Файл: Международные стандарты в сфере безопасности сетей ( Понятия безопасности).pdf

Безопасность информационных систем является очень важным вопросом. В жизни современного общества, информация, находящаяся на электронных носителях, играет большую роль. Такая информация уязвима, обусловлено это целым рядом аспектов: огромные объемы, большое количество пользователей, работающих с этой информацией, анонимность доступа, передача информации по каналам связи, возможность «информационных диверсий»... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой.

При рассмотрении безопасности информационных систем обычно выделяют две группы проблем: безопасность компьютера и сетевая безопасность. К компьютерной безопасности относятся проблемы защиты данных, хранящихся и обрабатывающихся компьютером. В этом случае, компьютер рассматривают как автономную систему. Данные проблемы решаются средствами операционных систем и прикладного ПО, таких как базы данных, а также встроенными аппаратными средствами компьютера. К сетевой безопасности относятся вопросы, связанные с взаимодействием устройств в сети, это, прежде всего, защита данных в момент их передачи по линиям связи и защита от несанкционированного удаленного доступа в сеть.

Специально для обеспечения безопасности информационных сетей были придуманы международные стандарты.

1. Понятия безопасности

Безопасная информационная система – это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.

Конфиденциальность – гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен.

Доступность – гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность – гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным. Например, если мы публикуем информацию в Интернете на WEB-сервере и нашей целью является сделать ее доступной для широкого круга людей, то конфиденциальность в данном случае не требуется.

Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер.

2. Механизмы реализации безопасности

2.1. Произвольное управление доступом

Добровольное управление доступом - это метод ограничения доступа к объектам на основе идентификации субъекта или группы, к которой он принадлежит. Добровольное управление заключается в том, что некоторое лицо (как правило, владелец объекта) может по своему усмотрению передать другим субъектам или отобрать у них права доступа к объекту. Большинство операционных систем и систем управления базами данных реализуют добровольное управление доступом. Его главное преимущество - гибкость, основные недостатки - рассредоточенность управления и сложность централизованного управления, а также изоляция прав доступа от данных, что позволяет копировать конфиденциальную информацию в общедоступные файлы или секретные файлы в незащищенные каталоги.

2.2. Безопасность повторного использования объектов

Безопасность повторного использования объектов является важным практическим дополнением к средствам управления доступом для предотвращения случайного или преднамеренного извлечения конфиденциальной информации из "мусора". "Безопасность повторного использования должна быть гарантирована для областей оперативной памяти (в частности, буферов с изображениями экрана, расшифрованными паролями и т. д.), дисковых блоков и магнитных носителей в целом. Важно обратить внимание на следующий момент. Поскольку информация о субъекте также является объектом, необходимо позаботиться о том, чтобы "повторное использование субъекта" было безопасным. Когда пользователь покидает вашу организацию, вы должны не только запретить ему возможность входа в систему, но и запретить ему доступ ко всем объектам. В противном случае новый сотрудник может получить ранее использованный ID, а вместе с ним и все права своего предшественника. Современные интеллектуальные периферийные устройства затрудняют безопасное повторное использование.

2.3. Метки безопасности

Набор уровней безопасности может варьироваться от системы к системе. Категории образуют неупорядоченный набор. Их цель - описать предметную область, к которой относятся данные. В военной среде каждая категория может соответствовать, например, определенному типу оружия. Механизм категорий позволяет разделить информацию на отсеки, что способствует повышению безопасности. Субъект не может получить доступ к "чужим" категориям, даже если их уровень надежности является "совершенно секретным". "Специалист по танкам не признает тактико-технические данные самолетов.

Основная проблема, которую необходимо решить в связи с этикетками, заключается в обеспечении их целостности. Во-первых, не должно быть никаких немаркированных предметов и объектов, иначе в безопасности тега появятся легко используемые пробелы. Во-вторых, метки должны оставаться корректными для всех операций с данными. Это особенно верно для экспорта и импорта данных. Например, печатный документ должен открываться с заголовком, содержащим текстовое и / или графическое представление метки безопасности. Аналогично, когда файл передается по каналу связи, соответствующая метка должна передаваться таким образом, чтобы удаленная система могла ее расшифровать, несмотря на возможные различия в уровнях секретности и наборе категорий. Одним из способов обеспечения целостности меток безопасности является разделение устройств на уровни и родственные элементы. Многоуровневые устройства могут хранить информацию разных уровней секретности (точнее, лежащую в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уровень устройства, система может решить, допустимо ли записывать на него информацию с определенной меткой. Например, попытка напечатать совершенно секретную информацию на общедоступном принтере с неклассифицированным уровнем завершится неудачей.

2.4. Принудительное управление доступом

Управление принудительным доступом основано на сопоставлении меток безопасности субъекта и объекта.

Субъект может считывать информацию из объекта, если уровень безопасности субъекта не ниже уровня безопасности объекта, и все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В этом случае метка субъекта, как говорят, доминирует над меткой объекта. Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный " субъект может писать в секретные файлы, но не может писать в несекретные файлы (конечно, ограничения по категориям также должны соблюдаться). На первый взгляд это ограничение может показаться странным, но оно вполне обоснованно. Ни при каких обстоятельствах не следует снижать уровень секретности информации, хотя обратный процесс вполне возможен. Принудительный контроль доступа реализован во многих вариантах операционных систем и СУБД, характеризующихся повышенными мерами безопасности. В частности, такие варианты существуют для СУБД SunOS и Ingres. Независимо от того, какая ваша заявка, обязательные средства контроля являются удобной методологической основой для оригинальной классификации информации и распределения прав доступа. Удобнее думать в терминах уровней и категорий безопасности, чем заполнять неструктурированную матрицу доступа. Однако в реальной жизни добровольный и обязательный контроль доступа объединены в единую систему, что позволяет использовать сильные стороны обоих подходов.

3. Организация ISO

Международная организация по стандартизации, ИСО (International Organization for Standardization , ISO ) — международная организация, занимающаяся выпуском стандартов.

Международная организация по стандартизации создана в 1946 двадцатью пятью национальными организациями по стандартизации. Фактически её работа началась с 1947. СССР был одним из основателей организации, постоянным членом руководящих органов, дважды представитель Госстандарта избирался председателем организации. Россия стала членом ИСО как правопреемник СССР. 23 сентября 2005 года Россия вошла в Совет ИСО.

При создании организации и выборе её названия учитывалась необходимость того, чтобы аббревиатура наименования звучала одинаково на всех языках. Для этого было решено использовать греческое слово ισος — равный, вот почему на всех языках мира Международная организация по стандартизации имеет краткое название «исо».

Сфера деятельности ИСО касается стандартизации во всех областях, кроме электротехники и электроники, относящихся к компетенции Международной электротехнической комиссии (МЭК, IEC). Некоторые виды работ выполняются совместными усилиями этих организаций. Кроме стандартизации ИСО занимается проблемами сертификации.

ИСО определяет свои задачи следующим образом: содействие развитию стандартизации и смежных видов деятельности в мире с целью обеспечения международного обмена товарами и услугами, а также развития сотрудничества в интеллектуальной, научно-технической и экономической областях.

Организационно в ИСО входят руководящие и рабочие органы. Руководящие органы: Генеральная ассамблея (высший орган), Совет, Техническое руководящее бюро. Рабочие органы — технические Комитеты (ТК), подкомитеты, технические консультативные группы (ТКГ).

4. Международные стандарты

4.1. Стандарты ISO/IEC 17799:2002 (BS 7799:2000)

Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью — Информационные технологии» («Information technology — Information security management») является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799—1:1995 «Практические рекомендации по управлению информационной безопасностью» («lnformation security management — Part 1: Code of practice for information security management») и относится к новому поколению стандартов информационной безопасности компьютерных ИС.

Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799—1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

необходимость обеспечения информационной безопасности;
основные понятия и определения информационной безопасности;
политика информационной безопасности компании;
организация информационной безопасности на предприятии;
классификация и управление корпоративными информационными ресурсами;
кадровый менеджмент и информационная безопасность;
физическая безопасность;
администрирование безопасности КИС
управление доступом;
требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;
управление бизнес-процессами компании с точки зрения информационной безопасности;
внутренний аудит информационной безопасности компании.

Вторая часть стандарта BS 7799—2:2000 «Спецификации систем управления информационной безопасностью» («Information security management — Part 2: Specification for information security management systems»), определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита КИС.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:

«Введение в проблему управления информационной безопасностью» («Information security managment: an introduction»);
«Возможности сертификации на требования стандарта BS 7799» («Preparing for BS 7799 sertification»);
«Руководство BS 7799 по оценке и управлению рисками» («Guide to BS 7799 risk assessment and risk management»);
«Руководство для проведения аудита на требования стандарта» («BS 7799 Guide to BS 7799 auditing»);
«Практические рекомендации по управлению безопасностью информационных технологий» («Code of practice for IT management»).

В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях. По мнению специалистов, обновление международного стандарта ISO 17799 (BS 7799) позволит не только повысить культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.