Структурные методы системного анализа
(SSADM - Structured Systems Analysis and Design) обеспечивают:
· построение модели ИС с точки зрения ИБ;
· методы для оценки ценности ресурсов;
· инструментарий для составления списка угроз и оценка их вероятностей
· контрмеры и их эффективность
· анализ вариантов построения защиты
Вопрос №3 Правовое обеспечение ИБ
Правовое обеспечение ИБ регулируется стандартами ИБ.
CSEC – этот стандарт был принят в 1988 Национальным институтом стандартов и технологий США. Он определяет перечень показателей ИБ, к которым относится политика безопасности, маркировка, идентификация, учет объектов системы и уверенность в безопасности системы.
ITSEC – появился в 90-е годы.
В Республике Беларусь используются международные и отечественные стандарты ИБ серии ISO, МЭК, ГОСТ. Они находятся в информационно-поисковой системе БелГИСС. Например, «Стандарт защиты информации. Основные термины и определения», «Стандарт средств вычислительной техники. Защита от несанкционированного доступа к информации».
Соответствие стандартам ИБ подтверждается сертификатом (электронным и документированным).
Электронный сертификат получают через Интернет от уполномоченной организации сертификации ИБ.
Сертификат открытого ключа (цифровой сертификат) – это электронный или бумажный документ, содержащий открытый (публичный) ключ, а так же информацию о владельце ключа позволяющую его однозначно идентифицировать.
Документированные сертификаты выдаются при разработке проектов ИБ.
Каждая система сертификации имеет свой набор нормативов – законодательные акты, международные и национальные стандарты, межведомственные и внутриведомственные распоряжения.
Сертификат CISM(Certified Information Security Manager) присваивается ассоциацией Information Systems Audit and Control Association (ISACA, isaca.org), известной как ведущая профессиональная организация специалистов по управлению информационными системами по их контролю, аудиту и безопасности. Эта ассоциация, основанная в 1967 году, имеет в своем составе десятки национальных отделений (в том числе в России) и занимается исследованиями, стандартами в предметной области (в частности, ей принадлежит известный стандарт CObIT), профессиональной сертификацией специалистов. Основной сертификацией для членов ISACA является сертификация CISA (Certified Information Systems Auditor), насчитывающая более 35 тыс. специалистов, а сертификация CISM впервые проводилась в прошлом году, но на данный момент по CISM сертифицировано уже около 5 тыс. специалистов (правда, около половины из них получили ее в наследство от CISA).
Все множество стандартов ИБ разделяется на 3 группы:
1. ориентированных на конкретные методы и алгоритмы защиты. Здесь создаются методологические стандарты защиты информации и криптографии;
2. рассматривающие услуги и механизмы взаимосвязи открытых систем – здесь разрабатываются стандарты и протоколы защиты на разных уровнях взаимосвязи открытых систем;
3. защиты функционирования банковских систем – ориентировано на шифрование и аутентификацию при обмене финансовой информацией в процессе деятельности банков.
Основным документом, излагающим методику проведения сертификации, является «оранжевая книга», которая определяет 4 уровня безопасности:
Уровень А – гарантированная система, используется в военных системах;
Уровень B – полное управление доступом, используется в государственных структурах;
Уровень C – избирательное управление доступом в коммерческой структуре;
Уровень D – минимальная безопасность.
На основании «оранжевой книга» разрабатывается серия «радужных книг», которые регламентируют различные виды сертификации ИБ. Например, «зеленая книга» - стандарт информационной безопасности Германии, «белая» (ITSEC) – европейский, «красная» - сертификация ИБ на уровне СУБД.
Основным документом, излагающим методику проведения сертификации, является «оранжевая книга», которая определяет 4 уровня безопасности:
Уровень А – гарантированная система, используется в военных системах;
Уровень B – полное управление доступом, используется в государственных структурах;
Уровень C – избирательное управление доступом в коммерческой структуре;
Уровень D – минимальная безопасность.
На основании «оранжевой книга» разрабатывается серия «радужных книг», которые регламентируют различные виды сертификации ИБ. Например, «зеленая книга» - стандарт информационной безопасности Германии, «белая» (ITSEC) – европейский, «красная» - сертификация ИБ на уровне СУБД.
ТИПЫ КЛЮЧЕЙ:
– основные (рассчитаны на длительный период использования)
– временные или сеансовые (рассчитаны для защиты одного виртуального соединения или туннеля)
ТИПЫ КРИПТОСИСТЕМ:
– симметричные (высокая скорость работы, сложность распределения ключей)
– асимметричные (распределение открытого ключа, необходимость обеспечить подлинность и целостность)
– Ключи шифрования делятся на:
– — симметричные - используется один и тот ключ для шифрования м расшифрования;
– — ассиметричный – разные ключи.
– Симметричные ключи:
– DES – самый популярный, в США, длина 64 бита, используется в 16 проходах. Может использоваться как тройной DES для трех ключей (192 бита) или каскадный;
– IDEA – 128 бит, 26 проходов, используется для шифрования информации в швейцарских банках;
– CAST – 256 бит, 8 проходов, самый надежный, алгоритм не вскрыт;
– SkipJack – 80 бит, используется в военных проектах США;
– RC2-RC5 – ключи переменной длины, используется для шифрования информации, передаваемой по каналам связи, 0-2048 бит.
– Асимметричные ключи – реализуют математическую функцию:
– RSA- реализует алгоритм преобразования больших чисел;
– ECC – описывает эллиптические кривые в системе координат.
– Кроме ключей используются различные протоколы обмена информацией. Самый популярный – SSL. Он используется для шифрования информации в Интернет и наслаивается на протоколы http и ftp, позволяя использовать различные методы шифрования.
– SHTTP – аналогичен SSL и является расширением языка html.
– X509X3 – аутентификация серверов, служит основанием для кодирования информации с помощью ключей шифрования.