- •1. Оценка рисков информационной безопасности для беспроводных телекоммуникационных сетей
- •1.1. Оценка рисков и международные стандарты
- •1.1.1. Стандарт iso/iec 17799:2000(e), iso/iec tr 13335-2
- •1.1.2. Стандарт nist 800-30
- •1.1.3. Стандарт СоbiТ
- •1.1.4. Стандарт score
- •1.1.5. Метод cramm
- •1.1.6. Стандарт SysTrust
- •1.2. Методика оценки рисков информационной безопасности беспроводных телекоммуникационных систем
- •1.3. Расчет риска отказа в обслуживании абонентов базовой станции беспроводной системы связи
- •2. Управление рисками информационной безопасности для беспроводных систем связи
- •2.1. Методика управления рисками информационной безопасности
- •2.2. Основные концепции управления рисками информационной безопасности
- •2.2.1. Концепция управления рисками octave
- •2.2.2. Концепция управления рисками сramm
- •2.2.3. Концепция управления рисками mitre
- •2.3. Инструментарий для управления рисками информационной безопасности
- •3. Методы и средства снижения рисков беспроводных систем связи
- •3.1. Аутентификация
- •3.1.1. Открытая аутентификация
- •3.1.2. Аутентификация с совместно используемым ключом
- •3.1.3. Аутентификация с использованием мас-адресов
- •3.2. Шифрование данных
- •3.2.1. Шифрование с применением статических wep-ключей
- •3.2.2. Шифрование с использованием протокола целостности временных ключей (tkip)
- •3.2.3. Улучшенный алгоритм шифрования (aes)
- •3.3. Виртуальные частные сети (vpn) как механизм защиты беспроводных систем связи
- •3.3.1. Топологии vpn с точки зрения беспроводной связи
- •3.3.2. Туннельные протоколы в vpn
- •3.3.3. Альтернативные реализации vpn
- •3.3.3.1. Протокол cIPe
- •3.3.3.2. Пакет OpenVpn
- •3.3.3.3. Пакет vTun
- •3.3.3.4. Обзор протокола ipSec
- •3.4. Системы обнаружения атак (ids)
- •Вопросы для самоконтроля
- •394026 Воронеж, Московский просп., 14
1.1.2. Стандарт nist 800-30
Стандарт NIST 800-30 был предложен национальным институтом стандартов США и описывает процесс управления рисками. Рассмотрим концепции, опубликованные национальным институтом стандартов США (NIST) [46].
В соответствии с данным стандартом система управления (информационными) рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий и обеспечить возможность выполнения основных целей предприятия. Необходимым условием является интеграция системы управления рисками в систему управления жизненным циклом информационной технологии (табл. 1.1).
Таблица 1.1
Этапы жизненного цикла ИТКС
Фаза жизненного цикла информационной технологии |
Соответствие фазе управления рисками |
1. Предпроектная стадия ИТКС (концепция данной ИТКС: определение целей и задач и их документирование) |
Выявление основных классов рисков для данной ИТКС, вытекающих из целей и задач, концепция обеспечения ИБ |
2. Проектирование ИТКС |
Выявление рисков, специфичных для данной ИТКС (вытекающих из особенностей архитектуры ИТКС) |
3
Продолжение
табл. 1.1 |
До начала функционирования ИТКС должны быть идентифицированы и приняты во внимания все классы рисков |
4. Функционирование ИТКС |
Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации ИТКС |
5. Прекращение функционирования ИТКС (информационные и вычислительные ресурсы более не используются по назначению и утилизируются) |
Соблюдение требований информационной безопасности по отношению к выводимым информационным ресурсам |
Стандартом определяются основные стадии технологии управления рисками (рис. 1.1).
Рис. 1.1. Концепция управления рисками NIST 800-30
1.1.3. Стандарт СоbiТ
Концепция СоbiТ является продуктом независимой международной ассоциации аудита и управления информационными системами ISACA [24].
Ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями ИБ. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по организации управления, обеспечению режима ИБ.
Разработанный документ называется СоbiТ (Control Objectives for Information and Related Technology) и состоит из четырех частей:
- краткое описание концепции, положенной в основу (Executive Summary);
- определения и основные понятия (Framework), где определяются основные управляющие процессы для информационной технологии и требования к ним;
- спецификации управляющих процессов и возможные инструменты воздействия (Control Objectives);
- рекомендации по выполнению аудита информационной технологии (Audit Guidelines).
Модель управления СоbiТ описывает универсальную модель управления информационной технологией [27]. В модели присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса, которые группируются следующим образом:
- требования к качеству технологии - показатели качества, стоимость, характеристики доставки. Показатели качества должны подробно описывать возможные негативные аспекты, которые в обобщенном виде входят в целостность и доступность. Кроме того, включаются и показатели, относящиеся к субъективным аспектам: стиль, удобство интерфейсов и др. Характеристики доставки - показатели, в обобщенном виде входящие в доступность и частично конфиденциальность и целостность. Данная система показателей используется при управлении рисками и оценке эффективности информационной технологии.
- доверие к технологии - соответствие принятым стандартам и требованиям, достоверность информации, действенность.
- показатели ИБ - конфиденциальность, целостность, доступность. Обобщенные показатели для технологии, зависящие от соответствующих показателей качества.
- любая работающая информационная технология проходит следующие стадии жизненного цикла:
- планирование и организация. На данной стадии выделяется 11 основных задач.
- приобретение и ввод в действие. На данной стадии выделяется 6 основных задач.
- доставка и поддержка. На данной стадии выделяется 13 основных задач.
- мониторинг за процессами. На данной стадии выделяется 4 основные задачи.
Итого - 34 основные задачи, связанные с ресурсами информационных технологий и оказывающие воздействие на отдельные свойства информации, потребляемой бизнес-процессом. Кроме традиционных свойств информации: конфиденциальность, целостность, доступность, в данной модели используется еще 4 свойства - действенность, эффективность, соответствие формальным требованиям, достоверность.