CC BY
116
ние таким образом, что никто, кроме получателя сообщения, не может ее расшифровать
[4]. PGP Desktop предоставляет следующие возможности:
- хранение открытых ключей на удаленном сервере;
- использование 3 симметричных алгоритмов шифрования и 2 несимметричных;
- 4 способа запуска: E-mail plugins, PGP tray, PGP tools, контекстное меню;
- разделение ключей;
- установка уровня валидности ключа и доверия владельцу ключа.
TrueCrypt - компьютерная программа, которая позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла. С помощью TrueCrypt также можно полностью шифровать раздел жесткого диска или иного носителя информации, такой как флоппи-диск или USB флеш-память. Все сохраненные данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов. Смонтированный том TrueCrypt подобен обычному логическому диску, поэтому с ним можно работать с помощью обычных утилит проверки и дефрагментации файловой системы
[5]. TrueCrypt создавая зашифрованный виртуальный диск может создать его:
- в файловом контейнере, что позволяет легко работать с ним - переносить, копировать (в том числе на внешние устройства в виде файла), переименовывать или удалять;
- в виде зашифрованного раздела диска, что делает работу более производительной и удобной, в версии 5.0 добавилась возможность шифровать системный раздел;
- путем полного шифрования содержимого устройства, такого как USB флеш-память (устройства флоппи-диск не поддерживаются с версии 7.0).
Литература
1. Как обеспечить подлинность электронных документов [Электронный ресурс]. URL: http://ftp.forsys.ru
2. Традиционное понятие электронного документа [Электронный ресурс]. URL: http://www. okbsapr.ru
3. Электронная документация и ее защита
[Электронный ресурс]. URL: http://www.
coolreferat.com
4. Установка и применение программы PGP [Электронный ресурс]. URL: http://www.anwiza.com
5. TrueCrypt [Электронный ресурс]. URL: http://ru.wikipedia.org
6. Зуев М.С., Баранов П.А. Шифрование данных. Алгоритм ГОСТ 28147-89: учебное пособие // Федеральный депозитарий электронных изданий. Регистрационное свидетельство № 19565 от 14 июля 2010 г. № гос. регистрации 0321001202
7. Медведева О.Н., Зуев М.С. Электронное учебное пособие «Информатика для англоязычных студентов» // Гаудеамус. Тамбов, 2011. № 2(18). Материалы XV международной научнопрактической конференции АПИИТ. С. 67-69.
8. Зуев М.С., Пелихосов А.А. Электронное учебное пособие «Разработка защищенного web-приложения на основе технологии AJAX» // Гаудеамус. Тамбов, 2011. № 2(18). Материалы XV международной научно-практической конференции АПИИТ. С. 37-38.
9. Хребтов Р.И., Зуев М.С. Разработка web-приложения, использующего защищенные базы данных // Гаудеамус. Тамбов, 2011. № 2(18). Материалы XV международной научно-практической конференции АПИИТ. С. 148-149.
УДК 004.6
БАЗА ДАННЫХ ПО СТАНДАРТАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ*
Д.В. Лопатин, В.А. Титова
Риски информационной безопасности представляют собой серьезную угрозу. Управление рисками является одним из ключевых элементов, позволяющих предотвращать интернет-мошенничество, перехват идентификаторов, повреждение веб-сайтов, кражу персональных данных и другие компьютерные инциденты.
Ключевые слова: стандарт, информационная безопасность, информационные угрозы, база данных.
Специалистам в области информацион- возможно обойтись без знаний соответст-
ной безопасности (ИБ) сегодня почти не- вующих стандартов и спецификаций. Глав------------------------------------------------ ной причиной систематизации является
* Работа выполнена при поддержке гранта РГНФ большое количество разработанных между-
№ 12-16-68005.
2. Тенденции и особенности развития систем информационной безопасности
народных и национальных регламентов и стандартов в области ИБ. Ситуацию усугубляет постоянная их модернизация и расширяющиеся практика применения. Цель работы заключается в систематизации стандартов в области информационной безопасности.
Проанализированы и собраны в базе данных международные стандарты - британские стандарты BS 7799; ISO/IEC 17799:2005; стандарты семейства ISO/IEC 27000; стандарт семейства CobiT и национальные стандарты Российской Федерации. СУБД позволяет организовать поиск необходимой информации о стандарте по разделам - название на английском/русском языках, статус, официальная информация, назначение, содержание, область применения, полезные ссылки и связанные документы.
Особое внимание в связи с требованием законодательства России уделяется выявлению факторов риска и угроз информационных систем персональных данных. Стандарт ISO/IEC 27001 позволяет минимизировать риски и защищает персональные данные, т.е., приводит информационные системы предприятий в соответствии закона. Так как требования закона «О персональных данных» во многом повторяют требования международного стандарта ISO/IEC 27001:2005 и соответствующего ему национального стандарта РФ ГОСТ Р ИСО/МЭК 27001-2006, они названы обязательными для применения мерами информационной безопасности и одними из доказательств исполнения обязанностей руководства по разработке и поддержанию системы управления информационной безопасностью [1].
Рассмотрим стандарты в области ИБ, определяющие требования к системам менеджмента управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению [2]:
- ISO/IEC 27000:2009 Information technology. Security techniques. Information security management systems. Overview and vocabulary - Определения и основные принципы. ISO/IEC 27001:2005/BS 7799-2:2005 Information technology. Security techniques. Information security management systems. Requirements - Информационные технологии. Методы обеспечения безопасности.
Системы управления информационной безопасностью. Требования.
- ISO/IEC 27002:2005, BS 7799-1:2005, BS ISO/IEC 17799:2005 Information technology. Security techniques. Code of practice for information security management -Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безон асШЭтВЙС 27003:2010 Information Technology. Security Techniques. Information Security Management Systems Implementation Guidance - Руководство по внедрению системы управления информационной безопасностью.
- ISO/IEC 27004:2009 Information
technology. Security techniques. Information security management. Measurement - Измерение эффективности системы управления информационной безопасностью.
- ISO/IEC 27005:2008 Information
technology. Security techniques. Information security risk management - Информационные технологии. Методы обеспечения безопасности. Управление рисками
информационной безопасности.
- ISO/IEC 27006:2007 Information
technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems - Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью.
- ISO/IEC 27007 Information technology. Security techniques. Guidelines for Information Security Management Systems auditing (FCD) -Руководство для аудитора СУИБ [1].
Самые востребованные из рассмотренных международных стандартов, на наш взгляд, являются ISO/IEC 27001 и ISO/IEC 27005, которые взаимодействуют между собой. ISO/IEC 27001 содержит процедуры и сопутствующие мероприятия на основе общих принципов. ISO/IEC 27005:2011 позволяет организациям различных типов лучше управлять информационными рисками. Управление рисками является одним из ключевых элементов, позволяющих предотвращать интернет-мошенничество, перехват идентификаторов безопасности, повреждение веб-ресурсов, кражу персональных дан-
ных и другие компьютерные инциденты. Процедура менеджмента рисков информационной безопасности включает в себя: определение контекста; оценка рисков; рассмотрение рисков; определение степени допустимого риска; информирование о рисках; мониторинг рисков и отчетность о рисках [3]. Следование рекомендациям стандарта позволяет организовать управление информационными рисками не только для предприятий и организаций, но и для различных групп пользователей. Благодаря следованию требованиям стандартов происходит своевременное выявление, управление и сниже-
ние рисков от внешних и внутренних информационных угроз.
Литература
1. ISO 27000 - Международные стандарты
управления информационной безопасностью [Электронный ресурс]. URL: http://www.
iso27000.ru
2. Защита персональных данных: Требования BS10012, ISO 27001 и российской нормативной базы [Электронный ресурс]. URL: http:// www. ispdn.info/stati/
3. Международный стандарт ISO/IEC 27005 [Электронный ресурс]. URL: http://www.vniis.ru
УДК 004.056.5
ЗАЩИТА ПЕРЕДАЧИ ДАННЫХ В СЕТИ ФИНАНСОВОГО УЧРЕЖДЕНИЯ
Д.Н. Машанов, А.В. Самохвалов
В работе рассматривается проблема защиты передачи данных в сети финансового учреждения. Проведено обследование учреждения, выявлены уязвимости сети и возможные угрозы, предложены меры по обеспечению безопасности передачи данных.
Ключевые слова: защита передачи данных, защита сети предприятия, защита информации в финансовом учреждении.
В работе рассматривается проблема защиты передачи данных в сети финансового учреждения на примере Отделения по Хоринскому району Управления Федерального казначейства по Республике Бурятия. В настоящее время в сети учреждения передается большое количество конфиденциальной информации, поэтому руководством Отделения по Хоринскому району Управления Федерального казначейства по Республике Бурятия принято решения о разработке мер по обеспечению безопасности сети передачи данных учреждения.
Для обеспечения защиты передачи данных в сети финансового учреждения необходимо, в первую очередь, построить модель возможных угроз информации. Угрозой может быть любое лицо, объект или событие, которое в случае реализации может потенциально стать причиной нанесения вреда ЛВС [1]. Угрозы могут быть злонамеренными, такими, как умышленная модификация критической информации, или могут быть случайными, такими, как ошибки в вычислениях или случайное удаление файла. Угроза может быть также природным явлением, таким, как наводнение, ураган, молния и т.п.
Уязвимыми местами являются слабые места сетей, например, неавторизованный доступ (угроза) к ЛВС может быть осуществлен посторонним человеком, угадавшим очевидный пароль. Уменьшение или ограничение уязвимых мест ЛВС может снизить или вообще устранить риск от угроз в ЛВС [2]. Следует понимать, что реализация многих угроз приводит к более чем одному воздействию. Перечислим возможные воздействия, которые используются для классификации и обсуждения угроз в сетях [3]:
- Неавторизованный доступ к ЛВС -происходит в результате получения неавторизованным человеком доступа к ЛВС.
- Несоответствующий доступ к ресурсам ЛВС - происходит в результате получения доступа к ресурсам ЛВС авторизованным или неавторизованным человеком неавторизованным способом.
- Раскрытие данных - происходит в результате получения доступа к информации или ее чтения человеком и возможного раскрытия им информации случайным или неавторизованным намеренным образом.
- Неавторизованная модификация данных и программ - происходит в резуль-
