 |
Семейство стандартов СМИБ предназначено для помощи организациям любого типа и величины в реализации и функционировании СМИБ.
|
|
|
|
Семейство стандартов СМИБ содержит стандарты, которые:
· определяют требования к СМИБ и к сертификации таких систем;
· содержат прямую поддержку, детальное руководство и/или интерпретацию полных процессов «План (Plan) – Осуществление (Do) – Проверка (Check) – Действие (Act)» (PDCA) и требования;
· включают в себя специальные руководящие принципы для СМИБ;
· руководят проведением оценки соответствия СМИБ.
Глоссарий терминов и определений, приведённый в этом международном стандарте:
· охватывает термины и определения, в большинстве случаев используемые в семействе стандартов СМИБ;
· не охватывает все термины и определения, применяемые в семействе стандартов СМИБ;
· не ограничивает семейство стандартов СМИБ в определении терминов для своего использования.
ГОСТ Р ИСО/МЭК 27000 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология, представляет обзор систем менеджмента информационной безопасности, которые составляют предмет семейства стандартов СМИБ, а также даёт определения терминов.
ГОСТ Р ИСО/МЭК 27001—2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования, предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасности и ее контроля, которые могут быть использованы организациями в соответствии с установленными целями и задачами обеспечения информационной безопасности.
|
|
|
ГОСТ Р ИСО/МЭК 27002-2007 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности, устанавливает руководящие и общие принципы начинания, реализации, поддержания в рабочем состоянии и улучшения управления защитой информации в организации. Этот международный стандарт может служить в качестве практического руководства по разработке организационных стандартов защиты и практик эффективного управления защитой, а также для того, чтобы помочь создать доверие в межорганизационной деятельности.
ГОСТ Р ИСО/МЭК 27003 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности. В данном международном стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ, от запуска до составления планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ, определяется проект внедрения СМИБ (упоминается в данном международном стандарте, как проект СМИБ), и представлены рекомендации по планированию проекта СМИБ, в результате которого получается конечный план внедрения СМИБ.
Данный международный стандарт предназначен для использования организациями, применяющими СМИБ. Он применяется ко всем типам организаций (например, коммерческим предприятиям, правительственным органам, некоммерческим организациям) любых размеров. Сложность структуры и риски каждой организации уникальны, и на внедрение СМИБ будут влиять ее особые требования. Небольшие организации могут посчитать, что действия, указанные в данном международном стандарте, применимы к ним и могут быть упрощены. Крупным организациям или организациям со сложной структурой для эффективного выполнения действий, указанных в данном международном стандарте, может потребоваться многоуровневая система организации или управления. Однако в обоих случаях соответствующие действия можно планировать, применяя данный международный стандарт. В данном международном стандарте приведены рекомендации и разъяснения; в нем не указано никаких требований.
|
|
|
Данный международный стандарт предназначен для использования в сочетании с ISO/IEC 27001:2005 и ISO/IEC 27002:2005, но не предназначен для изменения или сокращения требований, указанных в ISO/IEC 27001:2005, или рекомендаций, приведенных в ISO/IEC 27002:2005. Предъявление требований на соответствие данному международному стандарту не применяется.
ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения, содержит рекомендации по разработке и использованию измерений и мер измерения для проведения оценки эффективности реализованной системы менеджмента информационной безопасности, а также мер и средств контроля и управления или их групп ИСО/МЭК 27001.
Эффективно реализованная программа измерений позволит укрепить доверие заинтересованных сторон к результатам измерений, а также даст возможность заинтересованным сторонам применять меры измерений для непрерывного улучшения информационной безопасности и СМИБ.
Накопленные результаты измерений позволят следить за прогрессом в достижении целей информационной безопасности за некоторый период времени в интересах реализации процесса непрерывного совершенствования СМИБ организации.
ГОСТ Р ИСО/МЭК 27005-2008 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент рисков информационной безопасности обеспечивает рекомендации для менеджмента рисков информационной безопасности, которые включают информацию и менеджмент рисков безопасности технологий телекоммуникации. Эти рекомендации предназначены, чтобы помочь реализовать достаточную информационную безопасность, основанную на подходе менеджмента рисками.
|
|
|
Этот международный стандарт является применимым ко всем типам организаций (например, коммерческие предприятия, правительственные агентства, некоммерческие организации), которые намереваются осуществлять менеджмент рисками, ставящими под угрозу информационную безопасность организации.
ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности устанавливает требования к органам, осуществляющим аудит и сертификацию системы менеджмента информационной безопасности, и способствует проведению аккредитации органов сертификации.
Любой орган, осуществляющий сертификацию СМИБ, должен продемонстрировать в плане компетентности и надежности свое соответствие требованиям к органу, осуществляющему сертификацию СМИБ.
Настоящий документ может использоваться в качестве документа, содержащего критерии для аккредитации, экспертной оценки или других процессов аудита.
1.3.6 Стандарты беспроводных сетей
Стандарт IEEE 802.11
В 1990 году Комитет IEEE 802 сформировал рабочую группу 802.11 для разработки стандарта для беспроводных локальных сетей WLAN (Wireless Local Area Network). Работы по созданию стандарта были завершены через 7 лет. В 1997 году была ратифицирована первая спецификация беспроводного стандарта IEEE 802.11, обеспечивающего передачу данных с гарантированной скоростью 1 Мбит/с (в некоторых случаях до 2 Мбит/с) в полосе частот 2,4 ГГц. Эта полоса частот доступна для нелицензионного использования в большинстве стран мира.
Стандарт IEEE 802.11 является базовым стандартом и определяет протоколы, необходимые для организации беспроводных локальных сетей. Основные из них - протокол управления доступом к среде MAC (Medium Accsess Control - нижний подуровень канального уровня) и протокол PHY передачи сигналов в физической среде. В качестве физической среды допускается использование радиоволн и инфракрасного излучения.
|
|
|
В основу стандарта IEEE 802.11 положена сотовая архитектура, причем сеть может состоять как из одной, так и из нескольких ячеек. Каждая сота управляется базовой станцией, называемой точкой доступа АР (Access Point), которая вместе с находящимися в пределах радиуса ее действия рабочими станциями пользователей образует 6азовую зону обслуживания BSS (Basic Seivice Set). Точки доступа многосотовой сети взаимодействуют между собой через распределительную систему OS (Distribution System), представляющую собой эквивалент магистрального сегмента кабельных ЛС. Вся инфраструктура, включающая точки доступа и распределительную систему, образует расширенную зону обслуживания ESS (Extended Sendee Set). Стандартом предусмотрен также односотовый вариант беспроводной сети, который может быть реализован и без точки доступа, при этом часть ее функций выполняется непосредственно рабочими станциями.
Для обеспечения перехода мобильных рабочих станций из зоны действия одной точки доступа к другой в многосотовых системах предусмотрены специальные процедуры сканирования (активного и пассивного прослушивания эфира) и присоединения (Association), однако строгих спецификаций по реализации роуминга стандарт 802.11 не предусматривает.
Для защиты WLAN стандартом IEEE 802.11 предусмотрен алгоритм WEP (Wired Equivalent Privacy). Он включает средства противодействия несанкционированному доступу к сети, а также шифрование для предотвращения перехвата информации.
Однако заложенная в первую спецификацию стандарта IEEE 802.11 скорость передачи данных в беспроводной сети уже не удовлетворяла потребностям пользователей. Алгоритм WEP страдал рядом существенных недостатков: отсутствие управления ключом, использование общего статического ключа, малые разрядности ключа и вектора инициализации, сложности использования алгоритма RC4.
Чтобы сделать технологию Wireless LAN недорогой, популярной и удовлетворяющей жестким требованиям бизнес-приложений, разработчики были вынуждены создать семейство новых спецификаций стандарта IEEE 802.11 а, Ь, L Стандарты этого семейства, по сути, являются беспроводными расширениями протокола Ethernet, что обеспечивает хорошее взаимодействие с проводными сетями Ethernet.
Стандарт IEEE 802.11b применяется наиболее широко из всех стандартов 802.11, поэтому мы с него и начнем. Высокоскоростной стандарт 802.11b был ратифицирован IEEE в сентябре 1999 года как развитие базового стандарта 802.11; в стандарте 802.1 lb используется полоса частот 2,4 ГГц, скорость передачи достигает 11 Мбит/с (подобно Ethernet). Благодаря ориентации на освоенный диапазон 2,4 ГГц стандарт 802.11b завоевал большую популярность у производителей оборудования. В качестве базовой радиотехнологии в нем используется метод распределенного спектра с прямой последовательностью DSSS (Direct Sequence Spread Spectrum), который отличается высокой устойчивостью к искажению данных помехами, в том числе преднамеренными. Этот стандарт получил широкое распространение, и беспроводные LAN стали привлекательным решением с технической и финансовой точек зрения.
|
|
|
Для простоты запоминания в качестве общего имени для стандартов 802.11b и 802.11а, а также всех последующих, относящихся к беспроводным локальным сетям (WLAN), был введен термин Wi-Fi (WirelessFidelity). Этот термин введен Ассоциацией беспроводной совместимости с Ethernet WECA (Wireless Ethernet Compatibility Aliance). Если устройство помечено этим знаком, оно протестировано на совместимость с другими устройствами 802.11.
Стандарт IEEE 802.11а предназначен для работы в частотном диапазоне 5 ГГц. Скорость передачи данных до 54 Мбит/с, то есть примерно в пять раз быстрее сетей 802.11b. Ассоциация WECA называет этот стандарт WiFi5. Это наиболее широкополосный из семейства стандартов 802.11. Определены три обязательные скорости - 6, 12 и 24 Мбит/с - и пять необязательных - 9, 18, 36, 48 и 54 Мбит/с. В качестве метода модуляции сигнала принято ортогональное частотное мультиплексирование OFDM (Orthogonal Frequency Division Multiplexing). Его отличие от метода DSSS заключается в том, что OFDM предполагает параллельную передачу полезного сигнала одновременно по нескольким частотам диапазона, в то время как техно-логин расширения спектра DSSS передают сигналы последовательно. В результате повышаются пропускная способность канала и качество сигнала. К недостаткам стандарта 802.11а относятся большая потребляемая мощность радиопередатчиков для частот 5 ГГц, а также меньший радиус действия (около 100 м).
Стандарт IEEE 802.11g представляет собой развитие 802.11b и обратно совместим с 802.11b. Предназначен для обеспечения скоростей передачи данных до 54 Мбит/с. В числе достоинств 802.11g надо отметить низкую потребляемую мощность, большие расстояния (до 300 м) и высокую проникающую способность сигнала.
Стандарт IEEE 802.11i. В 2004 году IEEE ратифицировал стандарт обеспечения безопасности в беспроводных сетях IEEE 802.11i. Этот стандарт решил существовавшие проблемы в области аутентификации и протокола шифрования, обеспечив значительно более высокий уровень безопасности. Стандарт 802.11i может применяться в сетях Wi-Fi независимо от используемого стандарта - 802.11a, b пли g.
В настоящее время существуют два очень похожих стандарта -WPA и 802.11i. Они оба применяют механизм 802.1х для обеспечения надежной аутентификации, оба используют сильные алгоритмы шифрования, оба предназначены для замены протокола WEP.
WPA был разработан в Wi-Fi Alliance как решение, которое можно применить немедленно, не дожидаясь завершения длительной процедуры ратификации 802.11i в IEEE.
Основное отличие двух стандартов заключается в использовании различных механизмов шифрования. В WPA применяется протокол TKIP (Temporal Key Integrity Protocol), который, так же как и WEP, использует шифр RC4, но значительно более безопасным способом. Обеспечение конфиденциальности данных в стандарте IEEE 802.11i основано на использовании алгоритма шифрования AES. Использующий его защитный протокол получил название ССМР (Counter-Mode СВС MAC Protocol). Алгоритм AES обладает высокой криптостойкостью. Длина ключа AES равна 128, 192 или 256 бит, что обеспечивает наиболее надежное шифрование из доступных сейчас.
Стандарт 802.11i предполагает наличие трех участников процесса аутентификации. Это сервер аутентификации AS (Authentication Server), точка доступа АР (Access Point) и рабочая станция STA (Station). В процессе шифрования данных участвуют только АР и STA (AS не используется). Стандарт предусматривает двустороннюю аутентификацию (в отличие от WEP, где аутентифицируется лишь рабочая станция, но не точка доступа). При этом местами принятия решения о разрешении доступа являются сервер аутентификации AS и рабочая станция STA, а местами исполнения этого решения - точка доступа АР и STA.
Для работы по стандарту 802.Hi создается иерархия ключей, включающая мастер-ключ МК (Master Key), парный мастер-ключ РМК (Pairwise Master Key), парный временный ключ РТК (Pairwise Transient Key), а также групповые временные ключи GTK (Group Transient Key), служащие для защиты широковещательного сетевого трафика.
МК - это симметричный ключ, реализующий решение STA и AS о взаимной аутентификации. Для каждой сессии создается новый МК.
РМК - обновляемый симметричный ключ, владение которым означает разрешение (авторизацию) на доступ к среде передачи данных в течение данной сессии. РМК создается на основе МК. Для каждой пары STA и АР в каждой сессии создается новый РМК.
РТК - это коллекция операционных ключей, которые используются для привязки РМК к данным STA и АР, для распространения GTK и шифрования данных.
Процесс аутентификации и доставки ключей определяется стандартом 802.1х. Он предоставляет возможность использовать в беспроводных сетях такие традиционные серверы аутентификации, как RADIUS. Стандарт 802.11i не определяет тип сервера аутентификации, но использование RADIUS для этой цели является стандартным решением.
Транспортом для сообщений 802.1х служит протокол ЕАР (Extensible Authentication Protocol). ЕАР позволяет легко добавлять новые методы аутентификации. Точке доступа не требуется знать об используемом методе аутентификации, поэтому изменение метода никак не затрагивает точку доступа.
Наиболее популярные методы ЕАР - это LEAP, PEAP, TTLS и FAST. Каждый из методов имеет свои сильные и слабые стороны, условия применения, по-разному поддерживается производителями оборудования и программного обеспечения.
Можно выделить пять фаз работы 802.11i.
Первая фаза - обнаружение. В этой фазе рабочая станция STA находит точку доступа АР, с которой может установить связь, и получает от нее используемые в данной сети параметры безопасности. Таким образом, STA узнает идентификатор сети SSID и методы аутентификации, доступные в данной сети. Затем STA выбирает метод аутентификации, и между STA и АР устанавливается соединение. После этого STA и АР готовы к началу второй фазы 802.1х.
Вторая фаза - аутентификация. В этой фазе выполняется взаимная аутентификация STA и сервера AS, создаются МК и РМК. В данной фазе STA и АР блокируют весь трафик, кроме трафика 802.1х.
В третьей фазе AS перемещает ключ РМК на АР. Теперь STA и АР владеют действительными ключами РМК.
Четвертая фаза - управление ключами 802.1х. В этой фазе происходят генерация, привязка и верификация ключа РТК.
Пятая фаза - шифрование и передача данных. Для шифрования используется соответствующая часть РТК.
Стандартом 802.11i предусмотрен режим PSK (Pre-Shared Key), который позволяет обойтись без сервера аутентификации AS. При использовании этого режима на STA и на АР вручную вводится Pre-Shared Key, который используется в качестве РМК. Дальше генерация РТК происходит описанным выше порядком. Режим PSK может использоваться в небольших сетях, где нецелесообразно устанавливать сервер AS.
1.3.7 Стандарты информационной безопасности для Интернета
В последнее время в мире бурно развивается электронная коммерция посредством сети Интернет. Развитие электронной коммерции в основном определяется прогрессом в области безопасности информации. При этом базовыми задачами являются обеспечение доступности, конфиденциальности, целостности и юридической значимости информации.
По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. Поэтому чрезвычайно важно добиваться эффективного решения проблем обеспечения безопасности коммерческой информации в глобальной сети Интернет и смежных интранет-сетях, которые по своей технической сущности не имеют принципиальных отличий и различаются в основном масштабами и открытостью.
Рассмотрим особенности стандартизации процесса обеспечения безопасности коммерческой информации в сетях с протоколом передачи данных IP/TCP и с акцентом на защиту телекоммуникаций.
Обеспечение безопасности информационных технологий особенно актуально для открытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственной тайны. Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого обеспечивается соответствием требованиям международных стандартов.
Термин «открытые системы» подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа к информации.
Важная заслуга Интернета состоит в том, что он заставил по-новому взглянуть на такие технологии. Во-первых, Интернет поощряет применение открытых стандартов, доступных для внедрения всем, кто проявит к ним интерес. Во-вторых, он представляет собой крупнейшую в мире и, вероятно, единственную сеть, к которой подключается такое множество разных компьютеров. И наконец, Интернет становится общепринятым средством представления быстро меняющейся новой продукции и технологий на мировом рынке.
В Интернете уже давно существует целый ряд комитетов, в основном из организаций-добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета IETF (Internet Engineering Task Force), провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете. Непосредственными результатами усилий IETF являются такие протоколы, как семейство TCP/IP для передачи данных, SMTP и POP для электронной почты, а также SNMP для управления сетью.
В Интернете популярны протоколы безопасной передачи данных, а именно SSL, SET, IPSec. Перечисленные протоколы появились в Интернете сравнительно недавно в ответ на необходимость защиты ценной информации и сразу стали стандартами де-факто.
Протокол SSL
Протокол SSL (Secure Socket Layer) является сейчас популярным сетевым протоколом с шифрованием данных для безопасной передачи по сети. Он позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи. Протокол SSL обеспечивает защиту данных между сервисными протоколами (такими как HTTP, FTP и др.) и транспортными протоколами (TCP/IP) с помощью современной криптографии.
Протокол IPSec
Спецификация IPSec входит в стандарт IP v.6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разработана Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмонезависимые базовые спецификации, представляющие соответствующие RFC-стандарты. Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования, независимо от работающего приложения, при этом шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети.
Протокол SET
Протокол SET (Security Electronics Transaction) - стандарт безопасных электронных транзакций в сети Интернет, предназначенный для организации электронной торговли через Интернет. Протокол SET основан на использовании цифровых сертификатов по стандарту Х.509.
Протокол выполнения защищенных транзакций SET является стандартом, разработанным компаниями MasterCard и Visa при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет, используя защищенный механизм выполнения платежей.
SET является открытым стандартным многосторонним протоколом для проведения безопасных платежей с использованием пластиковых карточек в Интернете. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET более правильно было бы назвать стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет. SET позволяет потребителям и продавцам подтвердить подлинность всех участников сделки, происходящей в Интернете, с помощью криптографии, в том числе применяя цифровые сертификаты.
Объем потенциальных продаж в области электронной коммерции ограничивается достижением необходимого уровня безопасности информации, который обеспечивают вместе покупатели, продавцы п финансовые институты, обеспокоенные вопросами безопасности в Интернете. Как упоминалось ранее, базовыми задачами защиты информации являются обеспечение ее доступности, конфиденциальности, целостности и юридической значимости. SET, в отличие от других протоколов, позволяет решать указанные задачи защиты информации в целом.
SET, в частности, обеспечивает следующие специальные требования защиты операции электронной коммерции:
· секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;
· сохранение целостности данных платежей. Целостность информации платежей обеспечивается с помощью цифровой подписи;
· специальную криптографию с открытым ключом для проведения аутентификации;
· аутентификацию держателя по кредитной карточке. Она обеспечивается применением цифровой подписи и сертификатов держателя карт;
· аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;
· аутентификацию того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процесинговой карточной системой. Аутентификация банка продавца обеспечивается использованием цифровой подписи и сертификатов банка продавца;
· готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
· безопасность передачи данных посредством преимущественного использования криптографии.
Основное преимущество SET, по сравнению со многими существующими системами обеспечения информационной безопасности, заключается в использовании цифровых сертификатов (стандарт Х509, версия 3), которые ассоциируют держателя карты, продавца и банк продавца с рядом банковских учреждений платежных систем Visa и Mastercard. Кроме того, SET позволяет сохранить существующие отношения между банком, держателями карт и продавцами и интегрируется с существующими системами.
|
|
|
