Информационная безопасность. Стандартизация в области информационной безопасности

Восточно-Казахстанский  государственный технический университет  им. Д.Серикбаева

 

 

 

 

 

Факультет: ФИТЭ

Кафедра: Информационные системы

 

 

 

Реферат по дисциплине Стандарты  в области информационных технологий

На тему: Информационная безопасность. Стандартизация в области информационной безопасности.

 

 

 

 

 

Выполнил: студент группы 10ВТ-1 Нухаев М.Б.

Проверил: Блинаева Н.С.

 

Усть-Каменогорск 2013г.

Содержание:

1.Введение.Понятие информационное безопасности;

2. Меры защиты;

3.Стандартизация в области  ИБ;

4. Примеры стандартов;

5.Выступление эксперта  по ИБ.

6.Вывод;

Список литературы.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.Понятие информационное  безопасности

 

Информационной безопасностью  называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе

Информационная безопасность дает гарантию того, что достигаются  следующие цели:

• конфиденциальность критической информации
• целостность информации и связанных с ней процессов( создания, ввода, обработки и вывода)
• доступность информации, когда она нужна
• учет всех процессов, связанных с информацией.

Меры защиты: четыре уровня защиты

• Предотвращение - только авторизованный персонал имеет доступ к информации и технологии
• Обнаружение - обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены
• Ограничение - уменьшается размер потерь, если преступление все-таки произошло несмотря на меры по его предотвращению и обнаружению
• Восстановление - обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению

Основные методы, использовавшиеся для совершения компьютерных преступлений:

1. Надувательство с данными
2. Сканирование
3. Троянский конь
4. Люк
5. Технология салями
6. Суперотключение    

Надувательство с данными. Наверное, самый распространенный метод при совершении компьютерных преступлений, так как он не требует технических знаний и относительно безопасен. Информация меняется в процессе ее ввода в компьютер или во время вывода. Например, при вводе документы могут быть заменены фальшивыми, вместо рабочих дискет подсунуты чужие, и данные могут быть сфальсифицированы. 
Сканирование. Другой распространенный метод получения информации, который может привести к преступлению. Служащие, читающие файлы других, могут обнаружить там персональную информацию о своих коллегах. Информация, позволяющая получить доступ к компьютерным файлам или изменить их, может быть найдена после просмотра мусорных корзин. Дискеты, оставленные на столе, могут быть прочитаны, скопированы, и украдены. Очень хитрый сканирующий может даже просматривать остаточную информацию, оставшуюся на компьютере или на носителе информации после выполнения сотрудником задания и удаления своих файлов.

Троянский конь. Этот метод предполагает, что пользователь не заметил, что компьютерная программа  была изменена таким образом, что  включает в себя дополнительные функции. Программа, выполняющая полезные функции, пишется таким образом, что содержит дополнительные скрытые функции, которые  будут использовать особенности  механизмов защиты системы (возможности  пользователя, запустившего программу, по доступу к файлам) 
Люк. Этот метод основан на использовании скрытого программного или аппаратного механизма, позволяющего обойти методы защиты в системе. Этот механизм активируется некоторым неочевидным образом. Иногда программа пишется таким образом, что специфическое событие, например, число транзакций, обработанных в определенный день, вызовет запуск неавторизованного механизма. 
Технология салями. Названа так из-за того, что преступление совершается понемногу, небольшими частями, настолько маленькими, что они незаметны. Обычно эта технология сопровождается изменением компьютерной программы. Например, платежи могут округляться до нескольких центов, и разница между реальной и округленной суммой поступать на специально открытый счет злоумышленника. 
Суперотключение. Названа по имени программы, использовавшейся в ряде компьютерных центров, обходившей системные меры защиты и использовавшейся при аварийных ситуациях. Владение этим "мастер-ключом" дает возможность в любое время получить доступ к компьютеру и информации, находящейся в нем.

2.Меры защиты

 

Меры защиты информационной безопасности

1. Контроль доступа как к информации в компьютере, так и к прикладным программам

   -Идентификация пользователей

  -Другие меры защиты: пароли, магнитная карта, голос

2.Защита системных программ

3.Рассмотреть вопрос о коммуникационной безопасности

Меры физической безопасности

1.Предотвратить злонамеренные  разрушения, неавторизованное использование  или кражу

2. Стихийные бедствия  могут нанести большой ущерб

3. Защищайте все носители  информации:

 исходные документы,  ленты, картриджи, диски, распечатки

 

 

 

 

3.Стандартизация в области  ИБ

 

Как оценить качество какого-либо продукта или обеспечить его быструю  замену, если он создавался по собственным, ни с кем не согласованным правилам?

Стандартизация устанавливает  единые "правила игры", и в  этом ее главная цель. Те, кто принимает  эти правила, называются участниками  стандартизации, а то, к чему предъявляются  эти правила, – объектом стандартизации

История стандартизации, как процесса установления единых требований, пригодных для многократного применения, насчитывает несколько тысячелетий – еще при строительстве пирамид в Древнем Египте использовались блоки стандартного размера, а специальные люди контролировали степень соответствия этому древнему стандарту. Сегодня стандартизация занимает прочное место практически во всех отраслях человеческой деятельности.

Стандартизация в области  информационной безопасности (ИБ) выгодна  и профессионалам, и потребителям продуктов и услуг ИБ, так как  позволяет установить оптимальный  уровень упорядочения и унификации, обеспечить взаимозаменяемость продуктов  ИБ, а также измеряемость и повторяемость результатов, полученных в разных странах и организациях. Для профессионалов – это экономия времени на поиск эффективных и зарекомендовавших себя решений, а для потребителя – гарантия получения результата ожидаемого качества.

Объектом стандартизации может являться любой продукт  или услуга ИБ: метод оценки, функциональные возможности средств защиты и  параметры настройки, свойства совместимости, процесс разработки и производства, системы менеджмента и т.д.

Стандартизация, в зависимости  от состава участников, бывает международной, региональной или национальной, при  этом международная стандартизация (наравне с официальными органами стандартизации, такими как ISO) включает в себя стандартизацию консорциумов (например, IEEE или SAE), а национальная стандартизация бывает государственной или отраслевой. Остановимся подробнее на некоторых востребованных сегодня зарубежных стандартах, так или иначе затрагивающих вопросы информационной безопасности.

4. Примеры стандартов

Стандартизация в области  ИБ за рубежом развивается уже  не один десяток лет, и некоторые  страны, например Великобритания, имеют  огромный опыт в разработке стандартов – многие британские национальные стандарты, такие как BS7799-1/2, приобрели  со временем статус международных. С  них и начнем.

Международные стандарты ISO 27002 и ISO 27001 Пожалуй, на сегодня это самые востребованные стандарты в области ИБ.

ISO 27002 (прежде ISO 17799) содержит  свод рекомендаций по эффективной  организации систем управления  ИБ на предприятии, затрагивая  все ключевые области, в частности:

- формирование политики  ИБ;

- безопасность, связанная  с персоналом;

- безопасность коммуникаций;

- физическая безопасность;

- управление доступом;

- обработка инцидентов;

- обеспечение соответствия  требованиям законодательства. Стандарт ISO 27001 является сборником критериев  при проведении сертификации  системы менеджмента, по результатам  которой аккредитованным органом  по сертификации выдается международный  сертификат соответствия, включаемый  в реестр.

Согласно реестру, в России в настоящее время зарегистрировано около полутора десятка компаний, имеющих такой сертификат, при  общем числе сертификаций в мире более 5000. Подготовка к сертификации может осуществляться либо силами самой организации, либо консалтинговыми компаниями, причем практика показывает, что намного проще получить сертификат ISO 27001 компаниям, уже имеющим сертифицированную систему управления (например, качеством). Стандарты ISO 27001/27002 являются представителями новой серии стандартов, окончательное формирование которой еще не закончено: в разработке находятся стандарты 27000 (основные принципы и терминология), 27003 (руководство по внедрению системы управления ИБ), 27004 (измерение эффективности системы управления ИБ) и другие – всего в серии 27000 предполагается более 30 стандартов. Подробнее о составе серии и текущем состоянии ее разработки можно узнать на официальном сайте ISO (www.iso.org).

Международные стандарты ISO13335 и ISO 15408 Стандарт ISO 13335 является семейством стандартов безопасности информационных технологий, охватывающих вопросы управления ИТ-безопасностью, предлагая конкретные защитные меры и способы. В настоящее  время происходит постепенное замещение  серии 13335 более новой серией 27000. Стандарт ISO 15408 содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном уровне (подобно знаменитой Оранжевой  книге, которая также известна как  критерии оценки TCSEC, или европейские  критерии ITSEC), которые позволяют  сравнивать результаты, полученные в  разных странах.

В целом данные стандарты, хотя и содержат лишь технологическую  часть, могут использоваться как  независимо, так и при построении систем управления ИБ в рамках, например, подготовки к сертификации на соответствие ISO 27001.

CobiT CobiT представляет собой набор из около 40 международных стандартов и руководств в области управления ИТ, аудита и безопасности и содержит описания соответствующих процессов и метрик. Основная цель CobiT заключается в нахождении общего языка между бизнесом, имеющим конкретные цели, и ИТ, способствующими их достижению, позволяя создавать адекватные планы развития информационных технологий организации. CobiT применяется для аудита и контроля системы управления ИТ организации и содержит подробные описания целей, принципов и объектов управления, возможных ИТ-процессов и процессов управления безопасностью. Полнота, понятные описания конкретных действий и инструментов, а также нацеленность на бизнес делают CobiT хорошим выбором при создании информационной инфраструктуры и системы управления ею.

В следующей части статьи мы рассмотрим некоторые интересные национальные и отраслевые зарубежные стандарты, такие как NIST SP 800, BS, BSI, PCI DSS, ISF, ITU и другие.

***

Международный стандарт ISO 20000 Стандарт ISO 20000 заменил собой британский стандарт BS 15000. Он описывает сервисную  модель ИТ, реализуя положения специализированной библиотеки ITIL (IT Infrastructure Library – библиотека инфраструктуры ИТ) и концепцию ITSM (IT Service Management – управление ИТ-услугами). Стандарт предъявляет требования к процессам управления ИТ-сервисами и устанавливает критерии оценки, пригодные для проведения сертификаций соответствия. Так же, как и в случае сертификации по ISO 27001, наличие у организации сертификата на какую-либо систему менеджмента упрощает процедуру подготовки к сертификации на соответствие ISO 20000. На сегодняшний день в России всего 6 организаций имеют сертификат ISO 20000.

***

Международный стандарт ISO 18044 Стандарт ISO 18044 разработан в соответствии со стандартами ISO 13335-1 и ISO 17799 (ISO 27002) и  описывает процесс управления инцидентами  ИБ, а также усилия, которые должны быть предприняты на всех этапах жизненного цикла процесса управления инцидентами  – от планирования и формирования команды реагирования до извлечения уроков и совершенствования. Он может применяться как при создании системы управления ИБ по ISO 27000, так и самостоятельно в рамках разработки единственного изолированного процесса.

 

5.Выступление эксперта

Дополнительно к приведенному выше обзору международных стандартов хотелось бы обратить внимание на еще  один регламентирующий документ по информационной безопасности, не распространенный на территории РФ. Одним из таких стандартов является документ из линейки методов EBIOS.

Проект EBIOS по разработке методов  и инструментальных средств управления ИБ в информационных системах поддерживается правительством Франции и продвигается комиссией DCSSI при премьер министре Франции на уровень общеевропейского. Назначение этого проекта – способствовать повышению безопасности информационных систем государственных или частных организаций (http://www.securiteinfo. com/conseils/ebios.shtml).