3. Классификация методов и средств программно-аппаратной защиты информации.

Способы (методы) защиты информации:

• Препятствие - создание на пути угрозы преграды, преодоление которой сопряжено с возникновением сложностей для злоумышленника или дестабилизирующего фактора.

• Управление - оказание управляющих воздействий на элементы защищаемой системы.

• Маскировка - действия над защищаемой системой или информацией, приводящие к такому их преобразованию, которое делает их недоступными для злоумышленника. (Сюда можно, в частности, отнести криптографические методы защиты ).

• Регламентация - разработка и реализация комплекса мероприятий, создающих такие условия обработки информации, которые существенно затрудняют реализацию атак злоумышленника или воздействия других дестабилизирующих факторов.

• Принуждение - метод заключается в создании условий, при которых пользователи и персонал вынуждены соблюдать условия обработки информации под угрозой ответственности (материальной, уголовной, административной)

• Побуждение - метод заключается в создании условий, при которых пользователи и персонал соблюдают условия обработки информации по морально-этическим и психологическим соображениям.

Средства защиты информации:

• Физические средства - механические, электрические, электромеханические, электронные, электронно-механические и т. п. устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

• Аппаратные средства - различные электронные и электронно-механические и т.п. устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации.

• Программные средства - специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации.

• Организационные средства - организационно-технические мероприятия, специально предусматриваемые в технологии функционирования системы с целью решения задач защиты информации.

• Законодательные средства - нормативно-правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности.

• Психологические (морально-этические средства) - сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

4. Стандарты по защите информации, в состав которых входят требования и рекомендации по защите информации программными и программно-аппаратными средствами.

ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»

ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности»

ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»

ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»

ГОСТ Р ИСО/ТО 13569-2007 «Финансовые услуги. Рекомендации по информационной безопасности»

ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»

ГОСТ Р 51725.6-2002 «Каталогизация продукции для федеральных государственных нужд. Сети телекоммуникационные и базы данных. Требования информационной безопасности»

Задание 1. Выписать государственные стандарты в области информационной безопасности.

ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» Р 50.1.056-2005 «Техническая защита информации. Основные термины и определения» ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности» ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности» ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»

ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер» ГОСТ Р ИСО/МЭК ТО 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети» ГОСТ Р ИСО/ТО 13569-2007 «Финансовые услуги. Рекомендации по информационной безопасности» ГОСТ Р ИСО/МЭК 15026-2002 «Информационная технология. Уровни целостности систем и программных средств» ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» ГОСТ Р ИСО/МЭК 19794-2-2005 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца - контрольные точки» ГОСТ Р ИСО/МЭК 19794-4-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца» ГОСТ Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица» ГОСТ Р ИСО/МЭК 19794-6-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза» ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство» ГОСТ Р 51725.6-2002 «Каталогизация продукции для федеральных государственных нужд. Сети телекоммуникационные и базы данных. Требования информационной безопасности» ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения» ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества» ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования»

Задание 2. Выписать международные стандарты информационной безопасности.

ISO 27001

Под комплексом, представленным международными сертификатами, подразумевается совокупность определенных практик и рекомендаций, которые направлены на внедрение систем и оборудования средств технологической защиты.

Если принять во внимание определенные правила, установленные международным сертификатом ISO 27001 2013, защищенность рассматриваемых технологий должна быть представлена определенными признаками.

Данный ИСО позволяет провести разделение единой системы на четыре раздела. ИСО 27001 базирует на стандарте ISO 9001, который определяет основные требования, предъявляемые к менеджменту качества. Основываясь на нормах российской стандартизации, данные требования должны соблюдаться каждой организацией, которая желает продемонстрировать свою способность предоставлять продукцию, отвечающую запросам потребителей.

ISO 17799

ISO 17799 был создан Международной организацией в 2000 году. В соответствии с его требованиями, при создании структуры устойчивости, которую принято считать эффективной, особое внимание необходимо уделять комплексному подходу, направленному на управление безопасности. Именно по этой причине в качестве элемента управления рассматриваются меры, направленные на обеспечение определенных требований, установленных для информации:

• ее конфиденциальность;

• достоверность информации;

• доступность;

• целостность предоставляемой информации.

ISO/IEC 15408

Международный стандарт ISO 15408 был разработан на основе стандарта "Общие критерии безопасности информационных технологий" вер.2.1. В 2002 году этот стандарт был принят в России как ГОСТ Р ИСО/МЭК 15408-1-2008 "Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий" [3], часто в литературе называемый "Общие критерии". Ранее в отечественных нормативных документах в области ИБ понятие риска не вводилось.

Группа стандартов WiFi IEEE 802.11

IEEE 802.11 – базовый стандарт для сетей Wi-Fi, который определяет набор протоколов для самых низких скоростей передачи данных (transfer).

IEEE  802.11ас — новый стандарт WiFi, который работает только в частотной полосе 5ГГц и обеспечивает значительно большие скорости как на индивидуального клиента WiFi, так и на Точку Доступа WiFi.

IEEE 802.11n – самый передовой коммерческий WiFi-стандарт, на данный момент, официально разрешенный к ввозу и применению на территории РФ (802.11ac пока в процессе проработки регулятором). В 802.11n используются частотные каналы в частотных спектрах WiFi 2.4GHz и 5GHz. Совместим с 11b/11a/11g. Хотя рекомендуется строить сети с ориентацией только на 802.11n, т.к. требуется конфигурирование специальных защитных режимов при необходимости обратной совместимости с устаревшими стандартами. Это ведет к большому приросту сигнальной информации и существенному снижению доступной полезной производительности радиоинтерфейса. Собственно даже один клиент WiFi 802.11g или 802.11b потребует специальной настройки всей сети и мгновенной ее существенной деградации в части агрегированной производительности. Сам стандарт WiFi 802.11n вышел 11 сентября 2009 года. Поддерживаются частотные каналы WiFi шириной 20MHz и 40MHz (2x20MHz). Используемая радиочастотная технология: OFDM. Используется технология OFDM MIMO (Multiple Input Multiple Output) вплоть до уровня 4х4 (4хПередатчика и 4хПриемника). При этом минимум 2хПередатчика на Точку Доступа и 1хПередатчик на пользовательское устройство. Примеры возможных MCS (Modulation & Coding Scheme) для 802.11n, а также максимальные теоретические скорости передачи данных (transfer) в радиоканале представлены в следующей таблице:

IEEE 802.11b – описывает большие скорости передачи и вводит больше технологических ограничений. Этот стандарт широко продвигался со стороны WECA (Wireless Ethernet Compatibility Alliance) и изначально назывался Wi-Fi. Используются частотные каналы в спектре 2.4GHz (Подробнее о частотах и каналах WiFi). Ратифицирован в 1999 году. Используемая радиочастотная технология: DSSS. Кодирование: Barker 11 и CCK. Модуляции: DBPSK и DQPSK, Максимальные скорости передачи данных (transfer) в канале: 1, 2, 5.5, 11 Mbps, /для облегчения восприятия некоторые фундаментальные основы WiFi/

IEEE 802.11a – описывает значительно более высокие скорости передачи (transfer) чем 802.11b. Используются частотные каналы в частотном спектре 5GHz. Протокол Не совместим с 802.11b. Ратифицирован в 1999 году. Используемая радиочастотная технология: OFDM. Кодирование: Convoltion Coding. Модуляции: BPSK, QPSK, 16-QAM, 64-QAM. Максимальные скорости передачи данных в канале: 6, 9, 12, 18, 24, 36, 48, 54 Mbps.

IEEE 802.11g – описывает скорости передачи данных эквивалентные 802.11а. Используются частотные каналы в спектре 2.4GHz. Протокол совместим с 802.11b. Ратифицирован в 2003 году. Используемые радиочастотные технологии: DSSS и OFDM. Кодирование: Barker 11 и CCK. Модуляции: DBPSK и DQPSK, Максимальные скорости передачи данных (transfer) в канале:

• 1, 2, 5.5, 11 Mbps на DSSS и

• 6, 9, 12, 18, 24, 36, 48, 54 Mbps на OFDM.

Здесь SGI это защитные интервалы между фреймами. Spatial Streams это количество пространственных потоков. Type это тип модуляции. Data Rate это максимальная теоретическая скорость передачи данных в радиоканале в Mбит/сек.

Важно подчеркнуть, что указанные скорости соответствуют понятию channel rate и являются предельным значением с использованием данного набора технологий в рамках описываемого стандарта(собственно эти значения, как Вы вероятно заметили, производители пишут и на коробках домашних WiFi-устройств в магазинах). Но в реальной жизни эти значения не достижимы в силу специфики самой технологии стандарта WiFi 802.11. Например здесь сильно влияет «политкорректность» в части обеспечения CSMA/CA (устройства WiFi постонно слушают эфир и не могут передавать, если среда передачи занята), необходимость подтверждения каждого юникастового фрейма, полудуплексная природа всех стандартов WiFi и только 802.11ac/Wave-2 сможет это начать обходить с MU-MIMO и т.д.. Поэтому практическая эффективность устаревших стандартов 802.11 b/g/a никогда не превышает 50% в идеальных условиях(например для 802.11g максимальная скорость на абонента обычно не выше 22Мб/с), а для 802.11n эффективность может быть до 60%. Если же сеть работает в защищенном режиме, что часто и просходит из-за смешанного присутствия различных WiFi-чипов на различных устройствах в сети, то даже указанная относительная эффективность может упасть в 2-3 раза. Это касается, например, микса из Wi-Fi устройств с чипами 802.11b, 802.11g в сети с точками доступа WiFi 802.11g или устройства WiFi 802.11g/802.11b в сети с точками доступа WiFi 802.11n и т.п.. 

Помимо основных стандартов WiFi 802.11a, b, g, n, существуют и используются дополнительные стандарты для реализации различных сервисных функций:

• 802.11d. Для адаптации различных устройств стандарта WiFi к специфическим условиям страны. Внутри регуляторного поля каждого государства диапазоны часто различаются и могут быть отличны даже в в зависимости от географического положения. Стандарт WiFi IEEE 802.11d позволяет регулировать полосы частот в устройствах разных производителей с помощью специальных опций, введенных в протоколы управления доступом к среде передачи.

• 802.11e. Описывает классы качества QoS для передачи различных медиафайлов и, в целом различного медиаконтента. Адаптация МАС-уровня для 802.11e, определяет качество, например, одновременной передачи звука и изображения.

• 802.11f. Направлен на унификацию параметров Точек Доступа стандарта Wi-Fi различных производителей. Стандарт позволяет пользователю работать с разными сетями при перемещении между зонами действия отдельных сетей.

• 802.11h. Используется для предотвращения создания проблем метеорологическим и военным радарам путем динамического снижения излучаемой мощности Wi-Fi оборудованием или динамический переход на другой частотный канал при обнаружении триггерного сигнала (в большинстве европейских стран наземные станции слежения за метеорологическими спутниками и спутниками связи, а также радары военного назначения работают в диапазонах, близких к 5 МГц). Этот стандарт является необходимым требованием ETSI, предъявляемым к оборудованию, допущенному для эксплуатации на территории стран Европейского Союза.

• 802.11i. В первых вариантах стандартов WiFi 802.11 для обеспечения безопасности сетей Wi-Fi использовался алгоритм WEP. Предполагалось, что этот метод может обеспечить конфиденциальность и защиту передаваемых данных авторизированных пользователей беспроводной сети от прослушивания.Теперь эту защиту можно взломать всего за несколько минут. Поэтому в стандарте 802.11i были разработаны новые методы защиты сетей Wi-Fi, реализованные как на физическом, так и программном уровнях. В настоящее время для организации системы безопасности в сетях Wi-Fi 802.11 рекомендуется использовать алгоритмы Wi-Fi Protected Access (WPA). Они также обеспечивают совместимость между беспроводными устройствами различных стандартов и различных модификаций. Протоколы WPA используют усовершенствованную схему шифрования RC4 и метод обязательной аутентификации с использованием EAP. Устойчивость и безопасность современных сетей Wi-Fi определяется протоколами проверки конфиденциальности и шифрования данных (RSNA, TKIP, CCMP, AES). Наиболее рекомендованным подходом является использование WPA2 с шифрованием AES (и не забывайте о 802.1х с применением, очень желательно, механизмов туннелирования, например EAP-TLS, TTLS и т.п.).

• 802.11k. Этот стандарт фактически направлен на реализацию балансировки нагрузки в радиоподсистеме сети Wi-Fi. Обычно в беспроводной локальной сети абонентское устройство обычно соединяется с той точкой доступа, которая обеспечивает наиболее сильный сигнал. Нередко это приводит к перегрузке сети в одной точке, когда к одной Точке Доступа подключется сразу много пользователей. Для контроля подобных ситуаций в стандарте 802.11k предложен механизм, ограничивающий количество абонентов, подключаемых к одной Точке Доступа, и дающий возможность создания условий, при которых новые пользователи будут присоединяться к другой ТД даже не смотря на более слабый сигнал от нее. В этом случае аггрегированная пропускная способность сети увеличивается благодаря более эффективному использованию ресурсов.

• 802.11m. Поправки и исправления для всей группы стандартов 802.11 объединяются суммируются в отдельном документе с общим названием 802.11m. Первый выпуск 802.11m был в 2007 г, далее в 2011 г и т.д..

• 802.11p. Определяет взаимодействие Wi-Fi-оборудования, движущегося со скоростью до 200 км/ч мимо неподвижных Точек Доступа WiFi, удаленных на расстояние до 1 км. Часть стандарта Wireless Access in Vehicular Environment (WAVE). Стандарты WAVE определяют архитектуру и дополнительный набор служебных функций и интерфейсов, которые обеспечивают безопасный механизм радиосвязи между движущимися транспортными средствами. Эти стандарты разработаны для таких приложений, как, например, организация дорожного движения, контроль безопасности движения, автоматизированный сбор платежей, навигация и маршрутизация транспортных средств и др.

• 802.11r. Определяет быстрый автоматический роуминг Wi-Fi-устройств при переходе из зоны покрытия одной Точки Доступа WiFi к зоне покрытия другой. Этот стандарт ориентирован на реализацию Мобильности и, прежде всего, важен именно для мобильных/носимых устройств с Wi-Fi, например, смартфонов, планшетных компьютеров, Wi-Fi IP-телефонов и т.п.. До появления этого стандарта при движении пользователь часто терял связь с одной точкой доступа, был вынужден искать другую и заново выполнять процедуру подключения. Это щанимало много времени. Существовали частные решения проблемы роуминга (хендоверов) между устройствами, например от CCKM от Cisco. Устройства с поддержкой 802.11r могут зарегистрироваться заранее с соседними Точками Доступа WiFi и выполнять процесс переподключения в автоматическом режиме. Таким образом значительно уменьшается время, когда абонент не доступен в сетях Wi-Fi.

• 802.11s. Стандарт для реализации полносвязных сетей (Wireless Mesh), где любое устройство может служить как маршрутизатором, так и точкой доступа. Если ближайшая точка доступа перегружена, данные перенаправляются к ближайшему незагруженному узлу. При этом пакет данных передается (packet transfer) от одного узла к другому, пока не достигнет конечного места назначения. В данном стандарте введены новые протоколы на уровнях MAC и PHY, которые поддерживают широковещательную и многоадресную передачу (transfer), а также одноадресную поставку по самоконфигурирующейся системе точек доступа Wi-Fi. C этой целью в стандарте введен четырехадресный формат кадра.

• 802.11t. Стандарт создан для институализации процесса тестирования решений стандарта IEEE 802.11. Описываются методики тестирования, способы измерений и обработки результатов (treatment), требования к испытательному оборудованию.

• 802.11u. Определяет процедуры взаимодействия сетей стандарта Wi-Fi с внешними сетями. Стандарт должен определять протоколы доступа, протоколы приоритета и запрета на работу с внешними сетями. На данный момент вокруг данного стандарта образовалось большое движение как в части разработки решений – Hotspot 2.0, так и в части организации межсетевого роуминга – создана и растет группа заинтересованных операторов, которые совместно решают вопросы роуминга для своих Wi-Fi-сетей в диалоге (Альянс WBA).

• 802.11v. В стандарте должны быть разработаны поправки, направленные на совершенствование систем управления сетями стандарта IEEE 802.11. Модернизация на МАС- и PHY-уровнях должна позволить централизовать и упорядочить конфигурацию клиентских устройств, соединенных с сетью.

• 802.11y. Дополнительный стандарт связи для диапазона частот 3,65-3,70 ГГц. Предназначен для устройств последнего поколения, работающих с внешними антеннами на скоростях до 54 Мбит/с на расстоянии до 5 км на открытом пространстве. Стандарт полностью не завершен.

802.11w. Определяет методы и процедуры улучшения защиты и безопасности уровня управления доступом к среде передачи данных (МАС). Протоколы стандарта структурируют систему контроля целостности данных, подлинности их источника, запрета несанкционированного воспроизведения и копирования, конфиденциальности данных и других средств защиты. В стандарте введена защита фрейма управления (MFP: Management Frame Protection), а дополнительные меры безопасности позволяют нейтрализовать внешние атаки, такие, как, например, DoS. Немного больше по MFP здесь: 1, 2 . Кроме того, эти меры обеспечат безопасность для наиболее уязвимой сетевой информации, которая будет передаваться по сетям с поддержкой IEEE 802.11r, k, y.

Задание 3. Изучить ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью». Выписать требования и рекомендации по защите информации программными и программно-аппаратными средствами.

Требования по защите информации программными и программно-аппаратными средствами:

1. Предотвращение любых нарушений норм уголовного и гражданского права, обязательных предписаний и регулирующих требований или договорных обязательств, а также требований безопасности.

2. Необходимо внедрять процедуры, обеспечивающие соответствие законодательным ограничениям на использование материала, в отношении которого могут существовать права на интеллектуальную собственность, такие как авторское право, права на проект, торговые марки. Нарушение авторского права может привести к судебным процессам, предполагающим возможность уголовной ответственности

3. Все применяемые нормы законодательства, обязательные предписания, регулирующие требования и договорные обязательства, следует четко определять и документировать для каждой информационной системы.

4. Важные данные организации необходимо защищать от утраты, разрушения и фальсификации

5. Руководство должно определить уровни полномочий пользователей в отношении использования средств обработки информации.

6. Обеспечение соответствия систем политике безопасности организации и стандартам. Безопасность информационных систем необходимо регулярно анализировать и оценивать.

7. Руководители должны обеспечивать правильное выполнение всех процедур безопасности в пределах их зоны ответственности. Владельцам информационных систем (5.1) следует проводить регулярные мониторинги их систем на соответствие принятым политикам безопасности и любым другим требованиям безопасности.

8. Максимизация эффективности и минимизация влияния на информационную безопасность в процессе аудита системы.

Санкт-Петербург 2021