Стандарт для системных реестров (Ожидаемый для применения)
ISO 19135 „Geographic information – Procedures for item registration“ 3.5. Информационная безопасность Предпосылкой постоянного и надежного использования пространственных данных в архитектуре, основанной на отдельных компонентах, является комплексное обеспечение безопасности, предпосылкой которого является надлежащее внедрение компонентов структуры ИПД в существующие IT-архитектуры по обеспечению безопасности. В то время как для форматов и сервисов главную роль играют стандарты, специфические для отрасли, в сфере безопасности применяются общие IT-стандарты электронного правительства, в т.ч. стандарты и нормы управления информационными системами безопасности, что предусмотрено в стандартах BSI с 100-1 по 100-3 и нормах ISO 27001 и 27002. 3.5.1. Требования к безопасности Условием бесперебойного функционирования ИПД РФ является обеспечение необходимого и достаточного уровня информационной безопасности (далее — ИБ) её компонентов. Выявление угроз ИБ, обеспечение надежного противостояния, ликвидация неблагоприятных последствий нарушений защиты, регулярная оценка защищенности компонентов инфраструктуры, выявление новых угроз и своевременная модернизация систем защиты реализуется с помощью системы обеспечения информационной безопасности ИПД РФ. В ИС ИПД РФ открытого пользования обрабатывается общедоступная информация и информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну. Работы по обеспечению безопасности информации являются неотъемлемой частью работ по созданию ИС и осуществляются в виде создания подсистем обеспечения информационной безопасности в составе каждой ИС в соответствие принципам, закрепляемым в концепции информационной безопасности для каждой ИС.
Требования к защите информации разрабатываются на основе классификации ИС, с учетом моделей угроз и моделей нарушителя информационной безопасности для каждой ИС и приводятся в технических заданиях на создание ПОИБ для каждой ИС на стадии технического проектирования. Класс защищенности каждой из систем определяется на основании отнесения нарушителя, действиям которого должна противостоять система, к конкретному типу. В состав мероприятий по защите информации при ее обработке в ИС, реализуемых в рамках создаваемых подсистем обеспечения информационной безопасности (ПОИБ), входят следующие мероприятия: · Защита от несанкционированного доступа к информации, конфиденциальность и целостность информации; · Защита информации при межсетевом взаимодействии между ИС; · Защита информации от вредоносного воздействия компьютерных вирусов (антивирусная защита); · Обнаружение компьютерных атак; · Защита информации от утечки по техническим каналам; · Резервное копирование и восстановление информации. Выбор и применение средств защиты, используемых для защиты информации в ИС, осуществляется в соответствии с требованиями действующего нормативного регулирования. Для зашиты поступающей информации используется ряд специальных процедур, в том числе: · защита электронных материалов, данных и документов от несанкционированной модификации при возможном перехвате в каналах связи; · проверка соответствия содержимого данных и документов требованиям системы защиты от несанкционированного доступа; · система паролей для ограничения доступа, обеспечивающая защиту данных от несанкционированной модификации или уничтожения. · система редакторской проверки поступающей информации. Требования к безопасности, которые актуальны для описания контроля доступа, определены в модели т.н. «открытых систем» ISO 10181 Open Systems Interconnection Reference 1146 Model (базовая модель OSI):
1. ISO 10181-2: Аутентификация 2. ISO 10181-3: Контроль доступа 3. ISO 10181-4: Неоспоримость 4. ISO 10181-5: Надежность 5. ISO 10181-6: Целостность 6. ISO 10181-7: Протоколирование Аутентификация в ISO 10181-2 определена следующим образом: «The provision of assurance of the claimed identity of an entity». Аутентификация позволяет доказать соответствие заявленной личности истинной. Главная функция контроля доступа описывается в ISO 10181-3 следующим образом: «... the primary goal of access control is to counter the threat of unauthorized operations involving a computer or communications system; these threats are frequently subdivided into classes known as: unauthorized use; disclosure; modification; destruction; and denial of service». Основные задачи контроля доступа можно сравнить с функцией защиты, при которой блокируются запрещенные действия, такие как неавторизованные публикация, изменение или удаление защищенных ресурсов. Неоспоримость согласно ITU X.800 проявляется в 2 формах [ITU X.800]: • «Non-repudiation with proof of origin» означает, что получатель информации в любом случае может проверить личность того, кто ее посылает. Это обеспечивает защиту от возможного отрицания факта пересылки определенной информации. • «Non-repudiation with proof of delivery» означает, что тот, кто посылает информацию, получает подтверждение ее приема при пересылке. Это обеспечивает защиту от возможного отрицания факта получения информации. Надежность согласно ITU X.800 определяется следующим образом: «The property that information is not made available or disclosed to unauthorized individuals, entities, or processes» и определяет требования к системе, которые должны обеспечить защиту информации от неавторизованной публикации или передачи другим лицам, системам или процессам. Целостность определяется в ITU X.800 как «The property that data has not been altered or destroyed in an unauthorized manner», т.е. как требование к системе обеспечить невозможность незаметного внесения изменений в информационные данные. Протоколирование определяется в ITU X.800 как «An independent review and examination of system records and activities in order to test for adequacy of system controls, to ensure compliance with established policy and operational procedures, to detect breaches in security, and to recommend any indicated changes in control, policy and procedures». Протоколирование позволяет обеспечить целевое сохранение журнала действий в рамках системы, что позволяет выяснить на основе результатов, выполняет ли система цели по обеспечению безопасности или у нее есть неустановленные ранее недостатки. Полученная в результате информация может при необходимости применяться для адаптации директив по безопасности.
3.5.2. Стандарты 3.5.2.1. Протокол Hypertext Transfer Protocol Оперативные меры по обеспечению безопасности могут применяться при передаче данных о регистрации и паролей в протоколе Hypertext Transfer Protocol (http). Его применение позволяет простым способом обеспечить защиту при доступе к WEB-сервисам OGC Web Services (OWS). Для применения не требуются дополнительные стандарты или изменения данного стандарта. Для передачи регистрационных данных применяется решение HTTP Header, в настоящее время применяющееся в ряде доступного на рынке клиентского и серверного ПО, и потому являющееся наиболее доступным способом защиты сервисов OWS. При этом пользователям не требуется устанавливать дополнительное ПО. Чтобы ограничить возможности кражи регистрационных данных и паролей, их передача должна осуществляться через закодированный HTTP-протокол (HTTPS согласно RFC2817 и RFC2818). Соответствующей спецификацией для авторизации через HTTP является спецификация Basic and Digest Access Authentication (см. RFC2616 и RFC2617).
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|