Дина Погонышева - Безопасность информационных систем. Учебное пособие
- Название:Безопасность информационных систем. Учебное пособие
- Автор:
- Жанр:
- Издательство:Литагент «Флинта»ec6fb446-1cea-102e-b479-a360f6b39df7
- Год:2015
- Город:Москва
- ISBN:978-5-9765-1904-6
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Дина Погонышева - Безопасность информационных систем. Учебное пособие краткое содержание
В пособии излагаются основные тенденции развития организационного обеспечения безопасности информационных систем, а также подходы к анализу информационной инфраструктуры организационных систем и решению задач обеспечения безопасности компьютерных систем.
Для студентов по направлению подготовки 230400 – Информационные системы и технологии (квалификация «бакалавр»).
Безопасность информационных систем. Учебное пособие - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Технические спецификации , применимые к современным распределенным ИС, создаются, « Тематической группой по технологии Internet » (Internet Engineering Task Force, IETF) и ее подразделением – рабочей группой по безопасности. Ядром рассматриваемых технических спецификаций служат документы по безопасности на IP-уровне (IPsec). Кроме этого, анализируется защита на транспортном уровне (Transport Layer Security, TLS), а также на уровне приложений (спецификации GSS-API, Kerberos). Необходимо отметить, что Internet-сообщество уделяет должное внимание административному и процедурному уровням безопасности («Руководство по информационной безопасности предприятия», «Как выбирать поставщика Интернет-услуг», «Как реагировать на нарушения информационной безопасности»).
Сетевая безопасность определяется спецификациями Х.800 « Архитектура безопасности для взаимодействия открытых систем », Х.500 « Служба директорий: обзор концепций, моделей и сервисов » и Х.509 « Служба директорий: каркасы сертификатов открытых ключей и атрибутов ».
Британский стандарт BS 7799 « Управление информационной безопасностью. Практические правила » предназначен для руководителей организаций и лиц, отвечающих за информационную безопасность, без сколько-нибудь существенных изменений воспроизведен в международном стандарте ISO/IEC 17799.
Общие сведения о стандартах и спецификациях в области информационной безопасности представлены ниже.
«Оранжевая книга»
В «Оранжевой книге» заложен понятийный базис ИБ:
– безопасная и доверенная системы,
– политика безопасности,
– уровень гарантированности,
– подотчетность,
– доверенная вычислительная база,
– монитор обращений,
– ядро и периметр безопасности. Стандарт выделяет политику безопасности, как добровольное (дискреционное) и принудительное (мандатное) управление доступом, безопасность повторного использования объектов.
С концептуальной точки зрения наиболее значимый документ в ней – «Интерпретация “Оранжевой книги” для сетевых конфигураций» (Trusted Network Interpretation). Он состоит из двух частей. Первая содержит интерпретацию, во второй описываются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.
Важнейшее понятие, введенное в первой части, – сетевая доверенная вычислительная база. Другой принципиальный аспект – учет динамичности сетевых конфигураций. Среди защитных механизмов выделена криптография, помогающая поддерживать как конфиденциальность, так и целостность.
Также стандарт описывает достаточное условие корректности фрагментирования монитора обращений, являющееся теоретической основой декомпозиции распределенной ИС в объектно-ориентированном стиле в сочетании с криптографической защитой коммуникаций.
Гармонизированные критерии Европейских стран
В этих критериях отсутствуют требования к условиям, в которых должна работать информационная система. Предполагается, что сначала формулируется цель оценки, затем орган сертификации определяет, насколько полно она достигается, т. е. в какой мере корректны и эффективны архитектура и реализация механизмов безопасности в конкретной ситуации. Чтобы облегчить формулировку цели оценки, стандарт содержит описание десяти примерных классов функциональности, типичных для правительственных и коммерческих систем.
В «Гармонизированных критериях» подчеркивается различие между системами и продуктами информационных технологий, но для унификации требований вводится единое понятие – объект оценки.
Важно указание и на различие между функциями (сервисами) безопасности и реализующими их механизмами, а также выделение двух аспектов гарантированности – эффективности и корректности средств безопасности.
«Гармонизированные критерии» подготовили появление международного стандарта ISO/IEC 15408:1999 «Критерии оценки безопасности информационных технологий» (Evaluation criteria for IT security), в русскоязычной литературе именуемого «Общими критериями».
На данный момент времени «Общие критерии» – самый полный и современный оценочный стандарт. Это стандарт, определяющий инструменты оценки безопасности ИС и порядок их использования; он не содержит предопределенных классов безопасности. Такие классы можно строить, опираясь на заданные требования.
«Общие критерии» содержат два основных вида требований безопасности:
• функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
• требования доверия, соответствующие пассивному аспекту; они предъявляются к технологии и процессу разработки и эксплуатации. Требования безопасности формулируются, и их выполнение проверяется для определенного объекта оценки – аппаратно-программного продукта или информационной системы.
Безопасность в «Общих критериях» рассматривается не статично, а в соответствии с жизненным циклом объекта оценки.
«Общие критерии» способствуют формированию двух базовых видов используемых на практике нормативных документов – это профиль защиты и задание по безопасности.
Профиль защиты представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса.
Задание по безопасности содержит совокупность требований к конкретной разработке, их выполнение позволит решить поставленные задачи по обеспечению безопасности.
Руководящие документы (РД) ФСТЭК Россииначали появляться несколько позже, уже после опубликования «Гармонизированных критериев», и, по аналогии с последними, подтверждают разницу между автоматизированными системами (АС) и продуктами (средствами вычислительной техники, СВТ).
В 1997 г. был принят РД по отдельному сервису безопасности – межсетевым экранам (МЭ). Его основная идея состоит в классификации МЭ на основании осуществляющих фильтрацию потоков данных уровней эталонной семиуровневой модели – получила международное признание и продолжает оставаться актуальной.
В 2002 г. Гостехкомиссия России приняла в качестве РД русский перевод международного стандарта ISO/IEC 15408:1999 «Критерии оценки безопасности информационных технологий».
Х.800 «Архитектура безопасности для взаимодействия открытых систем»
Среди технических спецификаций основным документом является
Х.800 «Архитектура безопасности для взаимодействия открытых систем». Здесь выделены важнейшие сетевые сервисы безопасности: аутентификация, управление доступом, обеспечение конфиденциальности и/или целостности данных, а также невозможность отказаться от совершенных действий. Для реализации сервисов предусмотрены следующие сетевые механизмы безопасности и их комбинации: шифрование, электронная цифровая подпись (ЭЦП), управление доступом, контроль целостности данных, аутентификация, дополнение трафика, управление маршрутизацией, нотаризация. Выбраны уровни эталонной семиуровневой модели, на которых могут быть реализованы сервисы и механизмы безопасности. Детально рассмотрены вопросы администрирования средств безопасности для распределенных конфигураций.
Читать дальшеИнтервал:
Закладка:
