CC BY
320
Любич Станислав Александрович, аспирант, ljubich.stas@smail.com. Россия, Омск, Сибирская государственная автомобильно-дорожная академия
DEVELOPING GADGETS FOR OPERATING FAMILY SYSTEMS MICROSOFT WINDOWS NT
S.A. Lubich
The article discusses the main aspects related to the development of gadgets. There are descriptions of the main components of the gadget and solutions to some problems that arise when developing for family of operating systems Microsoft Windows NT.
Key words: gadget, widget, applet, plug-in, Microsoft, Windows, the development.
Lubich Stanislav Alexandrovich, postgraduate, ljubich.stas@,gmail.com. Russia, Omsk, Siberian State Automobile and Highway Academy
УДК 005
ОЦЕНКА СВОЙСТВ ИНФОРМАЦИОННЫХ СИСТЕМ В СТАНДАРТАХ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
А.Н. Шубин
Произведен обзор стандартов по информационной безопасности, на основании которых производят оценку свойств информационных систем. В статье выделены основные методы оценки качества информации (или показатели качества) информации по каждому из рассмотренных документов.
Ключевые слова: информационная безопасность, качество информационной системы, показатели качества.
Стандарты в области информационной безопасности призваны выработать четкий набор критериев, следуя которым, можно свести к минимуму возможные угрозы системе. При оценке безопасности информационных систем следует учитывать мнение трех групп специалистов: разработчиков ИС, заказчиков или пользователей ИС, специалистов - аналитиков по информационной безопасности.
Рассмотрим, с помощью каких стандартов и нормативных документов можно оценить качество информационной системы или отдельные показатели.
Стандарт КО\ГЕС 27001 является первым общепризнанным международным стандартом на систему управления информационной безопасностью. От многих других стандартов в области защиты информации его от-
личает то, что он может применяться в любой организации независимо от рода ее деятельности.
Международный стандарт информационной безопасности КО 27001 описывает выстраивание системы информационной безопасности на предприятии. В общем, стандарт КО 27001 - это описание требований к системе управления информационной безопасностью (СУИБ), а КО 27002 — практическое руководство по внедрению этих требований.
Особенностью КО 27001 является то, что он предъявляет требования не столько к техническим средствам защиты, сколько к системе управления информационной безопасностью. Это является главной особенностью стандарта и заказчик должен понимать что внедрения даже небольшой части требований скажется прежде всего на процессах а не техническом средстве. Область применения стандарта КО\ГЕС 27001 тоже отличается от других стандартов по ИБ. Так как прибыль в организации приносит успешно функционирующий бизнес-процесс, то и защищает КО 27001 тоже бизнес-процесс в организации.
Предполагается, что грамотная политика ИБ подразумевает оценку информационных активов, информационных рисков, выработку политики управления рисками и ее реализацию. То есть конечная задача — защитить информационные активы, используя принцип разумной достаточности. Для реализации выбранной политики управления рисками принимаются ряд мер организационных и технических, начиная от выработки общей ИБ политики компании и регламентов безопасной работы до физической защиты помещений, защиты с помощью брандмауэров и антивирусного ПО и т.д. Методика оценки рисков ИБ приводится в КО 27005.
Необходимо отметить, что весь стандарт преследует целью не достижение некого уровня защищенности ради безопасности, а внедрение адекватных мер по защите активов компании, основанном на критичности бизнеса компании, т.е: повышение качества ИБ организации, что обязательно приведет к повышению качества ИС.
Недостатки КО 27001, следующие:
отсутствие четких указаний по документированию СУИБ (нет общего перечня документов, ни инструкций по его формированию, ни требований к содержанию документов). Это вызывает значительные трудности при внедрении СУИБ, т.к. мнения о том, сколько должно быть документов, какими они должны быть, что надо, а что не надо документировать и как это делать, могут сильно расходиться;
стандарт не определяет четкой границы между СУИБ и СОИБ, техническими и организационными механизмами контроля. В результате многие рассматривают СУИБ как чисто организационную составляющую СОИБ, несмотря на то, что в стандарте описываются оба класса контролей, которые, на практике, не могут друг без друга существовать;
не регламентировано, на соответствие каким критериям/ техниче-
ским стандартам нужно проверять настройки систем обеспечения безопасности.
Все вышеперечисленные недостатки при их рассмотрении с другой точки зрения, являются преимуществами, так как не налагают какие-либо ограничения на выбранные действия исполнителя.
Стандарт ISO 15408 — один из наиболее распространенных стандартов в области безопасности. В его создании приняли участие организации из США, Канады, Англии, Франции, Г ермании, Г олландии. В стандарте, получившем название «Общие критерии оценки безопасности информационных технологий» (The Common Criteria for Information Technology Security Evaluation), подробно рассмотрены общие подходы, методы и функции обеспечения защиты информации в организациях.
Функции системы информационной безопасности обеспечивают выполнение требований конфиденциальности, целостности, достоверности и доступности информации. Все функции представлены в виде четырехуровневой иерархической структуры: класс — семейство — компонент — элемент. По аналогии представлены требования качества. Подобная градация позволяет описать любую систему информационной безопасности и сопоставить созданную модель с текущим положением дел. В стандарте выделены 11 классов функций: аудит, идентификация и аутентификация, криптографическая защита, конфиденциальность, передача данных, защита пользовательских данных, управление безопасностью, защита функций безопасности системы, использование ресурсов, доступ к системе, надежность средств.
Оценка информационной безопасности базируется на моделях системы безопасности, состоящих из перечисленных в стандарте функций. В ISO 15408 содержится ряд предопределенных моделей (так называемых профилей), описывающих стандартные модули системы безопасности. С их помощью можно не создавать модели распространенных средств защиты самостоятельно, изобретая велосипед, а пользоваться уже готовыми наборами описаний, целей, функций и требований к этим средствам. Простым примером профилей может служить модель межсетевого экрана или СУБД.
Сертифицированный профиль представляет собой полное описание определенной части (или функции) системы безопасности. В нем содержатся анализ внутренней и внешней среды объекта, требования к его функциональности и надежности, логическое обоснование его использования, возможности и ограничения развития объекта.
Стандарт ISO 15408 выгодно отличает открытость. Описывающий ту или иную область системы безопасности профиль можно создать самостоятельно с помощью разработанной в ISO 15408 структуры документа. В стандарте определена также последовательность действий для самостоятельного создания профилей.
Отличающийся значительной полнотой, универсализмом и большим потенциалом развития КО 15408 получил признание во многих странах мира, в том числе и в России.
Профили средств безопасности могут использоваться не только в системе государственной сертификации, но и в деятельности коммерческих организаций. Так, например, для организации с территориально-распределенной инфраструктурой целесообразно установить единые правила по обеспечению защиты данных. В этом случае может быть разработан профиль, описывающий правила доступа и информационного обмена с удаленными объектами.
Особенности КО 15408 по сравнению с другими стандартами в области безопасности:
стандарт позволяет определить полный перечень требований к средствам безопасности, а также критерии их оценки (показатели защищенности информации);
стандарт определяет полный перечень объектов анализа и требований к ним, не заостряя внимания на методах создания, управления и оценки системы безопасности;
стандарт позволяет оценить полноту системы информационной безопасности с технической точки зрения, не рассматривая при этом комплекс организационных мер по обеспечению защиты информации. Если нужно рассмотреть систему защиты информации и с организационной стороны, то нужно воспользоваться ГОСТ Р ИСО/МЭК ТО 19791-2008 "Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем", в котором содержатся дополнительные требования безопасности;
стандарт позволяет оценить уровень защищенности автоматизированных систем (СВТ) с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.
Нормативно-методические документы ФСТЭК России. Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, также выражены в РД ФСТЭК РФ “АС. Защита от НСД к информации. Классификация АС и требования по защите информации.” и “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”.
РД “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации” устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:
первая группа содержит только один седьмой класс;
вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
четвертая группа характеризуется верифицированной защитой содержит только первый класс.
РД “АС. Защита от НСД к информации. Классификация АС и требования по защите информации” устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
наличие в АС информации различного уровня конфиденциальности;
уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.
При анализе системы защиты внешнего периметра корпоративной сети, в качестве основных критериев используется РД “"СВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации". Позволяет оценить и классифицировать уровень защищенности, межсетевого экрана.
Данный документ определяет показатели МЭ. Каждый показатель представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. На основании показателей защищенности определяется пять классов защищенности МЭ.
Данные руководящие документы позволяют оценить такие показатели качества средств вычислительной техники, АС как защищенность, достоверность и надежность, путем классификации средств вычислительной техники на основе перечня показателей и описывающих их требований В настоящее время описанные РД уже устарели и содержащаяся в них классификация АС, СВТ и МЭ не может признаваться состоятельной. Достаточно заметить, что классификация АС и СВТ разрабатывалась без учета распределенной природы современных АС, а все современные коммерческие МЭ по своим возможностям существенно превосходят требова-
ния 1-го класса защищенности (за исключением требования по использованию сертифицированных криптографических алгоритмов).
Развитием нормативной базы в этом направлении является разработка “Профилей защиты” для различных классов СВТ, АС и МЭ на базе “Общих критериев”.
Документ ФСТЭК России “Специальные требования и рекомендации по защите конфиденциальной информации” (СТР-К) содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой информации, информации, обрабатываемой средствами вычислительной техники, а также по защите информации при подключении к сетям общего пользования.
В документе рассматриваются в том числе следующие вопросы:
защита информации на рабочих местах на базе автономных ПЭВМ;
защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ;
защита информации в локальных вычислительных сетях;
защита информации при межсетевом взаимодействии;
защита информации при работе с системами управления базами данных.
Данные СТР-К носят рекомендательный характер. Они предполагают технические решения без учета компонентов системы менеджмента. Основной акцент сделан на конфиденциальность, а не на доступность. Не уделено должного внимания, особенно в применении к бизнесу, вопросу анализа и управления рисками и соответственно оптимизации построения системы безопасности по критериям качество.
СТО БР ИББС-1.0-2010. Обеспечение информационной безопасности организаций банковской системы РФ. За основу в данном стандарте взяты лучшие практики из стандарта КО 27001 вместе со всеми минусами и плюсами данного документа, но адаптированные к определенному виду деятельности с некоторыми доработками.
Вначале проводится оценка степени соответствия требованиям стандарта, т.к. эффективное планирование проекта по внедрению требований стандарта должно основываться на оценках соответствия ИБ организации положениям стандарта.
Согласно методике, описанной в стандарте, оценка проводится по 34 групповым показателям ИБ.
По итогам проведенной оценки уровень ИБ организации может быть отнесен к одному из 6 уровней соответствия по положениям стандарта.
Одним из результатов проведения аудита является определение степени выполнения требований СТО БР ИББС-1.2010 по трем направлениям:
текущий уровень ИБ организации; менеджмент ИБ организации; уровень осознания ИБ организации.
Универсального подхода по созданию СОИБ не существует. Однако на основе опыта проведения работ по приведению в соответствие СТО БР ИББС был разработан типовой подход внедрения СОИБ.
Основные подходы к оценке качества информации (или показателей качества). Систематизируем полученные данные путем выделения основных методов оценки качества информации (или показателей качества) по каждому из рассмотренных документов и представим их в виде таблицы.
Методы оценки свойств ИС
Нормативные документы Свойства ИС Методы оценки свойств ИС
ГОСТ Р ИСО/МЭК 15408 Качество (надежность, защищенность, достоверность) Качество системы оценивается путем сопоставления выполняемых требований, заявленным, которые соответствуют определенному уровню качества. Требования разбиты на классы, а те в свою очередь на семейства
ГОСТ Р ИСО/МЭК 27001 Качество Стандарт преследует целью не достижения некого уровня защищенности ради безопасности, а внедрение адекватных мер по защите активов компании. Предъявляет требования не столько к техническим средствам защиты, сколько к системе управления информационной безопасностью
СТО БР ИББС-1.0-2010 Качество Подход аналогичен подходу в ТБО 27001. По собственной методике оценки выполнения показателей ИБ, происходит оценка требований стандарта, на предмет их выполнения в системе. Введена конкретика, по сравнению с 27001 в соответствие с видом деятельности банка
РД. СВТ. Межсетевые экраны. Защита от НСД. Показатели защищенности от несанкционированного доступа к информации Защищенность Защищенность определяется путем установления классов защищенности, каждому из которых соответствует определенный набор требований
Окончание
Нормативные документы Свойства ИС Методы оценки свойств ИС
РД. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации Защищенность
Руководящий документ. АС. Защита НСД к информации. Классификация автоматизированных систем и требования по защите информации Защищенность
СТР-К Защищенность Даются требования и рекомендации по вопросам технической защиты конфиденциальной информации
Из данной таблицы видно, с помощью каких стандартов и нормативных документов можно оценить качество информационной системы, а с помощью каких - лишь отдельные показатели.
Список литературы
1. СТО БР ИББС-1.0-2010. Обеспечение информационной безопасности организаций банковской системы РФ. Стандарт Банка России. М.: 2010.
2. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии (ФСТЭК) России от 30 августа 2002 года № 282.
3. ГОСТ Р ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 1. Введение и общая модель. Госстандарт России. М., 2008.
4. ГОСТ Р ИСО/МЭК 15408-2-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 2. Функциональные требования безопасности. Госстандарт России. М., 2008.
Шубин Алексей Николаевич, аспирант, shubin.an@mail.ru, Россия, Омск, Сибирская государственная автомобильно-дорожная академия
EVAL UA TION OF PROPERTIES OF INFORMA TION SYSTEMS IN STANDARDS FOR
INFORMA TION SECURITY
A.N. Shubin
The article reviewed the standards of information security, based on which the evaluation of properties of information systems. The article highlights the main methods of
assessing the quality of information (or quality) of information on each of the documents.
Key words: information security, quality information system, quality measures.
Shubin Alexey Nikolaevich, postgraduate, shubin.an@mail.ru, Russia, Omsk, Siberian State Automobile and Highway Academy
УДК 004.05
ЗАЩИТА ОТ ВИРУСОВ-БАНЕРОВ И ОСОБЕННОСТИ ИСПОЛЬЗОВАНИЯ ВИРТУАЛИЗАТОРОВ
Т.В. Яцюк
Рассмотрены особенности заражения и действенные методы лечения персонального компьютера от современных модификаций вирусов-банеров класса «Trojan.Winlock» и «Trojan-Ransom». Предложены решения технических проблем применения виртуализатора Oracle Virtual Box в качестве действенного средства, в учебно-воспитательном процессе школьников, связанном с заражениями компьютерными вирусами.
Ключевые слова: информационная деятельность, компьютерный вирус, вир-туализатор, виртуальная машина, хостовая операционная система, гостевая операционная система.
На современном этапе своего развития человечество представляет собой информационное общество, в котором информация выступает в качестве стратегического ресурса, информационная деятельность является ключевой, а компьютер, вычислительные сети и комплекс информационных и коммуникационных технологий (ИКТ) выступают в качестве технического и технологического базиса. Общество и государство как никогда заинтересованы в обеспечении защищенности информации и поддерживающей ее инфраструктуры, а также в цивилизованном осуществлении информационной деятельности в условиях применения компьютерной техники, вычислительных сетей и ИКТ [1]. На сегодняшний день разработчиками программного обеспечения предлагается широкий спектр средств обеспечения информационной безопасности компьютеров, что особенно актуально в условиях активного осуществления информационной деятельности пользователей в интернет-сервисах. В частности, конеч-
