- •1.Конфиденциальность информации и средства ее обеспечения.
- •2.Целостность информации и средства ее обеспечения.
- •3. Доступность информации и средства ее обеспечения
- •4.Служебная информация и личные данные. Особенности их защиты.
- •5. Государственные структуры, отвечающие за защиту данных.
- •6. Законодательство рф в области информационной безопасности
- •7. Информационная безопасность коммерческой структуры
- •11. Классификация угроз информационной безопасности
- •15. Уязвимость программных приложений и борьба с ней
- •16. . Компьютерные вирусы. Пути распространения и методы борьбы с ними
- •17. Троянские программы. Пути распространения и методы борьбы с ними.
- •Методы удаления
- •18. Сетевые черви. Пути распространения и методы борьбы с ними.
- •19. Базовая политика безопасности
- •20. Специализированные политики безопасности.
- •23. Роль руководителей подразделений в политике безопасности.
- •24. Роль администраторов сетей в политике безопасности.
- •25. Роль администраторов сервисов в политике безопасности:
- •26. Роль пользователя информационной системы в политике безопасности.
- •27. Классификация криптографических алгоритмов.
- •28. Простые методы шифрования.
- •29.Атаки на криптографические алгоритмы
- •30. Симметричные криптоалгоритмы
- •32. Асимметричные криптоалгоритмы
- •33. Аутентификация, авторизация и администрирование действий пользователей
- •34. Технологии межсетевых экранов
- •35. Списки доступа.
- •36. Основные схемы применения межсетевых экранов.
- •37. Системы обнаружения вторжений (ids).
- •38. Системы предотвращения вторжений (ips).
- •40. Использование vpn.
7. Информационная безопасность коммерческой структуры
В настоящее время большинство руководителей фирм (организаций) уже убедились, что коммерческая тайна их фирмы требует защиты. От этого в значительной степени зависит и экономическое благосостояние фирмы. Поэтому на некоторых фирмах (и в организациях) начали создаваться фрагменты служб, отвечающие за обеспечение безопасности конфиденциальной информации.
Безусловно, структура и состав таких служб зависит от финансового состояния фирмы (организации). Ибо содержание подобных служб требует немалых финансовых затрат. Однако в настоящее время есть фирмы (организации), которые в состоянии содержать такие структуры, обеспечивая тем самым безопасность конфиденциальной информации, а значит, и ее экономическое благополучие. И в дальнейшем количество таких фирм, мы надеемся, будет постоянно расти.
В данной статье предпринята попытка обрисовать структуру и состав службы безопасности информации, обеспечивающей фирме (организации) защиту конфиденциальной информации.
Возглавлять данную службу (рис. 1) должен начальник службы безопасности информации. Для более мелких фирм (организаций) – помощник начальника службы безопасности фирмы по информационной безопасности. Эта должность может быть штатной, либо ее можно занимать по совместительству (зависит от статуса фирмы и ее финансового состояния).
В службе безопасности должны быть должностные лица, отвечающие первоначально за отдельные направления защиты. Ими могут быть:
главный специалист по обеспечению безопасности информации в выделенных помещениях фирмы;
главный специалист по обеспечению безопасности информации на объектах вычислительной техники фирмы;
главный специалист по обеспечению безопасности связи.
Эти должности могут исполняться по совместительству, но, безусловно, подготовленными сотрудниками в вопросах обеспечения информационной безопасности.
Кроме того, в каждом выделенном помещении должны быть назначены ответственные по обеспечению безопасности информации. Такие же ответственные назначаются и на каждый объект вычислительной техники. Что касается безопасности связи, то здесь должны быть ответственные за обеспечение безопасности каждого вида связи (телефонной, телеграфной, факсимильной, при передаче данных). Эти должности также занимаются по совместительству.
Таким образом, у начальника службы безопасности информации появляется структура, которую можно обучить и организовать ее эффективное функционирование по обеспечению безопасности информации в целом на фирме.
Порядок работы начальника службы безопасности информации (помощника начальника службы безопасности по информационной безопасности) по организации защиты конфиденциальной информации на фирме показан на рис.2.
Свою деятельность по обеспечению безопасности информации начальник службы безопасности информации (помощник начальника службы безопасности по информационной безопасности) должен начать с создания службы безопасности информации и назначения приказом руководителя фирмы (организации), должностных лиц согласно рис.1, но с учетом конкретных особенностей фирмы, а также разработать для них функциональные обязанности. Далее необходимо удостовериться, имеется ли перечень сведений, относящихся к коммерческой тайне фирмы. Если такого перечня нет, то разработать его и утвердить приказом руководителя. К разработке данного перечня по необходимости могут привлекаться и другие должностные лица фирмы. После этого проводится инструктивно-методическое занятие с сотрудниками фирмы, где до их внимания доводится утвержденный перечень сведений, относящихся к коммерческой тайне фирмы и юридическая ответственность за неправомерные действия с конфиденциальной информацией (УК РФ 1997 г.) с подписанием договорного обязательства о неразглашении коммерческой тайны.
В результате будет создана правовая база на фирме, на основании которой можно проводить и разъяснительно-воспитательную работу с сотрудниками фирмы о соблюдении мер по обеспечению безопасности конфиденциальной информации. Это важно, поскольку на сегодняшний день утечка конфиденциальной информации по вине сотрудников занимает первое место и составляет около 43%.
Следующий этап работы службы безопасности информации заключается в том, чтобы разобраться с объектами фирмы, где обрабатывается конфиденциальная информация. Для этого необходимо уточнить, имеется ли утвержденный перечень выделенных помещений и объектов вычислительной техники, где обрабатывается конфиденциальная информация. Если такого перечня нет, то его необходимо разработать. После того как перечень объектов будет разработан и утвержден, уточняется, было ли проведено спецобследование и аттестация выделенных помещений и объектов вычислительной техники. Объекты, прошедшие спецобследование и аттестацию, должны иметь соответственно акты спецобследования и аттестаты соответствия. При этом необходимо учесть, что ПЭВМ на объектах вычислительной техники должны пройти специсследование и спецпроверку и иметь соответственно акты специсследования и протоколы спецпроверки. Также следует иметь в виду, что спецобследование объектов можно проводить своими силами (то есть созданной приказом руководителя комиссией по проведению спецобследования, при наличии подготовленных специалистов), а специсследование и спецпроверку ПЭВМ и аттестацию объектов проводят только фирмы (организации), имеющие лицензии на право деятельности в этой области. Спецобследование и аттестация объектов проводится периодически.
Таким образом, предложенный вариант порядка работы службы безопасности информации не претендует быть бесспорным, однако, призван помочь специалистам в вопросах организации работы по обеспечению безопасности конфиденциальной информации на фирме (в организации).
8.Типовой набор должностей, связанных с защитой данных на предприятии.
Организационно служба безопасности должна состоять из следующих структурных единиц :
-отдел режима и охраны, в составе сектора режима и сектора охраны;
-отдел защиты информации;
-инженерно-техническая группа;
-группа безопасности внешней деятельности.
Отдел режима и охраны
Отдел режима и охраны является самостоятельным структурным подразделением службы безопасности и подчиняется начальнику службы безопасности. В его задачи входит:
1) определение перечня сведений, составляющих государственную и коммерческую тайну, организация и осуществление мер по обеспечению их безопасности;
2) разработка системы предотвращения несанкционированного допуска и доступа к сведениям, составляющим коммерческую тайну, и разработка соответствующих инструкций;
3) организация и поддержание пропускного режима, организация прохода сотрудников и посетителей в различные зоны доступа;
4) организация охраны аттестованных конфиденциальных помещений;
5) организация личной охраны руководителей и ведущих сотрудников, обеспечение безопасности транспортировки грузов и документов;
6) наблюдение за обстановкой вокруг и внутри объекта;
7) контролирование работоспособности элементов защиты в повседневных и в особых условиях (стихийные бедствия, поломки, аварии, беспорядки и т. п.).
Отдел защиты информации
Отдел специальной защиты предназначен для организации и обеспечения эффективного функционирования системы защиты информации. Основными задачами отдела являются:
1) организация работ по защите документальных материалов;
2) разработка и организация защиты автоматизированных систем обработки информации и электронного документооборота;
3) распределение между пользователями необходимых реквизитов защиты;
4) обучение пользователей автоматизированных систем правилам безопасной обработки информации;
5) принятие мер реагирования на попытки НДС и нарушения правил функционирования системы защиты;
6) тестирование системы защиты и контроль за ее функционированием;
7) устранение слабостей в системе защиты и совершенствование механизмов обеспечения безопасности.
Инженерно-техническая группа
Основной задачей инженерно-технической группы является обеспечение безопасности деятельности предприятия с помощью технических средств защиты. А именно:
1) определение границ охраняемой (контролируемой) территории (зоны) с учетом возможностей технических средств, наблюдения злоумышленников;
2) определение технических средств, используемых для передачи, приема и обработки конфиденциальной информации в пределах охраняемой (контролируемой) территории (зоны);
3) обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования;
4) выявление и оценка степени опасности технических каналов утечки информации;
5) разработка мероприятий по ликвидации (локализации) установленных каналов утечки информации организационными, организационно-техническими или техническими мерами, используя для этого физические, аппаратные и программные средства и математические методы защиты.
Группа безопасности внешней деятельности
Сотрудники группы безопасности внешней деятельности разрабатывают и проводят специальные мероприятия по изучению окружения объекта (конкуренты, посетители, клиенты и т. д.):
1) изучают торгово-конъюнктурные ситуации в пространстве деятельности учредителей, партнеров, клиентов и потенциально возможных конкурентов;
2) проводят ситуационный анализ текущего состояния финансово-торговой деятельности с точки зрения прогнозирования возможных последствий, могущих привести к неправомерным действиям со стороны конкурирующих организаций и предприятий;
3) собирают и обрабатывают сведения о деятельности потенциальных и реальных конкурентов для выявления возможных злонамеренных действий по добыванию охраняемых сведений;
4) определяют возможные направления и характер злоумышленных действий со стороны специальных служб промышленного шпионажа против предприятия, его партнеров и клиентов;
5) ведут учет и анализ попыток несанкционированного получения коммерческих секретов конкурентами;
6) определяют платежеспособность юридических и физических лиц, их возможности по своевременному выполнению платежных обязательств.
Приведенная структура службы безопасности не универсальна и должна корректироваться под определенную организацию. В частности, в нее могут быть введены новые отделы, например отдел пожарной безопасности, группа управления персоналом или группа сопровождения грузов. Как правило, формирование или реформирование структуры собственной безопасности осуществляется по мере понимания задач, которые должны ею решаться на текущий момент.
9. Международные стандартизирующие организации в области информационной безопасности.
Система международной стандартизации в области информационных технологий.
ISO:
ISO 14888-3-Стандарт описывает семейство схем электронной цифровой подписи, основанное на трудоемкости решения задачи дискретного логарифмирования.
ISO 15946-2-Более информационный стандарт, содержащий описание математического аппарата эллиптических кривых и методы его применения в криптографических приложениях.
ISO 15946-4-Четвертая часть того же стандрта, содержащая описание цифровых подписей, допускающих восстановление информации.
ISO 18033-2- Стандарт описывает современные гибридные алгоритмы шифрования с открытым ключом.
IEEE:
Есть еще IEEE - международное объединение инженеров-электронщиков, которое проводит собственную стандартизацию в области электроники и, в частности, компьютерной безопасности. Среди большого числа стандартов этой организации нас будут интересовать два:
IEEE P 1363
Стандарт, содержащий в себе все основные криптографические примитивы такие, как открытое шифрование, электронная цифровая подпись, протоколы выработки общего ключа. В силу своей обширности и высокой математической проработанности может рассматриваться как основополагающая база для синтеза национальных или отраслевых стандартов.
IEEE P 1619.
Проект, посвященный шифрованию данных, хранящихся на блочных носителях. Данный проект еще не стал стандартом де-факто, однако прошел долгий период развития и представляет из себя множество вполне законченных документов. В связи с тем, что данный стандарт считается официально принятым, его достаточно сложно найти в сети. Поэтому, мы выкладываем некоторые части, уж не обессудьте.
The XTS-AES Tweakable Block Cipher Режим блочного шифрования, названный авторами стандарта XTS, применительно к блочному алгоритму шифрования AES.
The Galois/Counter Mode Of Operation (GCM) Режим блочного шифрования, в котором в качестве счетчика зашифрованных блоков выступает степень примитивного элемента. Описание применяет данный режим к блочному алгоритму шифрования AES, однако оно может быть элементарно перенесено на другие размеры блоков, например, 64 бита.
P 1919 Cryptographic Protection of Data on Block-Oriented Storage Devices Рабочие материалы (драфт номер шестнадцать) основной части стандарта, посвященной выработке нового режима блочного шифрования. Предварительный вариант алгоритма, выложенного ранее.
P 1619.1 Authenticated Encryption with Length Expansion for Storage Devices Документ, являющийся драфтом с номером двадцать, первой части стандарта, описывающей алгоритм шифрования с аутентификацией отправителя сообщения.
Стандарты ITU:
Еще можно выделить Международный союз электросвязи (ITU, International Telecommunication Unit), разрабатывающий стандарты, или более точно, рекомендации в области телекоммуникаций и связи.
X.209 Specification of Basic Encoding Rules for ASN.1 Спецификация правил структурирования, кодирования и хранения информации. Данные правила применяются при создании сертификатов открытых ключей, на английском языке.
Как это ни печально, но Америка занимает лидирующие позиции в области разработки и распространения криптографических алгоритмов и преобразований.
У американцев несколько стандартизирующих организаций и десятки различных стандартов в области информационной безопасности.
ИЛИ:
BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
ISO/IEC 27000 — Словарь и определения.
ISO/IEC 27001:2005 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005. «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Дата выхода — 2007 год.
ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
German Information Security Agency. IT Baseline Protection Manual — Standard secu
10. Стандарты РФ в области информационной безопасности
ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.
Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.
ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005.
ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005.
ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты.