Безопасность инфокоммуникаций: стандартизация, измерения соответствия и подготовка кадров
Учебное пособие для вузов
Покупка
Издательство:
Горячая линия-Телеком
Год издания: 2020
Кол-во страниц: 160
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
ВО - Бакалавриат
ISBN: 978-5-9912-0706-5
Артикул: 699955.02.99
Рассмотрены новейшие стандарты безопасности инфокоммуникаций, призванные обеспечить грядущий технологический прорыв в информационной сфере: защиты информации; сетевой безопасности; защищённых инфокоммуникаций; оценивания безопасности информационных технологий и управления информационной безопасностью. Детально разобраны практические вопросы оценивания качества защиты информации, измерений соответствия качества работы служб информационной безопасности стандартным требованиям. Особое внимание уделено профессиональным и образовательным стандартам подготовки кадров по направлению «Информационная безопасность». Для студентов вузов, обучающихся по специальности 10.05.02 - «Информационная безопасность телекоммуникационных систем», будет полезно студентам, обучающимся по направлениям
подготовки 11.00.00 - «Электроника, радиотехника и системы связи» и 10.00.00 - «Информационная безопасность», аспирантам, преподавателям, также широкому кругу специалистов, связанных с безопасностью инфокоммуникаций.
Тематика:
ББК:
УДК:
- 004: Информационные технологии. Вычислительная техника...
- 006: Стандартизация продукции, мер весов, времени. Стандартизация. Техн. треб-я. Нормы и правила...
- 378: Высшее профессиональное образование. Высшая школа. Подготовка научных кадров
- 621: Общее машиностроение. Ядерная техника. Электротехника. Технология машиностроения в целом
ОКСО:
- ВО - Бакалавриат
- 11.03.01: Радиотехника
- 11.03.04: Электроника и наноэлектроника
- ВО - Специалитет
- 10.05.02: Информационная безопасность телекоммуникационных систем
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов.
Для полноценной работы с документом, пожалуйста, перейдите в
ридер.
Москва Горячая линия – Телеком 2020
ÓÄÊ 004.056:621.39:[006+378.145/.146] ÁÁÊ 32.973-018.2 Ð60 Ð å ö å í ç å í ò û : äîêòîð òåõí. íàóê, ïðîôåññîð Á. Ã. Òåëåæíûé; êàíä. âîåí. íàóê, äîöåíò Â. Â. Âàñèëåâñêèé Ðîäè÷åâ Þ. À., Êóáàíêîâ Þ. À., Ñèìîíîâ Ï. È. Ð60 Áåçîïàñíîñòü èíôîêîììóíèêàöèé: ñòàíäàðòèçàöèÿ, èçìåðåíèÿ ñîîòâåòñòâèÿ è ïîäãîòîâêà êàäðîâ. Ó÷åáíîå ïîñîáèå äëÿ âóçîâ Òåëåêîì, 2020. - 160 ñ.: èë. ISBN 978-5-9912-0706-5. Ðàññìîòðåíû íîâåéøèå ñòàíäàðòû áåçîïàñíîñòè èíôîêîììóíè- êàöèé, ïðèçâàííûå îáåñïå÷èòü ãðÿäóùèé òåõíîëîãè÷åñêèé ïðîðûâ â èíôîðìàöèîííîé ñôåðå: çàùèòû èíôîðìàöèè; ñåòåâîé áåçîïàñíîñòè; çàùèùёííûõ èíôîêîììóíèêàöèé; îöåíèâàíèÿ áåçîïàñíîñòè èíôîð- ìàöèîííûõ òåõíîëîãèé è óïðàâëåíèÿ èíôîðìàöèîííîé áåçîïàñíî- ñòüþ. Äåòàëüíî ðàçîáðàíû ïðàêòè÷åñêèå âîïðîñû îöåíèâàíèÿ êà÷å- ñòâà çàùèòû èíôîðìàöèè, èçìåðåíèé ñîîòâåòñòâèÿ êà÷åñòâà ðàáîòû ñëóæá èíôîðìàöèîííîé áåçîïàñíîñòè ñòàíäàðòíûì òðåáîâàíèÿì. Îñîáîå âíèìàíèå óäåëåíî ïðîôåññèîíàëüíûì è îáðàçîâàòåëüíûì ñòàíäàðòàì ïîäãîòîâêè êàäðîâ ïî íàïðàâëåíèþ «Èíôîðìàöèîííàÿ áåçîïàñíîñòü». Äëÿ ñòóäåíòîâ âóçîâ, îáó÷àþùèõñÿ ïî ñïåöèàëüíîñòè 10.05.02 – «Èíôîðìàöèîííàÿ áåçîïàñíîñòü òåëåêîììóíèêàöèîííûõ ñèñòåì», áóäåò ïîëåçíî ñòóäåíòàì, îáó÷àþùèìñÿ ïî íàïðàâëåíèÿì ïîäãîòîâêè 11.00.00 – «Ýëåêòðîíèêà, ðàäèîòåõíèêà è ñèñòåìû ñâÿçè» è 10.00.00 – «Èíôîðìàöèîííàÿ áåçîïàñíîñòü», àñïèðàíòàì, ïðåïîäàâàòåëÿì, òàêæå øèðîêîìó êðóãó ñïåöèàëèñòîâ, ñâÿçàííûõ ñ áåçîïàñíîñòüþ èíôîêîììóíèêàöèé. Учебное издание Родичев Юрий Андреевич, Симонов Павел Игоревич, Кубанков Юрий Александрович БЕЗОПАСНОСТЬ ИНФОКОММУНИКАЦИЙ: СТАНДАОТИЗАЦИЯ, ИЗМЕРЕНИЯ СООТВЕТСТВИЯ И ПОДГОТОВКА КАДРОВ Учебное пособие для вузов Тиражирование книги начато в 2018 г. Все права защищены. Любая часть этого издания не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения правообладателя © ООО «Научно-техническое издательство «Горячая линия – Телеком» www.techbook.ru Ó Ю.А. Рîäè÷åâ, П.И. Симоновîâ, Ю.А. Кубанков ББК 32.973-018.2
Условные сокращения АС — автоматизированная система АСЗИ — АС в защищенном исполнении ВКР — выпускная квалификационная работа ВО — высшее образование ГИА — государственная итоговая аттестация ГРИ — группа реагирования на инциденты ИБ ЗБ — ST (англ.) — задание по безопасности ЗБАС — ЗБ для АС ЗИ — защита информации ИБ — информационная безопасность ИБ ТКС — ИБ телекоммуникационных систем ИК — инфокоммуникации ИКС — инфокоммуникационная система ИР — информационные ресурсы ИС — информационная система ИТ — IT (англ.) — информационная технология ИТТ — ICT (англ.) — информационные и телекоммуника- ционные технологии КСЗ — комплекс средств защиты НСД — несанкционированный доступ ОО — объект оценивания ОВО — образовательная организация высшего образования ООП — основная образовательная программа ОПК — общепрофессиональная компетенция ОУД — оценочный уровень доверия. ПД — профессиональная деятельность ПЗ — PP (англ.) — профиль защиты ПИБ — политика ИБ организации ПК — профессиональная компетенция
Условные сокращения 4 ПО — программное обеспечение ПС — программа специалитета ПСт — профессиональный стандарт СБ — сетевая безопасность СВТ — средства вычислительной техники СК — скрытый информационный канал СМИБ — ISMS (англ.) — система менеджмента ИБ СОИБ — система обеспечения ИБ СоПД — составной пакет доверия СП — сообщение о проблемах СПЦЗС — системы подвижной цифровой защищенной связи ТДБ — требования доверия к безопасности ТОО — технический отчет об оценке УК — универсальная компетенция ФГОС ВО — федеральный государственный образовательный стандарт высшего образования ФОС — фонд оценочных средств ФСТЭК — Федеральная служба по техническому и экспортно- му контролю ФТБ — функциональные требования безопасности ФУМО — федеральное учебно-методическое объединение DoS — отказ в обслуживании DdoS — распределенный отказ в обслуживании ТСО — Total Cost of Ownership (совокупная стоимость вла- дения)
Введение С начала третьего тысячелетия происходит жесто- кое столкновение двух парадигм мироустройства: однополярной, не предусматривающей суверенитетов, — с одной стороны, и по- лицентричной, с многими суверенными центрами, — с другой [1]. Одновременно усиливается мировая конкуренция за ресурсы [2]. На этом фоне с учетом стремительного развития инфокоммуника- ционных технологий главной формой межгосударственной борьбы стало информационное противоборство. Одним из многих доказательств этого являются сенсационные разоблачения Викиликса об использовании западными спецслуж- бами популярных устройств и сервисов для негласного получения информации о действиях владельцев [3]. Проблемой для информа- ционной безопасности (ИБ) могут стать социальные сети, теневой Интернет, криптовалюты, хакерство. Информационная сфера стала пятой сферой вооруженной борьбы после суши, моря, воздушного и космического простран- ства. США первыми в 2009 г. признали наличие у себя отдельного рода войск — кибервойск численностью около 10 тысяч человек. За- тем кибервойска стали заводить у себя другие армии. В 2014 г. в рос- сийских Вооруженных Силах созданы командование и войска ин- формационных операций [4]. Таким образом, уклад жизни человечества и геополитический ландшафт в XXI веке изменились настолько сильно, что руковод- ство России вынуждено обновлять документы стратегического планирования. Так, в декабре 2016 г. Президент России В.В. Пу- тин утвердил новую Доктрину информационной безопасности Российской Федерации [5], а в мае 2017 г. — новую Стратегию раз- вития информационного общества в РФ [6] на 2017—2030 гг. Эти стратегические документы определяют приоритетные националь- ные интересы в информационной сфере: добиться технологиче- ского прорыва и информационного суверенитета, а также обеспе- чить высокое качество подготовки пригодных для этого кадров. Главными драйверами грядущего технологического прорыва в информационной сфере как условия информационного сувере- нитета России являются:
Введение 6 • обеспечение нацеленности технического регулирования в информационной сфере на высокий научно-технологиче- ский уровень инфокоммуникаций (ИК), • обеспечение высокой точности оценки соответствия ИК тре- бованиям технических регламентов, • удовлетворение растущего спроса рынка труда на инжене- ров-новаторов с безупречной фундаментальной подготовкой. Учебное пособие призвано раскрыть эти связанные между со- бой инструменты развития ИК на ближайшие десятилетия. Опыт многих лет убедил авторов, что знания стандартов и методов изме- рения соответствия не являются избыточными, а, напротив, очень нужны выпускникам направлений «ИБ» и «Электроника, радио- техника и системы связи» в работе. Полезно им также знать обра- зовательные и профессиональные стандарты (ПСт) как ориентиры в процессе обучения. Учебное пособие посвящено 10-летию кафедры «Безопасность радиосвязи» Московского технического ордена Трудового Крас- ного Знамени университета связи и информатики. Вклад авторов в подготовку учебного пособия распределился следующим обра- зом: Ю.А. Родичев — главы 1, 3, раздел 2.3, научное редактирова- ние; Ю.А. Кубанков — введение, разделы 2.1, 2.2, 4.1, заключение; П.И. Симонов — разделы 4.2, 4.3. В разделах 1 и 3 используется мате- риалы Ю.А. Родичева из ряда его трудов [7, 8, 9, 10]. Учебное пособие может представлять интерес для аспирантов и студентов, обучающихся по направлениям «ИБ» и «Электрони- ка, радиотехника и системы связи», а также для всех специалистов, связанных с безопасностью ИК.
Г Л А В А 1 Стандарты в области ИБ 1.1. СТАНДАРТЫ ЗАЩИТЫ ИНФОРМАЦИИ 1.1.1. Государственный стандарт по защите информации от НСД ГОСТ Р 50739—95 Государственный стандарт ГОСТ Р 50739—95 «Сред- ства вычислительной техники (СВТ). Защита от несанкциониро- ванного доступа (НСД) к информации. Общие технические тре- бования» введен в действие с 1.01.1996 г. Он устанавливает единые функциональные требования к защите СВТ от несанкциониро- ванного доступа к информации, к составу документации на эти средства, а также номенклатуру показателей защищенности СВТ. Стандарт закрепляет на государственном уровне требования со- ответствующих нормативных документов Федеральной службы по техническому и экспортному контролю (ФСТЭК) России (ра- нее — Гостехкомиссии России). Защищенность от НСД к информации при ее обработке СВТ обеспечивается тремя группами требований к средствам защиты, реализуемым в СВТ: 1) требования к разграничению доступа; 2) требования к учету (СВТ должны поддерживать регистра- цию событий, имеющих отношение к защищенности ин- формации); 3) требования к гарантиям, предусматривающие необходи- мость наличия в составе СВТ технических и программных механизмов, позволяющих получить гарантии того, что СВТ обеспечивают выполнение требований к разграничению до- ступа и к учету.
Г л а в а 1 8 В соответствии со стандартом требования к разграничению до- ступа определяют следующие показатели защищенности, которые должны поддерживаться СВТ: • дискретизационный принцип контроля доступа; • мандатный принцип контроля доступа; • идентификация и аутентификация; • очистка памяти; • изоляция модулей; • защита ввода и вывода на отчуждаемый физический носитель информации; • сопоставление пользователя с устройством. Комплекс средств защиты (КСЗ) должен осуществлять реги- страцию следующих событий: • использование идентификационного и аутентификационно- го механизма; • запрос на доступ к защищаемому ресурсу (например, откры- тие файла, запуск программы); • создание и уничтожение объекта; • действия, связанные с изменением правил разграничения до- ступа. Для каждого из этих событий должна быть зарегистрирована следующая информация: дата и время, субъект, осуществляющий регистрируемое действие, тип события, успешно ли осуществилось событие. КСЗ должен обладать механизмом, гарантирующим пере- хват диспетчером доступа всех обращений субъектов к объектам. В СВТ должны тестироваться: • реализация правил разграничения доступа; • очистка оперативной и внешней памяти; • работа механизма изоляции процессов в оперативной памяти; • маркировка документов; • защита ввода и вывода информации на отчуждаемый физиче- ский носитель и сопоставление пользователя с устройством; • идентификация и аутентификация, а также средства их за- щиты; • регистрация событий, средства защиты регистрационной ин- формации и возможность санкционированного ознакомле- ния с ней; • работа механизма надежного восстановления; • работа механизма, осуществляющего контроль за целостно- стью комплекса средств защиты (КСЗ); • работа механизма, осуществляющего контроль дистрибуции. При приемке СВТ, их сертификации и испытаниях необходима документация, включающая:
Стандарты в области ИБ 9 • руководство пользователя; • руководство по КСЗ; • тестовую документацию; • конструкторскую (проектную) документацию. 1.1.2. Защита от угроз, реализуемых через скрытые каналы (ГОСТ Р 53113.1, ГОСТ Р 53113.2) Среди документов в области защиты информацион- ных технологий (ИТ) и автоматизированных систем (АС) от угроз ИБ, реализуемых с использованием так называемых скрытых ин- формационных каналов (СК), следует отметить два национальных стандарта РФ. • ГОСТ Р 53113.1—2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с исполь- зованием скрытых каналов. Часть 1. Общие положения». • ГОСТ Р 53113.2—2009 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с исполь- зованием скрытых каналов. Часть 2. Рекомендации по органи- зации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов». К появлению класса угроз ИБ, связанных с использованием СК, невидимых для традиционных средств защиты информации (ЗИ), привели развитие, внедрение и использование распределен- ных информационных систем (ИС) и технологий, использование импортных программно-аппаратных средств. Традиционные сред- ства обеспечения ИБ, такие как средства разграничения доступа, межсетевые экраны, системы обнаружения вторжений, контроли- руют только информационные потоки, которые проходят по кана- лам, предназначенным для их передачи. Возможность обмена ин- формацией вне этих рамок посредством СК не учитывается. Опасность СК для ИТ, АС и других элементов информационной инфраструктуры организации связана с отсутствием контроля информационных потоков, что может привести к утечке информации, нарушить целостность информационных ресурсов и программного обеспечения в компьютерных системах. СК используются для систематического взаимодействия вредоносных программ (компьютерных вирусов) с нарушителем безопасности при организации атаки на АС, которая не обнаруживается средствами контроля и защиты.
Г л а в а 1 10 Опасность СК основана на том, что нарушитель может иметь постоянный доступ к информационным ресурсам и возможность воздействовать через эти каналы на ИС для нанесения максимального ущерба. Для обеспечения ЗИ, обрабатываемой в АС, необходимо выявлять и нейтрализовывать все возможные информационные каналы несанкционированного действия, в том числе и скрытые. Существенным моментом защищенности ИТ и АС является доверие к системам защиты. В системах, требующих обеспечения повышенного уровня доверия, должны учитываться угрозы безопасности, возникающие вследствие наличия возможности несанкционирован- ного действия с помощью СК. Требования доверия к безопасности информации установлены в ГОСТ Р ИСО/МЭК 15408-3 в соответ- ствии с которым для систем с оценочным уровнем доверия, начи- ная с ОУД 5, предусмотрено проведение обязательного анализа СК. Таким образом, требование анализа СК в РФ является необхо- димым условием безопасного функционирования систем, обраба- тывающих ценную информацию или использующих импортное ап- паратно-программное обеспечение. Стандарт ГОСТ Р 53113.1—2008 устанавливает классификацию СК, определяет задачи, решаемые при проведении анализа СК, а также устанавливает порядок про- ведения анализа для ИТ и АС. Он предназначен для использования заказчиками, разработ- чиками и пользователями ИТ при формировании ими требований к разработке, приобретению и применению ИТ, которые предна- значены для обработки, хранения или передачи информации, под- лежащей защите. Стандарт предназначен также для использования органами сертификации и испытательными лабораториями при оценке безопасности и сертификации безопасности ИТ и АС. В стандарте введен ряд терминов. АС — система, состоящая из персонала и комплекса средств ав- томатизации его деятельности, реализующая ИТ выполнения уста- новленных функций. ИС — организационно упорядоченная совокупность докумен- тов и ИТ, в том числе с использованием СВТ и связи, реализующих информационные процессы. Информация ограниченного доступа — вид сведений, доступ к которым ограничен и разглашение которых может нанести ущерб интересам других лиц, общества и государства. ИБ — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.