- •Южно-уральский государственный университет
- •Курс лекций
- •Информационная безопасность.
- •Челябинск
- •5.3 Система информационной безопасности предприятия. 16
- •Введение
- •5. Система информационной безопасности предприятия.
- •5.1 Основные определения. Информация1 и ее свойства.
- •5.2 Стандарты обеспечения информационной безопасности.
- •5.2.1 Роль стандартов информационной безопасности.
- •5.2.2 Документирование деятельности по обеспечению иб предприятия.11
- •Документы второго уровня
- •Документы третьего уровня
- •Документы четвертого уровня
- •5.3 Система информационной безопасности предприятия.
- •5.3.1 Основные положения.
- •5.3.2 Защита коммерческой тайны на предприятии.
- •5.3.3 Защита персональных данных на предприятии.
- •Глава 14 (ст. 85 - 90). Защита персональных данных работника.
- •5.3.4 Электронный документооборот. Электронная подпись.
- •Преследуемые цели39
- •Сущность цифровой подписи.
- •Удостоверяющий центр
- •Формирование и проверка эп
- •Секретные и открытые ключи
- •Средства эп
- •Криптографические хэш-функции
- •Комплексная защита сообщений
- •5.3.5 Ответственность за нарушения правил обращения с конфиденциальной информацией.
- •5.4 Создание системы информационной безопасности предприятия.
- •5.4.1 Основные цели, методы и принципы.
- •5.4.2 Методическое направление работ по созданию ксзи
- •5.4.3 Организационное направление работ по созданию ксзи
- •Регламент обеспечения безопасности.
- •Общие документы
- •Документы по работе с кадрами
- •Документы по защите ас и свт
- •5.4.4 Техническое направление работ по созданию ксзи
- •5.4.5 Выводы. Как построить защищенную информационную систему?
- •5.5 Современные технологии защиты данных.43
- •5.5.1 Технология криптографической защиты информации.
- •5.5.2 Технологии аутентификации.
- •Приложение
- •Положение о коммерческой тайне
5.2 Стандарты обеспечения информационной безопасности.
5.2.1 Роль стандартов информационной безопасности.
Необходимость как-то измерять достоверность и защищенность информационных систем4 (далее - ИС) привела к разработке стандарта информационной безопасности (далее - ИБ).
Главная задача стандартов ИБ – создать основу для взаимодействия между производителями, потребителями (пользователями) и экспертами по квалификации ИТ. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности.
При разработке стандарта имелись в виду три цели:
предложить пользователям критерий, с помощью которого можно было бы оценивать меру (степень) доверия (гарантированность) к вычислительной системе с точки зрения обеспечения безопасной обработки конфиденциальной и другой критически важной информации;
Пользователи заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности. К сожалению, многие пользователи не понимают, что требования безопасности противоречат функциональным требованиям (удобству работы, быстродействию и т.п.), накладывают ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных и поэтому незащищенных прикладных программных средств.
создать руководство, призванное помочь производителям выбрать из широкого диапазона устройств те, которые целесообразно встраивать в их новые, широко представленные на рынке проверенные коммерческие продукты;
Производители нуждаются в стандартах как средстве сравнения возможностей своих продуктов, в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который бы максимально конкретизировал и регламентировал необходимость применения тех или иных средств, механизмов и алгоритмов.
обеспечить основу для оценки требований к защищенности в спецификациях приобретаемых продуктов.
Эксперты рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами ИТ. С одной стороны, они заинтересованы в четких и простых критериях, с другой они должны дать обоснованный ответ пользователям – удовлетворяет продукт их нуждам или нет.
Таким образом, перед стандартами ИБ стоит непростая задача – примерить три разные точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем ущемление потребностей хотя бы одной из них не позволит решить общую задачу – создание защищенной (надежной) системы обработки информации.
Надежная система, в данном случае, определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени конфиденциальности группой пользователей без нарушения прав доступа».
Надежность систем оценивается по двум основным критериям:
Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация накапливает, обрабатывает, защищает и распространяет информацию. Политика безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия. Чем надежнее система, тем строже и много образнее должна быть политика безопасности.
Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность можно определить тестированием системы в целом или ее компонентов. Гарантированность – это пассивный компонент защиты, надзирающий за самими защитниками и показывающий, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности.
Надежная система должна фиксировать все события, касающиеся ИБ. Поэтому, важным средством обеспечения ИБ является механизм подотчетности (протоколирования). Ведение протоколов должно дополняться аудитом, т.е. анализом регистрационной информации.
При оценке степени гарантированности, с которой систему можно считать надежной, центральной является концепция надежной вычислительной базы. Вычислительная база - это совокупность защитных механизмов компьютерной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики ИБ. Надежность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит персонал (например, это могут быть данные о степени благонадежности пользователей). Основное назначение надежной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Каждое обращение пользователя к программам или данным проверяется на предмет согласованности со списком действий, допустимых для пользователя.
С каждым зарегистрированным в ИС пользователем связана некоторая информация, однозначно идентифицирующая его. Эту информацию называют идентификатором пользователя. Прежде чем получить доступ к ресурсам системы, пользователь должен пройти процесс первичного взаимодействия с ней, который включает идентификацию5 и аутентификацию6. После идентификации и аутентификации пользователя выполняется его авторизация7.
Современный подход к обеспечению информационной безопасности.
Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов ИБ, которая насчитывает более сотни различных документов.
Международный стандарт ISO 15408.
Важное место в этой системе стандартов занимает стандарт ISO 15408, известный как «Common Criteria». Версия 2.1 этого стандарта утверждена 8 июня 1999 года ISO8 в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий». Закончилась 15-летняя эра американской «Оранжевой книги» (по цвету обложки), ставшей классическим документом в практике защиты информации. «Общие критерии» (далее - ОК) обобщили содержание и опыт использования «Оранжевой книги», развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США.
Авторы этого документа - специалисты из шести стран (США, Канады, Великобритании, Германии, Нидерландов и Франции) и рабочей группы WG 3 «Критерии оценки безопасности» объединенного технического комитета JTC1 «Информационные технологии» ISO/IEC.
ОК представляют собой базовый стандарт, определяющий структуру и содержание двух документов – профиля защиты (далее - ПЗ) и цели безопасности (далее - ЦБ) и содержащий энциклопедию требований, которые выбираются и упаковываются в ПЗ и ЦБ.9
Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.
Отечественные стандарты безопасности.
Среди различных стандартов по ИБ, существующих в настоящее время в РФ, следует выделить:
- нормативные документы по критериям оценки защищенности средств вычислительной техники (далее - СВТ) и автоматизированных систем (далее - АС) и документы, регулирующие ИБ:
|
Стандарт |
Наименование |
1 |
ГОСТ Р ИСО/МЭК 15408-1-2008 |
Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель. |
2 |
ГОСТ Р ИСО/МЭК 15408-2-2008 |
Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 2. Функциональные требования безопасности. |
3 |
ГОСТ Р ИСО/МЭК 15408-3-2008 |
Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Требования доверия к безопасности. |
4 |
ГОСТ Р 50739-95 |
Средства вычислительной техники.10 Защита от несанкционированного доступа к информации. Общие технические требования. |
5 |
ГОСТ Р 50922-2006 |
Защита информации. Основные термины. |
6 |
ГОСТ Р 51188-98 |
Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство. |
7 |
ГОСТ Р 51275-2006 |
Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. |
8 |
ГОСТ Р ИСО 7498-1-99 |
Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. |
9 |
ГОСТ Р ИСО 7498-2-99 |
Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. |
- нормативные документы по криптографической защите систем обработки информации и информационных технологий:
|
Стандарт |
Наименование |
1 |
ГОСТ 28147-89 |
Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. |
2 |
ГОСТ Р 34.10-2001 |
Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. |
3 |
ГОСТ Р 34.11-94 |
Информационная технология. Криптографическая защита информации. Функция хэширования. |