Реферат на тему Отечественные и зарубежные стандарты в области Информационной безопасности

Содержание:

Введение. 2

1 Стандарты в области ИБ. 3

2 Международный стандарт ИБ. 8

3
Особенности отечественных стандартов ИБ. 11

Заключение. 14

Список литературы.. 15

Введение:

На сегодняшний день информационная безопасность играет особо
важную роль в сфере информационных технологий. Под информационной безопасностью
(ИБ) понимаются условия, при которых отсутствует неблагоприятное воздействие,
вызванное нарушением конфиденциальности, доступности и целостности данных физического
лица либо предприятия.

В настоящее время деятельность любого предприятия связана с
приемом и передачей информации, которая является очень ценным товаром. Утрата
информационных ресурсов или их завладение злоумышленниками может нанести предприятию
большой ущерб и даже привести к разорению.

Состояние информационной безопасности является одним из
самых важных параметров надежности и устойчивости предприятия. Основной задачей
информационной безопасности является обеспечение защищенности информации и
поддерживающей инфраструктуры от случайных или преднамеренных естественных (искусственных)
воздействий, чреватых нанесению ущерба владельцам информации и поддерживающей
инфраструктуре.

Заключение:

Проблемы информационной безопасности возникли с того момента,
как компьютер начал обрабатывать информацию, ценность которой очень высока для
пользователя. Вопрос стандартизации подходов для решения проблем в сфере ИБ стал
особенно актуальным как для разработчиков, так и для пользователей информационно-программных
средств.

Безопасность информации – это состояние защищенности
информации от перехвата, утечки по техническим и иным каналам, модификации,
блокирования, уничтожения, несанкционированного доступа к ней, а также от
нарушения функционирования или вывода из строя технических и программных
средств сбора, обработки, хранения и предоставления информации, информационных
и телекоммуникационных систем.

Вопросы безопасности информации актуальны во всем мире,
поэтому разрабатываются международные стандарты безопасности.

Соответствие стандартам ИБ не дает сто процентной гарантии
по защите данных. Не существует безупречных стандартов в области ИБ, но
применение различных стандартов позволяет достичь максимального уровня
информационной безопасности.

Фрагмент текста работы:

1 Стандарты в области ИБ

Специалистам, работающим в сфере информационной
безопасности, необходимы соответствующие знания стандартов и спецификаций в
области ИБ. Стандарты и спецификации в области информационной безопасности
бывают следующих видов [1]:

1. Оценочные стандарты – направленные на классификацию
информационных систем и средств защиты по требованиям безопасности.

2. Технические спецификации – регламентирующие
различные решения реализации средств защиты.

В оценочном стандарте рассматриваются вопросы управления
доступа к данным (т.е. обеспечение конфиденциальности и целостности
информации). Самым первым оценочным стандартом, который стал широко
распространён во многих странах и оказал огромное влияние на базу
стандартизации информационной безопасности, стал стандарт Министерства обороны
США «Критерии оценки доверенных компьютерных систем» [2].
Данный оценочный стандарт по-другому называют «Оранжевая книга» – по цвету
обложки у книги. «Оранжевая книга» определяет аппаратные и программные
средства, которые обеспечивают одновременную обработку информации разной
степени секретности группой пользователей без нарушения прав доступа. Другими
словами, «Оранжева книга» описывает управление доступом к информации, где только
авторизованные лица или процессы получают право на чтение, запись, удаление и
изменение информации.

Технические спецификации отражают различные решения в сфере
реализации средств защиты и учитывают следующие требования:

1. Требования к архитектуре решений.

2. Требования к программной, технической и
алгоритмической реализации решений.

3. Требования к использованию решений и средств.

Требования «Оранжевой книги» имеют следующую структуру [7]:

1. Политика безопасности. Система должна иметь
политику безопасности. Доступ субъектов к объектам должен регламентироваться на
основании их идентификации и набора правил управления доступом. Объектам должны
ставиться соответствующие метки безопасности, необходимые для контроля доступа.

2. Подотчётность. Всем субъектам системам ставятся уникальные
идентификаторы. Контроль доступа должен выполняться на основе идентификации
субъекта и объекта доступа, аутентификации и правил разграничения доступа.
Данные идентификации и аутентификации должны быть защищены от
несанкционированного доступа, изменения и удалении. Все происходящие в системе
события, которые имеют значение с точки зрения безопасности, должны
отслеживаться и записываться в защищённом протоколе. Протокол событий должен
быть надёжно защищён от несанкционированного доступа, изменения и удаления.

3. Гарантии. Средства защиты должны иметь
независимые аппаратные/программные компоненты, которые обеспечивают действие
функций защиты. Это означает, что все средства защиты, обеспечивающие политику
безопасности, управление атрибутами и метками безопасности, должны находиться
под контролем средств, проверяющих правильность их выполнения. Средства
контроля должны быть независимы от средств защиты. Все средства защиты должны
быть защищены от несанкционированного действия и отключения, что распространяется
на весь жизненный цикл АС.

«Оранжевая книга» определяет четыре группы [7]
классов защищённости:

1. A – содержит единственный класс A1.

2. B – содержит классы B1, B2 и B3.

3. С – содержит классы C1 и C2.

4. D – содержит единственный класс D1.

Защищенность системы возрастает от группы D к группе A, а в
пределах одной группы – с увеличением номера класса. Каждый класс
характеризуется определённым набором требований к подсистеме обеспечения ИБ.

Краткие характеристики каждого из классов защищённости:

1. Группа D – минимальная защита. Все системы, представленные
для сертификации по требованиям одного из более высоких классов защищённости,
но не прошедшие испытания.

2. Группа C – дискреционная защита. Характеризуется
 наличием  дискреционного управления доступом и
регистрации действий субъектов.

a) Класс C1 – дискреционная защита. Система
включает в себя средства контроля и управления доступом, позволяющие задавать
ограничения для отдельных пользователей.

b) Класс C2 – управление доступом Система обеспечивает
более избирательное управление доступом путём применения   средств 
 индивидуального   контроля 
 за   действиями пользователей, регистрации, учёта
событий и выделения ресурсов.

3. Группа B – мандатная защита. Система
обеспечивает мандатное управление доступом с использованием меток безопасности,
поддержку модели и политики безопасности. Предполагается наличие спецификаций
на функции ядра безопасности.

a) Класс B1 – защита с применением меток
безопасности Система поддерживает маркировку данных и мандатное управление
доступом. При экспорте из системы информация должна подвергаться маркировке.

b) Класс B2 – структурированная защита. Предусматривает
дискреционное и мандатное управление доступом, которое распространяется на все
субъекты. Осуществляется контроль скрытых каналов передачи информации. В
структуре ядра безопасности должны быть выделены элементы, критичные с точки
зрения

c) Класс B3 – домены безопасности. Ядро поддерживает
монитор безопасности обращений, который контролирует все типы доступа субъектов
к объектам и который невозможно обойти. Ядро безопасности содержит
исключительно подсистемы, отвечающие за реализацию функций защиты, и является
достаточно компактным для обеспечения возможности эффективного тестирования.

4. Группа A – верифицированная защита. Группа
характеризуется применением формальных методов верификации корректности
функционирования механизмов управления доступом. Функциональные требования
совпадают с классом B3, однако на всех этапах разработки АС требуется
применение формальных методов верификации систем защиты.

С точки зрения практики количество стандартов и спецификаций
(отечественных, международных, отраслевых и т.д.) в области ИБ бесконечное
множество.

Стандарты в сфере ИБ выполняют следующие функции [1]:

1. Выработка понятийного аппарата и терминологии в
области ИБ.

2. Создание шкалы измерений уровня ИБ.

3. Координированная оценка продуктов,
обеспечивающих ИБ.

4. Повышение технической и информационной совместимости
продуктов, обеспечивающих ИБ.

5. Накопление сведений о лучших практиках
обеспечения ИБ и их предоставление различным группам заинтересованной аудитории.

6. Функция нормотворчества – наделение стандартов
юридической силой и установление требования их обязательного выполнения.