В качестве критериев оценки обеспечения защиты информации могут выступать:Корпоративные стандарты (собственная разработка);Замечания аудиторов;Стандарты лучшей мировой практики (например, BS7799/ISO17799);Число инцидентов в области безопасности;Финансовые потери в результате инцидентов;Расходы на ИБ;Эффективность в достижении поставленных целей.
52. Методы и средста защиты инф КИС: криптограф, электр подпись и компьютерная стенография
Для обеспечения ИБ использ. след. методы:законодательный (комплекс мер, направл. на создание и поддержание в общ-ве негативного отношения к нарушениям и нарушителям ИБ), админ-организ методы (администрация организации должна сознавать необходимость поддержания режима безопасности и выделять на эти цели соотв. ресурсы) программно-технич. методы и средства (защищ. виртуальные частные сети для защиты инф, передаваемой по открытым каналам связи; межсетевые экраны для защииты корпор. сети от внешних угроз при подключении к общедоступным сетям связи; управление доступом на уровне пользователей и защита от несанкцион. доступа; гарантионная идентификпция пользователей путем применения токенов и других средств аутентификации; защита инф. на файловом уровне для обеспеч. ее надежного хранения; защита от вируов; обнаружение вторжений и активного исследования защищенности инф ресурсов; криптографичекое преобразование данных для обеспечения целостности, подлинности и конфиденциальности инф-и)
Криптограф. алгоритм или шифр – математич. формула, опис. процессы зашифровыаания и расшифровывания. Для того, чтобы зашифровать открытый текст, крпитоалгоритм работает в сочетании с ключом – словом, числом, фразой. Использование криптосистем с открытым ключом предоставляет возможность создания электронных цифровых подписей (ЭЦП) – это реквизит электр. документа, предназнач. для удостоверения источника данных и защиты эл документа от подделки.
|
|
53. Аппаратно-программное (ПТе) обеспечение защиты ИБ
ПТя подсистема защиты объектов включает: физические ср-ва(Фс), аппаратные(Ас), программные(Пс), аппаратно-программные(А-П), криптографические методы(Км) защиты инф-и.
1.физические, которые могут быть представлены в виде автономных устройств (замки, решетки и т.д.);
2.аппаратные, которые реализуются в виде электрических, электромеханических и электронных устройств (наиболее известные аппаратные средства – это схемы контроля информации по четности, схемы защиты полей памяти по ключу и т.д.);3.программные средства – это программное обеспечение, которое предназначено для выполнения функции защиты информации;
ПСЗ предназначены для выполнения логических и интеллект-х функций З-ты. ПСЗ инф-и являются наиб. распростр-м видом З-ы, чему способствуют такие их +е св-ва, как универс-ть, гибкость, простота реализации, возм-ти изменения и развития. С помощью ПСЗ реш-ся след-е задачи инф-й без-ти: 1.контроль входа в систему с помощью перс-х идентификаторов (имя, код, пароль и т. п.); 2.защита файлов от вирусов;
А-ПСЗ связаны с совместным использ-м П и А СЗ. Эти СЗ широко использ-ся при реализации биометрических методов аутентификации (Ау) польз-й автоматиз-х инф-х систем. КМЗ предст. соб. М-ды З. криптографического преобразования (преобр-е данных шифрованием). Основные сервисы подсистемы безопасности: 1) Идентификация пользователя, 2) аутентификация, 3) управление доступом, 4) конфиденциальность данных, 5) контроль целостности данных, 6) доказательства принадлежности, 7) физическая защита инфраструктуры.
|
|
Поскольку современные корпоративные информационные системы базируются на использовании сетей, то актуальным является применение различных сетевых протоколов защиты: SSL, SET, IPSec, SWAN, SMIME.
SSL – криптографический протокол, обеспечивающий защищенность и целостность передачи данных по сети Интернет. Протокол SET– протокол защищенных электронных транзакций) предназначен для защиты электронных платежей в Интернет, производимых с помощью платежных карточек. IPSec– набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. Протокол SWAN – поддерживает шифрование на уровне IP, что обеспечивает низкоуровневую и более надежную защиту, чем высокоуровневые протоколы типа SSL. SMIME– это протокол, который обеспечивает шифрование сообщений электронной почты. Наиболее уязвимый уровень с точки зрения защиты - это сетевой уровень. На нем формируется вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Протоколами сетевого уровня обрабатываются пакеты на всех маршрутизаторах, шлюзах и других промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и т.д.). Защита от всех подобных угроз осуществляется с помощью средств криптозащиты.
|
|
63 Процессы ЖЦ
В жизненном цикле определены следующие группы процессов: 1) основные процессы жизненного цикла. В состав основных процессов жизненного цикла входят процессы, которые реализуются под управлением организации (заказчика, поставщика, разработчика и персонала сопровождения информационных систем), вовлеченных в жизненный цикл информационных систем. Это: процесс заказа, процесс поставки, процесс разработки, процесс эксплуатации, процесс сопровождения; 2) вспомогательные процессы жизненного цикла. Это: Документирование, Управление конфигурацией, Обеспечение качества, Верификация, аттестация, Совместный анализ, Аудит, Решение проблем; 3) организационные процессы жизненного цикла. Это: Управление, Создание инфраструктуры, Усовершенствование, Обучение.
57. Основные этапы пректирования КИС
Процесс разработки информационной системы, как правило, рассматривают с двух точек зрения: • по содержанию действий разработчиков (групп разработчиков) — рассматривается статический аспект процесса разработки, описываемый в терминах основных потоков работ (исполнители, действия, последовательность действий и т.д.); • по времени или по стадиям жизненного цикла разрабатываемой системы — рассматривается динамическая организация процесса разработки, описываемая в терминах циклов, стадий, итераций и этапов.
Начало – устанавливается область применения и граничные условия функционир-я системы, идентифицир-ся все внешние объекты, с кот. должна взаимод-ть система, идентифицир. функцион. возможности системы, уточнение технического предложения в ходе переговоров с заказчиком о заключении договора:• разработка и утверждение технического задания;• разработка планов работ;• составление бюджета проекта; • подписание договора с заказчиком. Проетирование – определить, сохдать и испытать базовую версию архитектуры разрабат. системы., определения подсистем КИС, их взаимосвязи, выбора наиболее эффективных способов выполнения проекта и использования ресурсов: • выполнение концептуального проектирования;• разработка технических спецификаций;• представление проектной разработки, экспертиза и утверждение.
РАЗРАБОТКА – наиболее трудоемкая стадия, т.к. к этому времени определены риски, связ. с разработкой системы, задана архитектура и определено больш-во требований. производится координация и оперативный контроль работ по проекту, осуществляется создание подсистем и их тестирование:• разработку программного обеспечения;• подготовку к внедрению системы;• контроль и регулирование основных показателей проекта. После завершения каждой итерации формируется более стабильная версия, в которой реализовано больше фунц. возможностей. Внедрение – включает исправление дефектов и заключительные процессы проводятся испытания, идет опытная эксплуатация системы в реальных условиях, ведутся переговоры о результатах выполнения проекта и о возможных новых контрактах: • опытная эксплуатация;• подготовка кадров для эксплуатации создаваемой системы;• подготовка рабочей документации;• сдача системы заказчику;• сопровождение, поддержка, сервисное обслуживание;• накопление опытных данных для последующих проектов.