Стандартизация технологии безопасности информационных систем

Министерство образования и науки РФ

ФГБОУ ВПО ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

Физико-математический факультет

Кафедра «Высшая и прикладная математика»

 

 

 

 

 

КУРСОВАЯ РАБОТА

По дисциплине: «Проектирование программного обеспечения»

На тему: «Стандартизация технологии безопасности информационных систем»

 

 

 

 

 

Выполнила:  ст. гр. 11ФВ1

Иванов О.А.

Проверил: к. ф.-м. н. доцент

Тында А.Н.

 

 

 

 

 

 

 

Пенза, 2014 
СОДЕРЖАНИЕ

 

Введение 3

1. Стандарты информационной безопасности 4

     1.1. Понятие безопасности информации 4

     1.2. Международный стандарт информационной  безопасности 5

     1.3. Особенности процесса  стандартизации в интернете 7

     1.4. Стандарты безопасности в интернете 8

     1.5. Особенности  российского рынка 10

     1.6. Государственные стандарты 12

     1.7. Практическая важность стандартов безопасности 14

2. Безопасность программного обеспечения и человеческий фактор. Психология программирования 15

     2.1. Человеческий  фактор 15

     2.2. Хакеры и группы хакеров 16

     2.3. Портрет харека 18

     2.4. Информационная война 20

     2.5. Психология программирования 24

 

Заключение 27

Список литературы 28

 

Введение

Проблема информационной компьютерной безопасности не нова - специалисты занимаются ею с того самого момента, как компьютер начал обрабатывать данные, ценность которых высока для пользователя. Однако за последние годы в связи с развитием сетей, ростом спроса на электронные услуги ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей ИТ-средств.

Любой специалист по информационной безопасности проходит в своем профессиональном развитии три этапа. Первый из них - "работа руками". Новичок усиленно, с привлечением специализированных средств, ищет и ликвидирует вполне конкретные бреши в системном и прикладном ПО. Сканер, патч, порт, соединение - вот сущности, с которыми он работает на данном этапе.

Вторая ступень - "работа головой". Устав затыкать все новые и новые бреши, специалист приступает к разработке планов и методик, цель которых - упорядочить действия по повышению безопасности систем и ликвидации последствий информационных угроз. Именно на данной стадии возникает понятие "политики безопасности".

Наконец, приходит пора осмысления - на этом этапе умудренный опытом специалист понимает, что он, скорее всего, изобретает велосипед, поскольку стратегии обеспечения безопасности наверняка уже были разработаны до него. И в этом он, безусловно, прав.

Многочисленные организации по всему миру уже давно занимаются проблемой информационной безопасности, итогом их деятельности стали увесистые фолианты стандартов, положений, рекомендаций, правил и т.д. Изучать весь объем вряд ли целесообразно, однако знать основополагающие документы, конечно же, стоит.

 

1. Стандарты информационной безопасности

1.1. Понятие безопасности информации

Развитие информационных и телекоммуникационных систем различного назначения (в первую очередь сети Интернет), а также электронный обмен ценной информацией, нуждающейся в защите, потребовали от специалистов, работающих в этой сфере, систематизировать и упорядочить основные требования и характеристики компьютерных систем в части обеспечения безопасности. Однако перед тем, как перейти к рассмотрению сформированных стандартов, нужно определить, что же такое безопасность.

Учитывая важность понятия, попробуем сформулировать его расширенное определение, в котором будут учтены последние международные и отечественные наработки в этой области. Итак, безопасность информации - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя. Такое определение наиболее полно учитывает главное назначение коммерческой информационной компьютерной системы - минимизация финансовых потерь, получение максимальной прибыли в условии реальных рисков.

Это положение особенно актуально для так называемых открытых систем общего пользования, которые обрабатывают закрытую информацию ограниченного доступа, не содержащую государственную тайну. Сегодня системы такого типа стремительно развиваются и в мире, и у нас в стране.

 

1.2. Международный стандарт информационной безопасности

Общеизвестно, что стандартизация является основой всевозможных методик определения качества продукции и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт ISO 15408, известный как "Common Criteria".

Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен для российских разработчиков. Тем более что в текущем, 2001 году Госстандарт планирует подготовить гармонизованный вариант этого документа. Международная организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

Общие критерии (ОК) созданы для взаимного признания результатов оценки безопасности ИТ в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования.

Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Этот стандарт полезен в качестве руководства при разработке функций безопасности ИТ, а также при приобретении коммерческих продуктов с подобными свойствами. Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами. В будущем ожидается создание специализированных требований для коммерческой кредитно-финансовой сферы. Напомним, что прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна.

Выпуск и внедрение этого стандарта за рубежом сопровождается разработкой новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. Иными словами, создаются технические и программные средства ЭВМ, отвечающие Общим критериям. Например, международная организация "Open Group", объединяющая около 200 ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, "Open Group" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации.

 

1.3. Особенности процесса стандартизации в Интернете

В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются стандартизацией всех интернет-технологий. Эти организации, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF), уже стандартизировали нескольких важных протоколов, тем самым ускорив их внедрение в сети. Семейство протоколов для передачи данных TCP/IP, SMTP и POP для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью - результаты деятельности IETF.

За несколько последних лет сетевой рынок стал свидетелем так называемого фрагментированного влияния на формирование стандартов. По мере того, как Интернет ширился и обретал черты потребительского и коммерческого рынка, некоторые фирмы стали искать пути влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали даже неформальные органы, такие как IETF. По мере развития рынков, связанных с Интернетом, предприниматели начали объединяться в специальные группы или консорциумы для продвижения своих собственных стандартов. В качестве примеров можно упомянуть OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum и Java Development Connection. Порой стандарты де-факто задают своими покупками или заказами серьезные потребители интернет-услуг.

Одна из причин появления различных групп по стандартизации состоит в противоречии между постоянно возрастающими темпами развития технологий и длительным циклом создания стандартов.

 

1.4. Стандарты безопасности в Интернете

В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.

SSL (TLS) - Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.

SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту Х.509 и предназначен для организации электронной торговли через сеть.

Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет.

IPSec - Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.

Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других криптографических алгоритмов.

Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:

• поддержку немодифицированных конечных систем;
• поддержку транспортных протоколов, отличных от ТСР;
• поддержку виртуальных сетей в незащищенных сетях;
• защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного анализа трафика);
• защиту от атак типа "отказ в обслуживании".

Кроме того, IPSec имеет два важных преимущества:

1. его применение не требует изменений в промежуточных устройствах сети;
2. рабочие места и серверы не обязательно должны поддерживать IPSec.

 

1.5. Особенности российского рынка

Исторически сложилось, что в России проблемы безопасности ИТ изучались и своевременно решались только в сфере охраны государственной тайны. Аналогичные, но имеющие собственную специфику задачи коммерческого сектора экономики долгое время не находили соответствующих решений. Данный факт до сих пор существенно замедляет появление и развитие безопасных ИТ-средств на отечественном рынке, который интегрируется с мировой системой. Тем более что у защиты информации в коммерческой автоматизированной системе есть свои особенности, которые просто необходимо учитывать, ведь они оказывают серьезное влияние на технологию информационной безопасности. Перечислим основные из них :

Приоритет экономических факторов. Для коммерческой автоматизированной системы очень важно снизить либо исключить финансовые потери и обеспечить получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Важным условием при этом, в частности, является минимизация типично банковских рисков (например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т.п.);

Открытость проектирования, предусматривающая создание подсистемы защиты информации из средств, широко доступных на рынке и работающих в открытых системах;

Юридическая значимость коммерческой информации, которую можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с правовым режимом информационных ресурсов, установленным законодательством Российской Федерации. Это условие в последнее время приобретает все большую значимость в нашей стране наряду с созданием нормативно-правовой базы безопасности ИТ (особенно при взаимодействии автоматизированных систем разных юридических лиц).