Основы информационной безопасности

* сохранение целостности данных платежей. Целостность информации платежей обеспечивается с помощью цифровой подписи;

* специальную криптографию с открытым ключом для проведения аутентификации;

* аутентификацию держателя по кредитной карточке. Она обеспечивается применением цифровой подписи и сертификатов держателя карт;

* аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;

* аутентификацию того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процессинговой карточной системой. Аутентификация банка продавца обеспечивается использованием цифровой подписи и сертификатов банка продавца;

* готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;

* безопасность передачи данных посредством преимущественного использования криптографии.

Основное преимущество SET по сравнению с другими существующими системами обеспечения информационной безопасности заключается в использовании цифровых сертификатов (стандарта Х.509), которые ассоциируют держателя карты, продавца и банк продавца с банковскими учреждениями платежных систем Visa и Mastercard. Кроме того, SET позволяет сохранить существующие отношения между банком, держателями карт и продавцами и интегрируется с существующими системами.

ЛЕКЦИЯ 6. МЕРЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

Защитные меры (см., например, ГОСТ ИСО/МЭК 13335) - это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов.

Эффективная безопасность требует комбинации различных защитных мер для обеспечения заданных уровней безопасности . Например, механизмы контроля доступа, применяемые к вычислительным средствам, должны подкрепляться аудитом, определенным порядком действий персонала, его обучением, а также физической защитой.

Порядок выбора защитных мер очень важен для правильного планирования и реализации программы информационной безопасности. Защитная мера может выполнять много функций безопасности, и, наоборот, одна функция безопасности может потребовать нескольких защитных мер. Защитные меры могут выполнять одну или несколько из следующих функций: предотвращение; сдерживание; обнаружение; ограничение; исправление; восстановление; мониторинг; осведомление.

Некоторые защитные меры могут характеризовать позицию организации в области информационной безопасности. В связи с этим важно выбирать специфические защитные меры, не причиняющие ущерба культурной и социальной среде, в которой функционирует организация.

Примеры таких специфических защитных мер: политики и процедуры; механизмы контроля доступа; антивирусное программное обеспечение; шифрование; цифровая подпись; инструменты мониторинга и анализа; резервный источник питания; резервные копии информации.

Меры обеспечения ИБ (или меры контроля в понятиях ГОСТ Р ИСО/МЭК 27001, или защитные меры в терминах ISO 13335-1) имеют разветвленную сложную структуру и состоят из организационных и программно-технических мер на верхнем уровне. В свою очередь, организационные меры включают законодательные, административные и процедурные меры обеспечения ИБ.

Законодательные меры включают в себя законы, стандарты, регламенты и другие нормативные документы. Основой административных мер, осуществляемых руководством организации, является политика безопасности. Процедурные, то есть реализуемые людьми, меры безопасности включают меры по: управлению персоналом; физической защите; поддержке работоспособности; реагированию на нарушения режима безопасности; планированию восстановительных работ.

Стандарты ГОСТ Р ИСО/МЭК 27001 и ISO/IEC 17799:2005 выделяют следующие области контроля:

- политика безопасности;

- управление активами (ресурсами);

- безопасность кадровых ресурсов (персонала);

- физическая безопасность и безопасность от воздействия окружающей среды;

- управление средствами связи и функционированием;

- контроль доступа;

- приобретение, разработка и обслуживание информационных систем;

- управление инцидентами с информационной безопасностью;

- управление непрерывностью бизнес-процессов;

- соответствие различным требованиям.

Ориентировочно весь объем мероприятий (в денежном исчислении) по охране и защите информации (см.[92]) можно разделить в следующем соотношении:

1. Правовые меры (законы, ведомственные акты, инструкции) - 5%.

2. Физические меры (ограда по периметру, служба охраны, разграничение полномочий и др.) - 15%.

3. Технические меры (различные технические и программные средства защиты) - 25-30%.

4. Административные меры (разработка политики в области безопасности, процедур ее внедрения, кадровая политика, обучение персонала, контроль и др.) - 50%.

Средства контроля выбираются в соответствии с вопросами безопасности, идентифицированными в результате оценки риска (стандарт ISO/IES 27005 посвящен именно управлению рисками), принимая в расчет угрозы и, наконец, вид рассматриваемого информационного процесса или системы. Выбор средств контроля всегда включает баланс операционных (нетехнических) и технических средств контроля. Операционные средства контроля включают те, которые обеспечивают физическую, кадровую и административную безопасность.

Физические средства контроля безопасности включают прочность внутренних стен строения, дверные замки с кодовым набором, противопожарные системы и охрану.

Кадровая безопасность охватывает проверки, связанные с набором персонала (особенно лиц, занимающих ответственные посты), мониторинг персонала и программы повышения осознания безопасности.

Административная (процедурная) безопасность включает надежное документирование операционных процедур, процедуры разработки и одобрения приложений, а также процедуры менеджмента инцидентов информационной безопасности.

В связи с этой категорией очень важно, чтобы для каждой системы разрабатывались соответствующие планы и стратегия обеспечения непрерывности бизнеса, включая планирование действий в чрезвычайных ситуациях/восстановление после сбоев. План должен включать подробности об основных функциях и приоритетах для восстановления, потребности обработки и организационные процедуры, которым нужно следовать в том случае, если происходит бедствие или прерывание обслуживания. Такие планы должны включать шаги, необходимые для контроля значимой информации, которая обрабатывается или хранится, позволяя все же при этом организации вести дела.

Техническая безопасность охватывает аппаратную и программную защиту, а также средства контроля системы связи. Эти средства контроля выбираются в соответствии с рисками для обеспечения функциональных возможностей безопасности и доверия.

Функциональные возможности будут, например, охватывать идентификацию и аутентификацию, требования логического контроля доступа, потребности контрольного журнала/журнала безопасности, обеспечение безопасности с помощью обратного звонка, аутентификацию сообщений, шифрование и т.д. Требования доверия документируют необходимый уровень доверия к функциям безопасности и, следовательно, объем и вид проверок, тестирования безопасности и т.д., необходимых для подтверждения этого уровня. При вынесении решения о дополняющем сочетании операционных и технических средств контроля будут существовать различные варианты выполнения технических требований безопасности. Для каждого варианта должна быть определена техническая архитектура безопасности, чтобы способствовать установлению того, что безопасность может быть обеспечена, как необходимо, и что это осуществимо с доступной технологией.

При выборе средств контроля следует рассматривать ряд факторов, включая:

- виды выполняемых функций -- предотвращение, сдерживание, обнаружение, восстановление, исправление, мониторинг, информированность;

- относительную стойкость средств контроля;

- капитальные, операционные и эксплуатационные расходы на средства контроля;

- помощь, предоставляемую пользователям для выполнения их функций;

- простоту использования средства контроля для пользователя.

При изучении общей безопасности или совокупности средств контроля, которые должны использоваться, следует поддерживать баланс видов функций. Это способствует тому, чтобы общая безопасность была более эффективной и продуктивной. Может требоваться анализ затрат и выгод, как и анализ компромиссных решений (метод сравнения соперничающих альтернатив, используя совокупность критериев, которые взвешиваются на предмет относительной значимости в отношении к конкретной ситуации). При этом должны учитываться требования конфиденциальности, целостности, доступности, учетности, подлинности и надежности.

Оценка проблем безопасности

Проблемы безопасности могут включать: потерю конфиденциальности; потерю целостности; потерю доступности; потерю учетности; потерю подлинности; потерю надежности.

Проблемы безопасности могут оцениваться путем рассмотрения того, причинят ли последствия сбоя или нарушения безопасности серьезный ущерб, незначительный ущерб или нулевой ущерб бизнес-операциям. Рассмотрение возможных угроз может помочь прояснить проблемы безопасности. Оценка должна проводиться отдельно для каждого актива, так как проблемы безопасности для различных активов могут быть разными. Однако при наличии достаточных знаний о проблемах безопасности активы с одинаковыми или сходными деловыми требованиями и проблемами безопасности могут быть объединены в группы.

Потеря конфиденциальности. Рассмотреть последствия потери конфиденциальности (намеренной или ненамеренной) проверяемого актива (активов). Потеря конфиденциальности может приводить:

- к утрате общественного доверия или ухудшению общественного имиджа;

- правовой ответственности, включая ту, которая может проистекать из нарушения законодательства о защите данных;

- неблагоприятному влиянию на политику организации;

- созданию угрозы личной безопасности;

- финансовым потерям.

Потеря целостности. Рассмотреть последствия потери целостности (намеренной или ненамеренной) проверяемого актива (активов). Потеря целостности может приводить к:

- неверным принимаемым решениям;

- мошенничеству;

- нарушению деловых функций;

- утрате общественного доверия или ухудшению общественного имиджа;

- финансовым потерям;

- правовой ответственности, включая ту, которая может проистекать из нарушения законодательства о защите данных.

Потеря доступности. Рассмотреть последствия кратковременной потери доступности приложений или информации, т.е. какие деловые функции в случае их прерывания приведут к невыполнению времени реагирования или времени выполнения. Должна быть также рассмотрена крайняя форма потери доступности, необратимая потеря данных и/или физическое разрушение аппаратных или программных средств. Потеря доступности критических приложений или информации может приводить к:

- неверным принимаемым решениям;

- неспособности выполнения критических задач;

- утрате общественного доверия или ухудшению общественного имиджа;

- финансовым потерям;

- правовой ответственности, включая ту, которая может проистекать из нарушения законодательства о защите данных и из невыполнения договорных предельных сроков;

- значительным расходам на восстановление.

Потеря учетности. Рассмотреть последствия потери учетности пользователей системы или объектов (например, программных средств), действующих от имени пользователя. Кроме того, это рассмотрение должно включать автоматически генерируемые сообщения, которые могут приводить к действию. потеря учетности может

приводить к:

- манипулированию системой пользователями;

- мошенничеству;

- промышленному шпионажу;

- неотслеживаемым действиям;

- ложным обвинениям;

- правовой ответственности, включая ту, которая может проистекать из нарушения законодательства о защите данных.

Потеря подлинности. Рассмотреть последствия потери подлинности данных и сообщений, независимо от того, используются ли они людьми или системами. Это особенно важно в распределенных системах, где принятые решения распространяются среди большого сообщества или где используется справочная информация. Потеря подлинности может приводить:

- к мошенничеству;

- использованию правомерного процесса с недействительными данными, приводящими к вводящему в заблуждение результату;

- манипулированию организацией посторонними лицами;

- промышленному шпионажу;

- ложным обвинениям;

- правовой ответственности, включая ту, которая может проистекать из нарушения законодательства о защите данных.

Потеря надежности. Рассмотреть последствия потери надежности систем. Кроме того, важно рассмотреть функциональные возможности, являющиеся подхарактеристикой надежности (смотри ИСО 9126:дата). Потеря надежности может приводить:

- к мошенничеству;

- потерянной доле на рынке;

- отсутствию мотивации у персонала;

- ненадежным поставщикам;

- потери доверия клиентов;

- правовой ответственности, включая ту, которая может проистекать из нарушения законодательства о защите данных.

Контроль конфиденциальности

Ниже перечислены виды угроз, которые могут ставить в опасность конфиденциальность, вместе с предлагаемыми средствами контроля для защиты от этих угроз.

1. Подслушивание. Одним из способов получения доступа к значимой информации является подслушивание, например, путем подключения к линии или прослушивания телефонных разговоров. Средства контроля против этой угрозы:

- физические средства контроля. Это могут быть помещения, стены, строения и т.д., делающие подслушивание невозможным или трудновыполнимым. Еще одним способом достижения этого является добавление помех. В случае телефонов соответствующая прокладка кабеля может обеспечить определенную защиту от подслушивания;

- политика информационной безопасности. Такой способ избежать прослушивания заключается в наличии строгих правил, касающихся того, когда, где и каким способом должен происходить обмен значимой информацией;

- защита конфиденциальности данных. Одним из способов защиты от подслушивания является шифрование сообщения перед обменом сообщениями.

2. Электромагнитное излучение может использоваться нарушителем для приобретения знаний об информации, обрабатываемой системой. Средства контроля против электромагнитного излучения перечисляются ниже:

- физические средства контроля. Это может быть облицовка комнат, стен и т.д.; эти средства контроля не позволяют электромагнитному излучению проходить через облицовку;

- защита конфиденциальности данных. Следует отметить, что эта защита применима, только пока информация зашифрована, а не для обрабатываемой, выводимой на экран или распечатываемой информации;

- использование оборудования информационно-коммуникационных технологий с низким излучением. Может быть применено оборудование со встроенной защитой.

3. Вредоносное программное обеспечение может приводить к потере конфиденциальности, например, посредством перехвата и раскрытия паролей. Средства контроля против этого перечисляются ниже:

- защита от вредоносного программного обеспечения;

- менеджмент инцидентов информационной безопасности, т.е. своевременное сообщение о необычном инциденте может ограничивать ущерб в случае атак со стороны вредоносного программного обеспечения. Обнаружение вторжения может использоваться для обнаружения попыток проникновения в систему или сеть.

4. Имитация личности пользователя может быть использована, чтобы обойти аутентификацию и все сервисы и функции безопасности, связанные с этим. В итоге это может приводить к проблемам конфиденциальности, когда такая имитация дает возможность доступа к значимой информации. Средства контроля в этой сфере перечисляются ниже:

- идентификация и аутентификация. Имитация значительно затрудняется, если используются средства контроля идентификации и аутентификации, основанные на комбинации чего-то известного пользователю, чего-то имеющегося у пользователя, а также неотъемлемых характеристик пользователя;

- логический контроль доступа и аудит. Средства логического контроля доступа не могут отличить уполномоченного пользователя от лица, выдающего себя за уполномоченного пользователя, но использование механизмов контроля доступа может уменьшить сферу влияния. Проверка и анализ контрольных журналов могут обнаруживать несанкционированную деятельность;

- защита от вредоносного программного обеспечения. Поскольку одним из способов получения паролей является введение вредоносного программного обеспечения для перехвата паролей, должна присутствовать защита против такого программного обеспечения;

- защита конфиденциальности данных. Если по некоторым причинам приведенный выше вид защиты невозможен или недостаточен, может быть обеспечена дополнительная защита, использующая шифрование хранимых значимых данных.

5. Неправильная маршрутизация - это умышленное или случайное неверное направление сообщений, тогда как изменение маршрутизации может происходить как с хорошими, так и с плохими целями. Изменение маршрутизации может, например, осуществляться для поддержки сохранности доступности. Неправильная маршрутизация и изменение маршрутизации сообщений могут приводить к потере конфиденциальности, если они делают возможным несанкционированный доступ к этим сообщениям. Средства контроля против этого перечисляются ниже:

- сетевой менеджмент. Средства контроля для защиты от неправильной маршрутизации или изменения маршрутизации можно найти в других документах, над которыми сейчас работают ИСО/МЭК и которые содержат дальнейшую информацию о детальных средствах контроля для обеспечения сетевой безопасности;

- защита конфиденциальности данных. Чтобы избежать несанкционированного доступа в случае неправильной маршрутизации или измерения маршрутизации, сообщения могут шифроваться.

6. Сбой программы может подвергать опасности конфиденциальность, если это программное средство обеспечивает защиту конфиденциальности, например, программные средства управления доступом или шифрования, или если сбой программы создает проблемы, например, в операционной системе. Средства контроля для защиты конфиденциальности в этом случае перечисляются ниже:

- менеджмент инцидентов. Каждый, кто замечает неправильное срабатывание программы, должен сообщить об этом ответственному лицу, чтобы как можно скорее могли быть приняты меры;

- операционные действия. Некоторые сбои программ можно избежать путем тщательного тестирования программного средства перед его использованием и посредством контроля изменений программных средств.

7. Хищение может подвергать опасности конфиденциальность, если похищенный компонент информационно-коммуникационных технологий содержит значимую информацию, к которой может получить доступ похититель. Средства контроля против хищения перечисляются ниже:

- физические средства контроля. Это может быть физическая защита, затрудняющая доступ к строению, сфере или помещению, содержащим оборудование ИКТ, или специальные средства контроля против хищения;

- кадровые средства. Должны существовать средства контроля для персонала (контроль внешнего персонала, соглашения об обеспечении конфиденциальности и т.д.), затрудняющие хищение;

- защита конфиденциальности данных. Это средство контроля должно быть реализовано, если кажется вероятным хищение оборудования информационно-коммуникационных технологий, содержащего значимую информацию.

- контроль носителей данных. Любой носитель данных, содержащий значимую информацию, должен быть защищен от хищения.

8. Несанкционированный доступ к компьютерам, данным, сервисам и приложениям может быть угрозой, если возможен доступ к любому значимому материалу. Средства контроля для защиты от несанкционированного доступа включают соответствующую идентификацию и аутентификацию, логический контроль доступа, аудит и сетевое разделение.

Несанкционированный доступ к носителям данных и их использование могут подвергать опасности конфиденциальность, если на этих носителях хранится любой конфиденциальный материал. Могут быть применены средства контроля носителей данных для обеспечения, например, физической защиты и учетности носителей данных, а гарантированное удаление хранимой информации обеспечивает, чтобы никто не мог получить конфиденциальный материал с ранее стертого носителя данных. Особую заботу следует проявлять для обеспечения защиты сменных носителей, таких как дискеты, резервные магнитные ленты и бумажные носители. Соответствующая защита помещений, физический контроль могут обеспечить защиту от несанкционированного доступа. Дополнительная защита хранящегося значимого материала может быть достигнута путем шифрования материала. Необходима хорошая система менеджмента ключей, позволяющая надежное применение шифрования.

Средства контроля целостности

Ниже перечислены виды угроз, которые могут подвергать опасности целостность, вместе с предлагаемыми средствами контроля для защиты от этих угроз.

1. Ухудшение состояния носителей данных угрожает целостности всего, что хранится на этих носителях. Если целостность важна, должны применяться следующие средства контроля:

- средства контроля носителей данных. Достаточные средства контроля носителей данных включают верификацию целостности, которая обнаруживает искажение хранящихся файлов;

- резервные копии. Должны быть сделаны резервные копии всех важных файлов, деловых данных и т.д. Если обнаружена потеря целостности, например, с помощью средств контроля носителей данных или во время тестирования резервных копий, то для восстановления целостности файлов должна использоваться резервная копия или предыдущая генерация резервной копии;

- защита целостности данных. Для защиты целостности хранящихся данных могут использоваться криптографические средства.

2. Вредоносное программное обеспечение может приводить к потере целостности, например, если данные или файлы изменяются человеком, получающим несанкционированный доступ с помощью вредоносного программного обеспечения, или самим вредоносным программным обеспечением. Средства контроля против этого перечисляются ниже.

- менеджмент инцидентов. Своевременное сообщение о необычном инциденте может ограничивать ущерб в случае атак со стороны вредоносного программного обеспечения. Обнаружение вторжения может использоваться для обнаружения попыток проникновения в систему или сеть;

- идентификация и аутентификация. Имитация личности пользователя значительно затрудняется, если используются средства контроля идентификации и аутентификации, основанные комбинации чего-то известного пользователю, чего-то имеющегося у пользователя, а также неотъемлемых характеристик пользователя;

- логический контроль доступа и аудит. Средства логического контроля доступа не могут отличить уполномоченного пользователя от лица, выдающего себя за уполномоченного пользователя, но использование механизмов контроля доступа может уменьшить сферу влияния. Проверка и анализ контрольных журналов могут обнаруживать несанкционированную деятельность.

Защита от вредоносного программного обеспечения

Поскольку одним из способов получения паролей является введение вредоносного программного обеспечения для перехвата паролей, должна присутствовать защита против такого программного обеспечения.

Сетевой менеджмент. Один из способов несанкционированного доступа состоит в том, чтобы выдать себя за пользователя в трафике, например в электронной почте. ИСО/МЭК работают сейчас над несколькими документами, содержащими дальнейшую информацию о детальных средствах контроля для обеспечения сетевой безопасности.

Защита целостности данных. Если по некоторым причинам приведенный выше вид защиты невозможен или недостаточен, может быть обеспечена дополнительная защита, использующая криптографические средства, подобные цифровым подписям.

Неправильная маршрутизация - это умышленное или случайное неверное направление сообщений, тогда как изменение маршрутизации может происходить как с хорошими, так и с плохими целями. Изменение маршрутизации может, например, осуществляться для поддержки сохранности доступности. Неправильная маршрутизация и изменение маршрутизации сообщений могут приводить к потере целостности, например, если сообщения изменяются, а затем посылаются исходным получателям. Средства контроля против этого перечисляются ниже:

- сетевой менеджмент. Средства контроля для защиты от неправильной маршрутизации или изменения маршрутизации можно найти в других документах, над которыми сейчас работают ИСО/МЭК и которые содержат дальнейшую информацию о детальных средствах контроля для обеспечения сетевой безопасности.

- защита целостности данных. Чтобы избежать несанкционированного изменения в случае неправильной маршрутизации или измерения маршрутизации, могут быть использованы т.н. хэш-функции и цифровые подписи.

Должны быть применены средства контроля неотказуемости, когда важно иметь подтверждение того, что сообщение было послано и/или получено и что сеть передала сообщение. В качестве основы неотказуемости (целостности данных и неотказуемости) существуют специальные криптографические средства контроля.

Сбой программы может разрушить целостность данных и информации, которые обрабатываются с помощью этого программного средства. Средства контроля для защиты целостности перечисляются ниже:

- сообщение о неправильном срабатывании программы. Скорейшее возможное сообщение о неправильном срабатывании программы помогает ограничить ущерб в случае сбоев программ;

- операционные вопросы. Тестирование безопасности может использоваться для обеспечения правильного функционирования программного обеспечения, а контроль изменений программных средств может помочь избежать проблем, вызванных модернизацией или другими изменениями программного обеспечения;

- резервные копии. Резервные копии, например предыдущая генерация, могут быть использованы для восстановления целостности данных, которые обрабатывались программным обеспечением, функционирующим неверно;

- защита целостности данных. Для защиты целостности информации могут использоваться криптографические средства.

Нарушения подачи электроэнергии, кондиционирования воздуха могут вызывать проблемы целостности, если из-за них происходят другие сбои. Например, нарушение подачи может приводить к аппаратным сбоям, техническим повреждениям или проблемам с носителями данных. Средства контроля для защиты против этих конкретных проблем можно найти в соответствующих подразделах; средства контроля против нарушения подачи перечислены ниже:

- энергоснабжение и кондиционирование воздуха. Соответствующие средства контроля энергоснабжения и кондиционирования воздуха, например защита от скачков напряжения, должны использоваться, где это необходимо, чтобы избежать любых проблем, происходящих в результате нарушения подачи;

- резервные копии. Для восстановления любой поврежденной информации должны использоваться резервные копии.

Технические повреждения, например, в сети, могут разрушать целостность информации, хранящейся или обрабатываемой в этой сети. Средства контроля для защиты против этого перечисляются ниже:

- операционные вопросы. Менеджмент изменений и конфигурации, а также менеджмент возможностей должны использоваться, чтобы избежать повреждений любой системы или сети. Для обеспечения безотказной работы системы или сети используется документирование и техническое обслуживание;

- сетевой менеджмент. Операционные процедуры, планирование системы и надлежащая сетевая конфигурация должны использоваться для сведения к минимуму рисков технических повреждений;

- энергоснабжение и кондиционирование воздуха. Соответствующие средства контроля энергоснабжения и кондиционирования воздуха, например защита от скачков напряжения, должны использоваться, где это необходимо, чтобы избежать любых проблем, происходящих в результате нарушения подачи;

- резервные копии. Для восстановления любой поврежденной информации должны использоваться резервные копии.

Ошибки передачи могут разрушать целостность передаваемой информации. Средства контроля для защиты целостности перечисляются ниже:

- прокладка кабелей. Тщательное планирование при прокладке кабелей может помочь избежать ошибок передачи, например, если ошибка вызвана перегрузкой;

- сетевой менеджмент. Сетевое оборудование должно надлежащим образом управляться и поддерживаться; чтобы избегать ошибок передачи, ИСО/МЭК работают сейчас над несколькими документами, содержащими дальнейшую информацию о детальных средствах контроля для обеспечения сетевой безопасности, которые могут использоваться для защиты от ошибок передачи;

- защита целостности данных. Для защиты от случайных ошибок передачи могут использоваться контрольные суммы или циклические избыточные коды в протоколах связи. Криптографические средства могут использоваться для защиты целостности передаваемых данных в случае умышленных атак.

Несанкционированный доступ к компьютерам, данным, сервисам и приложениям может быть угрозой для целостности информации, если возможно несанкционированное изменение. Средства контроля для защиты от несанкционированного доступа включают соответствующую идентификацию и аутентификацию, логический контроль доступа, аудит на уровне системы ИКТ и сетевое разделение на сетевом уровне.

Идентификация и аутентификация. Соответствующие средства контроля идентификации и аутентификации должны применяться в сочетании с логическим контролем доступа для предотвращения несанкционированного доступа.

Логический контроль доступа и аудит. Должны применяться средства контроля для обеспечения логического контроля доступа посредством использования механизмов контроля доступа. Проверка и анализ контрольных журналов могут обнаруживать несанкционированную деятельность лиц, имеющих права доступа к системе.

Сетевое разделение. Чтобы затруднить несанкционированный доступ, должно существовать сетевое разделение.

Физический контроль доступа. Помимо логического контроля доступа, защита может обеспечиваться физическим контролем доступа.

Средства контроля носителей данных. Если значимые данные хранятся на другом носителе (например, дискете), должны присутствовать средства контроля носителей данных для защиты носителей от несанкционированного доступа.

Целостность данных. Для защиты целостности хранящейся или передаваемой информации могут использоваться криптографические средства.

Использование несанкционированных программ и данных подвергает опасности целостность информации, хранящейся и обрабатываемой в системе, где это происходит, если программы и данные используются для изменения информации несанкционированным образом или если используемые программы и данные содержат вредоносное программное обеспечение (например, игры). Средства контроля для защиты от этого перечисляются ниже:

- обучение и повышение осознания безопасности. Все служащие должны сознавать тот факт, что они не должны устанавливать и использовать никакое программное обеспечение без разрешения руководителя безопасности системы или лица, отвечающего за безопасность системы.

- резервные копии. Для восстановления любой поврежденной информации должны использоваться резервные копии;

- идентификация и аутентификация. Соответствующие средства контроля идентификации и аутентификации должны применяться в сочетании с логическим контролем доступа для предотвращения несанкционированного доступа;

- логический контроль доступа и аудит. Логический контроль доступа должен обеспечивать, чтобы применение программных средств для обработки и изменения информации осуществлялось только уполномоченными лицами. Проверка и анализ контрольных журналов могут обнаруживать несанкционированную деятельность.

- защита от вредоносного программного обеспечения. Все программы и данные должны проверяться на предмет вредоносного программного обеспечения перед их использованием.

Несанкционированный доступ к носителям данных и их использование может подвергать опасности целостность, поскольку это делает возможным несанкционированное изменение информации, хранящейся на этих носителях данных. Средства контроля для защиты целостности перечисляются ниже:

- операционные вопросы. Средства контроля носителей данных могут применяться для обеспечения физической защиты и учетности носителей данных, чтобы избежать несанкционированного доступа, а верификация целостности - чтобы обнаруживать любую компрометацию целостности информации, хранящейся на носителях данных. Особую заботу следует проявлять для обеспечения защиты сменных носителей, таких как дискеты, резервные магнитные ленты и бумажные носители;

- физическая безопасность. Соответствующая защита помещений (прочные стены и окна, а также физический контроль доступа) и принадлежности защиты могут обеспечить защиту от несанкционированного доступа;

- целостность данных. Для защиты целостности информации, хранящейся на носителях данных, могут использоваться криптографические средства.

Ошибки пользователей могут разрушать целостность информации.

Средства контроля для защиты от этого перечисляются ниже:

- обучение и повышение осознания безопасности. Все пользователи должны быть соответствующим образом обученными, чтобы избегать ошибок пользователей при обработке информации. Это должно включать обучение определенным процедурам для конкретных действий, таким как операционные процедуры или процедуры безопасности;

- резервные копии. Резервные копии, например, предыдущая генерация, могут использоваться для восстановления целостности информации, которая была разрушена из-за ошибок пользователей.

Ниже перечислены виды угроз, которые могут подвергать опасности доступность, вместе с предлагаемыми средствами контроля для защиты от этих угроз. Если это уместно для выбора средств контроля, то должны приниматься в расчет вид и характеристики системы.

Большинство из обсуждающихся средств контроля обеспечивает более «общую» защиту, т.е. они не направлены на конкретные угрозы, а обеспечивают защиту путем поддержки общего эффективного менеджмента информационной безопасности.

Виды угроз:

Разрушительная атака. Информация может быть разрушена путем разрушительных атак. Средства контроля для защиты от этого перечисляются ниже:

- дисциплинарный процесс. Все служащие должны сознавать последствия в случае разрушения ими информации (намеренно или ненамеренно);

- средства контроля носителей данных. Все носители данных должны быть соответствующим образом защищены от несанкционированного доступа, используя физическую защиту и учетность всех носителей данных;

- резервные копии. Должны быть сделаны резервные копии всех важных файлов, деловых данных и т.д. Если файл или какая-либо иная информация недоступны (по каким-либо причинам), то для восстановления информации должна использоваться резервная копия или предыдущая генерация резервной копии;

- физическая защита. Чтобы избежать любой несанкционированный доступ, который будет способствовать несанкционированному разрушению оборудования или информации, должны использоваться физические средства контроля доступа;

- идентификация и аутентификация. Соответствующие средства контроля идентификации и аутентификации должны применяться в сочетании с логическим контролем доступа для предотвращения несанкционированного доступа;

- логический контроль доступа и аудит. Логический контроль доступа должен обеспечивать, чтобы не мог произойти никакой несанкционированный доступ к информации, который делает возможным разрушение этой информации. Проверка и анализ контрольных журналов могут обнаруживать несанкционированную деятельность.

Ухудшение состояния носителей данных угрожает доступности всего, что хранится на этих носителях. Если доступность важна, должны применяться следующие средства контроля: средства контроля носителей данных, резервные копии.

Отказ оборудования и услуг связи угрожает доступности информации, передаваемой с помощью этих услуг. Средства контроля для защиты доступности перечисляются ниже: резервные копии, сетевой менеджмент, прокладка кабелей, неотказуемость.

Информация и оборудование информационно-коммуникационных технологий могут быть разрушены пожаром и/или затоплением. Средства контроля для защиты против пожара и затопления: физическая защита, план обеспечения непрерывности бизнеса.

Ошибка технического обслуживания. Если техническое обслуживание проводится нерегулярно или во время процесса технического обслуживания делаются ошибки, доступность всей связанной с этим информации подвергается опасности. Средства контроля для защиты доступности в данном случае: техническое обслуживание, резервные копии.

Вредоносное программное обеспечение может быть использовано, чтобы обойти аутентификацию и все сервисы и функции безопасности, связанные с этим. В итоге это может приводить к потере доступности, например, если данные или файлы разрушаются человеком, получившим несанкционированный доступ с помощью вредоносного программного обеспечения, или самим вредоносным программным обеспечением. Средства контроля: защита от вредоносного программного обеспечения, менеджмент инцидентов.

Имитация личности пользователя может быть использована, чтобы обойти аутентификацию и все сервисы и функции безопасности, связанные с этим. В итоге это может приводить к проблемам доступности, когда эта имитация ведет к возможности удаления или разрушения информации. Средства контроля в этой сфере: идентификация и аутентификация, логический контроль доступа и аудит, защита от вредоносного программного обеспечения, сетевой менеджмент, резервное копирование данных.

Неправильная маршрутизация сообщений приводит к потере доступности сообщений. Средства контроля: сетевой менеджмент, неотказуемость.

Злоупотребление ресурсами может приводить к недоступности информации или услуг. Средства контроля для защиты от этого перечисляются ниже: кадровые, операционные вопросы, идентификация и аутентификация, логический контроль доступа и аудит, сетевой менеджмент.

Для обеспечения защиты от потери информации и услуг из-за природных бедствий должны существовать следующие средства контроля:

- защита от природных бедствий. Должна быть обеспечена максимальная возможная защита всех зданий от природных бедствий;

- план обеспечения деловой непрерывности. Для каждого здания должен существовать полностью протестированный план обеспечения деловой непрерывности и должны быть доступны резервные копии всей важной информации, резервы услуг и ресурсов.

Сбой программы может разрушить доступность данных и информации, которые обрабатываются соответствующим программным обеспечением. Средства контроля для защиты доступности перечисляются ниже: сообщение о неправильном срабатывании программы, операционные вопросы, резервные копии.

Нарушения подачи (электроэнергии, кондиционирования воздуха). Нарушения подачи могут вызывать проблемы доступности, если из-за них происходят другие сбои. Например, нарушение подачи может приводить к аппаратным сбоям, техническим повреждениям или проблемам с носителями данных. Средства контроля для защиты против этих конкретных проблем можно найти в соответствующих подразделах; средства контроля против нарушения подачи перечислены ниже: энергоснабжение и кондиционирование воздуха, резервные копии.

Технические повреждения, например, в сети, могут разрушать доступность любой информации, хранящейся или обрабатываемой в этой сети. Средства контроля: операционные вопросы, сетевой менеджмент, план обеспечения непрерывности бизнеса. Для обеспечения защиты бизнеса от пагубных эффектов технических повреждений должен существовать план обеспечения деловой непрерывности и должны быть

доступны резервные копии всей важной информации, резервы услуг и ресурсов.

Хищение. Очевидно, что хищение подвергает опасности доступность информации и оборудования ИКТ. Средства контроля для защиты против хищения: физические средства контроля, кадровые средства, средства контроля носителей данных.

Перегрузка трафика угрожает доступности информации, передаваемой с помощью этих служб. Средства контроля для защиты доступности:

1) избыточность и резервные копии. Избыточная реализация компонентов служб связи может быть использована для снижения вероятности перегрузки трафика. В зависимости от максимально приемлемого времени простоя резервное оборудование тоже может быть использовано для удовлетворения требований. В любом случае должна быть сделана резервная копия, чтобы обеспечить доступность в случае чрезвычайной ситуации.

2) сетевой менеджмент. Надлежащая конфигурация, менеджмент и администрирование сетей и служб связи должны использоваться, чтобы избежать перегрузки трафика.

Ошибки передачи могут разрушать доступность передаваемой информации. Средства контроля для защиты доступности: прокладка кабелей, сетевой менеджмент.

Несанкционированный доступ к компьютерам, данным, сервисам и приложениям может быть угрозой для доступности информации, если возможно несанкционированное разрушение. Средства контроля для защиты от несанкционированного доступа включают соответствующую идентификацию и аутентификацию, логический контроль доступа, аудит, сетевое разделение на сетевом уровне.

Использование несанкционированных программ и данных подвергает опасности доступность информации, хранящейся и обрабатываемой в системе, где это происходит, если программы и данные используются для удаления информации или если используемые программы и данные содержат вредоносное программное обеспечение (например, игры). Средства контроля для защиты от этого: обучение и повышение осознания безопасности, резервные копии, идентификация и аутентификация. Соответствующие средства контроля идентификации и аутентификации должны применяться в сочетании с логическим контролем доступа для предотвращения несанкционированного доступа.

Ошибки пользователей могут разрушать доступность информации. Средства контроля для защиты: обучение и повышение осознания безопасности, резервные копии.

Средства контроля, обсуждавшиеся выше, обеспечивают общую защиту, т.е. они направлены на целый диапазон угроз и обеспечивают защиту путем поддержки общего эффективного менеджмента информационной безопасности.

Многие средства контроля могут использоваться для обеспечения подлинности или могут способствовать ее обеспечению. Могут быть применимы средства контроля, от использования данных с помеченной ссылкой, логического контроля доступа и аудита до использования цифровых подписей. Выбор определенных средств контроля зависит от конкретного использования подлинности в рамках данной сферы.

Любая угроза, которая может приводить к несоответствующему поведению систем или процессов, будет давать в результате снижение надежности. Некоторыми примерами таких угроз являются несоответствующее функционирование системы и ненадежные поставщики. Потеря надежности может приводить к плохому обслуживанию клиентов или утрате доверия клиентов.

Средства контроля могут использоваться для обеспечения надежности или могут способствовать ее обеспечению. Могут быть применимы средства контроля от таких, как планы обеспечения деловой непрерывности, введение избыточности в физическую архитектуру и техническое обслуживание системы до идентификации и аутентификации и логического контроля доступа и аудита. Выбор определенных средств контроля будет зависеть от конкретного использования надежности в рамках данной сферы.

Выбор средств контроля (мер защиты) в соответствии с проектом стандарта ГОСТ Р ИСО/МЭК 13335-4-2007

Стандарт рассматривает два существующих главных подходов к выбору защитных мер: использование базового подхода и выполнение детального анализа риска.

При базовом подходе, чтобы выбрать подходящие защитные меры, необходимо определить базовые оценки безопасности систем ИТ вне зависимости от того, будет ли затем проводиться детальный анализ рисков. Для этого надо рассмотреть следующие вопросы: для какого типа системы ИТ предполагается выбор защитных мер (например, автономный или подсоединенный к сети персональный компьютер); где находятся системы ИТ, каковы условия окружающей среды в месте расположения этих систем; какие защитные меры уже приняты и/или планируются; насколько полученные оценки предоставляют достаточную информацию для выбора базовых защитных мер для системы ИТ.

Раздел 8 Стандарта содержит обзор возможных защитных мер, которые предполагается реализовать для повышения уровня безопасности. Они разделены на организационные, технические (т.е. выборка проведена в соответствии с потребностями и нарушениями обеспечения безопасности, а также с учетом ограничений) и на специальные защитные меры систем ИТ.

Все защитные меры сгруппированы по категориям. Для каждой категории защитных мер приведено описание наиболее типичных защитных мер, включая краткое описание уровня безопасности, которую они должны обеспечивать. Специальные защитные меры в рамках установленных категорий и их подробное описание можно найти в документах по базовой безопасности (ссылки в приложениях A - H).



Использование каталогов защитных мер

Существует несколько известных каталогов с защитными мерами. Самый большой из них, по-видимому, содержится в германском стандарте IT-Grundschutz. Каталог, доступный по адресу http://www.bsi.bund.de/gshb/english/menue.htm, содержит следующие группы контрмер для обеспечения безопасности:

* поддерживающей инфраструктуры;

* на организационном уровне;

* на кадровом уровне;

* программного обеспечения и вычислительной техники;

* коммуникаций;

* непрерывности бизнеса.

Детальное описание контрмер на английском языке можно найти на сайте http://www.bsi.bund.de/ gshb/english/s/s1000.htm . На практике можно встретить коммерческие продукты, реализующие защитные меры в некотором наборе. Приведем наиболее встречающиеся средства защиты, большинство из которых относятся к сетевой безопасности: средства обнаружения атак (IDS), средства предотвращения атак (IPS), виртуальные частные сети (VPN), межсетевые экраны (Firewalls), антивирусные средства, антишпионское ПО, средства фильтрации спама, биометрические средства защиты, средства мониторинга и фильтрации содержимого электронной почты и веб-ресурсов, средства криптографии, системы централизованного управления средствами защиты информации, средства защиты от НСД, средства защиты от утечки по техническим каналам, средства защиты телефонных систем, системы мониторинга событий безопасности, средства аутентификации, системы резервного копирования и системы их защиты, средства гарантированного уничтожения информации и носителей, системы защиты от инсайдеров, системы слежения за пользователем, системы защиты электронного документооборота, системы защиты жестких дисков и каталогов, средства защиты операционных систем (ОС), средства поиска уязвимостей в сетях, средства противодействия электромагнитным излучениям и наводкам (ПЭМИН), средства защиты от USB-флешек, системы видео- и аудионаблюдения.

Некоторые из приведенных выше мер защиты подробно изучаются в других смежных курсах по информационной безопасности («Современная прикладная криптография», «Технические средства защиты информации», «Защита информации с использованием интеллектуальных карт»), другие требуют изучения большого дополнительного материала (например, по сетевым технологиям) и при изучении основ информационной безопасности могут рассматриваться только при выполнении курсовых работ и дополнительных заданий.

ОСНОВНЫЕ СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

1. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

2. ГОСТ Р 50922-96 Защита информации. Основные термины и определения.

3. ГОСТ Р 51000.5 Общие требования к органам по сертификации продукции и услуг.

4. ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения».

5. ГОСТ Р 51188-98 Испытания программных средств на наличие компьютерных вирусов. Типовое руководство,

6. ГОСТ Р 51583-2000 Защита информации. Порядок создания автоматизированных систем в защищённом исполнении,

7. ГОСТ Р 51624-2000 Защита информации. Автоматизированные системы в защищённом исполнении.

8. ГОСТ Р 51275-99 Защита информации. Объекты информатизации. Факторы, воздействующие на информацию. Общие положения.

9. ГОСТ Р 34.10-94 Системы обработки информации. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.

10. ГОСТ Р 34.11-94 Информационная технология. Криптографическая обработка информации. Функция хэширования.

11. ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

12. ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты.

13. ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения.

14. ГОСТ 26883-86. Внешние воздействующие факторы. Термины и определения.

15. ГОСТ 15971-90 Системы обработки информации. Термины и определения.

16. ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.

17. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.

18. ГОСТ Р ИСО/МЭК 15408-1-2000 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

19. ГОСТ Р ИСО/МЭК 15408-2-2000 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

20. ГОСТ Р ИСО/МЭК 15408-3-2000 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

21. ГОСТ Р ИСО/МЭК 27001: 2005. Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

22. Стандарт Банка России СТО БР ИББС-1.0-2004 Обеспечение информационной безопасности организаций банковской системы российской федерации общие положения.

24. ОСТ 45.127-99 Система обеспечения информационной безопасности взаимоувязанной сети связи Российской Федерации. Термины и определения.

25. ОСТ В1 00464-97. Защита информации об авиационной технике и вооружении от иностранных технических разведок. Термины и определения.

26. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности" (СТО БР ИББС-1.1-2007)