Стандарты и спецификации в области информационной безопасности доклад

Обновлено: 02.07.2024


Во-вторых, и те и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.

Потребители заинтересованы в методах, позволяющих выбрать продукт, соответствующий их запросам и решающий их проблемы, это может быть в том числе и VPS под управлением ОС Wшndows Server, для чего им необходима шкала оценки безопасности. А так же потребителю необходим инструмент, с помощью которого он сможет сформулировать свои требования перед произво¬дителем. К большому сожалению, многие потребители зачастую не пони¬мают, что требования безопасности обязательно противоречат не только удобству работы но быстродействию, а чаще накладывают определенные ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных, удобных в использовании, но менее защищенных средств.

Специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности и предоставить потребителям возможность сделать для себя наиболее эффективный выбор.

Так же нельзя не отметить что ранее указанная роль стандартов зафиксирована и в Федеральном законе "О техническом регулировании" от 27.12.2002 N 184-ФЗ

Статья 7. Пункт 8:

Международные стандарты должны использоваться полностью или частично в качестве основы для разработки проектов технических регламентов, за исключением случаев, если международные стандарты или их разделы были бы неэффективными или не подходящими для достижения установленных статьей 6 настоящего Федерального закона целей, в том числе вследствие климатических и географических особенностей Российской Федерации, технических и (или) технологических особенностей. (в ред. Федерального закона от 18.07.2009 N 189-ФЗ)
Национальные стандарты Российской Федерации могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов.

Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов.

В данном стандарте представлены не только общая схема функционирования скрытых каналов в автоматизированной системе, правила формирования модели угроз, но и различные рекомендации по защите информации и применяемые при построении системы информационной безопасности методики, учитывающие наличие подобных скрытых каналов.

Ниже на рисунке 1, представлена общая схема функционирования скрытых каналов в автоматизированной системе.



Рисунок 1 — Общая схема механизма функционирования скрытых каналов в автоматизированной системе

1 — нарушитель безопасности (злоумышленник), целью которого является несанкционированный доступ к информации ограниченного доступа либо несанкционированное влияние на автоматизированную систему;
2 — информация ограниченного доступа либо критически важная функция;
3 — субъект, имеющий санкционированный доступ к 2 и 5;
3' — агент нарушителя безопасности, находящийся в замкнутом контуре с 2 и взаимодействующий с 2 от имени субъекта 3;
4 — инспектор (программное, программно-аппаратное, аппаратное средство или лицо), контролирующий(ее) информационное взаимодействие 3, пересекающее замкнутый контур, отделяющий объект информатизации от внешней среды;
5 — субъект, находящийся вне замкнутого контура, с которым 3 осуществляет санкционированное информационное взаимодействие

Угрозы безопасности, которые могут быть реализованы с помощью скрытых каналов, включают в себя:

1. Внедрение вредоносных программ и данных;
2. Подачу злоумышленником команд агенту для выполнения;
3. Утечку криптографических ключей или паролей;
4. Утечку отдельных информационных объектов.

Защита информации, информационных технологий и автоматизированных систем от атак, реализуемых с использованием скрытых каналов, является циклическим процессом, включающим в себя следующие этапы, повторяющиеся на каждой из итераций процесса:

1. Анализ рисков для активов организации, включающий в себя выявление ценных активов и оценку возможных последствий реализации атак с использованием скрытых каналов
2. Выявление скрытых каналов и оценка их опасности для активов организации
3. Реализация защитных мер по противодействию скрытых каналов
4. Организация контроля за противодействием скрытых каналов.

Цикличность процесса защиты от угроз информационной безопасности, реализуемых с использованием скрытых каналов, определяется появлением новых способов построения скрытых каналов, неизвестных на момент предыдущих итераций.

На основании оценки опасности скрытых каналов с учетом результатов проведенного анализа рисков делается вывод о целесообразности или нецелесообразности противодействия таким каналам.

По результатам выявления скрытых каналов формируется план мероприятий по противодействию угрозам, реализуемым с их использованием. Данные мероприятия могут включать в себя реализацию одного из уже известных (либо усовершенствование уже существующих) методов противодействия угрозам информационной безопасности, реализуемым с использованием скрытых каналов.

В качестве защитных мероприятий целесообразно использовать:

1. Снижение пропускной способности канала передачи информации;
2. Архитектурные решения построения автоматизированных систем;
3. Мониторинг эффективности защиты автоматизированных систем.

Выбор методов противодействия угрозам информационной безопасности арендуемого вами VDS сервера, реализуемым с использованием скрытых каналов и формирование плана по их реализации определяется экспертами, исходя из индивидуальных особенностей защищаемой автоматизированной системы.

Как видите, даже краткий перечень стандартов, далеко не краткий, не говоря уже о нормативных актах и рекомендациях, однако необходимо обладать хотя бы базовыми знаниями в данной области, чтобы можно было не только ориентироваться но и применять на практике необходимые стандарты.

Читайте также: