Стандартизация в сфере управления информационной безопасностью

Подробнее
-
Текстовая версия:

Нальчик-2021

Содержание

ВВЕДЕНИЕ

Проблема защиты информации на компьютере не нова - специалисты занимались ею с тех пор, как компьютер начал обрабатывать данные, ценность которых для пользователя высока. Однако в последние годы в связи с развитием сетей, растущим спросом на электронные услуги ситуация в сфере информационной безопасности серьезно обострилась и вопрос стандартизации подходов к ее решению стал особенно актуальным для разработчиков и пользователей ИТ. Инструменты. Любой специалист по информационной безопасности проходит в своем профессиональном развитии три стадии. Первый - «ручной труд». Новичок с помощью специализированных инструментов ищет и устраняет очень специфические пробелы в системе и в прикладном программном обеспечении. Сканер, патч, порт, соединение — вот сущности, с которыми он работает на данном этапе. Второй этап - «работа головы». Устав заполнять новые и новые пробелы, специалист начинает разрабатывать планы и методы, цель которых - оптимизировать действия по повышению безопасности систем и устранению последствий угроз для информации. Наконец, пора подумать - на этом этапе опытный специалист понимает, что, скорее всего, он изобретает велосипед заново, так как стратегии безопасности, вероятно, были разработаны до него. И в этом он, безусловно, прав. Многие организации по всему миру давно занимаются вопросами информационной безопасности. Результат их деятельности стал важной частью стандартов, положений, рекомендаций, правил и т.д. Изучать все аспекты вряд ли целесообразно, но базовые документы знать обязательно.

Нашу жизнь заполонили технологии и по этой причине тема информационной безопасности как никогда актуальна. Практически любой пользователь ПК сталкивался с вирусами, «троянскими конями» и другими вредоносными программами, а также с лицами, стоящими за их созданием и распространением - взломщиками, спамерами, создателями вирусов и просто мошенниками, которые обманывают людей в поисках прибыли. Поэтому, я считаю, стандартизация в сфере управления информационной безопасностью является актуальной и наиболее практичной концепцией защиты данных.

1. Понятие безопасности системы

1.1 Международный стандарт информационной безопасности

Разработка информационных и телекоммуникационных систем различного назначения (в основном Интернет), а также электронный обмен ценной информацией, требующей защиты, потребовали от специалистов, работающих в этой области, систематизировать и рационализировать требования и характеристики базовых компьютерных систем с точки зрения обеспечения безопасность. Однако прежде, чем приступить к рассмотрению сформированных стандартов, необходимо определить, что такое безопасность. Учитывая важность концепции, мы попытаемся сформулировать ее расширенное определение, которое будет учитывать самые последние международные и национальные события в этой области. Таким образом, информационная безопасность — это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее неприемлемые риски их уничтожения, искажения и разглашения, которые приводят к материальному ущербу для владельца или пользователя. Это определение более полно учитывает основную цель компьютеризированной системы деловой информации - минимизация финансовых потерь, максимизация прибыли перед лицом реальных рисков.

Это положение особенно актуально для так называемых открытых систем общественного пользования, которые обрабатывают секретную информацию с ограниченным доступом, не содержащую государственной тайны. Сегодня системы такого типа стремительно развиваются как в мире, так и в нашей стране. Известно, что стандартизация лежит в основе всевозможных методов определения качества товаров и услуг. Одним из основных результатов этой деятельности в области систематизации требований и характеристик защищаемых информационных систем стала Система международных и национальных стандартов информационной безопасности, включающая более сотни различных документов. Одним из примеров является стандарт ISO 15408, известный как «Общие критерии». Базовый стандарт информационной безопасности ISO 15408, принятый в 1998 году, несомненно, очень важен для российских разработчиков.

Кроме того, в текущем 2001 году Госстандарт планирует подготовить согласованную версию этого документа. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта для критериев оценки безопасности информационных технологий для общего использования «Common Criteria» в 1990 году. В его создании участвовали Национальный институт стандартов, а также Агентство технологий и национальной безопасности (США). Институт безопасности связи (Канада), Агентство информационной безопасности (Германия), Национальное агентство безопасности связи (Нидерланды), органы по реализации программы безопасности и сертификации ИТ (Англия), Центр безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408. Общие критерии (ОК) созданы для взаимного признания результатов оценок ИТ-безопасности в глобальном масштабе и представляют собой его основу. Они сравнивают результаты независимых оценок информационной безопасности и приемлемых рисков на основе множества общих требований к функциям безопасности ИТ-инструментов и систем, а также гарантий, примененных к ним в процессе тестирования. Основными преимуществами контроля качества являются полнота требований к информационной безопасности, гибкость приложения и открытость для дальнейшего развития с учетом последних достижений науки и техники. Критерии предназначены для удовлетворения потребностей всех трех групп пользователей (потребителей, разработчиков и оценщиков) при изучении свойств безопасности ИТ-инструмента или системы (подлежащих оценке). Этот стандарт полезен в качестве руководства для разработки функций ИТ-безопасности, а также для приобретения коммерческих продуктов с аналогичными свойствами. Основное направление оценки — это угрозы от злонамеренных действий человека, но контроль качества также может использоваться для оценки угроз, вызванных другими факторами. В будущем планируется создание специализированных требований к сектору финансового и коммерческого кредитования. Напомним, что предыдущие отечественные и зарубежные документы этого типа были связаны с условиями государственной или военной системы, обрабатывающей секретную информацию, которая может содержать государственную тайну. Публикация и внедрение этого стандарта за рубежом сопровождается разработкой новой стандартизированной архитектуры, предназначенной для обеспечения информационной безопасности компьютерных систем. Другими словами, компьютерное оборудование и программное обеспечение создаются в соответствии с общими критериями. Например, международная организация «Open Group», объединяющая около 200 крупных производителей информационных технологий и телекоммуникаций со всего мира, опубликовала новую архитектуру защиты информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, Open Group создает программы обучения, чтобы способствовать быстрому и качественному внедрению документов по стандартизации. [1]

1.2 Особенности процесса стандартизации в интернете

В течение долгого времени во всемирной паутине существовало множество комитетов, которые занимались стандартизацией всех интернет-технологий. Эти организации, составляющие основную часть Инженерной группы Интернета (IETF), уже стандартизировали несколько важных протоколов, что ускорило их внедрение в Интернете.

Семейство протоколов для передачи данных TCP / IP, SMTP и POP для электронной почты и SNMP (Simple Network Management Protocol) для управления сетью являются продуктами IETF. Сетевой рынок стал свидетелем так называемого частичного воздействия на установление стандартов за последние несколько лет. По мере того, как Интернет расширялся и трансформировался в потребительский и коммерческий рынок, некоторые компании начали искать способы повлиять на стандартизацию, создавая видимость конкуренции. Даже неформальные организации, такие как IETF, почувствовали давление. С развитием онлайн-рынков предприниматели начали создавать специальные группы или консорциумы для продвижения своих собственных стандартов. Примеры включают OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum и Java Development Connection. Иногда серьезные потребители интернет-услуг де-факто устанавливают стандарт при совершении покупок или заказов. Одна из причин появления различных групп стандартов — это противоречие между ускоряющимися темпами развития технологий и долгим циклом создания стандартов.

Вкратце об основных организациях, занимающихся разработкой стандартов в области информационных технологий:

ISO (Международная организация по стандартизации). Создатель и издатель международных стандартов. Например, менеджмент качества ISO 9000, менеджмент информационной безопасности ISO 27001 и т.д.;

IEC (Международная электротехническая комиссия), или же МЭК. Стандартизация в области электрических, электронных и технологий, связанных с ISO. Некоторые стандарты разрабатываются в сотрудничестве с ISO. [2]

IETF (The Internet Engineering Task Force). IETF часто называют форумом, потому что в IETF нет членов. Единственное требование, чтобы стать участником, — это доступ к электронной почте. Организация фокусируется на протоколах на IP, транспортном и прикладном уровнях. Работа над стандартом ведется коллективно и осуществляется рабочей группой. IETF существует уже 25 лет, за это время было опубликовано более 6600 рекомендательных документов. Эти документы представляют собой спецификации приложений и протоколов, на которых построен Интернет. Все рабочие документы находятся в свободном доступе на сайте документов IETF;

ITU (International Telecommunication Union) или же Международный союз электросвязи. Диапазон тем, которыми занимается эта организация, включает распределение радиочастотного спектра и спутниковых орбит, разработку технических стандартов и предоставление доступа к информационным и коммуникационным технологиям в развивающихся регионах. Отчеты о производительности публикуются в форме так называемых рекомендаций, которые доступны на веб-сайте МСЭ, хотя рабочие документы доступны только членам Союза. Это специализированное учреждение Организации Объединенных Наций с 1947 года;

W3C (Консорциум всемирной паутины) [Рис.1]. В 1994 году консорциум был основан в Массачусетском технологическом институте (MIT). Этот консорциум представляет собой альянс различных компаний, заинтересованных в установлении стандартов (Рекомендаций) и разработке технологий для улучшения возможностей WWW и качества использования World Wide Web. Все рекомендации консорциума World Wide Web открыты и могут быть использованы без ограничений и финансовых взносов в консорциум. Разработанные рекомендации используются всеми производителями программного обеспечения и оборудования различных компаний, обеспечивая универсальность сети. Работа W3C охватывает такие области, как электронное правительство, языки представления контента, вопросы безопасности WWW и поддержка национальных языков и алфавитов. Например, консорциум разработал язык HTML следующего поколения, который поддерживает современные мультимедийные приложения. Продолжаются работы по дальнейшему развитию XML и XHTML. Одна из последних разработок консорциума - семантическая сеть. Также, популярный домен www. w3c. org пренадлежит консорциуму W3C. [14]

Рис. 1 Логотип компании W3C

EEE (Институт инженеров по электротехнике и электронике). Институт инженеров по электротехнике и электронике - международная некоммерческая организация по разработке стандартов. Стандарты используются в различных отраслях, таких как энергетика, здравоохранение, информационные и телекоммуникационные технологии (ИКТ). Международные ИТ-стандарты, такие как стандарты LAN IEEE802, POSIX и многие другие, были разработаны IEEE. Все стандарты доступны в Интернете или в печати. [3]

1.3. Стандарты безопасности в интернете

Для обеспечения безопасности в Интернете популярны защищенные протоколы передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно и сразу стали стандартами де-факто. (TLS) - Самый популярный протокол шифрования сетевых данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их использования. Позволяет устанавливать безопасное соединение, контролировать целостность данных и решать различные сопутствующие задачи [Рис. 2].

Рис. 2 – Принцип работы SSL

(Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту X. 509 и предназначен для организации электронной торговли по сети. Этот протокол является стандартом, разработанным MasterCard и Visa при участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет, используя самый безопасный из доступных сегодня платежных механизмов. SET — это открытый стандартный многосторонний протокол для совершения платежей в Интернете с помощью пластиковых карт. Он обеспечивает перекрестную аутентификацию учетной записи держателя карты, продавца и банка продавца для проверки готовности платежа, а также целостности и секретности сообщения, шифрования ценных и конфиденциальных данных. SET можно рассматривать как стандартную технологию или систему протоколов для проведения безопасных платежей на основе пластиковых карт через Интернет. [4, Рис. 3]

Рис. 3 – Протокол SET

Спецификация IPSec является частью IP v. 6 и дополняет текущую версию протоколов TCP / IP. Он разрабатывается рабочей группой IETF по безопасности IP. IPSec в настоящее время включает три независимые от алгоритма основные спецификации, которые представляют соответствующие стандарты RFC. IPSec предоставляет стандартный метод шифрования трафика данных на (третьем) IP-уровне сети и защищает информацию на основе сквозного шифрования: независимо от запущенного приложения, каждый пакет данных, проходящий через канал, зашифрован. Таким образом, организации могут создавать виртуальные частные сети в Интернете. IPSec работает на общих протоколах связи и поддерживает DES, MD5 и ряд других криптографических алгоритмов.

Обеспечение ИБ на сетевом уровне с использованием IPSec включает множество аспектов, таких как:

Кроме того, IPSec имеет два важных преимущества: его использование не требует смены промежуточных сетевых устройств; Настольные компьютеры и серверы не обязательно должны быть совместимы с IPSec. [5, Рис. 4]

Рис. 4 – Протокол защиты сетевых данных IPSec

1.4. Особенности РФ в сфере безопасности в интернете

Исторически в России вопросы ИТ-безопасности изучались и своевременно решались только в области защиты государственной тайны. Подобные, но специфические задачи в коммерческом секторе экономики долгое время не находили адекватных решений. Этот факт до сих пор существенно задерживает появление и развитие безопасных ИТ-инструментов на национальном рынке, интегрированных в глобальную систему. Кроме того, защита информации в коммерческой автоматизированной системе имеет свои особенности, которые просто необходимо учитывать, поскольку они оказывают серьезное влияние на технологии информационной безопасности. Перечислим основные из них:

Приоритет экономических факторов. В случае коммерческой автоматизированной системы очень важно уменьшить или исключить финансовые потери и гарантировать, что владелец и пользователи этого инструментария получают прибыль, несмотря на реальный риск. В этом случае важным условием является, в частности, минимизация типичных банковских рисков (например, убытки из-за неправильного направления платежа, подделки платежных документов и т.д.);

Открытость проектирования, предусматривающая создание подсистемы защиты информации от средств, широкодоступных на рынке и работающих в открытых системах;

Юридическое значение коммерческой информации, которое можно определить как свойство защищенной информации, позволяющее придать юридическую силу электронным документам или информационным процессам в соответствии с правовым режимом информационных ресурсов, установленным законодательством Российской Федерации. Такое положение дел в нашей стране в последнее время приобретает все большее значение, наряду с созданием нормативной базы для ИТ-безопасности (особенно при взаимодействии автоматизированных систем различных юридических лиц). Очевидно, что создание конфиденциальной, безопасной ИТ-обработки информации, не содержащей государственной тайны, чрезвычайно важно для экономической и финансовой жизни современной России. [6]

Применение в России гармонизированного стандарта ISO 15408 («Общие критерии»), отражающего самые последние мировые достижения в области оценки информационной безопасности, позволит:

1.5. Практическая важность стандартов безопасности

Основы информационной безопасности предполагают разграничение полномочий не только с точки зрения использования информации, но и с точки зрения работы с ее защитой. Это разграничение полномочий также требует нескольких уровней контроля.

С целью разработки концепций защиты информации средства защиты информации обычно делятся на нормативные (неформальные) и технические (формальные). Неформальные средства защиты – это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании систем информационной безопасности: вместе с общим управлением защитой административный персонал реализует методы регулирования, а ИТ-специалисты, соответственно, методы. Формальные средства защиты. Широкий спектр технических средств защиты информации включает: [7]

Средства физической защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, ширмы, жалюзи предназначены для создания препятствий для контакта дестабилизирующих факторов с системами. Группа дополняется системами безопасности, например, видеокамерами, видеорегистраторами, датчиками, фиксирующими движение или превышением степени электромагнитного излучения в зоне расположения технических средств поиска информации, встраиваемых устройств; Аппаратная защита. Это электрические, электронные, оптические, лазерные и другие устройства, встроенные в информационные и телекоммуникационные системы. Прежде чем внедрять оборудование в информационные системы, необходимо убедиться в совместимости;

Программные средства — это простые и системные, сложные программы, предназначенные для решения конкретных и сложных задач, связанных с информационной безопасностью. Системы DLP и SIEM являются примерами интегрированных решений: первые используются для предотвращения утечек, переформатирования информации и перенаправления информационных потоков, вторые обеспечивают защиту от инцидентов в сфере информационной безопасности. Программное обеспечение требует питания от аппаратных устройств, и во время установки должны быть предусмотрены дополнительные резервы;

Неформальные средства защиты. Неформальные средства правовой защиты делятся на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регулирующие информационную безопасность как процесс деятельности организации. Углубимся чуть подробнее в каждый из терминов:

Нормативные средства [Табл. 1]. Данная категория средств защиты информации представлена законодательными актами, а также нормативными и распорядительными документами, действующими на организационном уровне. Текущая версия ISO / IEC 27000-2016 предоставляет готовые стандарты и передовые методы, необходимые для реализации информационной безопасности. По мнению авторов методик, в основе информационной безопасности лежит последовательность и последовательная реализация всех этапов от разработки до последующего контроля;

Таблица 1. Государственные стандарты


п/п

Номер документа

Описание

1

ГОСТ Р ИСО 7498-2-99

Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации

2

ГОСТ Р ИСО/МЭК 9594-8-98

Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации

3

ГОСТ Р ИСО/МЭК 9594-9-95

Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование

4

-

Руководящий документ Гостехкоммиссии "РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1997)

5

ГОСТ Р 50739-95

"Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования"

6

ГОСТ 28147-89

Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования

7

ГОСТ Р 34.10-94

Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма

8

ГОСТ Р 34.11-94

Информационная технология. Криптографическая защита информации. Функция хэширования

Организационные и административные меры. В рамках административной деятельности по защите информационной безопасности для сотрудников службы безопасности есть место для творчества. Это архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и офисы от прослушивания телефонных разговоров, а также установить различные уровни доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO / IEC 27000, сертификация отдельных аппаратных и программных систем, сертификация субъектов и объектов на соответствие необходимым требованиям безопасности, получение необходимых лицензий для работы с защищенными матрицами информации. С точки зрения регулирования деятельности персонала важно будет сформировать систему запросов на доступ к Интернету, внешней электронной почте и другим ресурсам. Отдельным элементом будет получение электронной цифровой подписи для повышения безопасности финансовой и другой информации, которая передается в государственные органы по каналам электронной почты;

Морально-этические меры. Моральные и этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обращении. Повышение уровня осведомленности сотрудников о влиянии угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Для борьбы с нарушениями информационного режима, в том числе, например, с передачей паролей, неосторожным обращением со СМИ, распространением конфиденциальных данных в частных беседах, необходимо сосредоточить внимание на личной добросовестности сотрудника. Будет полезно установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе защиты информации. [8]

2. Стандартизация в области информационной безопасности

2.1. Стандартизация в сфере компьютерной безопасности

Как оценить качество продукта или обеспечить его быструю замену, если он создан по вашим, а не согласованным ни с кем другим правилам? Стандартизация устанавливает единые «правила игры», и это ее главная цель. Те, кто принимает эти правила, называются участниками стандартизации, и то, к чему эти правила применяются, является объектом стандартизации.

История стандартизации как процесса установления единых требований, пригодных для многократного использования, насчитывает несколько тысячелетий - даже при строительстве пирамид в Древнем Египте использовались блоки стандартного размера, степень соответствия которым контролировали специальные люди. Древний стандарт. Сегодня стандартизация занимает прочное место практически во всех отраслях человеческой деятельности. Стандартизация информационной безопасности (ИБ) выгодна как для профессионалов, так и для потребителей продуктов и услуг в области информационной безопасности, поскольку позволяет определять оптимальный уровень заказа и стандартизации, обеспечивать взаимозаменяемость продуктов для обеспечения информационной безопасности, а также обеспечивать измеримость и повторяемость в разных странах и организациях достигнуты результаты. Для профессионалов это означает экономию времени на поиск эффективных и проверенных решений, а для потребителя - гарантию достижения результата ожидаемого качества. [15]

Каждый продукт информационной безопасности или каждая услуга информационной безопасности может быть предметом стандартизации: метод оценки, функциональность средств и настроек защиты, свойства совместимости, процесс разработки и производства, системы управления и т.д. В зависимости от состава участников стандартизация может быть международной, региональной или национальной, в то время как международная стандартизация (вместе с официальными органами стандартизации, такими как ISO) включает стандартизацию консорциумов (например, IEEE или SAE), а национальная стандартизация может быть государственной. Или промышленность. [9]

В настоящее время, компьютерная безопасность имеет огромное значение для каждого из нас. Сперва обговорим поверхностно о термине «компьютерная безопасность», а далее углубимся в это понятие. Компьютерная безопасность — это состояние полного контроля владельцев и законных пользователей компьютерной системы над входящими и исходящими потоками данных всей системы в целом и любых ее элементов с полным и недвусмысленным соблюдением законов, мер, политик организации, и самое главное - задачи, определенные для системы. Ключевые слова в этом определении - полный контроль, что означает, что в любое время администратор (который отвечает за правильное функционирование системы в целом) или офицер безопасности знает или может легко установить явления и события, которые происходят или произошли в системе и при необходимости подавить их с минимальной потерей функциональности. В этом отношении компьютерная безопасность аналогична физической безопасности - например, собака охраняет дом хозяина. Она впускает или прогоняет прибывающих людей, руководствуясь «своими - не своими» правилами, и в любой момент знает, кто вошел, а кто вышел из дома.

Итак, говоря языком кибербезопасности, она контролирует доступ к дому. Эта концепция называется монитором отношений. Как реальная система безопасности, которая отслеживает все действия пользователей (то есть процессы, действующие от их имени), связанные с внешним потенциально опасным миром.

Но в реальном мире, а не в абстрактном мире математики, этого недостаточно, поскольку сама операционная система (или база данных, или что-то еще) всегда содержит ошибки и недоработки, на которые ушло бы слишком много и без того драгоценного времени тестирования. И всегда существует вероятность того, что они могут быть использованы намеренно или случайно, чтобы заставить систему «добровольно» раскрыть конфиденциальную информацию. Поэтому концепция «Монитора отношений» конкретизируется, расширяется и дополняется Критериями, построенными по принципу иерархической классификации с постепенным ужесточением требований. Также мы не должны забывать, что компьютерная безопасность — это процесс, а не готовый продукт. То есть невозможно спрогнозировать и учесть все возможные угрозы, поэтому важно, чтобы персонал любого уровня был готов распознавать и пытаться отразить доселе неизвестные типы вторжений. Необходимые функции монитора обращений:

Также, для корректной работы было изобретено ядро безопасности. Ядро безопасности — это конкретная реализация монитора ссылок, неизменность которого гарантируется. Механизмы защиты. Для реализации вышеуказанных концепций безопасной и надежной системы используются механизмы, которые реализованы аппаратно или программно в надежном вычислительном ядре. Исполняется сценарий добровольного контроля доступа. Добровольный контроль доступа — это метод ограничения доступа к объектам на основе личности субъекта или группы, к которой принадлежит субъект. Желание руководства заключается в том, что определенное лицо (обычно собственник недвижимости) может по своему усмотрению уступить другим субъектам или лишить прав доступа к объекту.

Большинство операционных систем и СУБД осуществляют добровольный контроль доступа. Его главное преимущество - гибкость, главные недостатки - разбросанность управления и сложность централизованного управления, а также изоляция прав доступа к данным, что позволяет копировать секретную информацию в публичные файлы или секретные файлы в незащищенные каталоги. Современные стандарты.

Под влиянием TCSEC в Европе также были созданы национальные стандарты оценки информационных продуктов. Среди них особо стоит отметить Information Technology Security Evaluation Criteria (ITSEC), принятый в Германии, Нидерландах, Англии, Франции и большей части Европы в 1991 году. В нем и последовавшим за ним Common Criteria (признанным международным в 2000-х годах) к оцениваемым системам не предъявляется никаких изначальных требований, благодаря чему достигается максимальная универсальность проверки. Обратная сторона медали состоит в том, что фактически только сам разработчик предъявляет документ, где четко и однозначно описывает все функции и аспекты безопасности, которые он готов выполнить в своем продукте. А комитет по оценке проверяет лишь то, насколько качественно реализовано заявленная функциональность в заявленных разработчиком условиях тестирования продукта. Поэтому, например в Windows 2000, получившем EAL4+ в 2002 (4 уровень из 7 возможных уровней стандарта СС), найдено огромное число уязвимостей, но результат оценки не был пересмотрен. [14]

Основными недостатками государственных оценок информационной безопасности коммерческих продуктов были и остаются: их высокая стоимость (+ стоимость простоев во время разработки во время оценки продукта), медлительность (продукт может просто устареть во время тестирования), а главное, всегда есть некоторая ограниченность и неполноценность, о чем говорилось выше. Однако сфера компьютерной безопасности не останавливается: появляются новые технологии, решения, идеи. [7]

2.2. Идентификация и аутентификация

Идентификация и аутентификация используются для ограничения доступа случайных и незаконных субъектов (пользователей, процессов) информационных систем к своим объектам (аппаратным, программным и информационным ресурсам) [Рис. 5]. Общий алгоритм работы таких систем заключается в получении информации от субъекта (например, пользователя), подтверждающей их личность, проверке их подлинности, а затем предоставлении этому пользователю возможности (или нет) работать с системой.

Наличие процедур аутентификации и / или идентификации пользователя является обязательным условием для каждой защищенной системы, поскольку все механизмы защиты информации предназначены для работы с именованными субъектами и объектами информационных систем.

Идентификация – присвоение персонального идентификатора субъектам и объектам доступа и сравнение с данными. Аутентификация – проверка личности субъекта доступа по предъявленному им идентификатору и подтверждение его подлинности. Другими словами, аутентификация состоит из проверки того, является ли подключаемый субъект тем, кем он себя называет. При построении систем идентификации и аутентификации возникает проблема выбора идентификатора, на основе которого выполняются процедуры идентификации и аутентификации пользователя. Обычно они используются как идентификаторы: [10]

• набор символов (пароль, секретный ключ, личная идентификация и т.д.), которые пользователь хранит или использует специальные запоминающие устройства (электронные ключи) для их запоминания;

• физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.д.) или поведения (особенности работы на клавиатуре и т. д.) [Табл. 2]. Самыми распространенными, простыми и привычными являются методы аутентификации на основе паролей - конфиденциальных идентификаторов субъектов. В этом случае, когда субъект вводит свой пароль, подсистема аутентификации сравнивает его с зашифрованным паролем, хранящимся в базе данных.

Таблица 2. Примеры методов биометрии

Физиологические методы

Поведенческие методы

• Снятие отпечатков пальцев

• Сканирование радужной оболочки глаза

• Сканирование сетчатки глаза

• Геометрия кисти руки

• Распознавание черт лица

• Анализ подписи

• Анализ тембра голоса

• Анализ клавиатурного почерка

 

Если пароли совпадают, подсистема аутентификации разрешает доступ к системным ресурсам. Способы аутентификации по паролю делятся на:

–методы с использованием постоянных паролей (многоразовые);

–методы, использующие уникальные пароли (динамически меняющиеся);

Использование уникальных или динамически меняющихся паролей - более безопасный метод защиты паролем. В последнее время получили распространение комбинированные методы идентификации и аутентификации, требующие, помимо знания пароля, наличие карты (токена) - специального устройства, подтверждающего подлинность предмета. Карты делятся на два типа:

Активные (смарт-карты) наиболее распространены карты с пассивной магнитной полосой, считывание которых выполняется специальным устройством с клавиатурой и процессором. При использовании указанной карты пользователь вводит свой идентификационный номер. Если он совпадает с электронной версией, закодированной на карте, пользователю предоставляется доступ к системе. Таким образом, можно надежно идентифицировать человека, получившего доступ к системе, и предотвратить несанкционированное использование карты злоумышленником (например, в случае ее утери). Этот метод часто называют двухэтапной аутентификацией.

Помимо памяти, смарт-карты имеют собственный микропроцессор. Это позволяет реализовать различные варианты методов защиты паролем, такие как: многоразовые пароли и динамически меняющиеся пароли. Методы аутентификации, основанные на измерении биометрических параметров человека, позволяют практически на 100% идентифицировать субъекта и решает проблемы с потерей паролей и личных идентификаторов. Однако эти методы нельзя использовать для идентификации процессов или данных (объектов данных). Они только начинают развиваться и пока требуют сложного и дорогостоящего оборудования. Это приводит их к использованию только в особо важных учреждениях. Примерами реализации этих методов являются системы идентификации пользователей на основе рисунка радужной оболочки глаза, почерка, тембра голоса и т.д.

Новейшее направление аутентификации — это подтверждение подлинности удаленного пользователя по месту его нахождения. Этот механизм защиты основан на использовании космической навигационной системы GPS (Global Positioning System). Пользователь с оборудованием GPS повторно отправляет координаты указанных спутников, находящихся в зоне прямой видимости. Подсистема аутентификации, которая знает орбиты спутников, может определять местоположение пользователя с точностью до одного метра. Высокая надежность аутентификации определяется тем, что орбиты спутников подвержены колебаниям, которые трудно предсказать. К тому же координаты постоянно меняются, что исключает их перехват. Этот метод аутентификации можно использовать, когда авторизованный удаленный пользователь должен быть в нужном месте. Общая процедура идентификации и аутентификации пользователя при доступе к защищенной информационной системе следующая.

Пользователь предоставляет системе свой личный идентификатор (например, вводит пароль или предъявляет палец для сканирования отпечатка пальца). Затем система сравнивает полученный идентификатор со всеми идентификаторами, хранящимися в ее базе данных. Если сравнение прошло успешно, пользователь получает доступ к системе с установленными разрешениями. В случае отрицательного результата система сигнализирует об ошибке и предлагает повторно ввести идентификатор. В случаях, когда пользователь превышает лимит возможных повторений ввода информации (ограничение количества повторений является обязательным условием для защищенных систем), система временно блокируется и выдает сообщение о недопустимых действиях (и, возможно, незаметно для пользователя). Если в процессе аутентификации подлинность субъекта подтверждается, система защиты информации должна определить его полномочия (набор прав). Это необходимо для последующего контроля и разграничения доступа к ресурсам. В целом аутентификация уровня ИБ делится на три категории:

1) статический;

2) стабильный;

3) постоянный;

Первая категория обеспечивает защиту только от несанкционированных действий в системах, где злоумышленник не может прочитать информацию аутентификации во время сеанса. Традиционные постоянные пароли являются примером функции статической аутентификации. Их эффективность в основном зависит от сложности подбора паролей и, собственно, от того, насколько хорошо они защищены. Устойчивая, или же стабильная проверка подлинности использует учетные данные динамической проверки подлинности, которые меняются с каждым сеансом. Системы такого способа аутентификации реализованы с использованием одноразовых паролей и электронных подписей. Устойчивая проверка подлинности защищает от атак, в которых злоумышленник может перехватить учетные данные и использовать их в будущих сеансах. Однако устойчивая проверка подлинности не обеспечивает защиты от активных атак, во время которых злоумышленник, выдающий себя за другое лицо, может быстро (во время сеанса проверки подлинности) перехватить, изменить и вставить информацию в передаваемый поток данных. Постоянная аутентификация обеспечивает идентификацию каждого блока передаваемых данных, что защищает его от несанкционированного изменения или ввода. Примером реализации конкретной категории аутентификации является использование алгоритмов генерации электронной подписи для каждого бита передаваемой информации. [10]

Рис. 5 – Схема работы идентификации и аутентификации

2.3. Человеческий фактор

Умышленные и непреднамеренные нарушения безопасности программного обеспечения компьютерных систем у большинства отечественных и зарубежных специалистов связывают с деятельностью человека. При этом технические сбои оборудования КС, ошибки программного обеспечения и тому подобных часто рассматриваются лишь как второстепенные факторы, связанные с проявлением угроз безопасности. С определенной долей условности, злоумышленников в данном случае можно разделить на два основных класса: злоумышленники-любители (назовем их хакерами) и профессиональные злоумышленники. Для полного представления о такой серьезной проблеме как социальная инженерия можно привести пример, связанный с исследованием Cisco Systems.

Исследование безопасности Cisco Systems показало, что пользователи, работающие удаленно, будут продолжать заниматься деятельностью, угрожающей безопасности. Исследование поведения сотрудников показало, что при получении подозрительного письма 37% не только откроют письмо, но и перейдут по ссылке, а 13% откроют прикрепленный файл. Кроме того, после получения обычного электронного письма 42% щелкнули ссылку и предоставили конфиденциальную информацию, а 30% открыли файл, который, как считается, улучшает производительность компьютера. Среди специалистов по безопасности и ИТ-служб был проведен опрос, чтобы определить их основные приоритеты на ближайшие месяцы. Примерно 44% респондентов заявили, что их ИТ-отделы и специалисты по безопасности тратят менее 20% своего времени на повседневную операционную безопасность. Еще 32 процента заявили, что посвящают безопасности от 20 до 40 процентов своего времени. Только 20 процентов участников посвятили значительную часть своей ежедневной и еженедельной административной деятельности защите своих систем и сетей. Безопасность в сфере информационных технологий — это комплекс мер и должен восприниматься как система. Кибербезопасность имеет различные аспекты, среди которых невозможно выделить наиболее значимые или нет. Здесь все важно. Вы не можете отказаться от какой-либо части этих мер, иначе система не будет работать. [11]

Компьютерная безопасность мало чем отличается от безопасности в целом. В обычной жизни железную дверь с хорошим замком никто не вставит в деревянный сарай с дырой в стене. Точно так же автомобиль с хорошими шинами, но с неисправными тормозами не будет безопасным. Аналогичным образом, для обеспечения безопасности компьютера важно соблюдать меры защиты во всех точках контакта с агрессивной средой. Любой информационный ресурс, будь то компьютер пользователя или сервер организации, должен быть полностью защищен. Файловые системы, сеть и т.д. Должны быть защищены. Доступ к данным также должен быть безопасным, и людей, работающих с информацией, можно рассматривать как звено в цепочке механизма, обеспечивающего функциональность и безопасность всей системы.

Существует множество различных программ безопасности, таких как межсетевые экраны, системы обнаружения вторжений, антивирус и т.д., Каждое из которых выполняет определенные функции и направлено на решение определенных задач. Однако мы можем использовать лучшее программное обеспечение, в котором используются самые передовые технологии, криптографические алгоритмы, но при этом мы не можем быть на 100% уверены, что наша система неуязвима.

Потому что люди участвуют в реализации всех решений и их применении на практике, а люди склонны ошибаться. Человек, входящий в систему, был и остается наиболее уязвимой точкой системы безопасности. Человеческий фактор - причина успеха многих атак, и тому есть много примеров. Многие пользователи компьютеров не осознают реальной угрозы, которая подстерегает их при использовании «просачивающегося» программного обеспечения. Большинство из них воспринимают компьютер как «черный ящик», не понимают, как он работает, и даже не нуждаются в нем. Люди хотят использовать компьютеры в качестве бытовой техники (стиральные машины, пылесосы, холодильники), не вникая в сложности своей работы. Многие думают, что взломы, вирусы, хакеры — все это изобретения производителей одного и того же программного обеспечения безопасности. Но что уж говорить об обычном обывателе, если даже некоторые «эксперты» по безопасности считают, что вирусы предназначены для «глупых пользователей», а антивирусы - пустая трата денег. [14]

Неправильная оценка существующей угрозы — это только часть проблемы. Человеческий фактор играет важную роль в разработке и реализации мер безопасности. Многие «дыры» появляются еще на этапе проектирования технологий. Построить надежную систему безопасности в современном компьютерном мире очень и очень сложно. В системе много слабых мест; поиск новых дыр и их исправление — это непрерывный процесс. Для решения текущих проблем устаревшие технологии заменяются новыми, которые, в свою очередь, обнаруживают свои недостатки. Придумываются новые уловки, чтобы обойти, казалось бы, идеальную защиту. Две противоборствующие стороны - компьютерные преступники и специалисты по безопасности - постоянно борются. К сожалению для нас, следует отметить, что эта борьба идет с переменным успехом. В то же время поведение обычных пользователей может склонить чашу весов в ту или иную сторону. Человек с его непредсказуемым (или предсказуемым) поведением может противоречить огромным усилиям, затраченным на построение надежной системы безопасности.

2.4. Психология программирования

При создании высокоэффективных и надежных программ (программных комплексов), отвечающих самым современным требованиям по их разработке, эксплуатации и модернизации, необходимо не только умело использовать вычислительную и программную базу, предоставляемую современными компьютерами, но и учитывать интуицию. И опыт разработчиков языков программирования и прикладных систем. Кроме того, целесообразно дополнить процесс разработки программы экспериментальным исследованием, в основе которого лежит применение концепции психологии мышления при исследовании задач вычислительной и компьютерной математики.

Этот союз вычислений, информационных систем и программирования обычно называют психологией программирования. Психология программирования — это наука о человеческих действиях, связанная с вычислительными и информационными ресурсами автоматизированных систем, в которой знания о возможностях и способностях человека как разработчика этих систем могут быть углублены с использованием методов экспериментальной психологии, анализа мышления и процессы восприятия, методы социальной, индивидуальной и производственной психологии.

В задачи психологии программирования, а также улучшение использования компьютера на основе глубокого знания свойств человеческого мышления входит определение, как правило, склонностей и способностей человеческого разума. Личностные характеристики играют существенную роль в определении (исследовании) стиля работы отдельного программиста, а также особенностей его поведения в команде разработчиков программного обеспечения. Ниже приведен список личностных качеств и их предполагаемые связи с программированием. При этом особое внимание уделяется личным качествам программиста, которые в той или иной степени могут повлиять на надежность и безопасность разрабатываемого им программного обеспечения.

Внутренняя / внешняя управляемость. Люди с высоким уровнем внутренней управляемости стремятся подавить обстоятельства и верят в способность делать это, а также в способность влиять на свое окружение и контролировать события. Внешне управляемые люди (наиболее уязвимые с точки зрения безопасности программного обеспечения) чувствуют себя жертвами обстоятельств, не зависящих от них, и над ними легко доминируют другие. [12]

Высокая / низкая мотивация. Высокомотивированные люди могут разрабатывать очень сложные и относительно надежные программы. Менеджеры, которые могут повысить свою мотивацию, могут одновременно поощрять своих сотрудников создавать программы с высоким уровнем безопасности.

Умение быть точным. На заключительных этапах программирования следует уделять пристальное внимание деталям и готовность проверить и учесть каждую деталь. Это увеличит вероятность обнаружения дефектов программного обеспечения, как внесенных в программу самим разработчиком (когда злоумышленник может использовать их в своих целях), так и другими разработчиками (если некоторые из них могут быть преступниками) при создании сложных программных систем. Командой разработчиков.

Кроме того, психология программирования изучает с точки зрения особенностей безопасной разработки программного обеспечения такие качества личности, как трудолюбие, толерантность к неопределенности, эгоизм, степень страсти, склонность к риску, самооценку программиста и личные отношения в команде. Большинство профессиональных программистов проектируют, создают, отлаживают, тестируют, документируют, поддерживают и изменяют программы, написанные на языках высокого уровня или ассемблере. Системные программисты работают с операционными системами, компиляторами и утилитами, которые используются прикладными программистами для решения пользовательских проблем. Прикладные программы включают программы для автоматизации банковских операций, бухгалтерского учета, сбора налогов, бронирования билетов, кадрового учета, сбора данных, статистического анализа, отчетности, редактирования текста, публикации, систем оперативного учета и управления, поисковых систем и многие другие. Для любого профессионального программиста, вероятно, найдется десять случайных программистов, которые пишут программы для научных исследований, технических разработок, исследования рынка, коммерческих приложений и так далее. Также, стремительно растет число программистов-любителей, пишущих небольшие коммерческие программы для персональных или домашних компьютеров. И все они так или иначе рискуют стать жертвой киберпреступления. Поэтому, на ряду с другими важными аспектами в сфере стандартизации информационной безопасности, психология программирования занимает, несомненно, важную роль и делает нашу работу более легкой и практичной. [12]

2.5. Информационные войны

В настоящее время за рубежом в рамках создания новейших оборонных технологий и видов вооружения активно ведутся работы по созданию т.н. средств не летального воздействия. Эти меры позволяют, не нанося разрушительных ударов (например, с применением современного оружия массового поражения), рабочую силу и оборудование потенциального противника, выводить из строя и / или блокировать его оружие и военную технику, а также нарушать определенные стратегии управления и контроля.

Одним из новых видов не летального оружия является информационное оружие, то есть комплекс мер, уничтожающих информационные ресурсы противника. Прежде всего, информационное оружие может повлиять на компьютерные и телекоммуникационные системы противника. В этом случае основное влияние оказывают программное обеспечение, структуры данных, компьютерные технологии и обработка информации, а также каналы связи.

В современном мире существует необходимость защиты национальных ресурсов и секретности обмена информацией, поскольку эта информация может спровоцировать конфликты политического и экономического характера между государствами и в конечном итоге привести к коллапсу международных отношений. Многие системы государственного управления стали зависимыми от информации. Любой сбой в штатной работе компьютерных систем и телевизионных коммуникаций может нанести непоправимый ущерб энергетическому и финансовому секторам. Хранение конфиденциальной информации становится все сложнее из-за того, что объем генерируемой информации постоянно увеличивается. Никто не может гарантировать сохранность личных данных.

Промышленный шпионаж и различные виды разведывательных операций активно используют современные цифровые технологии для кражи запатентованной информации и сбора данных о конкурентах.

Источник угроз. Информационное противостояние между разными социальными группами и государствами поставило перед собой цель получить еще большее влияние на общество. Психологическую информационную войну начинают как политические партии, так и организации и даже террористы. Обе группы поставили перед собой цель представить знания и личную позицию человека, чтобы он мог действовать вопреки своим интересам в будущем. Организации, преследующие такую ​​цель, влияют на человеческий разум посредством различных манипуляций. Для обработки сознания используются небольшие объемы правдивой информации, которые при правильном размещении создают целую пирамиду в действительно неправильной структуре. Эта конструкция известна как стратегический миф. Такая структура дает возможность заменить целостное восприятие фрагментарным восприятием с неправильными и искаженными представлениями в процессе реализации. Есть шанс, что обман будет разоблачен, но на этом этапе такое поведение будет воспринято обществом как необходимое или принудительное.

С информационной войной можно и нужно бороться. И замалчивать подобные инциденты тоже, как я думаю, не совсем правильно. Например, американские специалисты рекомендуют организовать информационное противостояние: создать центр информационной войны рядом с президентом, чтобы сразу согласовывать действия с министерствами в случае угрозы, а также оценивать слабые места в инфраструктуре, настраивать уровень безопасности и прогнозировать возможные критические ситуации. [13]

ЗАКЛЮЧЕНИЕ

Количество и уровень деструктивности угроз безопасности программным системам компьютерных систем со стороны внешних и внутренних источников угроз постоянно увеличивается. Это связано с быстрым развитием компьютерной и телекоммуникационной техники, глобальных информационных систем, необходимостью разработки для них сложного программного обеспечения с использованием современных средств автоматизации процесса разработки программ. Кроме того, это связано со значительным, если не сильным, ростом в последнее время активности хакеров и хакерских группировок, атакующих компьютерные системы, хакерские преступные группировки, различные спецподразделения и службы, работающие в творческой сфере, средства воздействия на чрезвычайно уязвимые объекты. компьютеризация.

Данная работа устанавливает научную и практическую основу для обеспечения безопасности программного обеспечения компьютерных систем. Значительная часть материала посвящена выявлению и анализу угроз безопасности программного обеспечения, рассмотрению основ формирования моделей угроз и их словесного описания, методов и средств обеспечения технологической и операционной безопасности программ.

Необходимым компонентом проблемы обеспечения информационной безопасности программного обеспечения является национальная система стандартов и других нормативных и методических документов по информационной безопасности, а также международные стандарты и рекомендации по управлению качеством программного обеспечения, что позволяет представить уровень требуемого внедрения. защитных функций для создаваемых и управляемых программных комплексов.

На современном этапе развития общества проблема информационной безопасности остается актуальной и требует своего решения.

Информационная безопасность - ключевой элемент экономической безопасности. От неё во многом зависит уровень других видов безопасности, а именно: оборонная, социальная и политическая.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Ищейнов В. Я. Информационная безопасность и защита информации. Теория и практика. Учебное пособие / В.Я.Ишейнов М.: Директ-медиа, 2020г. – 272с.

2. Прохорова О. В. Информационная безопасность и защита информации. Учебник для вузов / О.В.Ишейнов – С.: Лань, 2021г. – 124с.

3. Петресенко С. А. Киберустойчивость цифровой экономики. Как обеспечить безопасность и непрерывность бизнеса / О.В.Прохорова – П.: Питер, 2021г. – 384с.

4. Сычев Ю. Н. Защита информации и информационная безопасность. / Ю.Н.Сычёв – ИНФРА–М, 2021г. – 201с.

5. Коноплева И. А. Информационные технологии. / И.А.Коноплева – М.: Проспект, 2021г. – 328с.

6. Мельников В. П., Куприянов А. И. Информационная безопасность. Учебник / В.П.КуприяновМ.: КноРус, 2021г. – 268с.

7. Гродзенский Я. С. Информационная безопасность. Учебное пособие / Я.С.ГродзенскийПроспект, 2021г. – 144с.

8. Брукшир Дж. Гленн., Бриллов Д. Компьютерные науки. Базовый курс / Дж.Гленн.Брукшир, Д.Бриллов Вильямс, 2019г. – 992с.

9. Николаев Н. С. Управление информационной безопасностью. (Бакалавриат). Учебник / Н.С.Николаев Ч.: Бакалавриат. КноРус, 2021г. 324с.

10. Шаньгин В. Ф. Информационная безопасность и защита информации. / В.Ф. Шаньгин М.: ДМК–Пресс, 2017г. – 702с.

11. Павлович В. П., Викторович С. П. Информационная безопасность человека и общества: учебное пособие / В.П.Павлович ЭНАС, 2017г. – 410с.

12. Бахаров Л. Е., Информационная безопасность и защита информации (разделы криптография и стенография) / Л.Е.Бахаров М.: МИСис, 2019г. – 61с.

13. Литвиненко В. И., Евгений Козлов. Основы информационной безопасности. / В.И.Литвиенко, Е.Козлов КноРус, 2020г. – 200с.

14. https://habr.com/ru/

15. https://codeby.net/