Смекни!
smekni.com

Основы информационной безопасности для организации ООО СКБ Контур (стр. 4 из 5)

· соответствующей ЭИП другого лица;

· не соответствующей ЭИП данного пользователя, хотя он зарегистрирован в системе.

В качестве биометрических признаков применяются следующие:

· отпечатки пальцев (плоская картинка);

· геометрическая форма кисти руки (от одномерной до ЗD-технологии);

· форма и размер лица (от одномерной до ЗD-технологии);

· частотные характеристики и тембр голоса (например, по EAL2);

· узор радужной оболочки и особенности сетчатки глаза.

Надежные промышленные технологии биометрической идентификации должны быть созданы в недалеком будущем, GartnerGroup ожидает их появление не ранее, чем через 10 лет.

6. Обоснование необходимости использования ЭЦП и предложения по её внедрению и применению в информационном процессе организации

Для подписания электронных документов или любых данных, предоставленных в цифровой (электронной) форме, используется так называемая электронная цифровая подпись. Электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения.

Электронная цифровая подпись формируется с помощью закрытого ключа, который может храниться на дискете, в системном реестре, на смарт-картах и т. д. ).1сктронная цифровая подпись может быть проверена с помощью открытого ключа, парного тому закрытому ключу, с помощью которого формировалась эта ЭЦП. Таким образом, зная открытый ключ пользователя, можно с точностью установить, подписывал ли он данный документ.

Широкому распространению средств ЭЦП препятствует и отсутствие необходимой инфраструктуры в виде удостоверяющих центров (УЦ) и центров сертификации.

По мнению многих экспертов, популяризация ЭЦП в значительной мере сдерживается и таким субъективным фактором, как психология пользователей. Например, многие руководители промышленных предприятий и управленческих структур изначально скептически относятся к переходу на использование электронной подписи, и причиной этого является проблема отчуждаемости ЭЦП от ее владельца. В самом деле, подделать можно и обычную подпись, причем настолько искусно, что отличить ее от настоящей позволит только тщательная графологическая экспертиза, но вот «украсть» ее нельзя в принципе. С электронным аналогом подписи подобное возможно, по крайней мере, в отношении брелока или смарт-карты, на которой хранится секретный ключ. Как показывает практика, проблема отчуждаемости электронных средств от их владельцев возникает всякий раз, когда речь заходит о технологических инновациях в сфере персонифицированных средств (исключением, пожалуй, можно считать лишь область биометрии).

Невысокие темпы внедрения систем, поддерживающих сервисы ЭЦП, могут быть объяснены следующими сдерживающими факторами:

• переход на безбумажную технологию продвигается медленно, в том числе из-за недоверия к надежности информационных систем и систем защиты информации;

• обилие прикладных информационных систем, не содержащих встроенную поддержку ЭЦП и других средств защиты;

• внедрение ЭЦП по приказу «сверху» без заинтересованности «снизу»;

• отсутствие отдельного бюджета на системы защиты;

• отсутствие подготовленных кадровых ресурсов, способных выстроить процесс внедрения и эксплуатации, включая поддержку необходимых регламентов работы;

• отсутствие корневого национального сертификата.

Темпы внедрения ЭЦП могли быть гораздо выше. Одной из непременных составляющих создания систем с поддержкой ЭЦП должна стать система доверительных отношений между информационными ресурсами, содержащими конфиденциальности, так и во всей иерархической структуре органов власти (так называемая доверенная среда).

Таблица 3.Некоторые криптографические алгоритмы, разработанные и применяемые


в России, США и Европе

1 .Алгоритмы являющиеся национальным стандартом США.

2.Алгоритмы являющиеся собственностью RSADataSecurity, Inc. (США).

З.Алгоритм Дж. Месси - собственность Ascom-TechAG(Швейцария).

4.Срок действия патента на алгоритм Диффи-Хеллмана (Diffie-Hellman) США истек 29 марта 1997 года.

5.Алгоритм Клауса Шнора (KlausSchnorr. Германия).

6.Алгоритм, разработанный Давидом Шомом (DavidChaum) - DigiCachBV(Нидерланды).

7.Алгоритмы, являющиеся государственным стандартом РФ.

8.Алгоритмы, являющиеся собственностью "ЛАН" Крипто (Россия).

7. Предложения по структуре СИБ и размещению её элементов в ЛВС АПКУ организации. Схема ЛВС организации с предлагаемыми элементами СИБ

Основываясь на критериях, которые выбирают эксперты (в данном случае ими являются квалифицированные сотрудники «СКБ Контур») и составленной таблице различных средств информационной защиты и их характеристик (Приложение 4) можно предложить следующий комплекс системы информационной безопасности:

Полное наименование средства

Фирма-производител ь

Количество Цена Общая стоимость

Единицаизмерения

цены

Firewall Kaspersky Internet Security 7.0 "Лаборатория Касперского" 1 3900 3900 рубли
Kaspersky Anti-Virus "Лаборатория Касперского" 32 980 31360 рубли
CS IMAGEmanager Cisco Systems 1 86251 86251 рубли
Secret Disk 4 Lite Aladdin 32 2499 79968 рубли
eToken NG-FLASH/64K/4GB Aladdin 32 4200 134400 рубли
Процессорная карта eTokenPRO/SC Aladdin 32 650 20800 рубли
Электронныйключ eTokenPRO/64Kcert Aladdin 32 1,62 51,84 рубли
IIASP HL Max Aladdin 1 5490 5490 рубли
IBM Tivoli Storage Manager IBM 1 4271,1 5 4271,15 рубли
USB-ключи для защиты программ и данных от копирования, нелегального использования и несанкционированног о распространения HASPHLNet250 Alladin 64 5,49 352 рубли
Цифровой конверт "Веста" Лан "Крипто" 4 1936 7744 рубли
Итого: 366843,99 рубли

Характеристика СИБ для «СКБ Контур»

№ п/п Наименования показателей Классы защищённости
6 5 4
1. Дискреционный принцип контроля доступа. + - -
2. Мандатный принцип контроля доступа. - + -
3. Очистка памяти. - - +
4. Изоляция модулей. - - +
5. Маркировка документов. - + -
6. Защита ввода и вывода на отчуждаемый физический носитель данных. +
7. Сопоставление пользователя с устройством. + - -
8. Идентификация и аутентификация. + - -
9. Гарантии проектирования. + - -
10. Регистрация. - - +
11. Целостность комплекса средств защиты. (КСЗ - СИБ). - - +
12. Тестирование. - - +
13. Руководство пользователя - +
14. Руководство по комплексу средств защиты. - - +
15. Тестовая документация. - + -
16. Конструкторская (проектная) документация. + -

8. Основные экономические характеристики СИБ и предложения по этапности её внедрения

Таким образом общая стоимость комплекса средств защиты информации составила 366843,99 рублей. Безусловно, это необходимый минимум средств, в котором нуждается компания, для того чтобы обеспечить информационную безопасность.

Вариант такого комплекса относительно недорог и удобен тем, что систему возможно внедрить единовременно.

Рекомендательный этап. Выполняется комплекс работ, связанный с размещением элементов СИБ в узлах ЛВС, анализом полученных результатов. Основные внимание уделяется тестированию СИБ с использованием комплекса многофункциональных тестов, обеспечивающих предотвращение проникновения программных злоупотреблений, а также снижения потенциальной опасности потери ресурсов.

Разрабатывается комплекс методических и инструктивных материалов, описывающих реализацию СИБ, содержащий следующие разделы:

- ПОЛИТИКА - описание конечных целей защиты и подготовки персонала, а также мер, направленных на достижение целей защиты и обеспечивающих адекватную защиту (требования к защите и ее стоимость должны соответствовать ценности обрабатываемой информации);

- ТЕКУЩЕЕ СОСТОЯНИЕ - описание статуса объектов, субъектов и механизмов защиты в момент составления плана;

- РЕКОМЕНДАЦИИ - описание основных шагов для достижения целей защиты, обеспечивающих достижение целей политики безопасности, способов и механизмов ее реализации в конкретной системе;

- ОТВЕТСТВЕННОСТЬ - список лиц, ответственных за функционирвание средств защиты, а также зон ответственности;

- РАСПИСАНИЕ - описание порядка работы механизмов СИБ, включая меры контроля.

- ПЕРЕСМОТР - описание положений плана, которые периодически подвергаются пересмотру, а также содержание конкретных организационно-технических мероприятий.

Ввод СИБ в эксплуатацию.В рамках заключительного этапа реализуется комплекс работ по обучению персонала, внедрению механизмов защиты и их тестированию на основе информации о новых угрозах и каналах утечки информации, модификации информационных и коммуникационных технологий.


9. Выводы, предложения и рекомендации по дальнейшему развитию и совершенствованию СИБ

В реферате были проанализированы основные источники угроз информационной безопасности организации «СКБ Контур» и была разработана и предложена СИБ для этой организации. При этом такая СИБ позволит в значительной мере сократить ущерб в случае возникновения угроз. Такой ущерб оценивают в 40-45% прибыли, что значительно выше, чем затраты на внедрение СИБ.