Понедельник, 23.12.2024, 13:50
HUKER.ucoz.com
Главная Регистрация Вход
Приветствую Вас, Гость · RSS
Меню сайта
Категории раздела
Информационная безопасность [7]
Хакерство [29]
Криптография [3]
Взлом беспроводных сетей [1]
Взлом сетей [0]
Взлом программ [0]
Взлом сайта [1]
Взлом сервера [0]
Хакеры [4]
Форма входа
Опрос
Как часто вы посещаете наш сайт?
Всего ответов: 353
Статистика


Рейтинг@Mail.ru


Онлайн всего: 1
Гостей: 1
Пользователей: 0
 Каталог статей
Главная » Статьи » Хакеры.Информационная безопасность » Информационная безопасность

Стандарты информационной безопасности.

Проблема информационной компьютерной безопасности не нова - специалисты
занимаются ею с того самого момента, как компьютер начал обрабатывать данные,
ценность которых высока для пользователя. Однако за последние годы в связи
с развитием сетей, ростом спроса на электронные услуги ситуация в сфере информационной
безопасности серьезно обострилась, а вопрос стандартизации подходов
к ее решению стал особенно актуальным как для разработчиков, так и для пользователей
ИТ-средств.



Для чего нужно знать теорию


Любой специалист по информационной безопасности проходит в своем профессиональном
развитии три этапа. Первый из них - "работа руками". Новичок усиленно, с привлечением
специализированных средств, ищет и ликвидирует вполне конкретные бреши в системном
и прикладном ПО. Сканер, патч, порт, соединение - вот сущности, с которыми он
работает на данном этапе.


Вторая ступень - "работа головой". Устав затыкать все новые и новые бреши,
специалист приступает к разработке планов и методик, цель которых - упорядочить
действия по повышению безопасности систем и ликвидации последствий информационных
угроз. Именно на данной стадии возникает понятие "политики безопасности".


Наконец, приходит пора осмысления - на этом этапе умудренный опытом специалист
понимает, что он, скорее всего, изобретает велосипед, поскольку стратегии обеспечения
безопасности наверняка уже были разработаны до него. И в этом он, безусловно,
прав.


Многочисленные организации по всему миру уже давно занимаются проблемой информационной
безопасности, итогом их деятельности стали увесистые фолианты стандартов, положений,
рекомендаций, правил и т.д. Изучать весь объем вряд ли целесообразно, однако
знать основополагающие документы, конечно же, стоит. Поэтому в данной статье
мы упомянем лишь наиболее важные российские и международные положения, устанавливающие
стандарты в области информационной безопасности.


Понятие безопасности информации


Развитие информационных и телекоммуникационных систем различного назначения
(в первую очередь сети Интернет), а также электронный обмен ценной информацией,
нуждающейся в защите, потребовали от специалистов, работающих в этой сфере,
систематизировать и упорядочить основные требования и характеристики компьютерных
систем в части обеспечения безопасности. Однако перед тем, как перейти к рассмотрению
сформированных стандартов, нужно определить, что же такое безопасность.


Учитывая важность понятия, попробуем сформулировать его расширенное определение,
в котором будут учтены последние международные и отечественные наработки в этой
области. Итак, безопасность информации - это состояние устойчивости данных
к случайным или преднамеренным воздействиям, исключающее недопустимые риски
их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу
владельца или пользователя.
Такое определение наиболее полно учитывает главное
назначение коммерческой информационной компьютерной системы - минимизация финансовых
потерь, получение максимальной прибыли в условии реальных рисков.


Это положение особенно актуально для так называемых открытых систем общего
пользования, которые обрабатывают закрытую информацию ограниченного доступа,
не содержащую государственную тайну. Сегодня системы такого типа стремительно
развиваются и в мире, и у нас в стране.


Международный стандарт информационной безопасности


Общеизвестно, что стандартизация является основой всевозможных методик определения
качества продукции и услуг. Одним из главных результатов подобной деятельности
в сфере систематизации требований и характеристик защищенных информационных
комплексов стала Система международных и национальных стандартов безопасности
информации, которая насчитывает более сотни различных документов. В качестве
примера можно привести стандарт ISO 15408, известный как "Common Criteria".


Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408,
безусловно, очень важен для российских разработчиков. Тем более что в текущем,
2001 году Госстандарт планирует подготовить гармонизованный вариант этого документа.
Международная организация по стандартизации (ISO) приступила к разработке Международного
стандарта по критериям оценки безопасности информационных технологий для общего
использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в
1990 году. В его создании участвовали: Национальный институт стандартов и технологии
и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций
(Канада), Агентство информационной безопасности (Германия), Агентство национальной
безопасности коммуникаций (Голландия), органы исполнения Программы безопасности
и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).
После окончательного утверждения стандарта ему был присвоен номер ISO 15408.


Общие критерии (ОК) созданы для взаимного признания результатов оценки безопасности
ИТ в мировом масштабе и представляют собой ее основу. Они позволяют сравнить
результаты независимых оценок информационной безопасности и допустимых рисков
на основе множества общих требований к функциям безопасности средств и систем
ИТ, а также гарантий, применяемых к ним в процессе тестирования.


Главные преимущества ОК - полнота требований к информационной безопасности,
гибкость в применении и открытость для последующего развития с учетом новейших
достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить
потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков)
при исследовании свойств безопасности средства или системы ИТ (объекта оценки).
Этот стандарт полезен в качестве руководства при разработке функций безопасности
ИТ, а также при приобретении коммерческих продуктов с подобными свойствами.
Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях
человека, но ОК также могут использоваться и при оценке угроз, вызванных другими
факторами. В будущем ожидается создание специализированных требований для коммерческой
кредитно-финансовой сферы. Напомним, что прежние отечественные и зарубежные
документы такого типа были привязаны к условиям правительственной или военной
системы, обрабатывающей секретную информацию, в которой может содержаться государственная
тайна.


Выпуск и внедрение этого стандарта за рубежом сопровождается разработкой новой,
стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность
вычислительных систем. Иными словами, создаются технические и программные средства
ЭВМ, отвечающие Общим критериям. Например, международная организация "Open Group",
объединяющая около 200 ведущих фирм-производителей вычислительной техники и
телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности
информации для коммерческих автоматизированных систем с учетом указанных критериев.
Кроме того, "Open Group" создает учебные программы, способствующие быстрому
и качественному внедрению документов по стандартизации.


Особенности процесса стандартизации в Интернете


В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются
стандартизацией всех интернет-технологий. Эти организации, составляющие основную
часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF),
уже стандартизировали нескольких важных протоколов, тем самым ускорив их внедрение
в сети. Семейство протоколов для передачи данных TCP/IP, SMTP и POP для электронной
почты, а так же SNMP (Simple Network Management Protocol) для управления сетью
- результаты деятельности IETF.


За несколько последних лет сетевой рынок стал свидетелем так называемого фрагментированного
влияния на формирование стандартов. По мере того, как Интернет ширился и обретал
черты потребительского и коммерческого рынка, некоторые фирмы стали искать пути
влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали
даже неформальные органы, такие как IETF. По мере развития рынков, связанных
с Интернетом, предприниматели начали объединяться в специальные группы или консорциумы
для продвижения своих собственных стандартов. В качестве примеров можно упомянуть
OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum
и Java Development Connection. Порой стандарты де-факто задают своими покупками
или заказами серьезные потребители интернет-услуг.


Одна из причин появления различных групп по стандартизации состоит в противоречии
между постоянно возрастающими темпами развития технологий и длительным циклом
создания стандартов.


Стандарты безопасности в Интернете


В качестве средств обеспечения безопасности в сети Интернет популярны протоколы
защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились
сравнительно недавно, и сразу стали стандартами де-факто.


SSL (TLS)


Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной
передачи по сети представляет собой набор криптографических алгоритмов, методов
и правил их применения. Позволяет устанавливать защищенное соединение,
производить контроль целостности данных и решать различные сопутствующие задачи.


SET


SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий
безопасные электронные транзакции в Интернете. Он основан на использовании цифровых
сертификатов по стандарту Х.509 и предназначен для организации электронной торговли
через сеть.


Данный протокол является стандартом, разработанным компаниями "MasterCard"
и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели
могут приобретать товары через Интернет, используя самый защищенный на сегодняшний
день механизм выполнения платежей. SET - это открытый стандартный многосторонний
протокол для проведения платежей в Интернете с использованием пластиковых карточек.
Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка
продавца для проверки готовности оплаты, а также целостность и секретность сообщения,
шифрование ценных и уязвимых данных. SET можно считать стандартной технологией
или системой протоколов выполнения безопасных платежей на основе пластиковых
карт через Интернет.


IPSec


Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению
к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security
IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации,
представляющих соответствующие RFC-стандарты.


Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом
(третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо
от работающего приложения, шифруется каждый пакет данных, проходящий по каналу.
Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec
работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других
криптографических алгоритмов.


Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:



  • поддержку немодифицированных конечных систем;
  • поддержку транспортных протоколов, отличных от ТСР;
  • поддержку виртуальных сетей в незащищенных сетях;
  • защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного
    анализа трафика);
  • защиту от атак типа "отказ в обслуживании".


Кроме того, IPSec имеет два важных преимущества:



  1. его применение не требует изменений в промежуточных устройствах сети;
  2. рабочие места и серверы не обязательно должны поддерживать IPSec.


Особенности российского рынка


Исторически сложилось, что в России проблемы безопасности ИТ изучались и своевременно
решались только в сфере охраны государственной тайны. Аналогичные, но имеющие
собственную специфику задачи коммерческого сектора экономики долгое время не
находили соответствующих решений. Данный факт до сих пор существенно замедляет
появление и развитие безопасных ИТ-средств на отечественном рынке, который интегрируется
с мировой системой. Тем более что у защиты информации в коммерческой автоматизированной
системе есть свои особенности, которые просто необходимо учитывать, ведь они
оказывают серьезное влияние на технологию информационной безопасности. Перечислим
основные из них :



  1. Приоритет экономических факторов. Для коммерческой автоматизированной системы
    очень важно снизить либо исключить финансовые потери и обеспечить получение
    прибыли владельцем и пользователями данного инструментария в условиях реальных
    рисков. Важным условием при этом, в частности, является минимизация типично
    банковских рисков (например, потерь за счет ошибочных направлений платежей,
    фальсификации платежных документов и т.п.);
  2. Открытость проектирования, предусматривающая создание подсистемы защиты
    информации из средств, широко доступных на рынке и работающих в открытых системах;
  3. Юридическая значимость коммерческой информации, которую можно определить
    как свойство безопасной информации, позволяющее обеспечить юридическую силу
    электронным документам или информационным процессам в соответствии с правовым
    режимом информационных ресурсов, установленным законодательством Российской
    Федерации. Это условие в последнее время приобретает все большую значимость
    в нашей стране наряду с созданием нормативно-правовой базы безопасности ИТ
    (особенно при взаимодействии автоматизированных систем разных юридических
    лиц).


Очевидно, что создание безопасных ИТ, обрабатывающих конфиденциальную информацию,
не содержащую государственной тайны, исключительно важно для экономико-финансовой
жизни современной России. Применение в России гармонизированного стандарта ISO
15408 ("Common Criteria"), отражающего новейшие мировые достижения оценки информационной
безопасности, позволит:



  • приобщить российские ИТ к современным международным требованиям по информационной
    безопасности, что упростит, например, применение зарубежной продукции и экспорт
    собственной;
  • облегчить разработку соответствующих российских специализированных нормативно-методических
    материалов для испытаний, оценки (контроля) и сертификации средств и систем
    безопасных банковских и других ИТ;
  • создать основу для качественной и количественной оценки информационных рисков,
    необходимую при страховании автоматизированных систем;
  • снизить общие расходы на поддержание режима информационной безопасности
    в банках и корпорациях за счет типизации и унификации методов, мер и средств
    защиты информации.


Государственные стандарты


Среди различных стандартов по безопасности информационных технологий, существующих
в нашей стране, следует выделить ряд документов, регламентирующих защиту взаимосвязи
открытых систем (Таблица 1, строки 1-3). К ним можно добавить нормативные документы
по средствам, системам и критериям оценки защищенности средств вычислительной
техники и автоматизированных систем (cм. Таблицу 1, строки 4-8). Последняя группа
документов, также как и многие ранее созданные зарубежные стандарты, ориентирована
преимущественно на защиту государственной тайны.



Таблица 1. Нормативные документы, регламентирующие оценку защищенности
ИТ

















































п/п




Номер документа



Описание

1  ГОСТ Р ИСО 7498-2-99
Информационная технология. Взаимосвязь открытых систем. Базовая эталонная
модель. Часть 2. Архитектура защиты информации
 2
ГОСТ Р ИСО/МЭК 9594-8-98 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть
8. Основы аутентификации
3 ГОСТ Р ИСО/МЭК 9594-9-95 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть
9. Дублирование
4

-

Руководящий документ Гостехкоммиссии "РД. СВТ. Межсетевые экраны. Защита
от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия
России, 1997)
5 ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа
к информации. Общие технические требования"
6  ГОСТ 28147-89
Системы обработки информации. Защита криптографическая. Алгоритм криптографического
преобразования
7 ГОСТ Р 34.10-94 Информационная технология. Криптографическая защита информации. Процедуры
выработки и проверки электронной подписи на базе асимметричного криптографического
алгоритма
8 ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция
хэширования

Как и где работают различные стандарты


Все имеющиеся на сегодняшний день стандарты являются разноуровневыми. Это значит,
что их применение ограничено определенным уровнем абстракции в информационных
системах (например, нельзя применять "Common Criteria" для детального описания
механизма выработки сеансового ключа в протоколе TLS). Очевидно, что для эффективного
применения стандартов необходимо хорошо знать об их уровне и назначении.


Так, при формировании политики безопасности и системы оценок эффективности,
а также при проведении комплексных испытаний защищенности лучше всего использовать
положения ISO 15408 ("Common Criteria"). Для реализации и оценки технического
совершенства систем шифрования и электронно-цифровой подписи предназначены соответствующие
ГОСТы. Если нужно защитить канал обмена произвольной информацией, то целесообразно
использовать протокол TLS. Когда же речь идет не просто о защите линии связи,
а о безопасности финансовых транзакций, в дело вступает SET, включающий в себя
протоколы защиты каналов в качестве одного из стандартов более низкого уровня.


От теории к практике


Чтобы продемонстрировать практическую важность перечисленных положений, приведем
перечень стандартов безопасности, применяющихся в комплексе реализации электронных
банковских услуг InterBank


Протокол SSL (TLS) может использоваться в качестве защиты канала
обмена информацией в системах RS-Portal и "Интернет-Клиент".
Стандарты ГОСТ 28147-89, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94, регламентирующие
шифрование данных и механизм электронно-цифровой подписи, реализованы во всех
системах криптозащиты подсистем типа "клиент-банк" ("Клиент DOS", "Клиент Windows",
"Интернет-Клиент").


С помощью протокола IPSec можно прозрачно защитить любой канал обмена информацией
между клиентом и банком, использующий сетевой протокол IP. Это относится как
к интернет-системам (RS-Portal и "Интернет-Клиент"), так и к системе электронной
почты RS-Mail, поддерживающей работу по IP.


Надеемся, что приведенная в статье информация поможет вам оценить надежность
ваших систем, а силы и время разработчиков будут направлены на создание действительно
лучших средств, которые станут новой ступенью на пути развития технологии информационной
безопасности.

Категория: Информационная безопасность | Добавил: Huker-Admin (22.10.2009)
Просмотров: 6074 | Рейтинг: 5.0/1
Copyright HUKER.ucoz.com © 2024-2012
Облако тегов
измерение скорости

Я.Интернет. Измерьте вашу скорость.