Nєдиної адекватної політики безпеки на всі можливі випадки не існує й існувати не може 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Nєдиної адекватної політики безпеки на всі можливі випадки не існує й існувати не може



¨Адекватна політика безпеки визначається задачами тієї інформаційної системи, яка побудована з застосуванням конкретної ОС, а також діючими загрозами безпеці інформації у конкретній ІКС

NНаприклад, одна й та сама серверна ОС може забезпечувати функціонування і Web-сервера, і сервера баз даних, і сервера електронного документообігу, а одна й та сама клієнтська ОС – і домашнього комп’ютера, і робочої станції у корпоративному середовищі.

¨Також адекватна політика безпеки може залежати від версії застосованої ОС, її конфігурації, встановленого прикладного ПЗ.

Основні етапи визначення і підтримання адекватної політики безпеки

NАналіз загроз

¨Вивчають можливі загрози безпеці конкретного екземпляру ОС

¨Будують модель загроз

¨Оцінюють ризики

¨Визначають пріоритети у захисті від конкретних загроз

NФормування вимог до політики безпеки

¨Визначають засоби і методи, які будуть застосовані для захисту від кожної окремої загрози

NЯк правило, неминучим є компроміс між вадами захисту від певних загроз і утрудненням роботи користувачів у системі

¨Результатом робіт є формування набору вимог до реалізації політики безпеки у вигляді переліку методів і засобів захисту, які повинні бути реалізованими

NФормальне визначення політики безпеки

¨Здійснюють чітке визначення засобів, які будуть реалізовувати ті вимоги, що були сформульовані на попередньому етапі

NЗокрема, з’ясовується, чи можна домогтися виконання зазначених вимог лише штатними засобами ОС, або необхідно встановлювати додатково спеціальне ПЗ

¨Формулюють вимоги до конфігурації ОС і усіх додаткових програм, що реалізують функції захисту, якщо такі встановлені

¨Результатом робіт є детальний перелік конфігураційних настроювань ОС і додаткових програм

NПовинні бути передбачені різні нештатні ситуації і відповідні настроювання ОС для таких ситуацій.

NВтілення політики безпеки

¨Виконують настроювання ОС і додаткових програм, які реалізують функції захисту, у точній відповідності до формалізованої політики безпеки

NПідтримання і корекція політики безпеки

¨Ретельний контроль дотримання політики безпеки, що була розроблена на третьому етапі

NКонтроль обов’язково включає перевірки налаштовувань засобів захисту у складі ОС і може виконуватись за допомогою спеціального ПЗ

¨Відстеження повідомлень про

nпояву нових загроз (наприклад, розповсюдження в Інтернеті небезпечних вірусів)

Nвиявлення раніше невідомих уразливостей

Nрозроблення виправлень для ОС і прикладного ПЗ

¨У деяких випадках може знадобитись корекція політики безпеки

NВиявлення уразливостей, для усунення яких немає необхідних виправлень

NБудь-які зміни в самій системі

NНаприклад, встановлення нового програмного продукту може вимагати корекції політики безпеки, по-перше, для забезпечення нормального функціонування цього програмного продукту (розширення повноважень), а по-друге, для виключення шляхів несанкціонованого доступу, які можуть в результаті з’явитись (додаткові обмеження).

Лекція 4

Призначення стандартів інформаційної безпеки

NВикорінення вад захисту – це тактичний шлях побудови захищених систем, чи підхід “знизу”.

¨Дозволяє позбутися окремих уразливостей і підвищити захищеність системи

¨Не дозволяє оцінити ані повноту виконання цієї задачі, ані досягнутий рівень захисту

nСтандарти визначають стратегічний підхід до побудови захищених систем, або підхід “зверху”

¨Безпека системи – характеристика якісна, для неї не існує одиниць виміру

NРізні фахівці запропонують різні шляхи підвищення захищеності системи і по-різному оцінять її

¨Єдиним способом встановити шкалу оцінки захищеності систем, а також узгодити погляди різних фахівців, є розробка стандарту

NСтандарт повинен регламентувати

¨концепції інформаційної безпеки,

¨підходи до її досягнення,

¨вимоги до систем і шляхи їх реалізації,

¨систему критеріїв оцінювання захищеності систем,

¨процедури оцінювання систем за цими критеріями.

NСтандарти створюють основу для погодження вимог

¨розробників систем,

¨споживачів (користувачів систем і власників інформації, що в них обробляється),

¨експертів, які оцінюють захищеність інформації в системах (а в разі необхідності – також і державних або відомчих органів, які видають дозвіл на експлуатацію системи і обробку в ній певної інформації).

Розвиток стандартів інформаційної безпеки

NTCSEC – Критерії оцінювання захищених комп’ютерних систем Міністерства оборони США («Оранжева книга»), 1983 р.

NITSEC – Європейські критерії безпеки інформаційних технологій, 1991 р.

N“Руководящие документы Гостехкомиссии России”, 1992 р.

NFCITS – Федеральні критерії безпеки інформаційних технологій США, 1992 р.

TCSEC (“Оранжева книга”)

NTrusted Computer System Evaluation Criteria. – US Department of Defense. – CSC-STD-001-83, 1983.

NTrusted Network Interpretation. – National Computer Security Center. NCSC-TG-005 Version 1, 1987.

NTrusted Database Management System Interpretation. – National Computer Security Center. NCSC-TG-021 Version 1, 1991.

NThe Interpreted Trusted Computer System Evaluation Criteria Requirements. – National Computer Security Center. NCSC-TG-007-95, 1995.

Безпечні системи за TCSEC

NВизначення безпечної системи

¨система, що підтримує керування доступом таке, що лише уповноважені користувачі або процеси, що діють від їх імені, одержують можливість читати, записувати, створювати і знищувати інформацію

N6 вимог до безпечної системи

¨Політика безпеки

¨Мітки безпеки

¨Ідентифікація і автентифікація

¨Реєстрація і облік

¨Коректність засобів захисту

¨Неперервність захисту

TCSEC: перелік вимог

NПолітика безпеки

¨Дискреційне керування доступом

¨Повторне використання об’єктів

¨Мітки безпеки

NЦілісність міток безпеки

NЕкспорт поміченої інформації

NМітки повноважень суб'єктів

NМітки пристроїв

¨Мандатне керування доступом

NАудит

¨Ідентифікація і автентифікація

NПрямае взаємодія з КЗЗ

¨Реєстрація і облік подій

NКоректність

¨Коректність функціонування

NАрхітектура системи

NЦілісність системи

NАналіз прихованих каналів

NКерування безпекою

NВідновлення

¨Коректність розробки

NТестування безпеки

NРозробка і верифікація специфікацій

NКерування конфігурацією

NДистрибуція

NДокументація

¨Настанова з безпеки користувача

¨Настанова адміністратора безпеки

¨Документування процесу тестування

¨Документування процесу розроблення

TCSEC: класифікація систем

Висновки по TCSEC



Поделиться:


Последнее изменение этой страницы: 2016-09-13; просмотров: 212; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 54.165.248.212 (0.013 с.)