Методические указания по отработке учебных вопросов

Факультет прикладной информатики

Кафедра прикладной информатики в управлении

 

«Информационная безопасность»

Лабораторная работа № 1

ПОЛЬЗОВАНИЕ СТАНДАРТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

 

Москва

 

Лабораторная работа № 1

ПОЛЬЗОВАНИЕ СТАНДАРТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Продолжительность лабораторной работы – 2 часа.

Литература: электронный лабораторный практикум; конспект лекций.

 

Целью лабораторной работы является получение навыков по пользованию стандартами информационной безопасностиРоссийской Федерации.

В результате выполнения лабораторной работы должны быть приобретены знания:

- принципов построения и структурной организации стандартов информационной безопасности Российской Федерации.

- о значении, структуре и роли стандартов информационной безопасности;

- критериев и требований стандартов безопасности.

В процессе выполнения лабораторной работы необходимо овладеть навыками:

пользования критериями и обеспечения требований стандартов информационной безопасности.

Используемое оборудование и программное обеспечение - ПЭВМ IBM PC, операционная система WINDOWS –XP, электронный сборник руководящих документов по защите информации от несанкционированного доступа.

 

Учебные вопросы:

1. Роль стандартов информационной безопасности. Основные положения руководящих документов Гостехкомиссии России

2. Показатели защищенности СВТ от НСД

3. Требования к защищенности автоматизированных систем

4. Классы защищенности автоматизированных систем

Методические указания по отработке учебных вопросов

 

1. Роль стандартов информационной безопасности.

 

С использованием /1, 2 / изучите необходимость использования стандартов информационной безопасности для решения организационных вопросов защиты программ и данных.

Любой проект может получить успешное завершение только в том случае, если его участники хорошо представляют, что они хотят получить в результате. Только четкое понимание цели позволит выбрать оптималь­ный путь ее достижения. Следовательно, прежде чем приступить к созда­нию защищенной системы обработки информации, надо сперва получить четкий и недвусмысленный ответ на вопрос: что представляет собой за­щищенная система?

Безопасность является качественной характе­ристикой системы, ее нельзя измерить в каких-либо единицах, более того, нельзя даже с однозначным результатом сравнивать безопасность двух систем — одна будет обладать лучшей защитой в одном случае, другая — в другом. Кроме того, у каждой группы специалистов, занимающихся проблемами безопасности информационных технологий, имеется свой взгляд на безопасность и средства ее достижения, а, следовательно, и свое представление о том, что должна представлять собой защищенная система. Необходимо определить, что является целью исследований, что мы хо­тим получить в результате и чего в состоянии достичь?

Для ответа на эти вопросы и согласования всех точек зрения на проблему создания защищенных систем разработаны и продолжают раз­рабатываться стандарты информационной безопасности. Это документы, регламентирующие основные понятия и концепции информационной безопасности на государственном или межгосударственном уровне, опре­деляющие понятие "защищенная система" посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности ВС.

В соответствии с этими документами ответ на поставленный вопрос в общем виде звучит так: защищенная система обработки информации — это система отвечающая тому или иному стандарту информационной безопасности. Конечно, это условная характеристика, она зависит от кри­териев, по которым оценивается безопасность, но у нее есть одно неоспо­римое преимущество — объективность. Именно это позволяет осуществ­лять сопоставление степени защищенности различных систем относитель­но установленного стандарта.

Главная задача стандартов информационной безопасности — соз­дать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности.

Потребители, во-первых, заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности и, во-вторых, нуждаются в инструменте, с помощью которого они могли бы формулировать свои требования производителям. При этом потребителей интересуют исключительно характеристики и свойства конечного продукта, а не методы и средства их достижения. С этой точки зрения идеальная шкала оценки безопасности должна была бы выглядеть примерно следующим образом:

Уровень 1. Система для обработки информации с грифом не выше

"для служебного пользования",

Уровень 2. Система для обработки информации с грифом не выше

"секретно", и т. д.

Требования безопасностиобязательно противоре­чат функциональным требованиям (удобству работы, быстродействию и т. д.), накладывают ограничения на совместимость и, как правило, вынуж­дают отказаться от очень широко распространенных и поэтому незащи­щенных прикладных программных средств.

Производители также нуждаются в стандартах, как средстве срав­нения возможностей своих продуктов, и в применении процедуры серти­фикации как механизме объективной оценки их свойств, а также в стан­дартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора. С точки зрения производителя тре­бования должны быть максимально конкретными и регламентировать не­обходимость применения тех или иных средств, механизмов, алгоритмов и т. д. Кроме того, требования не должны противоречить существующим парадигмам обработки информации, архитектуре вычислительных систем и технологиям создания информационных продуктов. Этот подход. не учитывает нужд пользователей (а ведь это главная задача разработчика) и пытается подогнать требования защиты под существующие системы и технологии, а это далеко не всегда возможно осуществить без ущерба для безопасности.

Эксперты по квалификации и специалисты по сертификации рас­сматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор. Производители в результате квалификации уровня безопасности получа­ют объективную оценку возможностей своего продукта. Эксперты по квалификации находятся в двойственном положении: с одной стороны они как и производители заинтересованы в четких и простых критериях, а с другой сторо­ны, они должны дать обоснованный ответ пользователям — удовлетворя­ет продукт их нужды, или нет, ведь к конечном счете именно они прини­мают на себя ответственность за безопасность продукта, получившего квалификацию уровня безопасности и прошедшего сертификацию.

Таким образом, перед стандартами информационной безопасности стоит непростая задача — примирить эти три точки зрения и создать эф­фективный механизм взаимодействия всех сторон. Причем "ущемление" потребностей хотя бы одной из них приведет к невозможности взаимопо­нимания и взаимодействия и, следовательно, не позволит решить общую задачу — создание защищенной системы обработки информации. Необ­ходимость в подобных стандартах была осознана уже достаточно давно, и в этом направлении достигнут существенный прогресс, закрепленный в новом поколении до­кументов разработки 90-годов. Наиболее значимыми стандартами информационной безопасности являются (в хронологическом порядке):

"Критерии безопасности компьютерных систем министерства обороны США", Руководящие документы Гостехкомиссии России (только для нашей страны), "Европейские критерии безопасности инфор­мационных технологий", "Федеральные критерии безопасности ин­формационных технологий США", "Канадские критерии безопасности компьютерных систем" и "Единые критерии безопасности информа­ционных технологий".

Поделиться:

Воспользуйтесь поиском по сайту: