Основы информационной безопасности

Информационная безопасность Российской Федерации затрагивает  все сферы общественной жизни.

 

1.4. Стандарты безопасности  Гостехкомиссии. Стандарты Европы и США

 

РД Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются  ниже.

Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".

РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации"

РД "СВТ. Защита от НСД  к информации. Показатели защищенности от НСД к информации" устанавливает  классификацию СВТ по уровню защищенности от НСД к информации на базе перечня  показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при  разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

Первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;

Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

Четвертая группа характеризуется верифицированной защитой содержит только первый класс.

РД "АС. Защита от НСД к информации. Классификация  АС и требования по защите информации"

РД "АС. Защита от НСД к  информации. Классификация АС и требования по защите информации" устанавливает  классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных  классов. К числу определяющих признаков, по которым производится группировка  АС в различные классы, относятся:

· наличие в АС информации различного уровня конфиденциальности;

· уровень полномочий субъектов  доступа АС на доступ к конфиденциальной информации;

· режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается девять классов  защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три  группы, отличающиеся особенностями  обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости  от ценности и конфиденциальности информации и, следовательно, иерархия классов  защищенности АС.

РД "СВТ. Межсетевые экраны. Защита от НСД к  информации. Показатели защищенности от НСД к информации"

При анализе системы защиты внешнего периметра корпоративной  сети в качестве основных критериев  целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к  информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего  выделяется пять показателей защищенности:

· Управление доступом;

· Идентификация и аутентификация;

· Регистрация событий  и оповещение;

· Контроль целостности;

· Восстановление работоспособности.

На основании показателей  защищенности определяются следующие  пять классов защищенности МЭ:

· Простейшие фильтрующие  маршрутизаторы - 5 класс;

· Пакетные фильтры сетевого уровня - 4 класс;

· Простейшие МЭ прикладного  уровня - 3 класс;

· МЭ базового уровня - 2 класс;

· Продвинутые МЭ - 1 класс.

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.

Также к стандартам России в области информационной безопасности относятся:

·   Гост 28147-89 – блочный шифр с 256-битным ключом;

·   Гост Р 34.11-94 –функция хэширования;

·   Гост Р 34.10-94 –алгоритм цифровой подписи.

Существует много защит  информационной безопасности.

Европейские стандарты безопасности

ISO 15408: Common Criteria for Information Technology Security Evaluation

Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие  критерии оценки безопасности информационных технологий), принятом в 1999 году.

Общие критерии оценки безопасности информационных технологий (далее "Общие  критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

Хотя применимость "Общих  критериев" ограничивается механизмами  безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно  связаны с описываемыми функциями  безопасности.

Первая часть "Общих  критериев" содержит определение  общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части "Общих критериев" и могут  быть непосредственно использованы при анализе защищенности для  оценки полноты реализованных в  АС (СВТ) функций безопасности.

Третья часть "Общих  критериев" содержит классы требований гарантированности оценки, включая  класс требований по анализу уязвимостей  средств и механизмов защиты под  названием AVA: Vulnerability Assessment. Данный класс  требований определяет методы, которые  должны использоваться для предупреждения, выявления и ликвидации следующих  типов уязвимостей:

·   Наличие побочных каналов утечки информации;

·   Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;

·   Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;

·   Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.

ISO 17799: Code of Practice for Information Security Management

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной  версией британского стандарта BS 7799.

ISO 17799 содержит практические  правила по управлению информационной  безопасностью и может использоваться  в качестве критериев для оценки  механизмов безопасности организационного  уровня, включая административные, процедурные и физические меры  защиты.

Практические правила  разбиты на следующие 10 разделов:

·   Политика безопасности;

·   Организация защиты;

·   Классификация ресурсов и их контроль;

·   Безопасность персонала;

·   Физическая безопасность;

·   Администрирование компьютерных систем и вычислительных сетей;

·   Управление доступом;

·   Разработка и сопровождение информационных систем;

·   Планирование бесперебойной работы организации;

·   Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее  время в правительственных и  коммерческих организациях во многих странах мира.

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в  данном контексте понимаются механизмы  управления информационной безопасностью  организации.

Ключевыми являются следующие  средства контроля:

·   Документ о политике информационной безопасности;

·   Распределение обязанностей по обеспечению информационной безопасности;

·   Обучение и подготовка персонала к поддержанию режима информационной безопасности;

·   Уведомление о случаях нарушения защиты;

·   Средства защиты от вирусов;

·   Планирование бесперебойной работы организации;

·   Контроль над копированием программного обеспечения, защищенного законом об авторском праве;

·   Защита документации организации;

·   Защита данных;

·   Контроль соответствия политике безопасности.

Процедура аудита безопасности АС включает в себя проверку наличия  перечисленных ключевых средств  контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в  данной среде функционирования. Составной  частью работ по аудиту безопасности АС также является анализ и управление рисками.

Стандарты безопасности США

"Оранжевая  книга "

"Department of Defense Trusted Computer System Evaluation Criteria"

OK принята стандартом  в 1985 г. Министерством обороны  США (DOD). Полное

название документа "Department of Defense Trusted Computer System Evaluation Criteria".

OK предназначается для  следующих целей:

· Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные  системы, удовлетворяющие требованиям  гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия  данных) для использования при  обработке ценной информации;

· Предоставить DOD метрику  для военной приемки и оценки защищенности ЭСОД, предназначенных  для обработки служебной и  другой ценной информации;

· Обеспечить базу для исследования требований к выбору защищенных систем.

Рассматривают два типа оценки:

· без учета среды, в  которой работает техника;

· в конкретной среде (эта  процедура называется аттестованием).

Во всех документах DOD, связанных  с ОК, принято одно понимание фразы  обеспечение безопасности информации. Это понимание принимается как  аксиома и формулируется следующим  образом: безопасность = контроль за доступом.

Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.

1. Класс (D): Минимальная  защита

2. Класс (C1): Защита, основанная  на разграничении доступа (DAC)

3. Класс (С2): Защита, основанная  на управляемом контроле доступом

4. Класс(B1): Мандатная защита, основанная на присваивании меток  объектам и субъектам, находящимся  под контролем ТСВ

5. Класс (B2): Структурированная  защита

6. Класс (ВЗ): Домены безопасности

7. Класс (A1): Верифицированный  проект

FIPS 140-2 "Требования безопасности для криптографических модулей"

В федеральном стандарте  США FIPS 140-2 "Требования безопасности для криптографических модулей" под криптографическим модулем  понимается набор аппаратных и/или  программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.

В стандарте FIPS 140-2 рассматриваются  криптографические модули, предназначенные  для защиты информации ограниченного  доступа, не являющейся секретной. То есть речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. Наличие подобного  модуля — необходимое условие  обеспечения защищенности сколько-нибудь развитой информационной системы; однако, чтобы выполнять предназначенную  ему роль, сам модуль также нуждается  в защите, как собственными средствами, так и средствами окружения (например, операционной системы).

Стандарт  шифрования DES

Также к стандартам информационной безопасности США относится алгоритм шифрования DES, который был разработан в 1970-х годах, и который базируется на алгоритме DEA.

Исходные идеи алгоритма  шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х  годах и базировались на идеях, описанных  Клодом Шенноном в 1940-х годах. Первоначально  эта методика шифрования называлась lucifer (разработчик Хорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первым блочным алгоритмом шифрования, он использовал блоки  размером 128 бит и 128-битовый ключ. По существу этот алгоритм являлся  прототипом DEA.

 

1.5. Стеганография  и ее применение в информационной  безопасности

Задача надежной защиты информации от несанкционированного доступа является одной из древнейших и не решенных до настоящего времени проблем. Способы  и методы скрытия секретных сообщений  известны с давних времен, причем, данная сфера человеческой деятельности получила название стеганография. Это слово происходит от греческих слов steganos (секрет, тайна) и graphy (запись) и, таким образом, означает буквально “тайнопись”, хотя методы стеганографии появились, вероятно, раньше, чем появилась сама письменность (первоначально использовались условные знаки и обозначения).

Компьютерные технологии придали новый импульс развитию и совершенствованию стеганографии, появилось новое направление  в области защиты информации — компьютерная стеганография (КС).