Стандарты информационной безопасности
       

Стандарты информационной безопасности

Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько причин.
Формальная состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и/или Руководящим документам Гостехкомиссии России) закреплена законодательно. Однако наиболее убедительны содержательные причины. Во-первых, стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами. Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в Internet-сообществе это средство действительно работает, и весьма эффективно.

Роль стандартов и спецификаций
С практической точки зрения, количество стандартов и спецификаций (международных, национальных, отраслевых и т.п.) в области информационной безопасности бесконечно. В курсе рассматриваются наиболее важные из них, знание которых необходимо всем или почти всем разработчикам и оценщикам защитных средств, многим сетевым и системным администраторам, руководителям соответствующих подразделений, пользователям.

История создания и текущий статус "Общих критериев"
В 1990 году Рабочая группа 3 Подкомитета 27 Первого совместного технического комитета (JTC1/SC27/WG3) Международной организации по стандартизации (ISO) приступила к разработке "Критериев оценки безопасности информационных технологий" (Evaluation Criteria for IT Security, ECITS). Несколько позже, в 1993 году, правительственные организации шести североамериканских и европейских стран - Канады, США, Великобритании, Германии, Нидерландов и Франции - занялись составлением так называемых "Общих критериев оценки безопасности информационных технологий" (Common Criteria for IT Security Evaluation).

Классификация функциональных требований безопасности
Аналогия между библиотекой функциональных требований безопасности и библиотекой программных модулей является в данном случае довольно полной. Функциональные компоненты могут быть не до конца конкретизированы, поэтому фактические параметры подставляются не в самих "Общих критериях", а в определенных профилях защиты, заданиях по безопасности и функциональных пакетах. (Правда, в ГОСТ Р ИСО/МЭК 15408-2002 параметризация не очень удачно названа "назначением".) В качестве параметров могут выступать весьма сложные сущности, такие, например, как политика безопасности (ПБ).

Основные понятия и классификация требований доверия безопасности


Требования доверия безопасности охватывают весь жизненный цикл изделий ИТ и предполагают выполнение следующих действий: оцениваются задания по безопасности (ЗБ) и профили защиты (ПЗ), ставшие источниками требований безопасности;анализируются различные представления проекта объекта оценки и соответствие между ними, а также соответствие каждого из них требованиям безопасности;проверяются процессы и процедуры безопасности, их применение;анализируется документация;верифицируются представленные доказательства;анализируются тесты и их результаты;анализируются уязвимости объекта оценки;проводится независимое тестирование, в том числе тестовые "взломы" (называемые далее тестированием проникновения).

Общие предположения безопасности
Мы приступаем к анализу профилей защиты и их проектов, построенных на основе "Общих критериев" и описывающих сервисы безопасности, их комбинации и приложения. В первой части выделяются общие требования, которые могут войти в состав применимого ко всем сервисам функционального пакета, упрощающего разработку и понимание профилей для конкретных сервисов. Анализ профилей защиты позволяет оценить сильные и слабые стороны "Общих критериев", наметить возможные направления новых исследований.

Биометрическая идентификация и аутентификация
Системы биометрической идентификации и аутентификации, общие сведения о которых можно найти в курсе "Основы информационной безопасности", весьма актуальны и интересны с точки зрения оценки их безопасности. В данном разделе рассматривается профиль защиты [30], разработанный специалистами Министерства обороны США для оценки коммерческих продуктов, применяемых в среде со средними требованиями к безопасности. Наиболее интересная (и самая большая по объему) часть в этом профиле - описание угроз, которым подвержены системы биометрической идентификации и аутентификации, что наводит на определенные размышления.

Операционные системы
Операционные системы (ОС) - классический объект оценки по требованиям безопасности еще со времен "Оранжевой книги". Более того, до сих пор остается весьма распространенным мнение о том, что это важнейшее, едва ли не единственное защитное средство. С современных позиций ОС можно рассматривать как комбинацию сервисов идентификации и аутентификации, управления доступом и протоколирования/аудита. Кроме того, операционные системы обеспечивают базовые, инфраструктурные свойства безопасности, в том числе разделение доменов и посредничество при обращениях.

Основные понятия и идеи рекомендаций семейства X.500
екомендации семейства X.500 описывают службу директорий. Среди возможностей, предоставляемых этой службой, обычно выделяют дружественное именование (обращение к объектам по именам, удобным с точки зрения человека) и отображение имен в адреса (динамическое связывание объекта и его расположения - необходимое условие поддержки "самоконфигурируемости" сетевых систем).

Архитектура средств безопасности IP-уровня
Стандартизованными механизмами IP-безопасности могут (и должны)пользоваться протоколы более высоких уровней и, в частности, управляющие протоколы, протоколы конфигурирования и маршрутизации. Средства безопасности для IP описываются семейством спецификаций IPsec, разработанных рабочей группой IP Security. Протоколы IPsec обеспечивают управление доступом , целостность вне соединения, аутентификацию источника данных, защиту от воспроизведения, конфиденциальность и частичную защиту от анализа трафика.

Основные идеи и понятия протокола TLS
TLS имеет двухуровневую организацию. На первом (нижнем) уровне, опирающемся на надежный транспортный сервис, каковой предоставляет, например, TCP, располагается протокол передачи записей (TLS Record Protocol), на втором (верхнем) - протокол установления соединений (TLS Handshake Protocol). Строго говоря, протокол безопасности транспортного уровня располагается между транспортным и прикладным уровнями. Его можно отнести к сеансовому уровню эталонной модели ISO/OSI.

Функции для работы с удостоверениями
Обобщенный прикладной программный интерфейс службы безопасности (Generic Security Service Application Program Interface - GSS-API, см. [67], [85]) предназначен для защиты коммуникаций между компонентами программных систем, построенных в архитектуре клиент/сервер. Он предоставляет услуги по взаимной аутентификации осуществляющих контакт партнеров и по контролю целостности и обеспечению конфиденциальности пересылаемых сообщений.

Проблемы, с которыми может столкнуться организация
Данное Руководство призвано помочь организациям, имеющим выход в Internet, сформировать политику безопасности и разработать соответствующие процедуры. В нем перечисляются вопросы и факторы, которые следует предварительно проанализировать, даются некоторые рекомендации, обсуждается ряд смежных тем. Руководство содержит лишь основные элементы, необходимые для выработки политики и процедур безопасности. Чтобы получить эффективный набор защитных средств, ответственным лицам придется принять немало решений, заключить многочисленные соглашения, и лишь после этого довести политику безопасности до сотрудников и приступить к ее реализации.

Взаимодействие между группой реагирования, опекаемым сообществом и другими группами
Цель интересующей нас спецификации - сформулировать ожидания Internet-сообщества по отношению к группам реагирования на нарушения информационной безопасности (Computer Security Incident Response Teams, CSIRTs). Потребители имеют законное право (и необходимость) досконально понимать правила и процедуры работы "своей" группы реагирования.

Роль поставщика Internet-услуг в реагировании на нарушения безопасности
"Дополнение к Руководству" призвано помочь в выработке политики и процедур безопасности в организациях, информационные системы которых подключены к Internet, а также служить для потребителей контрольным перечнем при обсуждении вопросов информационной безопасности с поставщиками Internet-услуг. В данном документе выделено три типа потребителей: потребители коммуникационных услуг; потребители услуг по размещению ресурсов; потребители, разместившиеся там же, где и поставщики услуг.

Обзор стандарта BS 7799
Первая часть стандарта, по-русски именуемая "Управление информационной безопасностью". Практические правила", содержит систематический, весьма полный, универсальный перечень регуляторов безопасности, полезный для организации практически любого размера, структуры и сферы деятельности. Она предназначена для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание внутренней системы информационной безопасности.

Основные понятия и идеи стандарта FIPS 140-2
В стандарте FIPS 140-2 рассматриваются криптографические модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной, т. е. речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. Наличие подобного модуля - необходимое условие обеспечения защищенности сколько-нибудь развитой информационной системы, однако, чтобы выполнять предназначенную ему роль, сам модуль также нуждается в защите, как собственными средствами, так и средствами окружения (например, операционной системы).

Общие критерии и профили защиты на их основе
Знание стандартов и спецификаций важно для специалистов в области информационной безопасности по целому ряду причин, главная из которых состоит в том, что стандарты и спецификации - одна из форм накопления знаний, в первую очередь о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

Шпионские штучки

Люди прятались сами и прятали свое имущество задолго до начала письменной истории человечества, однако написано на эту тему очень мало. Большую часть литературы об укрытиях и тайниках принес с собой культурный взрыв двадцатого века, но книг на эту тему появилось совсем немного и в основном за рубежом. А прежде их и вовсе не было.
Почему? Отчасти потому, что в прошлом большинство людей было неграмотно. Другая же причина — секретность. Многие способы укрывания и потайные места хранились в глубокой, непроницаемой тайне, по крайней мере, так думали те, кто их изобретал
Исторические события воплощаются в сказки, легенды и мифы. Кто из нас не помнит потайную дверцу в каморке папы Карло, которая была замаскирована куском старого холста.
В Британии существует множество легенд о потайных ходах и тайниках. Хотя многие из них, как показали исследования, не имеют реальной основы, до наших дней все-таки дошли и настоящие тайники. Их история восходит к эпохе преследований католиков в Британии. Дело в том, что в случае поимки католическим священникам грозила смертная казнь. Это были «веселые» елизаветинские времена, когда в лондонском Тауэре стояла дыба, на которой жертвы мучились иногда но нескольку дней, прежде чем умереть

Немного о психологии
Способы получения информации

Теоретические основы энерго- и ресурсосбережения в химических технологиях

Сборник задач по теоретическим основам энерго- и ресурсосбережения в химических технологиях

Продолжение