Формирование и обеспечение комплексной защищенности информационных ресурсов

Автор работы: Пользователь скрыл имя, 16 Июля 2011 в 17:40, реферат

Описание работы

Проблема защиты информации: надежное обеспечение ее сохранности и установление статуса использования - является одной из важнейших проблем современности.

Содержание работы

Введение
1. Программные и программно-аппаратные средства обеспечения безопасности информации 3
4
2. Проблемы информационной безопасности 4
3. Криптографические методы защиты информации 5
4. Государственная политика в области информационной безопасности 7
5. Проблемы информационной безопасности 9
6. Законы, регулирующие информационную безопасность 10
7. Методика реализации политики безопасности 11
8. Угрозы и их показатели 13
9. Стандарты безопасности Гостехкомиссии 14
10. Европейские стандарты безопасности 16
11. Стандарт безопасности США
Заключение 17
18
Литература 19

Скачать архив (46.38 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

Информационный менеджмент.doc

— 185.50 Кб (Скачать файл)

1. РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" 

    РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к  информации" устанавливает классификацию  СВТ по уровню защищенности от НСД  к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты: 

Первая  группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;

Вторая  группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

Третья  группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

Четвертая группа характеризуется верифицированной защитой содержит только первый класс. 

2. РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" 

    РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает  классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

  • наличие в АС информации различного уровня конфиденциальности;
  • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
  • режим обработки данных в АС - коллективный или индивидуальный.

    Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс  характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС. 

3. РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" 

    При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

  • Управление доступом;
  • Идентификация и аутентификация;
  • Регистрация событий и оповещение;
  • Контроль целостности;
  • Восстановление работоспособности.
 

    На  основании показателей защищенности определяются следующие пять классов  защищенности МЭ:

  • Простейшие фильтрующие маршрутизаторы - 5 класс;
  • Пакетные фильтры сетевого уровня - 4 класс;
  • Простейшие МЭ прикладного уровня - 3 класс;
  • МЭ базового уровня - 2 класс;
  • Продвинутые МЭ - 1 класс.
 

    МЭ  первого класса защищенности могут  использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму  классу защищенности МЭ соответствует  класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.

    Также к стандартам России в области информационной безопасности относятся:

    • Гост 28147-89 – блочный шифр с 256-битным ключом;
    • Гост Р 34.11-94 –функция хэширования;
    • Гост Р 34.10-94 –алгоритм цифровой подписи.
 
 
 
 

10. Европейские стандарты безопасности 

ISO 15408: Common Criteria for Information Technology Security Evaluation

    Наиболее  полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

    Общие критерии оценки безопасности информационных технологий (далее "Общие критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

    Хотя  применимость "Общих критериев" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

    Первая часть "Общих критериев" содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

    Требования  к функциональности средств защиты приводятся во второй части "Общих критериев" и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.

    Третья  часть "Общих критериев" содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

    • Наличие побочных каналов утечки информации;
    • Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;
    • Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;
    • Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.
 

ISO 17799: Code of Practice for Information Security Management 

    Наиболее  полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.

    ISO 17799 содержит практические правила  по управлению информационной  безопасностью и может использоваться  в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

    Практические  правила разбиты на следующие 10 разделов:

    • Политика безопасности;
    • Организация защиты;
    • Классификация ресурсов и их контроль;
    • Безопасность персонала;
    • Физическая безопасность;
    • Администрирование компьютерных систем и вычислительных сетей;
    • Управление доступом;
    • Разработка и сопровождение информационных систем;
    • Планирование бесперебойной работы организации;
    • Контроль выполнения требований политики безопасности.

    В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время  в правительственных и коммерческих организациях во многих странах мира.

    Десять  средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

    Ключевыми являются следующие средства контроля:

    • Документ о политике информационной безопасности;
    • Распределение обязанностей по обеспечению информационной безопасности;
    • Обучение и подготовка персонала к поддержанию режима информационной безопасности;
    • Уведомление о случаях нарушения защиты;
    • Средства защиты от вирусов;
    • Планирование бесперебойной работы организации;
    • Контроль над копированием программного обеспечения, защищенного законом об авторском праве;
    • Защита документации организации;
    • Защита данных;
    • Контроль соответствия политике безопасности.

    Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками. 
 

11. Стандарт безопасности США 

1. "Оранжевая книга "

"Department of Defense Trusted Computer System Evaluation Criteria"

OK принята  стандартом в 1985 г. Министерством  обороны США (DOD). Полное

название документа "Department of Defense Trusted Computer System Evaluation Criteria".

OK предназначается  для следующих целей:

  • Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;
  • Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;
  • Обеспечить базу для исследования требований к выбору защищенных систем.
 

Рассматривают два типа оценки:

  • без учета среды, в которой работает техника;
  • в конкретной среде (эта процедура называется аттестованием).
 

    Во  всех документах DOD, связанных с ОК, принято одно понимание фразы       обеспечение безопасности информации. Это понимание принимается как  аксиома и формулируется следующим  образом: безопасность = контроль за доступом.

    Классы  систем, распознаваемые при помощи критериев оценки гарантированно       защищенных вычислительных систем, определяются следующим образом. Они       представлены в порядке нарастания требований с точки зрения обеспечения       безопасности ЭВМ.

    1. Класс (D): Минимальная защита
    2. Класс (C1): Защита, основанная на разграничении доступа (DAC)
    3. Класс (С2): Защита, основанная на управляемом контроле доступом
    4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и       субъектам, находящимся под контролем ТСВ
    5. Класс (B2): Структурированная защита
    6. Класс (ВЗ): Домены безопасности
    7. Класс (A1): Верифицированный проект
 

    2. FIPS 140-2 "Требования безопасности для криптографических модулей"

Информация о работе Формирование и обеспечение комплексной защищенности информационных ресурсов