Стандарты информационной безопасности

"justify">Обобщил, дополнил оранжевую книгу.

Достоинства:

Полнота требований по безопасности и их систематизация;

Гибкость в применении выбранных предложений и открытость для последующего развития.

Разрабатывался  в интересах: Производителей; потребителей продукции ИТ; Экспертов по оценке уровня их безопасности.

Российский  аналог ГОСТ ИСО/МЭК 15408-2002.

Общие критерии обеспечивают нормативную  поддержку выбора ИТ продукта к которому предъявляются требования функционирования при определенном уровне угроз. Этот стандарт служит руководством для разработчиков ИТ систем. Регламентирует технологию создания ИТ систем и процедуру обеспечивающую соответствующий уровень безопасности.

В соответствии с ОК ИБ рассматривается как единство конфиденциальности и целостности  информации, а также доступности  информационных ресурсов при работе в сетях.

ОК выдвигают  перед средствами защиты задачу противодействия  угрозам которые актуальны для  среды эксплуатации этих ИТ продуктов и реализации ПБ принятой в этой среде эксплуатации.

Требования  ОК используются в качестве справочника для ИТ продуктов.  

20.09.11 (лекция)

Стандарты ИБ для беспроводных сетей и сети Интернет.

Основной  стандарт в беспроводных сетях IEEE 802.11.

В соответствии с этим стандартом в сети обеспечивается гарантированная скорость передачи данных 1 Мб/с в полосе частот 2,4 ГГц. Этот диапазон доступен для нелицензионного использования в большинстве стран.

Этот  протокол используется для передачи информации в беспроводных сетях  WLAN.

Главный из протоколов MAC. Протокол PHY служит для передачи сигналов в физической среде, посредством радиоволн или в ИК диапазоне.

Основу  данного стандарта составляет сотовая  архитектура. Сеть в этом случае может  состоять как из одной, так и из нескольких ячеек. Каждая ячейка управляется  базовой станцией Access Point. Точка доступа AP вместе с находящимися рядом точками доступа образует базовую зону BSS.

Точки доступа многосотовой сети взаимодействуют между собой через распределительную систему Distribution System (эквивалент магистральной кабельной линии связи). Вся эта инфраструктура вместе с распределительной системой и точками доступа образует расширенную зону обслуживания ESS.

Предусмотрен  также односотовый вариант сети.

Для обеспечения  перехода мобильных рабочих станций  из зоны действия точки доступа к  другой точке доступа в моногосотовых системах предусмотрены специальные процедуры сканирования (активного и пассивного прослушивания эфира). Строгих спецификаций по реализации роуминга в сети данный стандарт не предусматривает.

Для защиты беспроводных сетей WLAN используется протокол WEP. Он включает в себя средства противодействия НСД к сети, а также алгоритм шифрования.

Было  разработано новое семейство  данных спецификаций IEEE 802.11 a, b, c …. 

Первая  спецификация IEEE 802.11b.

В качестве базовой технологии использует метод  распределенного спектра с прямой последовательностью DSSS, который обладает высокой помехоустойчивостью. Скорость передачи информации достигает 11Мб/с. 

Спецификация  IEEE 802.11a (Wi-Fi 5).

В соответствии с этим стандартом работа в частотном  диапазоне 5 ГГц. Скорость передачи данных достигает 54Мб/с. Этот стандарт отличает широкополосность. Определены 3 обязательные скорости 6, 12, 24 Мб/с и пять дополнительных 9, 18, 36, 48, 54 Мб/с. В качестве метода модуляции данный стандарт предусматривает ортогональное частотное мультиплексирование OFDM. В соответствии с этим видом модуляции сигнал передается параллельно на нескольких частотах.

Достоинства:

1. Высокая пропускная способность;
2. Качество передаваемого сигнала.

Недостатки:

Большая потребляемая мощность;

Ограниченный радиус действия (до 100 м). 

Спецификация  IEEE 802.11g.

Совершенствование стандарта 802.11b. Обладает низко потребляемой мощностью, высокой проникающей способностью сигнала и большим радиусом действия (до 300 м). 

Спецификация  IEEE 802.11i.

Данный  стандарт позволил решить проблему в отношении аутентификация и протокола шифрования, обеспечить более высокий уровень безопасности. Особенность – может применяться в сетях Wi-Fi вне зависимости от остальных спецификаций. Для обеспечения надежной аутентификации стандарт использует механизм 802.1x, протокол WEP заменяется более сильным протоколом шифрования AES. Защитный механизм получил название CCMP. Этот алгоритм обладает высокой крипто стойкостью, длины ключей в этом алгоритме равны 128,  192, 256 бит. Процесс аутентификации и доставки ключей определяется стандартом 802.1x.

В сети интернет популярны следующие протоколы  безопасной передачи данных SSL, SET, IPSec. 

SSL – сетевой протокол с шифрованием данных для безопасной передачи данных по сети. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи в плане обеспечения безопасности. Обеспечивает защиту данных между сервисными протоколами HTTP, FTP. Надежная защита данных производится с помощью современных методов криптографии. 

SET – стандарт безопасных электронных транзакций. Предназначен для организации электронной торговли через интернет. Разработан Master Card и Viza Card с помощью компаний IBM. Протокол основан на применении цифровых сертификатов x.509. этот стандарт обеспечивает кросс аутентификацию счета держателя карты, продавца, банка продавца для проверки готовности оплаты, а также скорость и целостность сообщений, шифрование данных которые могут быть уязвимы. В соответствии с данным стандартом осуществление подтверждения сделок происходит с помощью криптографического закрытия с применением цифровых сертификатов. Системы использующие данный протокол унифицированы, хорошо встраиваются в другие системы. 

IPSec – входит в стандарт IPv6, дополняет текущую версию протокола TCP/IP с точки зрения безопасной передачи данных. Данный стандарт включает 3 алгоритма независимых базовых спецификаций RFC стандарты. Данный протокол обеспечивает стандартный способ шифрования данных на сетевом уровне. ЗИ обеспечивается на основе сквозного шифрования, при этом вне зависимости от работающего приложения шифруется каждый пакет данных проходящий по каналу. Это позволяет организациям создавать в сети интернет частные виртуальные сети. 

Инфраструктура  управления открытыми ключами PKI.

Предназначена для защищенного управления криптографическими ключами для защищенного управления криптографическими ключами электронного документооборота, основанного на применении криптографии с открытыми ключами. Данный стандарт предусматривает использование цифровых сертификатов основанных на стандарте x.509 и развернутых центров сертификации. Центры сертификации выдают соответствующие сертификаты и обеспечивают сопровождение участников. 

20.09.11 (практика) 

04.09.11 (лекция)

Отдельные вопросы обеспечения безопасности бизнеса.

1. Источники угроз и меры профилактики по защите бизнеса предприятий (организаций) от внешних посягательств.
2. Выбор контрагентов.
3. Предупредительная работа с персоналом.

Факторы:

1. Сохранение давления со стороны гос. структур (особенно в лицензировании);
2. Криминализация российского бизнеса;
3. Наличие ряда социальных проблем – низкий уровень дохода населения, безработица, текучесть кадров;
4. Несовершенство законодательства – регулирует отношение в сфере предпринимательства.

 

Подготовительный  этап à активные действия:

1. Подготовительная работа;
2. Активная деятельность;
3. Подготовка результатов.

Меры:

Установление места расположения компании. 

Объекты внешних посягательств:

Информационные ресурсы (персональные, компьютерные, программное обеспечение, телекоммуникационное оборудование). 

Меры  профилактики:

1. Не беседовать;
2. не давать распоряжения по телефону;
3. Порядок на столе «чистый экран»;
4. Работа с кадрами;
5. Лицензированное ПО;
6. Режим работы с КИ;
7. Шифрование данных на серверах;
8. Вынос сервера за пределы офиса.

 

В организации:

1. 55%- ошибки пользователей и персонала;
2. 6- обиженные сотрудники;
3. 10- атаки извне;
4. 10- нечестные сотрудники;
5. 4-вирусы.

 

Признаки  неблагонадежных фирм:

1. Отсутствие собственного помещения;
2. Отсутствие работников, одни руководители;
3. Отсутствие движения денежных средств по счету;
4. Фирма обслуживается  в не надежном банке;
5. Фирма не своевременно рассчитывается с банками;
6. Зарегистрирована в оффшорной зоне;
7. Несовпадение юридического и фактического адреса фирмы;
8. Негативная информация о руководителе фирмы.

 

Меры  профилактики по снижению по снижению рисков:

1. В беседах и разговорах уходить от обсуждения вопросов на служебные темы;
2. Не отдавать распоряжений по телефону;
3. Следить за порядком хранения документов на рабочих местах;
4. Проводить взвешенную кадровую политику;
5. Не допускать беспорядочное хранение файлов на «Рабочем столе» и в «Моих документах» ПК;
6. В электронной переписке стараться избегать детализации вопросов конфиденциального характера и КТ;
7. Помнить об ответственности за использование нелицензионного ПО;
8. Осуществлять шифрование данных на серверах (для сотрудников IT-подразделений);
9. Производить вынос серверного оборудования за пределы офиса (для сотрудников IT-подразделений).

Перечень  сведений о контрагенте для проверки его благонадежности:

1. Название организации, ее организационно правовая форма и ИНН, копия лицензии на осуществление соответствующего вида деятельности, дата регистрации в налоговой инспекции;
2. Юридический и фактический адреса организации;
3. Номер телефона по фактическому адресу организации;
4. Число работников в организации или количество рабочих мест;
5. Ф.И.О. руководителей (учредителей) организации и их регистрационные данные (по паспорту) (год рождения, место регистрации);
6. Место фактического проживания и мобильные контактные телефоны;
7. Наличие собственного сайта организации в сети Internet и адрес электронной почты;
8. Любая другая полезная информация.

Характерные черты неблагонадежности работников:

1. Внезапный активный интерес к КИ, деятельности других структурных подразделений;
2. Изменение поведения работника в общении с коллегами, в разговорах, появление неуверенности, страха;
3. Резкое увеличение расходов работника, приобретение дорогостоящих товаров, недвижимости и т.д.

 

Потенциальные правонарушители:

Работники: