Базовый уровень информационной безопасности предполагает упрощенный подход к анализу рисков. Но в ряде случаев базового уровня оказывается недостаточно. Для обеспечения повышенного уровня информационной безопасности необходимо знать параметры, характеризующие степень безопасности информационной системы, и количественные оценки угроз безопасности, уязвимости, ценности информационных ресурсов.
4. Управление рисками
В системах сбора и обработки финансовой, биржевой, налоговой или другой информации наибольшую опасность представляют хищения и преднамеренное искажение информации. Поиски мер по предотвращению ущерба при реализации угроз информационной безопасности и ликвидации последствий действия угроз привели к возникновению и широкому распространению в мировой практике системы, именуемой «управление риском». Это непрерывное и планомерное выявление рисков, которым подвергаются ресурсы организации и разработка системы мероприятий, направленных против возможного проявления рисков.
Управление рисками включает в себя не только повсеместную установку сложных систем безопасности, но и помогает идентифицировать риски и их факторы, а также способствует исключению или уменьшению рисков.
При разработке стратегии управления рисками возможно несколько подходов:
- уменьшение риска.Например, грамотное управление общими ресурсами сети и паролями пользователей снижает вероятность несанкционированного доступа;
- уклонение от риска.Например, вынесение Web-сервера за пределы локальной сети организации позволяет избежать несанкционированного доступа в локальную сеть со стороны Web-клиентов;
- изменение характера риска.Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры финансовой страховки;
- принятие риска.Многие риски не могут быть уменьшены до пренебрежимо малой величины.
5. Определение угроз
Одним из сложных процессов разработки концепции системы информационной безопасности является исследование возможных угроз и выделение потенциально опасных. Рассматривая цели, преследуемые нарушителями безопасности ИС, следует обратить внимание на нарушение конфиденциальности, целостности и доступности защищаемой информации.
Анализируя оценки общесистемных угроз безопасности ИС, следует отметить, что самыми опасными являются ошибки пользователей, так как их предотвратить достаточно сложно. Наименьшей опасностью характеризуется такая угроза, как перегрузка трафика, которую предотвратить достаточно просто, если соответствующим образом организовать мониторинг ресурсов системы.
Все угрозы безопасности и злоупотребления целесообразно разделить на три основные группы:
- неопасные, которые легко обнаруживаются и устраняются;
- опасные, для которых процессы предотвращения, с точки зрения технологии, не отработаны;
- очень опасные,которые обладают максимальными оценками по всем параметрам и реализация процессов противостояния сопряжен с огромными затратами.
6. Контроль информационной безопасности
Для обнаружения отклонений от политики безопасности и обеспечения расследования в случае возникновения инцидентов безопасности применяются программные средства двух классов.
Первый включает системы, которые только собирают журналы регистрации с удаленных компьютеров и хранят их в центральной базе данных, из которой с помощью встроенных механизмов администратором безопасности можно выбрать события и проанализировать их. Среди программных средств, относящихся к этому классу, можно выделить SecureLogManager, который поддерживает следующие журналы регистрации и операционные системы: WindowsNT и Windows 2000, Solaris и HPUX.
Ко второму классу относятся интеллектуальные системы, которые сами проводят первичный анализ и связывают события от разных приложений и компьютеров и предлагают генерировать отчеты с выводами о произошедших проблемах с информационной безопасностью. Наиболее яркими представителями второго класса систем являются SecureLogManagerи SAFEsuiteDecisions. Система SAFEsuiteDecisions позволяет собирать данные от систем анализа защищенности, систем обнаружения атак, межсетевых экранов и других средств защиты, расположенных в различных местах корпоративной сети.
Сбор данных (и генерация отчетов) может осуществлять как по запросу администратора, так и по расписанию или по событию. Система SAFEsuiteDecisions поддерживает единое время для всех своих агентов, что позволяет независимо от часовых поясов, анализировать собираемые события безопасности и обнаруживать скрытые взаимосвязи. Она позволяет создать более 90 различных отчетов, которые могут быть разделены на две категории:
- отчеты, объединяющие информацию об уязвимостях, атаках и событиях безопасности, полученных от брандмауэров;
- отчеты, консолидирующие сведения от указанных средств защиты.
7. Международная классификация компьютерных преступлений
QA:несанкционированный доступ и перехват:
- QAH - компьютерный абордаж (удаленное тестирование);
- QAL - перехват (анализ трафика);
- QAT - кража времени (работа над паролем другого);
- QAZ - прочие виды несанкционированного доступа и перехвата.
QD: изменение компьютерных данных:
- QDT - логические бомбы;
- QDV-троянские кони;
- QDV - компьютерные вирусы;
- QDW - компьютерные черви;
- QDZ - прочие виды изменения данных.
QF:компьютерное мошенничество:
- QFC - мошенничество с банкоматами;
- QFF - компьютерная подделка (данных, программного обеспечения, пластиковых карт);
- QFG - мошенничество с игровыми автоматами;
- QFM - манипуляции с программами ввода-вывода;
- QFT - телефонное мошенничество;
- QFP - мошенничество с платежными системами;
- QFZ - прочие компьютерные мошенничества.
QR:незаконное копирование:
- QRG - компьютерные игры;
- QRS - прочее ПО;
- QRT - топология полупроводниковых устройств;
- QRZ - прочее незаконное копирование. QS: компьютерный саботаж:
- QSM - с аппаратным обеспечением;
- QSS - с программным обеспечением;
- QSZ - прочие.
QZ: прочие компьютерные преступления:
- QZB - преступления с использованием компьютерных досок объявлений;
- QZE - хищения информации с коммерческой тайной;
- QZS - передача информации, подлежащей судебному рассмотрению;
- QZZ - прочие коммерческие преступления.
8. Криптографическая зашита. Понятие криптосистемы
Криптосистема состоит из одного или нескольких алгоритмов шифрования (математических формул), ключей, используемых этими алгоритмами шифрования, подсистемы управления ключами, незашифрованного и зашифрованного текстов. К тексту, который необходимо шифровать, применяются алгоритм шифрования и ключ для получения из него зашифрованного текста. Затем зашифрованный текст передается к месту назначения, где тот же самый алгоритм используется для его расшифровки, чтобы получить расшифрованный текст.
Алгоритм шифрования объединяет ключ с текстом для создания зашифрованного текста. Поэтому безопасность систем шифрования такого типа зависит от конфиденциальности ключа, используемого в алгоритме шифрования, а не от хранения в тайне самого алгоритма.
Существуют две методологии с использованием ключей - симметричная (с секретным ключом) и асимметричная (с открытым ключом). Каждая методология использует собственные способы распределения ключей, типы ключей и алгоритмы шифрования и расшифровки ключей.
При симметричном шифровании и для шифрования, и для расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договариваются заранее. Если только отправитель имеет ключ, с помощью которого можно зашифровать информацию, и только получатель имеет ключ, с помощью которого можно расшифровать информацию, то при расшифровке автоматически выполняется аутентификация отправителя.
При асимметричном шифровании ключи для шифрования и расшифровки разные, хотя и создаются вместе. Один ключ делается общедоступным (публичным), а другой держится закрытым (секретным). Хотя шифрование и расшифровывание можно выполнять обоими ключами - данные, зашифрованные одним ключом, могут быть расшифрованы только другим ключом.
9. Алгоритмы шифрования
9.1 Симметричные алгоритмы
Для шифрования и расшифровки используются одни и те же алгоритмы. Один и тот же секретный ключ используется для шифрования и расшифровки. Эти алгоритмы используется как симметричными, так и асимметричными криптосистемами.
DES(DataEncryptionStandard) самый популярный алгоритм шифрования, используемый как стандарт шифрования данных. При его применении текст шифруется блоками 64 бит и используется 64-битовый ключ.
Существует 4 режима работы этого алгоритма. Первый - электронная кодовая книга (ECB-ElectronicCodeBook), когда используется два различных алгоритма. Второй - цепочечный режим (CBC-CipherBlockChaining), в котором шифрование блока данных зависит от результатов шифрования предыдущих блоков данных. Третий - обратная связь по выходу (OFB-OutputFeedback), используется как генератор случайных чисел. И, наконец, четвертый - обратная связь по шифратору (CFB-CipherFeedback), используется для получения кодов аутентификации сообщений.
Тройной DES(3-DES) трижды использует алгоритм DES с различными 56-битными ключами. Каскадный 3-DES - это стандартный тройной DES, к которому добавлен механизм обратной связи.
Международный алгоритм шифрования IDEA поддерживает 64-битный блочный шифратор и 128-битный ключ.
Имеется несколько алгоритмов от RSADataSecurity. Первый из них RC2 поддерживает 64-битный блочный шифратор и ключ переменного размера. Он в 2 раза быстрее, чем DES и может использоваться в тех же режимах, что и DES, включая тройное шифрование.
Байт-ориентированный с ключом переменного размера алгоритм RC4 в 10 раз быстрее DES.
RC5 имеет размер блока 32, 64 или 128 бит и ключ с длиной от 0 до 2048 бит.