Тенденция развития стандартов и политик информационной безопасности

 

МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

Федеральное агентство  по образованию.

Государственное общеобразовательное учреждение высшего  профессионального образования

«СИБИРСКАЯ  ГОСУДАРСТВЕННАЯ ГЕОДЕЗИЧЕСКАЯ  АКАДЕМИЯ»

(ГОУ ВПО  «СГГА»)

 

 

Кафедра наносистем и оптотехники

 

 

 

 

 

Курсовая  работа по дисциплине «Стандарты и политическая информационная безопасность» на тему: «Тенденция развития стандартов и политик информационной безопасности»

 

 

 

 

Выполнил: студент  гр. ОЗИ-51 Вандакурова А.А.

Проверил: Кузнецов  М.В.

 

 

 

 

 

 

 

 

Новосибирск 2013

СОДЕРЖАНИЕ

1. Введение…………………………………………………………..….3

 

2. Роль стандартов и спецификаций. Наиболее важные стандарты и спецификации в области информационной безопасности….….….6

 

 

3. Методика реализации политики безопасности……………….…...10

 

4. Стандарты безопасности Гостехкомиссии. Стандарты Европы и США……………………………………………………………….....14

 

5. Заключение…………………………………………………………..23

 

6. Литература…………………………………………………………...26

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Введение

Вопросы информационной безопасности играют сегодня огромную роль в сфере  высоких технологий, где именно информация (особенно цифровая) становится одновременно «продуктом и сырьём». Огромный мегаполис IT построен на всемирных реках данных из разных точек планеты. Её производят, обрабатывают, продают и, к сожалению, зачастую воруют.

Говоря об информационной безопасности, в настоящее время  имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных  носителях играет все большую  роль в жизни современного общества. Уязвимость такой информации обусловлена  целым рядом факторов: огромные объемы, многоточечность и возможная  анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

Если говорить о безопасности информации, сохраняющейся на "традиционных" носителях (бумага, фотоотпечатки и  т.п.), то ее сохранность достигается  соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения  в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и  техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более  широким по сравнению с информационной безопасностью относительно "традиционных" носителей.

Если говорить о различиях  в подходах к решению проблемы информационной безопасности на различных  уровнях (государственном, региональном, уровне одной организации), то такие  различия просто не существуют. Подход к обеспечению безопасности Государственной  автоматизированной системы "Выборы" не отличается от подхода к обеспечению  безопасности локальной сети в маленькой  фирме.

Потому жизненно необходимы методы защиты информации для любого человека современной цивилизации, особенно использующего компьютер. По этой причине практически любой  пользователь ПК в мире так или  иначе «подкован» в вопросах борьбы с вирусами, «троянскими конями»  и другими вредоносными программами, а также личностями стоящими за их созданием и распространением —  взломщиками, спамерами, крэкерами, вирусмэйкерами (создателями вирусов) и просто мошенниками, обманывающих людей в поисках  наживы — корпоративной информации, стоящей немалых денег.

Причём последние зачастую осуществляют задуманное руками своих  жертв. А потому «технические» и  «физические» методы защиты информации должны совмещаться с образованием пользователей в области компьютерных технологий и в частности компьютерной безопасности.

Одними из первых эти проблемы осознали и предприняли решительный  шаг к их решению государственные  ведомства США в конце 60-х годов, когда компьютеры стоили сотни тысяч  долларов, а интернет зарождался из немногочисленных чисто военных  и научных сетей.

Невозможно  переоценить роль Средств Массовой Информации в их влиянии на формирование или деформирование институтов общества. Современный уровень таких наук, как социология и социальная психология в соединении с различными видами искусств, управляемых законами рекламы  и маркетинга, позволяет использовать слово, кино- и видеоизображение в  качестве новых инструментов управления. Завоевания новейшей демократии –  свобода слова и плюрализм  мнений, к сожалению, не могут послужить  преградой Силам, желающим использовать эти свободы в своекорыстных  интересах, обращенных во зло обществу.

Каждое человеческое общество имеет общую систему ценностей, обусловленную историей и менталитетом страны, нации. Эта система ценностей  выработана опытом предшествующих поколений  и представляет собой наиболее целесообразный, успешный способ существования, обеспечивающий интеграцию различных слоев общества. Для России это - христианские, православные моральные ценности. Все проблемы, встающие перед обществом, решаются в контексте этих ценностей. Их разрушение ведет к аномии, возникающей в эпохи крушения, моральному коллапсу, дезинтегрирующему социум.

До последнего времени проблема обеспечения безопасности компьютерной информации в нашей стране не только не выдвигалась на передний край, но фактически полностью игнорировалась. Считалось, что путем тотальной  секретности, различными ограничениями  в сфере передачи и распространения  информации, можно решить проблему обеспечения информационной безопасности.

Существуют, так называемые, правовые меры обеспечения информационной безопасности.  К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.

Цель исследования: определить существует ли в природе система, которая защитит информацию от взлома.

Задачи исследования:

• Определить, защищенность информации от взлома.
• Выявить проблемы информационной безопасности.
• Рассмотреть виды информационной безопасности.

Объектом исследования является информационная безопасность.

Предметом исследования являются проблемы информационной безопасности, законы, регулирующие информационную безопасность, угрозы и их показатели, стандарты безопасности и применение.

 

2. Роль стандартов и спецификаций. Наиболее важные стандарты и спецификации в области информационной безопасности

          Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько причин.

          Формальная состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и/или Руководящим документам Гостехкомиссии России) закреплена законодательно. Однако наиболее убедительны содержательные причины. Во-первых, стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами. Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в Internet-сообществе это средство действительно работает, и весьма эффективно.

              Отмеченная роль стандартов зафиксирована в основных понятиях закона РФ "О техническом регулировании" от 27 декабря 2002 года под номером 184-ФЗ (принят Государственной Думой 15 декабря 2002 года):

• стандарт - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения;
• стандартизация - деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг.

          Примечательно также, что в число принципов стандартизации, провозглашенных в статье 12 упомянутого закона, входит принцип применения международного стандарта как основы разработки национального, за исключением случаев, если "такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация, в соответствии с установленными процедурами, выступала против принятия международного стандарта или отдельного его положения". С практической точки зрения, количество стандартов и спецификаций (международных, национальных, отраслевых и т.п.) в области информационной безопасности бесконечно. В курсе рассматриваются наиболее важные из них, знание которых необходимо всем или почти всем разработчикам и оценщикам защитных средств, многим сетевым и системным администраторам, руководителям соответствующих подразделений, пользователям.

             Отбор проводился таким образом, чтобы охватить различные аспекты информационной безопасности, разные виды и конфигурации информационных систем (ИС), предоставить полезные сведения для самых разнообразных групп целевой аудитории.

На  верхнем уровне можно выделить две  существенно отличающиеся друг от друга  группы стандартов и спецификаций:

• оценочные стандарты, предназначенные для оценки и классификации информационных систем и средств защиты по требованиям безопасности;
• спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.

          Эти группы, разумеется, не конфликтуют, а дополняют друг друга. Оценочные стандарты описывают важнейшие, с точки зрения информационной безопасности, понятия и аспекты ИС, играя роль организационных и архитектурных спецификаций. Другие спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.

            Из числа оценочных необходимо выделить стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем" и его интерпретацию для сетевых конфигураций, "Гармонизированные критерии Европейских стран", международный стандарт "Критерии оценки безопасности информационных технологий" и, конечно, Руководящие документы Гостехкомиссии России. К этой же группе относится и Федеральный стандарт США "Требования безопасности для криптографических модулей", регламентирующий конкретный, но очень важный и сложный аспект информационной безопасности.

               Технические спецификации, применимые к современным распределенным ИС, создаются, главным образом, "Тематической группой по технологии Internet" (Internet Engineering Task Force, IETF) и ее подразделением - рабочей группой по безопасности. Ядром рассматриваемых технических спецификаций служат документы по безопасности на IP-уровне (IPsec). Кроме этого, анализируется защита на транспортном уровне (Transport Layer Security, TLS), а также на уровне приложений (спецификации GSS-API, Kerberos). Необходимо отметить, что Internet-сообщество уделяет должное внимание административному и процедурному уровням безопасности ("Руководство по информационной безопасности предприятия", "Как выбирать поставщика Интернет-услуг", "Как реагировать на нарушения информационной безопасности").

             В вопросах сетевой безопасности невозможно разобраться без освоения спецификаций X.800 "Архитектура безопасности для взаимодействия открытых систем", X.500 "Служба директорий: обзор концепций, моделей и сервисов" и X.509 "Служба директорий: каркасы сертификатов открытых ключей и атрибутов".

               Британский стандарт BS 7799 "Управление информационной безопасностью. Практические правила", полезный для руководителей организаций и лиц, отвечающих за информационную безопасность, без сколько-нибудь существенных изменений воспроизведен в международном стандарте ISO/IEC 17799.

             Таков, на наш взгляд, "стандартный минимум", которым должны активно владеть все действующие специалисты в области информационной безопасности.

 

 

 

 

 

 

 

 

 

 

3. Методика реализации политики безопасности