Содержание:

Введение

В соответствии с международными и национальными стандартами обеспечение информационной безопасности в любой компании предполагает следующее:
• определение целей обеспечения информационной безопасности компьютерных систем;
• создание эффективной системы управления информационной безопасностью;
• расчет совокупности детализированных качественных и количественных показателей для оценки соответствия информационной безопасности поставленным целям;
• применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
• использование методик управления безопасностью, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
Рассмотрим наиболее известные международные стандарты в области защиты информации, которые могут быть использованы в отечественных условиях.

Основные международные стандарты информационной безопасности и их описание

Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью — Информационные технологии» («Information technology — Information security management*) является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799—1:1995 «Практические рекомендации по управлению информационной безопасностью» («lnformation security management — Part 1: Code of practice for information security management*) и относится к новому поколению стандартов информационной безопасности компьютерных ИС.
Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799—1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
• необходимость обеспечения информационной безопасности;
• основные понятия и определения информационной безопасности;
• политика информационной безопасности компании;
• организация информационной безопасности на предприятии;
• классификация и управление корпоративными информационными ресурсами;
• кадровый менеджмент и информационная безопасность;
• физическая безопасность;
• администрирование безопасности КИС;
• управление доступом;
• требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;
• управление бизнес-процессами компании с точки зрения информационной безопасности;
• внутренний аудит информационной безопасности компании.

Вторая часть стандарта BS 7799—2:2000 «Спецификации систем управления информационной безопасностью» («Information security management — Part 2: Specification for information security management systems»), определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:
• «Введение в проблему управления информационной безопасностью» («Information security managment: an introduction*);
• «Возможности сертификации на требования стандарта BS 7799» («Preparing for BS 7799 sertification»);
• «Руководство BS 7799 по оценке и управлению рисками» («Guide to BS 7799 risk assessment and risk management*);
• «Руководство для проведения аудита на требования стандарта» («BS 7799 Guide to BS 7799 auditing*);
• «Практические рекомендации по управлению безопасностью информационных технологий» («Code of practice for IT management*).

В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях

Германский стандарт BSI

Германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.

В руководстве представлены:
• общая методика управления информационной безопасностью (организация менеджмента в области информационной безопасности, методология использования руководства);
• описания компонентов современных ИТ;
• описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);
• характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);
• характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и серверы под управлением ОС семейства DOS, Windows и UNIX);
• характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).
• характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;
• подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).

Международный стандарт ISO 15408 «Общие критерии безопасности информационных технологий»

В 1990 г. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки безопасности ИТ для общего использования.

За десятилетие разработки лучшими специалистами мира документ неоднократно редактировался. Первые две версии были опубликованы соответственно в январе и мае 1998 г. Версия 2.1 этого стандарта утверждена 8 июня 1999 г. Международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий».

Ведущие мировые производители оборудования ИТ сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.

ОК рассматривают информационную безопасность, во-первых, как совокупность конфиденциальности и целостности информации, обрабатываемой ИТ-продуктом, а также доступности ресурсов ВС и, во-вторых, ставят перед средствами защиты задачу противодействия угрозам, актуальным для среды эксплуатации этого продукта и реализации политики безопасности, принятой в этой среде эксплуатации. Поэтому в концепцию ОК входят все аспекты процесса проектирования, производства и эксплуатации ИТ-продуктов, предназначенных для работы в условиях действия определенных угроз безопасности.

ОК регламентируют все стадии разработки, квалификационного анализа и эксплуатации ИТ-продуктов. ОК предлагают концепцию процесса разработки и квалификационного анализа ИТ-продуктов, требующую от потребителей и производителей большой работы по составлению и оформлению объемных и подробных нормативных документов.

Стандарт ISO 15408 поднял стандартизацию ИТ на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных ИС, что в свою очередь откроет новые сферы применения ИТ.
Принятый базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен и для российских разработчиков.

Стандарты для беспроводных сетей

Cтандарт IEEE 802.11

«Патриархом» семейства стандартов беспроводных сетей является стандарт IEEE 802.11, разработка которого была начата в 1990-м, а закончена в 1997 году. Этот стандарт обеспечивает передачу данных на частоте 2,4 ГГц со скоростью до 2 Мбит/с. Передача данных осуществляется либо методом прямой последовательности (Direct Sequence Spread Spectrum, DSSS), либо методом изменения спектра скачкообразной перестройкой частоты (Frequency Hopping Spread Spectrum, FHSS). Технология DSSS основана на создании избыточного набора битов (чипа) на каждый переданный бит. Чип однозначно идентифицирует данные, поступившие от конкретного передатчика, который генерирует набор битов, а данные может расшифровать только приемник, которому известен этот набор битов. Технология FHSS использует узкополосную несущую частоту, скачкообразно меняющуюся в такой последовательности, которая известна только передатчику и приемнику. При правильной синхронизации передатчик и приемник поддерживают единый логический канал связи, любому же другому приемнику передача по протоколу FHSS представляется кратковременными импульсными шумами. С использованием технологии DSSS в диапазоне 2,4 ГГц могут одновременно работать (без перекрытия) три станции, а технология FHSS увеличивает число таких станций до 26. Дальность приема/передачи с использованием DSSS выше, чем у FHSS, за счет более широкого спектра несущей. Если уровень шума превышает некоторый определенный уровень, DSSS-станции перестают работать вообще, в то время как FHSS-станции имеют проблемы только на отдельных частотных скачках, но эти проблемы легко разрешаемы, вследствие чего станции FHSS считаются более помехозащищенными. Системы, в которых для защиты данных применяется FHSS, неэффективно используют полосу пропускания, поэтому скорость передачи данных здесь, как правило, ниже, чем в системах с технологией DSSS. Устройства беспроводных сетей с относительно низкой производительностью (1 Мбит/с) используют технологию FHSS.

Стандарт IEEE 802.11 получил свое дальнейшее развитие в виде спецификаций, в наименованиях которых присутствуют буквенные обозначения рабочей группы, разработавшей данную спецификацию.

Cтандарт IEEE 802.11a

Спецификация 802.11а использует диапазон частот 5,5 ГГц, что позволяет достичь пропускной способности канала 54 Мбит/с. Увеличение пропускной способности стало возможным благодаря применению технологии ортогонального частотного мультиплексирования OFDM (Orthogonal Frequency Division Multiplexing), которая была специально разработана для борьбы с помехами при многолучевом приеме. Технология OFDM предусматривает преобразование последовательного цифрового потока в большое число параллельных подпотоков, каждый из которых передается на отдельной несущей частоте.

Cтандарт IEEE 802.11b

Спецификация 802.11b является описанием технологии беспроводной передачи данных, получившей название Wi-Fi (Wireless Fidelity). Стандарт обеспечивает передачу данных со скоростью 11 Мбит/с на частоте 2,4 ГГц. Для передачи сигнала используется технология DSSS, при которой весь диапазон делится на пять перекрывающих друг друга поддиапазонов, по каждому из которых передается информация. Значения каждого бита кодируются последовательностью дополнительных кодов (Complementary Code Keying).

Cтандарт IEEE 802.11g

Спецификацию 802.11g можно представить как объединение стандартов 802.11a и 802.11b. Этот стандарт обеспечивает скорость передачи данных до 54 Мбит/с при использовании диапазона 2,4 ГГц. Аналогично стандарту 802.11a эта спецификация использует технологию OFDM, а также кодирование с помощью Complementary Code Keying, что обеспечивает взаимную совместимость работы с устройствами стандарта 802.11b.

Технологии и методы защиты данных в сетях Wi-Fi

Протокол безопасности WEP

Первой технологией защиты беспроводных сетей принято считать протокол безопасности WEP (Wired Equivalent Privacy — эквивалент проводной безопасности), изначально заложенный в спецификациях стандарта 802.11. Указанная технология позволяла шифровать поток передаваемых данных между точкой доступа и персональным компьютером в рамках локальной сети. Шифрование данных осуществлялось с использованием алгоритма RC4 на ключе со статической составляющей от 40 до 104 бит и с дополнительной случайной динамической составляющей (вектором инициализации) размером 24 бит; в результате шифрование данных производилось на ключе размером от 64 до 128 бит. В 2001 году были найдены способы, позволяющие путем анализа данных, передаваемых по сети, определить ключ. Перехватывая и анализируя сетевой трафик активно работающей сети, такие программы, как AirSnort, WEPcrack либо WEPAttack, позволяли вскрывать 40-битный ключ в течение часа, а 128-битный ключ — примерно за четыре часа. Полученный ключ позволял нарушителю входить в сеть под видом легального пользователя.

В ходе тестирования различного сетевого оборудования, работающего по стандарту 802.11, была обнаружена ошибка в процедуре предотвращения коллизий, возникающих при одновременной работе большого числа устройств беспроводной сети. В случае атаки устройства сети вели себя так, будто канал был все время занят. Передача любого трафика сети полностью блокировалась, и за пять секунд сеть полностью выходила из строя. Эту проблему невозможно было решить ни с помощью специализированного программного обеспечения, ни с использованием механизмов шифрования, так как данная ошибка была заложена в самой спецификации стандарта 802.11.

Подобной уязвимости подвержены все устройства беспроводной передачи данных, работающие на скоростях до 2 Мбит/с и использующие технологию DSSS (Direct Sequence Spread Spectrum). Сетевые устройства стандартов 802.11a и 802.11g, работающие на скоростях более 20 Мбит/с, данной уязвимости не подвержены.

Таким образом, технология WEP не обеспечивает надлежащего уровня безопасности корпоративной сети предприятия, но ее вполне достаточно для домашней беспроводной сети, когда объем перехваченного сетевого трафика слишком мал для анализа и вскрытия ключа.

Cтандарт IEEE 802.11X

Очередным шагом в развитии методов защиты беспроводных сетей было появление стандарта IEEE 802.11X, совместимого с IEEE 802.11. В новом стандарте были использованы протокол расширенной аутентификации Extensible Authentication Protocol (EAP), протокол защиты транспортного уровня Transport Layer Security (TLS) и сервер доступа RADIUS (Remote Access Dial-in User Server). В отличие от протокола WEP, стандарт IEEE 802.11X использует динамические 128-битные ключи, периодически меняющиеся во времени. Секретный ключ пересылается пользователю в зашифрованном виде после прохождения этапа аутентификации. Время действия ключа ограничено временем действующего на данный момент сеанса. После окончания текущего сеанса создается новый секретный ключ и снова высылается пользователю. Взаимная аутентификация и целостность передачи данных реализуется протоколом защиты транспортного уровня TLS. Для шифрования данных, как и в протоколе WEP, используется алгоритм RC4 с некоторыми изменениями.

В указанном стандарте были исправлены недостатки технологий безопасности, применяемых в 802.11, — это возможность взлома WEP и зависимость от технологий производителя. IEEE 802.11X поддерживается операционными системами Windows XP и Windows Server 2003. По умолчанию в Windows XP время сеанса работы на секретном ключе равно 30 минутам.

Стандарт безопасности WPA

В 2003 году был представлен следующий стандарт безопасности — WPA (Wi-Fi Protected Access), главной особенностью которого стали динамическая генерация ключей шифрования данных, построенная на базе протокола TKIP (Temporal Key Integrity Protocol) и позволяющая обеспечить конфиденциальность и целостность передаваемых данных. По протоколу TKIP сетевые устройства работают с 48-битовым вектором инициализации (в отличие от 24-битового вектора WEP) и реализуют правила изменения последовательности его битов, что исключает повторное использование ключей. В протоколе TKIP предусмотрена генерация нового 128-битного ключа для каждого передаваемого пакета и улучшенный контроль целостности сообщений с помощью криптографической контрольной суммы MIC (Message Integrity Code), препятствующей нарушителю изменять содержимое передаваемых пакетов. В итоге получается, что каждый передаваемый по сети пакет данных имеет собственный уникальный ключ, а каждое устройство беспроводной сети наделяется динамически изменяемым ключом. Хотя протокол TKIP работает с тем же блочным шифром RC4, который предусмотрен спецификацией протокола WEP, однако технология WPA защищает данные надежнее последнего. Ключи динамически меняются каждые 10 Кбайт. По заверениям разработчиков данного стандарта, вероятность получения одинаковых ключей очень мала.

В общем виде структуру защищенной технологии WPA можно представить как объединение стандарта безопасности IEEE 802.11X, протокола расширенной аутентификации EAP, протокола интеграции временного ключа TKIP, технологии проверки целостности сообщений MIC и централизованного сервера аутентификации RADIUS, предназначенного для работы с точками доступа беспроводной сети. Наличие аутентификации пользователей беспроводной сети также является характерной особенностью стандарта безопасности WPA. Точки доступа беспроводной сети для работы в системе сетевой безопасности стандарта WPA должны поддерживать аутентификацию пользователей по протоколу RADIUS. Сервер RADIUS сначала проверяет аутентифицирующую информацию пользователя (на соответствие содержимому своей базы данных об идентификаторах и паролях пользователей) или его цифровой сертификат, а затем активизирует динамическую генерацию ключей шифрования точкой доступа и клиентской системой для каждого сеанса связи. Для работы технологии WPA требуется механизм EAP-TLS (Transport Layer Security).

Централизованный сервер аутентификации наиболее целесообразно использовать в масштабах крупного предприятия. Для шифрования пакетов и расчета криптографической контрольной суммы MIC используется значение пароля.

Необходимым условием использования стандарта безопасности WPA в рамках конкретной беспроводной сети является поддержка данного стандарта всеми устройствами сети. Если функция поддержки стандарта WPA выключена либо отсутствует хотя бы у одного из устройств, то безопасность сети будет реализована по умолчанию на базе протокола WEP. Проверить устройства беспроводной сети на совместимость можно по спискам сертифицированных продуктов, представленных на Web-сайте организации Wi-Fi Alliance (http://www.wi-fi.org).

WPA изначально разрабатывался как временный стандарт, поэтому широкое распространение получила как его аппаратная, так и программная реализация. Например, установка обновления Service Pack SP1 операционной системы Windows XP на ноутбуках Intel Centrino дает возможность использовать стандарт WPA. В силу того что большинство программных реализаций стандарта WPA генерируют секретный ключ, используя пароль пользователя и сетевое имя компьютера, то знание этого пароля позволяет нарушителям беспрепятственно проникнуть в беспроводную сеть. Пароль является основой для получения ключа шифрования, и поэтому разумный подход к его выбору имеет решающее значение для безопасности всей сети. Нарушитель, несколько раз понаблюдав процедуру обмена ключами с точкой доступа, может осуществить анализ трафика на предмет получения пароля. Считается, что пароли длиной менее 20 знаков значительно снижают безопасность беспроводной сети.

Стандарт IEEE 802.11i

В середине прошлого года спецификация защиты сетей Wi-Fi получила окончательное одобрение комитета по стандартам IEEE и была представлена в виде стандарта IEEE 802.11i, получившего название WPA2. В основе этого стандарта лежит концепция надежно защищенной сети — Robust Security Network (RSN), в соответствии с которой точки доступа и сетевые устройства должны обладать отличными техническими характеристиками, высокой производительностью и поддержкой сложных алгоритмов шифрования данных. Технология IEEE 802.11i является дальнейшим развитием стандарта WPA, поэтому в этих стандартах реализовано много аналогичных решений, например архитектура системы безопасности по аутентификации и обновлению ключевой информации сети. Однако указанные стандарты существенно отличаются друг от друга. В WPA процедура шифрования данных построена на базе протокола TKIP, а технология IEEE 802.11i основана на алгоритме AES (Advanced Encryption Standard), обеспечивающем более надежную защиту и поддерживающем ключи длиной 128, 192 и 256 бит. В технологии IEEE 802.11i алгоритм AES выполняет ту же функцию, что и алгоритм RC4 в протоколе TKIP стандарта WPA. Защитный протокол, использующий AES, получил название CCMP (Counter Mode with CBC-MAC Protocol). Для подсчета криптографической контрольной суммы MIC протокол CCMP применяет метод CBC-MAC (Cipher Block Chaining Message Authentication Code).

Следует отметить, что новая технология IEEE 802.11i тоже не является окончательным решением проблемы безопасности сетей Wi-Fi, поскольку пользователям беспроводных сетей потребуется более гибкая система управления безопасностью сети.

Предотвращение угроз безопасности беспроводных сетей

По результатам анализа возможных угроз безопасности беспроводных сетей специалисты предлагают некоторые правила по организации и настройке беспроводных сетей:

• при создании беспроводных сетей необходимо проверить совместимость используемого сетевого оборудования (данную информацию можно получить на Web-сайте организации Wi-Fi Alliance: http://www.wi-fi.org);
• правильное размещение антенн и уменьшение зоны действия беспроводной сети путем ограничения мощности передачи антенны позволяет снизить вероятность несанкционированного подключения к беспроводной сети;
• в настройках сетевого оборудования следует отключить широковещательную рассылку идентификатора SSID. Необходимо запретить доступ пользователей, имеющих значение идентификатора SSID «Аny»;
• для настройки точки доступа желательно использовать проводное соединение, отключив по возможности беспроводной доступ к настройкам параметров. Пароль для доступа к настройкам точки доступа должен быть сложным;
• следует периодически проводить аудит безопасности беспроводной сети, устанавливать обновления драйверов и операционных систем;
• использовать список МАС-адресов легальных пользователей беспроводной сети;
• одной из основных задач администратора сети является периодическая смена статических паролей;
• ключи, используемые в сети, должны быть максимально длинными. Постоянная смена ключевой информации повысит защищенность сети от несанкционированного доступа;
• технология шифрования данных беспроводной сети должна обеспечивать наивысшую степень защиты с учетом ее поддержки всеми сетевыми устройствами беспроводной сети;
• на всех компьютерах сети желательно установить файерволы и отключить максимально возможное число неиспользуемых сетевых протоколов, чтобы ограничить возможность проникновения нарушителя внутрь сети;
• администратор сети обязан регулярно проводить административно-организационные мероприятия по недопущению разглашения паролей пользователей и другой ключевой информации.

Стандарты информационной безопасности в Интернете

В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.

Ssl (tls)

Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.

SET

SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту Х.509 и предназначен для организации электронной торговли через сеть.

Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет.

IPSec

Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.

Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других криптографических алгоритмов.

Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:

• поддержку немодифицированных конечных систем;
• поддержку транспортных протоколов, отличных от ТСР;
• поддержку виртуальных сетей в незащищенных сетях;
• защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного анализа трафика);
• защиту от атак типа "отказ в обслуживании".

Кроме того, IPSec имеет два важных преимущества:

1. его применение не требует изменений в промежуточных устройствах сети;
2. рабочие места и серверы не обязательно должны поддерживать IPSec.

Инфраструктура управления открытыми ключами PKI (Public Key Infrastructure) предназначена для защищенного управления криптографическими ключами электронного документооборота, основанного на применении криптографии с открытыми ключами. Эта инфраструктура подразумевает использование цифровых сертификатов, удовлетворяющих рекомендациям международного стандарта Х.509 и развернутой сети центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами.

Ссылки

http://ypn.ru/177/international-standards-of-information-technologies-security/4/

https://studfiles.net/preview/6211046/page:3/

https://ru.wikipedia.org/wiki/Стандарты_информационной_безопасности

https://compress.ru/article.aspx?id=10523#Основные%20стандарты%20беспроводных%20сетей

https://studfiles.net/preview/6211052/page:10/