Цілісність є однією з властивостей безпеки інформації. Цілісність забезпечується або механізмами розмежування доступу, або механізмами контролю цілісності.

Під контролем цілісності інформації розуміють процес перевірки наявності викривлень цієї інформації, незалежно від причин їх походження (навмисні чи ненавмисні)

Під контролем та поновленням цілісності інформації розуміють процес перевірки наявності викривлень цієї інформації, незалежно від причин їх походження (навмисні чи ненавмисні), з наступною корекцією викривленої інформації.

Порушення цілісності може статись в наслідок наступних причин:

1) помилок користувачів, які викликають викривлення чи втрату інформації;

2) навмисних дій осіб, які не мають прав доступу до автоматизованої системи;

3) збоїв обладнання, які викликають викривлення чи втрату інформації;

4) фізичних впливів на носії інформації;

5) вірусних впливів.

Цілісність програмних засобів та інформації, що обробляється досягається використанням двох груп механізмів захисту - без перетворення інформації та механізмів захисту з її перетворенням.

До механізмів забезпечення цілісності без перетворення інформації слід віднести використання резервних копій програмних засобів та баз даних. Такий спосіб, безумовно, є найнадійнішим, оскільки завжди дозволяє не тільки установити факт порушення цілісності, але й поновити порушену інформацію, правда це є і першою вадою. Іншими словами, цей спосіб не дає змоги оперативно установити наявність порушення цілісності інформації, що змінюється.

До другої групи механізмів захисту відносяться такі відомі механізми з використанням: сигнатур важливих об’єктів, хеш – функції важливих об’єктів, забезпечення цілісності архівної інформації в тому числі і резервних копій програмних засобів та баз даних.

При передачі інформації по каналах зв’язку контроль цілісності (контроль наявності будь – яких викривлень інформації) та усунення цих викривлень покладаються на комунікаційне обладнання та протоколи зв’язку. Проблема поновлення цілісності вирішується за рахунок повторної передачі повідомлень Таким чином, механізми захисту з використанням сигнатур важливих об’єктів ґрунтуються на застосуванні швидко діючих процедур виявлення порушення цілісності та подальшому поновленні викривленої інформації за рахунок повторної передачі непошкодженої інформації чи повторного запису непошкодженої інформації з її резервної копії.

Механізми захисту з використанням хеш: контроль цілісності інформації носія забезпечується шляхом порівняння хеш функції відповідного носія, яка обчислюється під час контролю цілісності інформації, з хеш-функцією, яка була обчислена для того ж самого носія під час запису інформації. Якщо ці функції співпадають, то цілісність даного носія не порушена.

Виявлення атак. Захист периметра комп’ютерних мереж

Процес виявлення атак є процесом оцiнки пiдозрiлих дiй, якi вiдбуваються в корпоративнiй мережi. Iнакше кажучи, виявлення атак (intrusion detection) це процес iдентифiкацiї й реагування на пiдозрiлу дiяльнiсть, спрямовану на обчислювальнi або мережнi ресурси.

Основні підходи до виявлення атак практично не змінилися за останню чверть століття, і, незважаючи на гучні заяви розробників, можна з упевненістю стверджувати, що виявлення атак базується або на методах сигнатурного аналізу, або на методах виявлення аномалій. Можливо також спільне використання зазначених вище методів.

Iснує кiлька способiв класифiкацiї систем виявлення атак, кожен з яких заснований на рiзних характеристиках:

1. Спосiб контролю за системою (подiляються на network-based, host-based i applicationbased).

2. Спосiб аналiзу. (частина системи визначення проникнення, яка аналiзує подiї, отриманi з джерела інформації, i приймає рiшення, чи вiдбувається проникнення). Способами аналiзу є виявлення зловживань (misuse detection) та виявлення аномалiй (anomaly detection).

3. Затримка в часi мiж отриманням iнформацiї з джерела та її аналiзом i прийняттям рiшення. Залежно вiд затримки в часi, системи виявлення атак дiляться на interval-based (або пакетний режим) i real-time.

Механiзми виявлення атак, застосовуванi в сучасних системах виявлення атак IDS (Intrusion Detection System), заснованi на декiлькох загальних методах.

Класифiкацiя систем виявлення атак може бути виконана за декiлькома ознаками:

• за способом реагування; розрiзняють пасивнi й активнi IDS. Пасивнi IDS просто фiксують факт атаки, записують данi у файл журналу й видають попередження. Активнi IDS намагаються протидiяти атацi.

• за способом виявлення атаки; За способом виявлення атаки системи IDS прийнято дiлити на двi категорiї: виявлення аномального поводження (anomaly-based); виявлення зловживань (misuse detection або signature-based). Аномальне поводження користувача (тобто атака або яка-небудь ворожа дiя) часте проявляється як вiдхилення вiд нормального поводження. Прикладом аномального поводження може служити велика кiлькiсть з’єднань за короткий промiжок часу, високе завантаження центрального процесора й т.iн. Однак аномальне поводження не завжди є атакою. Наприклад, одночасну посилку великої кiлькостi запитiв вiд адмiнiстратора мережi система виявлення атак може iдентифiкувати як атаку типу “вiдмова в обслуговуваннi” (denial of service).

• за способом збору iнформацiї про атаку.

Статичні і динамічні IDS

1. Статичні засоби роблять «знімки» (snapshot) середовища та здійснюють їх аналіз, розшукуючи вразливе ПО, помилки в конфігураціях і т. д. Статичні IDS перевіряють версії прикладних програм на наявність відомих вразливостей і слабких паролів, перевіряють вміст спеціальних файлів в директоріях користувачів або перевіряють конфігурацію відкритих мережевих сервісів. Статичні IDS виявляють сліди вторгнення.

2. Динамічні IDS здійснюють моніторинг у реальному часі всіх дій, що відбуваються в системі, переглядаючи файли аудиту або мережні пакети, що передаються за певний проміжок часу. Динамічні IDS реалізують аналіз в реальному часі і дозволяють постійно стежити за безпекою системи.

Мережеві IDS

Мережеві IDS (англ. Network-based IDS, NIDS) розташовуються в стратегічному місці або у таких місцях мережі, де можливий контроль трафіку всіх пристроїв у мережі. Вони здійснюють контроль усього трафіку даних всієї підмережі та порівнюють трафік, який передається у підмережі з бібліотекою відомих атак. Як тільки розпізнана атака або визначено відхилення у поведінці, відразу відсилається попередження адміністратору.

Хостові IDS

IDS, які встановлюються на хості і виявляють зловмисні дії на ньому називаються хостовими або системними IDS.

Експертнi системи.

Експертна система складається з набору правил, якi охоплюють знання людини-експерта. Використання експертних систем являє собою розповсюджений метод виявлення атак, при якому iнформацiя про атаки формулюється у виглядi правил. Цi правила можуть бути записанi, наприклад, у виглядi послiдовностi дiй або сигнатури. При виконаннi кожного iз цих правил приймається рiшення про наявнiсть несанкцiонованої дiяльностi. Важливим достоїнством такого пiдходу є практично повна вiдсутнiсть фiктивних тривог.

Сигнатурний аналіз заснований на припущенні, що сценарій атаки відомий і спроба її реалізації може бути виявлена ​​в журналах реєстрації подій або шляхом аналізу мережевого трафіку.

Аналіз активності

Стандарти кібербезпеки

Стандарти кібербезпеки – це методи, що зазвичай викладені в опублікованих матеріалах, які намагаються захистити кібернетичне середовище користувача чи організації.Це середовище включає в себе користувачів, мережі, пристрої, все програмне забезпечення, процеси, інформацію в режимі зберігання або транзиту, програми, служби та системи, які можуть бути безпосередньо або опосередковано підключені до мереж.

Основна мета — знизити ризики, включаючи попередження або пом'якшення кібер-атак. Ці опубліковані матеріали включають збірки інструментів, політику, концепції безпеки, гарантії безпеки, керівні принципи, підходи до управління ризиками, дії, навчання, найкращі практики, забезпечення та технології.

Міжнародні стандарти

BS 7799-1: 2005 — Британський стандарт BS 7799 перша частина. BS 7799 Частина 1 — Кодекс практики управління інформаційною безпекою (Практичні правила управління інформаційної безпеки) описує 127 механізмів контролю, необхідних для побудови системи управління інформаційною безпекою (СУІБ) організації, визначених на основі кращих прикладів світового досвіду в цій області . Цей документ служить практичним керівництвом по створенню СУІБ

BS 7799-2: 2005 — Британський стандарт BS 7799 друга частина стандарту. BS 7799 Частина 2 — Управління інформаційною безпекою — специфікація систем управління інформаційною безпекою (Специфікація системи управління інформаційної безпеки) визначає специфікацію СУИБ. Втора частина стандарту використовується як критерії при проведенні офіційної процедури сертифікації СУІБ організації.

BS 7799-3: 2006 — Британський стандарт BS 7799 третя частина стандарту. Новий стандарт в області управління ризиками інформаційної безпеки

ISO/IEC 17799: 2005 — «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Міжнародний стандарт, базувався на BS 7799-1: 2005.

ISO/IEC 27000 — Словарь і визначення.

ISO/IEC 27001 — «Інформаційні технології — Методи забезпечення безпеки — Системы управління інформаційної безпеки — Требования». Міжнародний стандарт, базувався на BS 7799-2: 2005.

ISO/IEC 27002 — Зараз: ISO/IEC 17799: 2005. «Інформаційні технології — Технології безпеки — Практичні правила управління інформаційної безпеки». Дата выхода — 2007 год.

ISO/IEC 27005 — Зараз: BS 7799-3: 2006 — Руководство по управлению рисками ИБ.

Німецьке агентство з інформаційної безпеки. Інструкція з захисту базової лінії — стандартні гарантії безпеки (керівництво по базовому рівню захисту інформаційних технологій).