В качестве критериев оценки обеспечения защиты информации могут выступать:Корпоративные стандарты (собственная разработка);Замечания аудиторов;Стандарты лучшей мировой практики (например, BS7799/ISO17799);Число инцидентов в области безопасности;Финансовые потери в результате инцидентов;Расходы на ИБ;Эффективность в достижении поставленных целей.
52. Методы и средста защиты инф КИС: криптограф, электр подпись и компьютерная стенография
Для обеспечения ИБ использ. след. методы:законодательный (комплекс мер, направл. на создание и поддержание в общ-ве негативного отношения к нарушениям и нарушителям ИБ), админ-организ методы (администрация организации должна сознавать необходимость поддержания режима безопасности и выделять на эти цели соотв. ресурсы) программно-технич. методы и средства (защищ. виртуальные частные сети для защиты инф, передаваемой по открытым каналам связи; межсетевые экраны для защииты корпор. сети от внешних угроз при подключении к общедоступным сетям связи; управление доступом на уровне пользователей и защита от несанкцион. доступа; гарантионная идентификпция пользователей путем применения токенов и других средств аутентификации; защита инф. на файловом уровне для обеспеч. ее надежного хранения; защита от вируов; обнаружение вторжений и активного исследования защищенности инф ресурсов; криптографичекое преобразование данных для обеспечения целостности, подлинности и конфиденциальности инф-и)
Криптограф. алгоритм или шифр – математич. формула, опис. процессы зашифровыаания и расшифровывания. Для того, чтобы зашифровать открытый текст, крпитоалгоритм работает в сочетании с ключом – словом, числом, фразой. Использование криптосистем с открытым ключом предоставляет возможность создания электронных цифровых подписей (ЭЦП) – это реквизит электр. документа, предназнач. для удостоверения источника данных и защиты эл документа от подделки.
53. Аппаратно-программное (ПТе) обеспечение защиты ИБ
ПТя подсистема защиты объектов включает: физические ср-ва(Фс), аппаратные(Ас), программные(Пс), аппаратно-программные(А-П), криптографические методы(Км) защиты инф-и.
1.физические, которые могут быть представлены в виде автономных устройств (замки, решетки и т.д.);
2.аппаратные, которые реализуются в виде электрических, электромеханических и электронных устройств (наиболее известные аппаратные средства – это схемы контроля информации по четности, схемы защиты полей памяти по ключу и т.д.);3.программные средства – это программное обеспечение, которое предназначено для выполнения функции защиты информации;
ПСЗ предназначены для выполнения логических и интеллект-х функций З-ты. ПСЗ инф-и являются наиб. распростр-м видом З-ы, чему способствуют такие их +е св-ва, как универс-ть, гибкость, простота реализации, возм-ти изменения и развития. С помощью ПСЗ реш-ся след-е задачи инф-й без-ти: 1.контроль входа в систему с помощью перс-х идентификаторов (имя, код, пароль и т. п.); 2.защита файлов от вирусов;
А-ПСЗ связаны с совместным использ-м П и А СЗ. Эти СЗ широко использ-ся при реализации биометрических методов аутентификации (Ау) польз-й автоматиз-х инф-х систем. КМЗ предст. соб. М-ды З. криптографического преобразования (преобр-е данных шифрованием). Основные сервисы подсистемы безопасности: 1) Идентификация пользователя, 2) аутентификация, 3) управление доступом, 4) конфиденциальность данных, 5) контроль целостности данных, 6) доказательства принадлежности, 7) физическая защита инфраструктуры.
Поскольку современные корпоративные информационные системы базируются на использовании сетей, то актуальным является применение различных сетевых протоколов защиты: SSL, SET, IPSec, SWAN, SMIME.
SSL – криптографический протокол, обеспечивающий защищенность и целостность передачи данных по сети Интернет. Протокол SET– протокол защищенных электронных транзакций) предназначен для защиты электронных платежей в Интернет, производимых с помощью платежных карточек. IPSec– набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. Протокол SWAN – поддерживает шифрование на уровне IP, что обеспечивает низкоуровневую и более надежную защиту, чем высокоуровневые протоколы типа SSL. SMIME– это протокол, который обеспечивает шифрование сообщений электронной почты. Наиболее уязвимый уровень с точки зрения защиты - это сетевой уровень. На нем формируется вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Протоколами сетевого уровня обрабатываются пакеты на всех маршрутизаторах, шлюзах и других промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и т.д.). Защита от всех подобных угроз осуществляется с помощью средств криптозащиты.
63 Процессы ЖЦ
В жизненном цикле определены следующие группы процессов: 1) основные процессы жизненного цикла. В состав основных процессов жизненного цикла входят процессы, которые реализуются под управлением организации (заказчика, поставщика, разработчика и персонала сопровождения информационных систем), вовлеченных в жизненный цикл информационных систем. Это: процесс заказа, процесс поставки, процесс разработки, процесс эксплуатации, процесс сопровождения; 2) вспомогательные процессы жизненного цикла. Это: Документирование, Управление конфигурацией, Обеспечение качества, Верификация, аттестация, Совместный анализ, Аудит, Решение проблем; 3) организационные процессы жизненного цикла. Это: Управление, Создание инфраструктуры, Усовершенствование, Обучение.
57. Основные этапы пректирования КИС
Процесс разработки информационной системы, как правило, рассматривают с двух точек зрения: • по содержанию действий разработчиков (групп разработчиков) — рассматривается статический аспект процесса разработки, описываемый в терминах основных потоков работ (исполнители, действия, последовательность действий и т.д.); • по времени или по стадиям жизненного цикла разрабатываемой системы — рассматривается динамическая организация процесса разработки, описываемая в терминах циклов, стадий, итераций и этапов.
Начало – устанавливается область применения и граничные условия функционир-я системы, идентифицир-ся все внешние объекты, с кот. должна взаимод-ть система, идентифицир. функцион. возможности системы, уточнение технического предложения в ходе переговоров с заказчиком о заключении договора:• разработка и утверждение технического задания;• разработка планов работ;• составление бюджета проекта; • подписание договора с заказчиком. Проетирование – определить, сохдать и испытать базовую версию архитектуры разрабат. системы., определения подсистем КИС, их взаимосвязи, выбора наиболее эффективных способов выполнения проекта и использования ресурсов: • выполнение концептуального проектирования;• разработка технических спецификаций;• представление проектной разработки, экспертиза и утверждение.
РАЗРАБОТКА – наиболее трудоемкая стадия, т.к. к этому времени определены риски, связ. с разработкой системы, задана архитектура и определено больш-во требований. производится координация и оперативный контроль работ по проекту, осуществляется создание подсистем и их тестирование:• разработку программного обеспечения;• подготовку к внедрению системы;• контроль и регулирование основных показателей проекта. После завершения каждой итерации формируется более стабильная версия, в которой реализовано больше фунц. возможностей. Внедрение – включает исправление дефектов и заключительные процессы проводятся испытания, идет опытная эксплуатация системы в реальных условиях, ведутся переговоры о результатах выполнения проекта и о возможных новых контрактах: • опытная эксплуатация;• подготовка кадров для эксплуатации создаваемой системы;• подготовка рабочей документации;• сдача системы заказчику;• сопровождение, поддержка, сервисное обслуживание;• накопление опытных данных для последующих проектов.