Выбор криптопротокола для политики безопасности

Автор работы: Пользователь скрыл имя, 12 Мая 2013 в 19:10, курсовая работа

Описание работы

Рассматривая проблемы, связанные с защитой данных в сети, возникает вопрос о классификации сбоев и несанкционированности доступа, что ведет к потере или нежелательному изменению данных. Это могут быть сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и т.д.), потери информации (из-за инфицирования компьютерными вирусами, неправильного хранения архивных данных, нарушений прав доступа к данным), некорректная работа пользователей и обслуживающего персонала. Перечисленные нарушения работы в сети вызвали необходимость создания различных видов защиты информации.

Скачать архив (360.05 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

Выбор криптопротокола для политики безопасности.doc

— 614.50 Кб (Скачать файл)

  • алгоритмические и программные ошибки;

  • ошибок пользователей и обслуживающего персонала.

Преднамеренные угрозы

Данный класс угроз  изучен недостаточно, очень динамичен  и постоянно пополняется новыми угрозами. Они подразделяются на:

      • Традиционный шпионаж и диверсии:
        • подслушивание;
        • визуальное наблюдение;
        • хищение документов и машинных носителей информации;
        • хищение программ и атрибутов системы защиты;
        • подкуп и шантаж сотрудников;
        • сбор и анализ отходов машинных носителей информации;
        • поджоги;
        • взрывы;

 

 

      • Несанкционированный доступ к информации;
      • Электромагнитные излучения и наводки;
      • Несанкционированная модификация структур;
      • Вредительские программы:
        • «логические бомбы»;
        • «черви»;
        • «троянские кони»;
        • «компьютерные вирусы».

Классификация источников угроз:

Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации – внутренние источники, так и вне ее – внешние источники.

Все источники угроз безопасности информации можно разделить на три основные группы:

  1. Обусловленные действиями субъекта (антропогенные источники угроз).
  2. Обусловленные техническими средствами (техногенные источники угрозы).
  3. Обусловленные стихийными источниками.

Антропогенные источники угроз

Антропогенными источниками  угроз безопасности информации выступают  субъекты, действия которых могут  быть квалифицированы как умышленные или случайные преступления. Эта  группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. В качестве антропогенного источника угроз можно

рассматривать субъекта, имеющего доступ (санкционированный  или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.

Внешние источники могут  быть случайными или преднамеренными  и иметь разный уровень квалификации. К ним относятся:

  • криминальные структуры;
  • потенциальные преступники и хакеры;
  • недобросовестные партнеры;
  • технический персонал поставщиков телематических услуг;
  • представители надзорных организаций и аварийных служб;
  • представители силовых структур.

Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных  специалистов в области разработки и эксплуатации программного обеспечения  и технических средств, знакомы  со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:

  • основной персонал (пользователи, программисты, разработчики);
  • представители службы защиты информации;
  • вспомогательный персонал (уборщики, охрана);
  • технический персонал (жизнеобеспечение, эксплуатация).

Необходимо учитывать  также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации

Техногенные источники  угроз

Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Технические средства, являющиеся источниками потенциальных угроз безопасности информации так же могут быть внешними:

  • средства связи;
  • сети инженерных коммуникации (водоснабжения, канализации);
  • транспорт;

и внутренними:

  • некачественные технические средства обработки информации;
  • некачественные программные средства обработки информации;
  • вспомогательные средства (охраны, сигнализации, телефонии);
  • другие технические средства, применяемые в учреждении;

Стихийные источники угроз

Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые  носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.

Требования  к технологии разработки ИТ-продукта 

«Федеральные критерии безопасности информационных технологий»[15] (далее просто «Федеральные критерии») разрабатывались как одна из составляющих «Американского федерального стандарта по обработке информации» (Federal Information Processing Standard), призванного заменить «Оранжевую книгу».

Главной целью создания «Федеральных критериев» являлось определение универсального и открытого для дальнейшего развития набора основных требований безопасности, предъявляемых к современным информационным технологиям. Стандарт определяет обоснованный и структурированный подход к разработке требований безопасности, предъявляемых к продуктам информационных технологий с учетом областей их применения. Стандарт является обобщением основных принципов обеспечения безопасности информационных технологий, разработанных в 80-е годы, и обеспечивает преемственность по отношению к ним с целью сохранения достижений в области защиты информации.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3  Оценка угроз информационной безопасности

 

Современные технологии анализа рисков в России используются сравнительно редко. Основная причина  такого положения состоит в том, что в руководящих документах не рассматриваются аспект рисков, их допустимый уровень и ответственность за принятие определенного уровня рисков. Информационная система, в зависимости от своего класса, должна обладать подсистемой безопасности с конкретными формальными свойствами. Анализ рисков, как правило, выполняется формально, с использованием произвольных методик. В развитых странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority – лицо, уполномоченное принять решение о допустимости определенного уровня рисков. Вопросам анализа рисков уделяется серьезное внимание: десятилетиями собирается статистика, совершенствуются методики. Однако положение начинает меняться. Среди отечественных специалистов служб информационной безопасности (ИБ) зреет понимание необходимости проведения такой работы. В первую очередь это относится к банкам и крупным коммерческим структурам, т. Е. к тем, которые серьезно заботятся о безопасности своих информационных ресурсов.

3.1 Основные подходы к анализу рисков

В настоящее время  используются два подхода к анализу  рисков – базовый и полный вариант. Выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения  режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Подразумевается, что ценность ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ.

Полный вариант анализа  рисков применяется в случае повышенных требований к ИБ. В отличие от базового варианта в том или ином виде оцениваются ресурсы, характеристики рисков и уязвимостей. Как правило, проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты.

Таким образом, при проведении полного анализа рисков необходимо:

- определить ценность ресурсов;

- добавить к стандартному  набору список угроз, актуальных  для исследуемой информационной  системы;

- оценить вероятность  угроз;

- определить уязвимость  ресурсов;

- предложить решение,  обеспечивающее необходимый уровень  ИБ.

3.2 Методология анализа рисков в ИС с повышенными требованиями в области ИБ

При выполнении полного  анализа рисков приходится решать ряд  сложных проблем: как определить ценность ресурсов? Как составить  полный список угроз ИБ и оценить  их параметры? Как правильно выбрать эффективные контрмеры?

Процесс анализа рисков делится на несколько этапов:

- идентификация информационных  ресурсов;

- выбор критериев оценки  и определение потенциального  негативного воздействия на ресурсы  и приложения;

- оценка угроз;

- оценка уязвимостей;

- оценка рисков;

- оценка эффективности  существующих и предполагаемых  средств обеспечения информационной  безопасности.

Определение ценности ресурсов

Ресурсы обычно подразделяются на несколько классов – например, физические, программные ресурсы, данные. Для каждого класса необходима своя методика определения ценности элементов, помогающая выбрать подходящий набор критериев. Эти критерии служат для описания потенциального ущерба, связанного с нарушением конфиденциальности и целостности ИС, уровня ее доступности.

Физические ресурсы оцениваются  с точки зрения стоимости их замены или восстановления работоспособности. Эти стоимостные величины затем  преобразуются в ранговую (качественную) шкалу, которая используется также  для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление.

Если для информационного ресурса  существуют особенные требования к  конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, т. Е. в стоимостном выражении.

Кроме критериев, учитывающих финансовые потери, коммерческие организации могут  применять критерии, отражающие:

- ущерб репутации организации;

- неприятности, связанные с нарушением  действующего законодательства;

- ущерб для здоровья персонала;

- ущерб, связанный с разглашением  персональных данных отдельных  лиц;

- финансовые потери от разглашения  информации;

- финансовые потери, связанные с восстановлением ресурсов;

Информация о работе Выбор криптопротокола для политики безопасности