Информационная безопасность. Курс лекций
Шрифт:
В настоящее можно насчитать около двух десятком вузов, где активно ведутся работы в области ИБ и создали подготовку по специальностям ИБ. Пять вузов имеют действительные лицензии Гостехкомиссии России на преподавание спецкурсов, а также разработку средств защиты информации. Однако в большинстве вузов вопросам всестороннему обеспечению ИБ уделяют недостаточное внимание. Представленный в Интернет обзор по ИТ-технологиям в вузах позволяет сделать вывод, что их внедрение находится на самом раннем этапе развития.
Вопрос 2. Угрозы и уязвимости КСУЗ
Под КСУЗ понимается совокупность рабочих станций и устройств, использующих общие сетевые ресурсы
– большие объединенные гетерогенные TCP/IP-сети вуза, поддерживаемые на уровне технологий различными западными компаниями (например, Learning Spaсe), в таких вузах как, правило имеются соответствующие учебные центры;
– ЛВС или объединение ЛВС с выходом в Интернет;
– изолированные от Интернет ЛВС и АРМ.
Под безопасностью КСУЗ понимается свойство системы быть защищенной от угроз целостности, доступности и конфиденциальности сетевых ресурсов. Под угрозой обычно понимается некоторое потенциальное событие (нарушение), реализация которого способно привести к снижению степени безопасности ресурсов КСУЗ. Преднамеренную реализацию в сетевой среде угроз ИБ принято называть атакой на ресурсы сетей. При этом известны классификации угроз ИБ на внутренние и внешние, преднамеренные и случайные, реализационные и эксплуатационные и др… К наиболее актуальным сейчас угрозам относят наличие уязвимостей (дефектов безопасности) в программных ресурсах, на базе которых реализуется до 98 % сетевых атак и 99 % вирусных эпидемий. Очевидно, что для КСУЗ наиболее типовыми являются внутренние угрозы.
Вопрос 3. Этапы построения БКСУЗ
Задача построения интегрированной системы безопасности КСУЗ в общем случае включает 3 уровня:
1. Определение законодательно-правовой базы;
2. Разработку организационных документов, мер и процедур;
3. Разработку, внедрение, сопровождение подсистем и средств защиты информационно-программных ресурсов.
3.1. Определение законодательно-правовой базы
Пакет правовых документов в области ИБ, главным образом, включает: Уголовный кодекс РФ, Гражданский кодекс РФ, ФЗ «О правовой охране программ для электронных вычислительных машин и баз данных», ФЗ «О сертификации продуктов и услуг», ФЗ "О Государственной тайне", ФЗ "Об информации, информатизации и защите информации", ФЗ "Об электронной цифровой подписи", Указ Президента РФ "Об утверждении перечня сведений конфиденциального характера". В целом законодательная база учебной деятельности касается определения необходимости лицензий на деятельность в сфере ИБ, использования сертифицированных средств, соблюдения соответствующих требований УК РФ и ФЗ РФ. Следует заметить, что в связи с реформой системы лицензирования несколько упрощены требования некоторым видам деятельности и услугам в области ИБ.
К нормативным документам в области ИБ относят РД Гостехкомиссии РФ и следующие стандарты:
– ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;
– ГОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи РФ. Термины и определения;
– ГОСТ 51583-2000. Порядок создания АС в защищенном исполнении. Общие положения;
– ГОСТ Р 34.10–94. ИТ. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма;
– ГОСТ Р 34.11–94. ИТ. Криптографическая защита информации. Функция хэширования;
– ГОСТ Р 50739-95.
– ГОСТ Р 50922-96. ЗИ. Основные термины и определения; – ГОСТ Р 51188-98. Испытания ПС на наличие компьютерных вирусов;
– ГОСТ Р 51275-99 ЗИ. Объект информатизации. Факторы, воздействующие на информацию;
– ГОСТ Р 51624-00. ЗИ. АС в защищенном исполнении. Общие требования;
– ГОСТ Р ИСО/МЭК 15409-2001. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ;
– ГОСТ Р ИСО 7498-2-99. ИТ. ВОС. Базовая эталонная модель. Часть 2. Архитектура защиты информации;
– ГОСТ Р ИСО/МЭК 9594-8-98. ИТ. ВОС. Справочник. Часть 8. Основы аутентификации;
– ГОСТ Р ИСО/МЭК 9594-9-95. ИТ. ВОС. Справочник. Часть 9. Дублирование. ГОСТ Р ИСО/МЭК 15408-2001. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ.
Особое внимание представляет международный ГОСТ 15408, планируемый на смену РД Гостехкомиссии РФ. ГОСТ 15408 предназначен для анализа и оценки безопасности и качества ИТ и СЗИ. ГОСТ определяет типовые требования к функциям безопасности (девять классов, 76 семейств, 184 компонента и 380 элементов), требования доверия безопасности – семь классов, 25 семейств, 72 компонента, и 9 уровней гарантии. Типовой алгоритм оценки ИБ по ГОСТу представлен на рис. 1.
3.2. Организационные меры
Организационные меры в общем случае включают:
1. Проведение аудита ИБ КСУЗ и экспертиза вуза по требованиям безопасности;
2. Определение политики и процедур безопасности;
3. Рекомендации по настройке сетей и систем.
Организационно-техническими документами здесь являются: – стандарт ISO 17799 (BS 7799) по аудиту информационной безопасности и частично стандарты РФ по аккредитации, ИБ, качеству;
– политика (положение) безопасности, реестр анализа риска, планы защиты и восстановления;
– руководства по настройке, детальные инструкции, как-то: Stepbystep (cert.org), инструкции Stiv Substen (www.trustedsystem.com) и др.
Рис. 1. Типовой алгоритм оценки ИБ
В первой части документов особо выделяют международный стандарт ISO 17799, к сожалению не имеющего аналога в РФ. Указанный стандарт определяет типовые решения по: классификации и управлению ресурсами, безопасности персонала (в т. ч. обучению), физической безопасности, управлению коммуникациями и процессами, контролю доступа, разработке и технической поддержке вычислительных систем, управлению непрерывностью бизнеса, соответствию системы основным требованиям нормативных документов.
Таблица 1. Разработка политики безопасности
Наиболее применительным является подход, определенный в ISO 17799 – CRAMM. Данный подход включает: определение ценности ресурсов (1-10 баллов), оценка угроз (36 классов), уязвимостей, уровней риска (1–5, 1–3, 1–7 баллов), Поиск адекватных контрмер, рекомендаций и примеров (300, 1000, 900).
Таблица 2.
Основные документы