Выбор криптопротокола для политики безопасности

Введение

 

Защита данных в компьютерных сетях становится одной из самых  открытых проблем в современных  информационно-вычислительных системах. На сегодняшний день сформулировано три базовых принципа информационной безопасности, задачей которой является обеспечение:

- целостности данных - защита от сбоев, ведущих к  потере информации или ее уничтожения; 

- конфиденциальности  информации;

- доступности информации  для авторизованных пользователей. 

Рассматривая проблемы, связанные с защитой данных в  сети, возникает вопрос о классификации сбоев и несанкционированности доступа, что ведет к потере или нежелательному изменению данных. Это могут быть сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и т.д.), потери информации (из-за инфицирования компьютерными вирусами, неправильного хранения архивных данных, нарушений прав доступа к данным), некорректная работа пользователей и обслуживающего персонала. Перечисленные нарушения работы в сети вызвали необходимость создания различных видов защиты информации.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1 Политика безопасности  и  организация информационной безопасности    предприятия

1.1 Политика информационной безопасности предприятия

Начать составление  политики следует с анализа рисков. Анализ рисков состоит из двух основных этапов: инвентаризация и классификация информационных ресурсов.

Приведем пример классификации  информационного ресурса. В качестве основной переменной обычно выбирают степень конфиденциальности информации со следующими значениями:

- информация, содержащая государственную тайну;

- информация, содержащую  коммерческую тайну;

- конфиденциальная информация (информация, не представляющая собой  коммерческой или государственной  тайны, хотя огласка ее нежелательна);

- свободная информация.

Следующей переменной может быть выбрано отношение того или иного ресурса к нарушениям основных трех аспектов информационной безопасности. К примеру, база данных телефонов работников предприятия может быть оценена на 81 с точки зрения доступности, на 2 с точки зрения конфиденциальности 2 и на 4 с точки зрения целостности3 .

Далее производится собственно анализ рисков. Для каждого из информационных ресурсов определяется его интегральная ценность и возможные угрозы. Каждая из угроз оценивается с точки  зрения её применимости к данному ресурсу, вероятности возникновения и возможного ущерба. На основе результатов этого анализа составляется классификационный раздел политики информационной безопасности.

В первый пункт включаются правила подачи заявлений о приеме, необходимые документы, форму резюме, рекомендаций и т.д. Кроме того, определяются необходимость, форма и порядок проведения собеседования с

работниками различных  категорий. Здесь же описываются  различные обязательства о неразглашении.

Во втором пункте описываются  обязанности пользователей по обслуживанию своего рабочего места, а также при работе с информационным ресурсами. Этот пункт тесно связан с третьим пунктом, поскольку определяет необходимые знания пользователей.

Третий пункт определяет необходимые знания для различных категорий работников, периодичность и порядок проведения инструктажа по пользованию информационными ресурсами. Необходимо четкое знание пользователями всех процедурных вопросов (идентификация в системе, смена пароля, обновление антивирусных баз, работа с пакетами программ и т.д.). Кроме того, описывается порядок подключения пользователя к информационным ресурсам (необходимые документы, согласующие лица и подразделения).

Для нормального функционирования системы администраторы информационной безопасности должны обладать достаточными правами. Отключение от сети или информационного ресурса рабочей станции, являющейся носителем вируса, - необходимость, а не нарушение технологического процесса.

Для своевременной реакции  на угрозы безопасности системы следует четко определить формальные процедуры уведомления и реагирования на подобные системы. Все пользователи должны быть обязаны сообщать закрепленным лицам об инцидентах и слабых местах в системе безопасности, сбоях в работе программного и аппаратного обеспечения. Необходимо определить и довести до сведения пользователей методы фиксации симптомов сбоев оборудования.

Последний раздел содержит описание процедуры наложения взысканий  за нарушения установленных на предприятии  правил информационной

 

безопасности. Карательные меры и степень ответственности необходимо закрепить документально.

В зависимости от типа предприятия меры физической защиты могут варьироваться в широком  диапазоне. Исходя из анализа рисков для каждого предприятия, необходимо жестко описать типы помещений и необходимые для них меры безопасности. К мерам безопасности относятся установка решеток, замков, порядок допуска в помещения, средства электромагнитной защиты и т.д. Кроме того, необходимо установить правила использования рабочего стола и способы утилизации материалов (различных магнитных носителей, бумажных документов, агрегатов), правила выноса программного и аппаратного обеспечения за пределы организации.

Разделы управления, описывающие  подходы к управлению компьютерами и сетями передачи данных и порядок разработки и внедрения систем, описывают порядок выполнения стандартных операционных процедур оперирования данными, правила ввода систем в эксплуатацию (приемка систем), аудита их работы. Кроме того, в данном разделе указывается порядок защиты предприятия от вредоносного программного обеспечения (регламент работы антивирусной системы в частности). Определяются порядок аудита работоспособности систем и резервное копирование.

Описываются стандартное  программное обеспечение, разрешенное  к работе на предприятии. Здесь же описываются системы защиты электронной почты, системы электронной цифровой подписи и другие криптографические системы и системы аутентификации, работающие на предприятии. Это немаловажно, поскольку российское законодательство в области жестко в этом отношении.

 

 

 

 

1.2 Организация информационной безопасности    предприятия

 

Информационная безопасность и защищенность информационных систем определяются тщательностью проработки трех основных взаимосвязанных уровней:

1)  Организационный, описывающий основные информационные потоки, степень их конфиденциальности, процедуры их защиты и регламенты работы с ними, а также детально представленные в политике информационной безопасности компании организационно-административные меры;

2)  Инфраструктурный, определяющего технологии построения информационных систем, структуру компонентов информационной системы, включая оборудование узлов, хостов, рабочих станций и телекоммуникационного оборудования, правильностью их конфигурирования и циркулирующих в ИС информационных потоков;

3)      Уровень приложений, определяемый выбранными программными средствами ОС, баз данных и прочего ПО, степенью проработки схем аутентификации и авторизации пользователей, правильностью конфигурирования ПО приложений и встроенных средств защиты с точки зрения соответствия требованиям политики информационной безопасности компании.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2 Нормативно-правовая база информационной безопасности предприятия

 

Наиболее известные критерии определения  уровня безопасности систем следующие:

• «Оранжевая книга» (DoD 5200.28-STD — Trusted Computer Systems Evaluation Criteria) — выпущенные Министерством обороны США критерии оценки уровня безопасности компьютерных систем как таковых.
• «Красная книга» (NCSC –TG-005 — Trusted Network Interpretation of the Trusted Computer Systems Evaluation Criteria) — расширение этих критериев для случаев использования компьютерных систем в информационной сети.

В России существуют свои нормативные документы по данному  вопросу. Это документы, выпущенные Государственной технической комиссией при Президенте Российской федерации:

• Классификация автоматизированных систем и требования по защите информации;
• Показатели защищенности от несанкционированного доступа к информации;
• Положение по аттестации объектов информатизации по требованиям безопасности

  информации и др.

Базовым законом в  области защиты информации является принятый в начале 1995 года Федеральный  Закон «Об информации, информатизации и защите информации» (далее для  краткости – «Закон»), который  регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе

сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.

В соответствие с этим Законом должны быть приведены ранее  изданные Президентом Российской Федерации  и Правительством Российской Федерации правовые акты, а также все законодательство России (статья 25 Закона).

Закон гласит:

• информационные ресурсы делятся на ГОСУДАРСТВЕННЫЕ и НЕГОСУДАРСТВЕННЫЕ (статья 6, часть 1);
• государственные информационные ресурсы Российской Федерации формируются в соответствии со сферами ведения как: федеральные информационные ресурсы; информационные ресурсы, находящиеся в совместном ведении Российской Федерации и субъектов Российской Федерации; информационные ресурсы субъектов Российской Федерации (статья 7, часть 1);
• государственные информационные ресурсы являются ОТКРЫТЫМИ и ОБЩЕДОСТУПНЫМИ. Исключение составляет документированная информация, отнесенная законом к категории ОГРАНИЧЕННОГО ДОСТУПА (статья 10, часть 1);
• документированная информация с ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к ГОСУДАРСТВЕННОЙ ТАЙНЕ, и КОНФИДЕНЦИАЛЬНУЮ (статья 10, часть 2).
• конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ (статья 2);

 

 

• ПЕРСОНАЛЬНЫЕ ДАННЫЕ о гражданах, включаемые в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации (статья 11, часть 1).

Если отсутствуют соответствующие  регламенты на использование того или  иного подхода к оценке конкретной информационной системы, то можно выбрать наиболее понравившийся — практически все указанные документы доступны в Интернете.

Рассмотрим классификацию  объектов информации. Широко используемая во времена бумажных документов классификация  — секретная, для служебного пользования (ДСП) и открытая — перекочевала и в век электронной информации. Однако, данная классификация не является исчерпывающей и может с натяжкой охватывать в разрезе информационной безопасности только аспект конфиденциальности.

А для успешной работы необходимо как минимум охватить также понятия целостности и  доступности информации. На классификацию  информации не существует известных  устоявшихся моделей. Причина этого  может скрываться в том, что процесс  такой классификации довольно специфичен для каждого предприятия.

Классификация средств обработки информации: стандарт ССIТSЕ

• ССIТSЕ (Common Criteria for  Interpretation Technology Security Evaluation  — Общие критерии оценки безопасности информационных систем);
• наследник британского стандарта ВS7799 — стандарт ISO 17799 (International Security Standard — Международный стандарт по безопасности).

Классификации угроз  информационной безопасности

Классификация угроз информационной безопасности:

• Случайные угрозы

• Преднамеренные угрозы

Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными. Они подразделяются:

• стихийные бедствия и аварии;

• ошибки при разработке КС;