Файл: Международные стандарты в сфере безопасности сетей ( Понятия безопасности).pdf

4.2 Германский стандарт BSI

В отличие от ISO 17799 германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.

В германском стандарте BSI представлены:

• общая методика управления информационной безопасностью (организация менеджмента в области информационной безопасности, методология использования руководства);
• описания компонентов современных ИТ;
• описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);
• характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);
• характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и серверы под управлением ОС семейства DOS, Windows и UNIX);
• характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).
• характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;
• подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).

Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании — возможные угрозы и уязвимости безопасности — возможные меры, и средства контроля и защиты.

4.3 Международный стандарт ISO 15408 «Общие критерии безопасности информационных технологий»

В 1990 г. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки безопасности ИТ для общего использования. В разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция), которые опирались на свой солидный задел.

За десятилетие разработки лучшими специалистами мира документ неоднократно редактировался. Первые две версии были опубликованы соответственно в январе и мае 1998 г. Версия 2.1 этого стандарта утверждена 8 июня 1999 г. Международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий», или «Соттоп Criteria».

«Общие критерии» (ОК) обобщили содержание и опыт использования Оранжевой книги, развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США.

В ОК проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства ОК — полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.

Ведущие мировые производители оборудования ИТ сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.

ОК разрабатывались для удовлетворения запросов трех групп специалистов, в равной степени являющихся пользователями этого документа: производителей и потребителей продуктов ИТ, а также экспертов по оценке уровня их безопасности. ОК обеспечивают нормативную поддержку процесса выбора ИТ-продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.

ОК рассматривают информационную безопасность, во-первых, как совокупность конфиденциальности и целостности информации, обрабатываемой ИТ-продуктом, а также доступности ресурсов ВС и, во-вторых, ставят перед средствами защиты задачу противодействия угрозам, актуальным для среды эксплуатации этого продукта и реализации политики безопасности, принятой в этой среде эксплуатации. Поэтому в концепцию ОК входят все аспекты процесса проектирования, производства и эксплуатации ИТ-продуктов, предназначенных для работы в условиях действия определенных угроз безопасности.

Потребители ИТ-продуктов озабочены наличием угроз безопасности, приводящих к определенным рискам для обрабатываемой информации. Для противодействия этим угрозам ИТ-продукты должны включать в свой состав средства защиты, противодействующие этим угрозам и направленные на устранение уязвимостей, однако ошибки в средствах защиты в свою очередь могут приводить к появлению новых уязвимостей. Сертификация средств защиты позволяет подтвердить их адекватность угрозам и рискам.

ОК регламентируют все стадии разработки, квалификационного анализа и эксплуатации ИТ-продуктов. ОК предлагают концепцию процесса разработки и квалификационного анализа ИТ-продуктов, требующую от потребителей и производителей большой работы по составлению и оформлению объемных и подробных нормативных документов.

Требования ОК являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по безопасности ИТ.

Стандарт ISO 15408 поднял стандартизацию ИТ на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных ИС, что в свою очередь откроет новые сферы применения ИТ.

Принятый базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен и для российских разработчиков.

5. Стандарт IEEE 802.11 для беспроводных сетей.

Стандарт IEEE 802.11 является базовым стандартом и определяет протоколы, необходимые для организации беспроводных локальных сетей WLAN (Wireless Local Area Network). Основные из них — протокол управления доступом к среде MAC (Medium Accsess Control — нижний подуровень канального уровня) и протокол PHY передачи сигналов в физической среде. В качестве физической среды допускается использование радиоволн и инфракрасного излучения.

В основу стандарта IEEE 802.11 положена сотовая архитектура, причем сеть может состоять как из одной, так и нескольких ячеек. Каждая из них управляется базовой станцией, называемой точкой доступа АР (Access Point), которая вместе с находящимися в пределах радиуса ее действия рабочими станциями пользователей образует базовую зону обслуживания BSS (Basic Service Set). Точки доступа многосотовой сети взаимодействуют между собой через распределительную систему DS (Distribution System), представляющую собой эквивалент магистрального сегмента кабельных ЛС. Вся инфраструктура, включающая точки доступа и распределительную систему образует расширенную зону обслуживания ESS (Extended Service Set). Стандартом предусмотрен также односотовый вариант беспроводной сети, который может быть реализован и без точки доступа, при этом часть ее функций выполняются непосредственно рабочими станциями.

Для обеспечения перехода мобильных рабочих станций из зоны действия одной точки доступа к другой в многосотовых системах предусмотрены специальные процедуры сканирования (активного и пассивного прослушивания эфира) и присоединения (Association), однако строгих спецификаций по реализации роуминга стандарт IEEE 802.11 не предусматривает.

Для защиты WLAN стандартом IEEE 802.11 предусмотрен алгоритм WEP (Wired Equivalent Privacy). Он включает средства противодействия НСД к сети, а также шифрование для предотвращения перехвата информации.
Однако заложенная в первую спецификацию стандарта IEEE 802.1 1 скорость передачи данных в беспроводной сети перестала удовлетворять потребностям пользователей: алгоритм WEP имел ряд существенных недостатков — отсутствие управления ключом, использование общего статического ключа, малые разрядности ключа и вектора инициализации, сложности использования алгоритма RC4.

Чтобы сделать технологию Wireless LAN недорогой, популярной и удовлетворяющей жестким требованиям бизнес-приложений, разработчики создали семейство новых спецификаций стандарта IEEE 802.11 — а, Ь, L Стандарты этого семейства, по сути, являются беспроводными расширениями протокола Ethernet, что обеспечивает хорошее взаимодействие с проводными сетями Ethernet.

6. Стандарты информационной безопасности в Интернете

По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. Поэтому чрезвычайно важно добиваться эффективного решения проблем обеспечения безопасности коммерческой информации в глобальной сети Интернет и смежных Интранет-сетях, которые по своей технической сущности не имеют принципиальных отличий и различаются в основном масштабами и открытостью.

Рассмотрим особенности стандартизации процесса обеспечения безопасности коммерческой информации в сетях с протоколом передачи данных IP/TCP и с акцентом на защиту телекоммуникаций.
Обеспечение безопасности ИТ особенно актуально для открытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну. Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого обеспечивается соответствием требованиям международных стандартов.

Термин «открытые системы» подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от НСД к информации.

В Интернете уже давно существует ряд комитетов, в основном из организаций-добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета IETF (Internet Engineering Task Force) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете. Непосредственными результатами усилий IETF являются такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а также SNMP (Simple Network Management Protocol) для управления сетью.

В Интернете популярны протоколы безопасной передачи данных, а именно SSL, SET, IPSec. Перечисленные протоколы появились в Интернете сравнительно недавно как необходимость защиты ценной информации и сразу стали стандартами де-факто.

Заключение

Сетевая безопасность охватывает множество мер и должна рассматриваться как часть общей политики, проводимой организацией (предприятием, компанией, фирмой) по информационной безопасности. В обеспечении безопасности сети занято много служб и используются различные средства. По сетевой безопасности написано огромное количество книг и статей, затрагивающих широкий диапазон ИБ.

Эффективность компьютерной сети во многом зависит от степени защищенности обрабатываемой и передаваемой информации. Степень защищенности информации от различного вида угроз при ее получении, обработке, хранении, передаче и использовании называют безопасностью информации.

Актуальность проблеме сетевой безопасности придает широкое использование компьютерных технологий во всех сферах жизни современного общества, а также переход от использования выделенных каналов к публичным сетям который наблюдается при построении корпоративных сетей. В современном мире, практически во всех сферах жизни, используются компьютерные сети. Именно поэтому, актуальной проблемой становится безопасность компьютерных сетей. Для этого была придумана «политика безопасности сетей».

Основная задача политики безопасности состоит в защите от несанкционированного доступа к ресурсам информационной системы. Политика безопасности является эффективным средством, заставляющим всех пользователей корпоративной сети следовать раз и навсегда установленным правилам безопасности. Ее реализация начинается с выявления уязвимых компонентов и угроз и принятия соответствующих контрмер.