Значение информационной безопасности.

     • Разработка и сопровождение информационных систем;

     • Планирование бесперебойной работы организации;

     • Контроль выполнения требований политики безопасности.

     В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время  в правительственных и коммерческих организациях во многих странах мира.

     Десять  средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под  средствами контроля в данном контексте  понимаются механизмы управления информационной безопасностью организации.

     Ключевыми являются следующие средства контроля:

     • Документ о политике информационной безопасности;

     • Распределение обязанностей по обеспечению информационной безопасности;

     • Обучение и подготовка персонала к поддержанию режима информационной безопасности;

     • Уведомление о случаях нарушения защиты;

     • Средства защиты от вирусов;

     • Планирование бесперебойной работы организации;

     • Контроль над копированием программного обеспечения, защищенного законом об авторском праве;

     • Защита документации организации;

     • Защита данных;

     • Контроль соответствия политике безопасности.

     Процедура аудита безопасности АС включает в  себя проверку наличия перечисленных  ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.

     Стандарты безопасности США

     "Оранжевая  книга "

     "Department of Defense Trusted Computer System Evaluation Criteria"

     OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное

     название документа "Department of Defense Trusted Computer System Evaluation Criteria".

     OK предназначается для следующих  целей:

     • Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;

     • Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;

     • Обеспечить базу для исследования требований к выбору защищенных систем.

     Рассматривают два типа оценки:

     • без учета среды, в которой работает техника;

     • в конкретной среде (эта процедура называется аттестованием).

     Во  всех документах DOD, связанных с ОК, принято одно понимание фразы обеспечение безопасности информации. Это понимание принимается как аксиома и формулируется следующим образом: безопасность = контроль за доступом.

     Классы  систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.

     1. Класс (D): Минимальная защита

     2. Класс (C1): Защита, основанная на разграничении доступа (DAC)

     3. Класс (С2): Защита, основанная на управляемом контроле доступом

     4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ

     5. Класс (B2): Структурированная защита

     6. Класс (ВЗ): Домены безопасности

     7. Класс (A1): Верифицированный проект

     FIPS 140-2 "Требования безопасности  для криптографических модулей"

     В федеральном стандарте США FIPS 140-2 "Требования безопасности для криптографических  модулей" под криптографическим  модулем понимается набор аппаратных и/или программных (в том числе  встроенных) компонентов, реализующих  утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических  ключей, аутентификацию) и заключенных  в пределах явно определенного, непрерывного периметра.

     В стандарте FIPS 140-2 рассматриваются криптографические  модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной. То есть речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. Наличие подобного модуля — необходимое  условие обеспечения защищенности сколько-нибудь развитой информационной системы; однако, чтобы выполнять  предназначенную ему роль, сам  модуль также нуждается в защите, как собственными средствами, так  и средствами окружения (например, операционной системы).

     Стандарт  шифрования DES

     Также к стандартам информационной безопасности США относится алгоритм шифрования DES, который был разработан в 1970-х  годах, и который базируется на алгоритме DEA.

     Исходные  идеи алгоритма шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-х годах. Первоначально эта методика шифрования называлась lucifer (разработчик Хорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первым блочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовый ключ. По существу этот алгоритм являлся прототипом DEA. 

     2.2 Стеганография и ее применение в информационной безопасности

     Задача  надежной защиты информации от несанкционированного доступа является одной из древнейших и не решенных до настоящего времени  проблем. Способы и методы скрытия  секретных сообщений известны с  давних времен, причем, данная сфера  человеческой деятельности получила название стеганография. Это слово происходит от греческих слов steganos (секрет, тайна) и graphy (запись) и, таким образом, означает буквально “тайнопись”, хотя методы стеганографии появились, вероятно, раньше, чем появилась сама письменность (первоначально использовались условные знаки и обозначения).

     Компьютерные  технологии придали новый импульс  развитию и совершенствованию стеганографии, появилось новое направление  в области защиты информации —  компьютерная стеганография (КС).

     К. Шеннон дал нам общую теорию тайнописи, которая является базисом стеганографии  как науки. В современной компьютерной стеганографии существует два основных типа файлов: сообщение - файл, который  предназначен для скрытия, и контейнер - файл, который может быть использован  для скрытия в нем сообщения. При этом контейнеры бывают двух типов. Контейнер-оригинал (или “Пустой” контейнер) -это контейнер, который не содержит скрытой информации. Контейнер-результат (или “Заполненный” контейнер) - это контейнер, который содержит скрытую информацию. Под ключом понимается секретный элемент, который определяет порядок занесения сообщения в контейнер.

     Основными положениями современной компьютерной стеганографии являются следующие:

     1. Методы скрытия должны обеспечивать аутентичность и целостность файла.

     2. Предполагается, что противнику полностью известны возможные стеганографии-ческие методы.

     3. Безопасность методов основывается на сохранении стеганографическим преобразованием основных свойств открыто передаваемого файла при внесении в него секретного сообщения и некоторой неизвестной противнику информации - ключа.

     4. Даже если факт скрытия сообщения стал известен противнику через сообщника, извлечение самого секретного сообщения представляет сложную вычислительную задачу.

     В связи с возрастанием роли глобальных компьютерных сетей становится все  более важным значение стеганографии. Анализ информационных источников компьютерной сети Internet позволяет вделать вывод, что в настоящее время стеганографические системы активно используются для решения следующих основных задач:

     1. Защита конфиденциальной информации от несанкционированного доступа;

     2. Преодоление систем мониторинга и управления сетевыми ресурсами;

     3. Камуфлирования программного обеспечения;

     4. Защита авторского права на некоторые виды интеллектуальной собственности.

     В настоящее время методы компьютерной стеганографии развиваются по двум основным направлениям:

     1. Методы, основанные на использовании специальных свойств компьютерных форматов;

     2. Методы, основанные на избыточности аудио и визуальной информации.

     Анализ  тенденций развития КС показывает, что в ближайшие годы интерес  к развитию методов КС будет усиливаться  всё больше и больше. Предпосылки  к этому уже сформировались сегодня. В частности, общеизвестно, что актуальность проблемы информационной безопасности постоянно растет и стимулирует  поиск новых методов защиты информации (ЗИ).

     Компьютерная  стеганография - компьютерная защита информации. 

     2.3 Классы информационной безопасности

     Сама  оценка безопасности основывается, как  уже упоминалось, на иерарархической классификации. В оригинальном тексте каждый класс каждого уровня описывается с нуля, т.е. наследуемые требования с более низких классов каждый раз повторяются. Для сокращения далее приведены лишь различия, появляющиеся по возрастанию уровня «доверяемости». Всего введены четыре уровня доверия - D, C, B и A, которые подразделяются на классы. Классов безопасности всего шесть - C1, C2, B1, B2, B3, A1 (перечислены в порядке ужесточения требований).

     Уровень D.

     Данный  уровень предназначен для систем, признанных неудовлетворительными - «заваливших  экзамен».

     Уровень C.

     Иначе - произвольное управление доступом.

     Класс C1

     Политика  безопасности и уровень гарантированности  для данного класса должны удовлетворять  следующим важнейшим требованиям:

     1. доверенная вычислительная база  должна управлять доступом именованных  пользователей к именованным  объектам;

     2. пользователи должны идентифицировать  себя, причем аутентификационная информация должна быть защищена от несанкционированного доступа;

     3. доверенная вычислительная база  должна поддерживать область  для собственного выполнения, защищенную  от внешних воздействий;

     4. должны быть в наличии аппаратные  или программные средства, позволяющие  периодически проверять корректность  функционирования аппаратных и  микропрограммных компонентов доверенной  вычислительной базы;

     5. защитные механизмы должны быть  протестированы (нет способов обойти  или разрушить средства защиты  доверенной вычислительной базы);

     6. должны быть описаны подход  к безопасности и его применение  при реализации доверенной вычислительной  базы.

     Примеры продуктов: некоторые старые версии UNIX , IBM RACF.

     Класс C2

     (в  дополнение к C1):

     1. права доступа должны гранулироваться  с точностью до пользователя. Все объекты должны подвергаться  контролю доступа.

     2. при выделении хранимого объекта  из пула ресурсов доверенной  вычислительной базы необходимо  ликвидировать все следы его  использования.

     3. каждый пользователь системы  должен уникальным образом идентифицироваться. Каждое регистрируемое действие  должно ассоциироваться с конкретным  пользователем.

     4. доверенная вычислительная база  должна создавать, поддерживать  и защищать журнал регистрационной  информации, относящейся к доступу  к объектам, контролируемым базой.