Тенденция развития стандартов и политик информационной безопасности

• Документ о политике информационной безопасности;
• Распределение обязанностей по обеспечению информационной безопасности;
• Обучение и подготовка персонала к поддержанию режима информационной безопасности;
• Уведомление о случаях нарушения защиты;
• Средства защиты от вирусов;
• Планирование бесперебойной работы организации;
• Контроль над копированием программного обеспечения, защищенного законом об авторском праве;
• Защита документации организации;
• Защита данных;
• Контроль соответствия политике безопасности.

Процедура аудита безопасности АС включает в  себя проверку наличия перечисленных  ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.

Стандарты безопасности США

"Оранжевая книга  "

"Department of Defense Trusted Computer System Evaluation Criteria"

OK принята  стандартом в 1985 г. Министерством  обороны США (DOD). Полное

название документа "Department of Defense Trusted Computer System Evaluation Criteria".

OK предназначается  для следующих целей:

• Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;
• Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;
• Обеспечить базу для исследования требований к выбору защищенных систем.

Рассматривают два типа оценки:

• без учета среды, в которой работает техника;
• в конкретной среде (эта процедура называется аттестованием).

Во всех документах DOD, связанных с ОК, принято  одно понимание фразы обеспечение  безопасности информации. Это понимание  принимается как аксиома и  формулируется следующим образом: безопасность = контроль за доступом.

Классы  систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.

1. Класс (D): Минимальная защита
2. Класс (C1): Защита, основанная на разграничении доступа (DAC)
3. Класс (С2): Защита, основанная на управляемом контроле доступом
4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ
5. Класс (B2): Структурированная защита
6. Класс (ВЗ): Домены безопасности
7. Класс (A1): Верифицированный проект

FIPS 140-2 "Требования безопасности для криптографических модулей"

В федеральном  стандарте США FIPS 140-2 "Требования безопасности для криптографических  модулей" под криптографическим  модулем понимается набор аппаратных и/или программных (в том числе  встроенных) компонентов, реализующих  утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических  ключей, аутентификацию) и заключенных  в пределах явно определенного, непрерывного периметра.

В стандарте FIPS 140-2 рассматриваются криптографические  модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной. То есть речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. Наличие подобного модуля — необходимое  условие обеспечения защищенности сколько-нибудь развитой информационной системы; однако, чтобы выполнять  предназначенную ему роль, сам  модуль также нуждается в защите, как собственными средствами, так  и средствами окружения (например, операционной системы).

Стандарт шифрования DES

Также к  стандартам информационной безопасности США относится алгоритм шифрования DES, который был разработан в 1970-х годах, и который базируется на алгоритме DEA.

Исходные  идеи алгоритма шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-х годах. Первоначально эта  методика шифрования называлась lucifer (разработчик  Хорст Фейштель), название dea она  получила лишь в 1976 году. Lucifer был первым блочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовый ключ. По существу этот алгоритм являлся прототипом DEA.

 

5. Заключение

 

Самыми частыми и самыми опасными, с точки зрения размера  ущерба, являются непреднамеренные ошибки пользователей, операторов, системных  администраторов и других лиц, обслуживающих  информационные системы. Иногда такие  ошибки являются угрозами: неправильно  введенные данные, ошибка в программе, а иногда они создают слабости, которыми могут воспользоваться  злоумышленники - таковы обычно ошибки администрирования. Согласно исследованиям, 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно  считать пустяками по сравнению  с безграмотностью и невнимательностью. Очевидно, самым радикальным способом борьбы с непреднамеренными ошибками является максимальная автоматизация  и строгий контроль за правильностью  совершаемых действий.

На втором месте по размерам ущерба располагаются кражи и  подлоги. Согласно имеющимся данным, в 1992 году в результате подобных противоправных действий с использованием ПК американским организациям был нанесен суммарный  ущерб в размере 882 млн. долл. Можно  предположить, что подлинный ущерб  намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты. В большинстве  расследованных случаев виновниками  оказывались штатные сотрудники организаций, отлично знакомые с  режимом работы и защитными мерами. Это еще раз свидетельствует  о том, что внутренняя угроза гораздо  опаснее внешней.

Весьма опасны так называемые "обиженные сотрудники" - действующие  и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику, например:

- повредить оборудование;

- встроить логическую  бомбу, которая со временем  разрушит программы и/или данные;

- ввести неверные данные;

- удалить данные;

- изменить данные.

"Обиженные сотрудники", даже бывшие, знакомы с порядками  в организации и способны вредить  весьма эффективно. Необходимо следить  за тем, чтобы при увольнении  сотрудника его права доступа  к информационным ресурсам аннулировались.

Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим  разнообразием. В первую очередь, следует  выделить нарушения инфраструктуры: аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки и т.п. Опасны, разумеется, стихийные бедствия и  техногенные катастрофы. Принято  считать, что на долю огня, воды и  аналогичных "врагов", среди которых  самый опасный - низкое качество электропитания, приходится 13% потерь, нанесенных информационным системам.

Много говорят и пишут  о хакерах, но исходящая от них  угроза зачастую преувеличивается. Верно, что почти каждый Internet-сервер по несколько раз в день подвергается попыткам проникновения; верно, что  иногда такие попытки оказываются  удачными; верно, что изредка подобные действия связаны со шпионажем. Однако в целом ущерб от деятельности хакеров по сравнению с другими  угрозами представляется не столь уж значительным. Скорее всего, больше пугает фактор непредсказуемости действий людей такого сорта. Представьте  себе, что в любой момент к вам  в квартиру могут забраться посторонние  люди. Даже если они не имеют злого  умысла, а зашли просто так, посмотреть, нет ли чего интересного, - приятного  в этом мало.

Много говорят и пишут  и о программных вирусах. Причем в последнее время говорят  уже о вирусах, воздействующих не только на программы и данные, но и на пользователей. Так, в свое время  появилось сообщение о жутком вирусе 666, который, выводя каждую секунду  на монитор некий 25-й кадр, вызывает у пользователей кровоизлияние в мозг и смерть (впоследствии это сообщение не подтвердилось).

Однако, говоря о "вирусной" угрозе, обратим внимание на следующий  факт. Как показали проведенные в  США в 1993 году исследования, несмотря на экспоненциальный рост числа известных  вирусов, аналогичного роста количества инцидентов, вызванных вирусами, не зарегистрировано. Соблюдение несложных  правил компьютерной гигиены сводит риск заражения практически к  нулю. Там где работают, а не играют в компьютерные игры (именно это  явление приводит к использованию  непроверенных на наличие вирусов  программ), число зараженных компьютеров  составляет лишь доли процента.

Таковы основные угрозы, на долю которых  приходится львиная доля урона, наносимого информационным системам. Рассмотрим теперь иерархию защитных мероприятий, способных противостоять угрозам.

Самыми частыми и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных администраторов  и других лиц, обслуживающих информационные системы. От вирусов и других факторов ущерба оказывается меньше.

 

6. Литература

 

1. Закон РФ "О государственной тайне" 2008 г. 32 стр.
2. Закон РФ  "Об информации, информатизации и защите информации" 2006г. 24стр.
3. Доктрина информационной безопасности Российской Федерации от 09.09.2000 № ПР 1895. 2004г. 48стр.
4. Словарь терминов Гостехкомиссии при президенте РФ
5. Носов В.А. Вводный курс по дисциплине “Информационная безопасность” 2004г. 50стр.
6. Соколов А.В. «Методы информационной защиты объектов и компьютерных сетей». 2000г. 272стр.
7. Б. Анин «Защита компьютерной информации». 2000г. 384стр.
8. Малюк «Информационная безопасность: концептуальные и методологические основы защиты информации». 2004г. 280стр.
9. Галатенко В.А. «Стандарты информационной безопасности». 2004г. 328стр.
10. П. Ю. Белкин, О. О. Михальский, А. С. Першаков, Д. И. Правиков, В. Г. Проскурин, Г. В. Фоменков «Защита программ и данных». 1999г.