класс
защищенности АС 1Б, предназначенный для обработки "совершенно
секретной" информации и т.п.
Также к стандартам России
в области информационной безопасности относятся:
·
Гост 28147-89 –
блочный шифр с 256-битным ключом;
·
Гост Р 34.11-94
–функция хэширования;
·
Гост Р 34.10-94
–алгоритм цифровой подписи.
Существует много защит
информационной безопасности.
Европейские
стандарты
безопасности
ISO 15408: Common Criteria for Information Technology
Security Evaluation
Наиболее
полно критерии для оценки механизмов безопасности программно-технического
уровня представлены в международном стандарте ISO 15408: Common Criteria for
Information Technology Security Evaluation (Общие критерии оценки безопасности
информационных технологий), принятом в 1999 году.
Общие
критерии оценки безопасности информационных технологий (далее "Общие
критерии") определяют функциональные требования безопасности (security
functional requirements) и требования к адекватности реализации функций
безопасности (security assurance requirements).
Хотя
применимость "Общих критериев" ограничивается механизмами
безопасности программно-технического уровня, в них содержится определенный
набор требований к механизмам безопасности организационного уровня и требований
по физической защите, которые непосредственно связаны с описываемыми функциями
безопасности.
Первая
часть "Общих критериев" содержит определение общих понятий,
концепции, описание модели и методики проведения оценки безопасности ИТ. В ней
вводится понятийный аппарат, и определяются принципы формализации предметной
области.
Требования
к функциональности средств защиты приводятся во второй части "Общих
критериев" и могут быть непосредственно использованы при анализе защищенности
для оценки полноты реализованных в АС (СВТ) функций безопасности.
Третья
часть "Общих критериев" содержит классы требований гарантированности
оценки, включая класс требований по анализу уязвимостей средств и механизмов
защиты под названием AVA: Vulnerability Assessment. Данный класс требований
определяет методы, которые должны использоваться для предупреждения, выявления
и ликвидации следующих типов уязвимостей:
·
Наличие побочных
каналов утечки информации;
·
Ошибки в
конфигурации либо неправильное использование системы, приводящее к переходу в
небезопасное состояние;
·
Недостаточная
надежность (стойкость) механизмов безопасности, реализующих соответствующие
функции безопасности;
·
Наличие
уязвимостей ("дыр") в средствах защиты информации, дающих возможность
пользователям получать НСД к информации в обход существующих механизмов защиты.
ISO 17799: Code of Practice for Information Security
Management
Наиболее
полно критерии для оценки механизмов безопасности организационного уровня
представлены в международном стандарте ISO 17799: Code of Practice for
Information Security Management (Практические правила управления информационной
безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как
международной версией британского стандарта BS 7799.
ISO
17799 содержит практические правила по управлению информационной безопасностью
и может использоваться в качестве критериев для оценки механизмов безопасности
организационного уровня, включая административные, процедурные и физические
меры защиты.
Практические
правила разбиты на следующие 10 разделов:
·
Политика
безопасности;
·
Организация
защиты;
·
Классификация
ресурсов и их контроль;
·
Безопасность
персонала;
·
Физическая
безопасность;
·
Администрирование
компьютерных систем и вычислительных сетей;
·
Управление
доступом;
·
Разработка и
сопровождение информационных систем;
·
Планирование
бесперебойной работы организации;
·
Контроль
выполнения требований политики безопасности.
В
этих разделах содержится описание механизмов безопасности организационного
уровня, реализуемых в настоящее время в правительственных и коммерческих
организациях во многих странах мира.
Десять
средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые),
считаются особенно важными. Под средствами контроля в данном контексте
понимаются механизмы управления информационной безопасностью организации.
Ключевыми
являются следующие средства контроля:
·
Документ о
политике информационной безопасности;
·
Распределение
обязанностей по обеспечению информационной безопасности;
·
Обучение и
подготовка персонала к поддержанию режима информационной безопасности;
·
Уведомление о
случаях нарушения защиты;
·
Средства защиты
от вирусов;
·
Планирование
бесперебойной работы организации;
·
Контроль над
копированием программного обеспечения, защищенного законом об авторском праве;
·
Защита
документации организации;
·
Защита данных;
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 |