Введение. Стандарты и рекомендации в области информационной безопасности.

Стандарты и рекомендации в области информационной безопасности.

Методические указания

для выполнения курсового проекта

Часть 1.

Ухта, 2009

УДК

С

Николенко, Н.А., Некучаева Н.А. Стандарты и рекомендации в области информационной безопасности [Текст]: Метод. указания для курсового проекта: В 2ч. Ч. 1 / Н.А.Николенко, Н.А. Некучаева. – Ухта: УГТУ, 2009. – 71 с.: ил.

Методические указания предназначены для студентов дневной и заочной форм обучения по специальности 230201 «Информационные системы и технологии» изучающих дисциплину «Информационная безопасность и защита и информации».

Содержания указаний соответствует рабочей учебной программе.

Методические указания рассмотрены и одобрены кафедрой ИСТ пр. № 4 от 16.11.2009 г. и предложены для издания.

Рецензент доцент, кандидат технических наук А.В. Семериков

План 2009 г., позиция 69.

Подписано в печать Компьютерный набор.

Объем 71 с. Тираж 100 экз. Заказ №

Ó Ухтинский государственный технический университет, 2009 169300, г.Ухта, ул. Первомайская, 13

Отдел оперативной полиграфии УГТУ

169300, г.Ухта, ул.Октябрьская, 13

Содержание

Введение. 6

1 Стандарты и рекомендации в области информационной безопасности. 8

1.1 Критерии оценки надежных компьютерных систем (" Оранжевая книга" Министерства обороны США) 8

1.1.1 Основные понятия. 9

1.1.2 Основные элементы политики безопасности. 10

1.1.3 Подотчетность. 15

1.1.4 Гарантированность. 18

1.1.5 Документация. 22

1.1.6 Классы безопасности. 24

1.1.7 Некоторые комментарии. 35

1.2 Гармонизированные критерии Европейских стран. 36

1.2.1 Основные понятия. 37

1.2.2 Функциональность. 39

1.2.3 Гарантированность эффективности. 42

1.2.4 Гарантированность корректности. 43

1.3 Руководящие документы по защите от несанкционированного доступа Гостехкомиссии при Президенте РФ.. 45

1.3.1 Концепция защиты от несанкционированного доступа к информации. 45

1.3.2 Классификация средств вычислительной техники по уровню защищенности от НСД 49

1.3.3 Классификация автоматизированных систем по уровню защищенности от НСД 50

1.4 Особенности информационной безопасности компьютерных сетей. 55

1.4.1 Рекомендации X.800. 55

1.4.2 Функции (сервисы) безопасности. 56

1.4.3 Механизмы безопасности. 58

1.4.4 Интерпретация " Оранжевой книги" для сетевых конфигураций. 63

Заключение. 71

Литература. 72

Введение

Важность проблемы информационной безопасности сейчас очевидна не для всех. Однако очевидна ее (проблемы) сложность, проистекающая как из сложности и разнородности современных информационных систем, так и из необходимости комплексного подхода к безопасности с привлечением законодательных, административных и программно-технических мер.

Информационной безопасностью занимаются давно. Первоначально это было прерогативой государственных организаций, имеющих дело с секретной информацией или отвечающих за обеспечение режима секретности. В 1983 году Министерство обороны США выпустило книгу в оранжевой обложке с названием " Критерии оценки надежных компьютерных систем" (Trusted Computer Systems Evaluation Criteria, TCSEC) [11], положив тем самым начало систематическому распространению знаний об информационной безопасности за пределами правительственных ведомств. Во второй половине 1980-х годов аналогичные по назначению документы были изданы в ряде Европейских стран [15]. В 1992 году в России Гостехкомиссия при Президенте РФ издала серию брошюр, посвященных проблеме защиты от несанкционированного доступа [1].

В настоящее время в России, в силу целого ряда причин, наблюдается всплеск интереса к информационной безопасности. В этих условиях ощущается острая нехватка литературы на русском языке, посвященной данной тематике. В то же время даже человеку, свободно читающему по-английски и имеющему практически неограниченный доступ к англоязычной литературе, крайне сложно приобрести навыки, полезные на практике. Как строить безопасные, надежные системы? Как поддерживать режим безопасности? " Оранжевая книга" и издания, следующие в ее фарватере, не дают ответов на эти вопросы, поскольку ориентированы в первую очередь на разработчиков информационных систем, а не на пользователей или системных администраторов. Конечно, основы знать необходимо, однако от основ до практики — дистанция огромного размера. Да и оценки важности различных аспектов безопасности в государственных и коммерческих структурах весьма различны.

Все сходятся на том, что защитные мероприятия призваны обеспечить конфиденциальность, целостность и доступность информации, однако если для режимных государственных организаций на первом месте стоит конфиденциальность, а целостность понимается исключительно как неизменность информации, то для коммерческих структур, вероятно, важнее всего целостность (актуальность) и доступность данных и услуг по их обработке. По сравнению с государственными, коммерческие организации более открыты и динамичны, поэтому вероятные угрозы для них отличаются и количественно, и качественно.

Данная работа делится на две части. В первой (Часть 1. Стандарты и рекомендации в области информационной безопасности) читатель найдет сведения о рекомендациях и стандартах в области безопасности. Знакомство с этой главой желательно, но не обязательно. Во второй части (Часть 2. Практический подход к созданию и поддержанию режима информационной безопасности) предлагаются практические рекомендации по созданию и поддержанию режима информационной безопасности.

В качестве методологической основы для изложения программно-технического аспекта защиты выбран подход клиент/сервер. Это объясняется двумя основными причинами. Во-первых, подход клиент/сервер позволяет провести декомпозицию сложной информационной системы, после чего можно относительно независимо рассматривать вопросы защиты отдельных компонентов (сервисов). Во-вторых, ряд защитных услуг реализуется с помощью серверов в строгом смысле этого слова (пример – сервер аутентификации Kerberos).

После изложения общих вопросов информационной безопасности последует рассмотрение конкретных сервисов, присутствующих в большинстве конфигураций. Имеются в виду серверы СУБД, почтовые службы, сервер аутентификации Kerberos и т.д. Операционная система также трактуется как набор сервисов. Для каждого сервиса будут описаны защитные механизмы, методы их использования и настройки. В результате, как мы надеемся, читатель получит информацию, способную помочь ему в практической деятельности.