Научная статья на тему 'База данных по стандартам информационной безопасности'

База данных по стандартам информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
732
118
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
СТАНДАРТ / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / ИНФОРМАЦИОННЫЕ УГРОЗЫ / БАЗА ДАННЫХ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Лопатин Д. В., Титова В. А.

Риски информационной безопасности представляют собой серьезную угрозу. Управление рисками является одним из ключевых элементов, позволяющих предотвращать интернет-мошенничество, перехват идентификаторов, повреждение веб-сайтов, кражу персональных данных и другие компьютерные инциденты.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Лопатин Д. В., Титова В. А.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «База данных по стандартам информационной безопасности»

ние таким образом, что никто, кроме получателя сообщения, не может ее расшифровать

[4]. PGP Desktop предоставляет следующие возможности:

- хранение открытых ключей на удаленном сервере;

- использование 3 симметричных алгоритмов шифрования и 2 несимметричных;

- 4 способа запуска: E-mail plugins, PGP tray, PGP tools, контекстное меню;

- разделение ключей;

- установка уровня валидности ключа и доверия владельцу ключа.

TrueCrypt - компьютерная программа, которая позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла. С помощью TrueCrypt также можно полностью шифровать раздел жесткого диска или иного носителя информации, такой как флоппи-диск или USB флеш-память. Все сохраненные данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов. Смонтированный том TrueCrypt подобен обычному логическому диску, поэтому с ним можно работать с помощью обычных утилит проверки и дефрагментации файловой системы

[5]. TrueCrypt создавая зашифрованный виртуальный диск может создать его:

- в файловом контейнере, что позволяет легко работать с ним - переносить, копировать (в том числе на внешние устройства в виде файла), переименовывать или удалять;

- в виде зашифрованного раздела диска, что делает работу более производительной и удобной, в версии 5.0 добавилась возможность шифровать системный раздел;

- путем полного шифрования содержимого устройства, такого как USB флеш-память (устройства флоппи-диск не поддерживаются с версии 7.0).

Литература

1. Как обеспечить подлинность электронных документов [Электронный ресурс]. URL: http://ftp.forsys.ru

2. Традиционное понятие электронного документа [Электронный ресурс]. URL: http://www. okbsapr.ru

3. Электронная документация и ее защита

[Электронный ресурс]. URL: http://www.

coolreferat.com

4. Установка и применение программы PGP [Электронный ресурс]. URL: http://www.anwiza.com

5. TrueCrypt [Электронный ресурс]. URL: http://ru.wikipedia.org

6. Зуев М.С., Баранов П.А. Шифрование данных. Алгоритм ГОСТ 28147-89: учебное пособие // Федеральный депозитарий электронных изданий. Регистрационное свидетельство № 19565 от 14 июля 2010 г. № гос. регистрации 0321001202

7. Медведева О.Н., Зуев М.С. Электронное учебное пособие «Информатика для англоязычных студентов» // Гаудеамус. Тамбов, 2011. № 2(18). Материалы XV международной научнопрактической конференции АПИИТ. С. 67-69.

8. Зуев М.С., Пелихосов А.А. Электронное учебное пособие «Разработка защищенного web-приложения на основе технологии AJAX» // Гаудеамус. Тамбов, 2011. № 2(18). Материалы XV международной научно-практической конференции АПИИТ. С. 37-38.

9. Хребтов Р.И., Зуев М.С. Разработка web-приложения, использующего защищенные базы данных // Гаудеамус. Тамбов, 2011. № 2(18). Материалы XV международной научно-практической конференции АПИИТ. С. 148-149.

УДК 004.6

БАЗА ДАННЫХ ПО СТАНДАРТАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ*

Д.В. Лопатин, В.А. Титова

Риски информационной безопасности представляют собой серьезную угрозу. Управление рисками является одним из ключевых элементов, позволяющих предотвращать интернет-мошенничество, перехват идентификаторов, повреждение веб-сайтов, кражу персональных данных и другие компьютерные инциденты.

Ключевые слова: стандарт, информационная безопасность, информационные угрозы, база данных.

Специалистам в области информацион- возможно обойтись без знаний соответст-

ной безопасности (ИБ) сегодня почти не- вующих стандартов и спецификаций. Глав------------------------------------------------ ной причиной систематизации является

* Работа выполнена при поддержке гранта РГНФ большое количество разработанных между-

№ 12-16-68005.

2. Тенденции и особенности развития систем информационной безопасности

народных и национальных регламентов и стандартов в области ИБ. Ситуацию усугубляет постоянная их модернизация и расширяющиеся практика применения. Цель работы заключается в систематизации стандартов в области информационной безопасности.

Проанализированы и собраны в базе данных международные стандарты - британские стандарты BS 7799; ISO/IEC 17799:2005; стандарты семейства ISO/IEC 27000; стандарт семейства CobiT и национальные стандарты Российской Федерации. СУБД позволяет организовать поиск необходимой информации о стандарте по разделам - название на английском/русском языках, статус, официальная информация, назначение, содержание, область применения, полезные ссылки и связанные документы.

Особое внимание в связи с требованием законодательства России уделяется выявлению факторов риска и угроз информационных систем персональных данных. Стандарт ISO/IEC 27001 позволяет минимизировать риски и защищает персональные данные, т.е., приводит информационные системы предприятий в соответствии закона. Так как требования закона «О персональных данных» во многом повторяют требования международного стандарта ISO/IEC 27001:2005 и соответствующего ему национального стандарта РФ ГОСТ Р ИСО/МЭК 27001-2006, они названы обязательными для применения мерами информационной безопасности и одними из доказательств исполнения обязанностей руководства по разработке и поддержанию системы управления информационной безопасностью [1].

Рассмотрим стандарты в области ИБ, определяющие требования к системам менеджмента управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению [2]:

- ISO/IEC 27000:2009 Information technology. Security techniques. Information security management systems. Overview and vocabulary - Определения и основные принципы. ISO/IEC 27001:2005/BS 7799-2:2005 Information technology. Security techniques. Information security management systems. Requirements - Информационные технологии. Методы обеспечения безопасности.

Системы управления информационной безопасностью. Требования.

- ISO/IEC 27002:2005, BS 7799-1:2005, BS ISO/IEC 17799:2005 Information technology. Security techniques. Code of practice for information security management -Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безон асШЭтВЙС 27003:2010 Information Technology. Security Techniques. Information Security Management Systems Implementation Guidance - Руководство по внедрению системы управления информационной безопасностью.

- ISO/IEC 27004:2009 Information

technology. Security techniques. Information security management. Measurement - Измерение эффективности системы управления информационной безопасностью.

- ISO/IEC 27005:2008 Information

technology. Security techniques. Information security risk management - Информационные технологии. Методы обеспечения безопасности. Управление рисками

информационной безопасности.

- ISO/IEC 27006:2007 Information

technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems - Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью.

- ISO/IEC 27007 Information technology. Security techniques. Guidelines for Information Security Management Systems auditing (FCD) -Руководство для аудитора СУИБ [1].

Самые востребованные из рассмотренных международных стандартов, на наш взгляд, являются ISO/IEC 27001 и ISO/IEC 27005, которые взаимодействуют между собой. ISO/IEC 27001 содержит процедуры и сопутствующие мероприятия на основе общих принципов. ISO/IEC 27005:2011 позволяет организациям различных типов лучше управлять информационными рисками. Управление рисками является одним из ключевых элементов, позволяющих предотвращать интернет-мошенничество, перехват идентификаторов безопасности, повреждение веб-ресурсов, кражу персональных дан-

ных и другие компьютерные инциденты. Процедура менеджмента рисков информационной безопасности включает в себя: определение контекста; оценка рисков; рассмотрение рисков; определение степени допустимого риска; информирование о рисках; мониторинг рисков и отчетность о рисках [3]. Следование рекомендациям стандарта позволяет организовать управление информационными рисками не только для предприятий и организаций, но и для различных групп пользователей. Благодаря следованию требованиям стандартов происходит своевременное выявление, управление и сниже-

ние рисков от внешних и внутренних информационных угроз.

Литература

1. ISO 27000 - Международные стандарты

управления информационной безопасностью [Электронный ресурс]. URL: http://www.

iso27000.ru

2. Защита персональных данных: Требования BS10012, ISO 27001 и российской нормативной базы [Электронный ресурс]. URL: http:// www. ispdn.info/stati/

3. Международный стандарт ISO/IEC 27005 [Электронный ресурс]. URL: http://www.vniis.ru

УДК 004.056.5

ЗАЩИТА ПЕРЕДАЧИ ДАННЫХ В СЕТИ ФИНАНСОВОГО УЧРЕЖДЕНИЯ

Д.Н. Машанов, А.В. Самохвалов

В работе рассматривается проблема защиты передачи данных в сети финансового учреждения. Проведено обследование учреждения, выявлены уязвимости сети и возможные угрозы, предложены меры по обеспечению безопасности передачи данных.

Ключевые слова: защита передачи данных, защита сети предприятия, защита информации в финансовом учреждении.

В работе рассматривается проблема защиты передачи данных в сети финансового учреждения на примере Отделения по Хоринскому району Управления Федерального казначейства по Республике Бурятия. В настоящее время в сети учреждения передается большое количество конфиденциальной информации, поэтому руководством Отделения по Хоринскому району Управления Федерального казначейства по Республике Бурятия принято решения о разработке мер по обеспечению безопасности сети передачи данных учреждения.

Для обеспечения защиты передачи данных в сети финансового учреждения необходимо, в первую очередь, построить модель возможных угроз информации. Угрозой может быть любое лицо, объект или событие, которое в случае реализации может потенциально стать причиной нанесения вреда ЛВС [1]. Угрозы могут быть злонамеренными, такими, как умышленная модификация критической информации, или могут быть случайными, такими, как ошибки в вычислениях или случайное удаление файла. Угроза может быть также природным явлением, таким, как наводнение, ураган, молния и т.п.

Уязвимыми местами являются слабые места сетей, например, неавторизованный доступ (угроза) к ЛВС может быть осуществлен посторонним человеком, угадавшим очевидный пароль. Уменьшение или ограничение уязвимых мест ЛВС может снизить или вообще устранить риск от угроз в ЛВС [2]. Следует понимать, что реализация многих угроз приводит к более чем одному воздействию. Перечислим возможные воздействия, которые используются для классификации и обсуждения угроз в сетях [3]:

- Неавторизованный доступ к ЛВС -происходит в результате получения неавторизованным человеком доступа к ЛВС.

- Несоответствующий доступ к ресурсам ЛВС - происходит в результате получения доступа к ресурсам ЛВС авторизованным или неавторизованным человеком неавторизованным способом.

- Раскрытие данных - происходит в результате получения доступа к информации или ее чтения человеком и возможного раскрытия им информации случайным или неавторизованным намеренным образом.

- Неавторизованная модификация данных и программ - происходит в резуль-

i Надоели баннеры? Вы всегда можете отключить рекламу.