Концепції політики безпеки. Визначення політики інформаційної безпеки. Область застосування. (2 години).

Политика безопасности - это совокупность норм. Правил и практических рекомендаций, регламентирующих работу средств защиты компьютерной системы(сети) от заданного множества угроз безопасности.

Принцип политики безопасности:

1)Невозможность миновать защитные средства

2)Усиления самого слабого звена

3) Недопустимость перехода в открытое состояние

4) Минимизация привилегий

5) Разделение обязанностей

6) Многоуровневая защита

7) Разнообразие защитных средств

8) Простота и управляемость инф. системы

9) Обеспечение всеобщей поддержки мер безопасности

Способы и средства обеспечения инф. безопасности

Существуют 2 подхода

Фрагментарный направленный на противодействие четко определенным угрозам(отдельные средства управления доступом, автоном. Средства шифрования)

Достоинство высокаяизбирательностьк конкретной угрозе.

Недостатки отсутствие единой защищенной среды обработки информации.

Комплексный подход ориентирован на создание защитной угрозы обработки информации в КС, объединяющий в единый комплекс разнородные меры противодействия угроз.

Достоинства: защита среды позволяет гарантировать определенный уровень безопасности КС.

Недостатки:

1)Ограничения на свободу действий пользователей КС

2)Чувствительность к ошибкам установки и настройки средств защиты.

3) сложность управления

Политика безопасности зависит от способа управлением доступа, определяющего порядок доступа к объектам системы.

Различают 2 основных вида ПБ избирательную и полномочную

Основной избирательной гол. Без является избирательное управление доступом. Которое подразумевает, что

1) все субъекты и объекты систем должны быть идентифиц.

2) Права доступа субъекта к объекту системы определяет на основании некоторого правила(свойство избирательности). Для описания свойств изб. управления доступом применяется модель системы на основе матрицы доступа (матричная модель)

Матрица доступа представляет собой матрицу, в которой столб соответствует объекту системы, а строка субъекту. На пересечении тип разрешенного доступа. Применяется изб. пол. В коммерческом секторе.

Полномочная политика основана на полномочном (мандатном) способе управления доступом. Основу ПБ. составляет полномочное упр. доступом, которое подразумевает, что:

1)все субъекты и объекты системы должны быть однозначно идентифицированы.

2) Каждому объекту систем присвоены метки критичности. определяющая ценность содержащейся в нем инф.

3) Каждому субъекту системы присвоен уровень прозрачности, определяющий максимальные значение метки критичности объектов, к которым субъект имеет доступ.

Основное назначение полномочной ПБ – регулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращение утечки инф. с верхних уровней должностной иерархии в нижние, а также блокирование возможного проникновения с нижних уровней в верхние.

Помимо управления доступом субъектов к объектам системы нужно разработать правила, регламентирующие управления информации потоками в системе.

Для защиты интересов субъектов информации отношенный необходимо сочетать меры следующих уровней:

1)законодательного(законы, нормативные акты, стандарты)

2) Меры административно организационного уровня

Можно выделить следующие группы организац. Мер

- управлении персоналом

- физическая защита

поддержание работоспособности

- реагирование на разрушения режима безопасности

- Планирование восстановительных работ

3)Меры и средства программно - обезпеч. уровня

- идентификация и проверка подлинности пользователей

- управление доступом

- протоколирование и аудит

- криптография

экранирование

Советы Стивен Кац

Некоторые проверенные практикой принципы безопасности:

1) безопасность и сложность часто обратно пропорционально

2) безопасность и удобство использования часто обратно пропорциональны

3) хорошая безопасность сегодня лучше, чем абсолютная безопасность никогда

4) ложное чувство безопасности хуже, чем реальное чувство незащищенности

5) ваша безопасность сильна настолько, насколько малочисленны ваши связи

6) лучше всего сосредоточится на известных и вероятных угрозах

7) вложение в безопасность - это не затраты, а инвестиция

Т: Политика безопасности в сетях.

1) Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационных систем.

2) После проведения анализа рисков определяется стратегия защиты

3) Составляется программа реализация которой и должна обеспечить информационную безопасность

4) Под эту программу выделяются ресурсы

5) Назначаются ответственные

6) Определяется порядок контроля выполнения программы

Требования:

В соответствии с общепринятыми требованиями политика организации должна иметь структуру краткого, легко понимаемого документа, поддерживаемого рядом более конкретных документов.

Высокоуровневая политика безопасности должна периодически пересматриваться для гарантии, что она учитывает текущие потребности организации.

Этот документ целесообразно составить таким образом, чтобы ПБ была относительно независима от конкретных технологий.

Политика безопасности обычно оформляется в виде документа, включающего такие разделы:

1) описание проблемы

2) область применения

3) позицию организации

4) распределение ролей и обязанности

5) санкции

Для сетей:

1) описание проблемы

Информация в сети является критически важной. Пользователи совместно используют программы и данные. Документ преследует такие цели:

- продемонстрировать сотрудникам организации важность защиты сетевой среды

- описать их роль в обеспечении безопасности

- а также распределить конкретные обязанности по защите информации, равно как и самой сети.

2) Область применения

В сферу действий данной политики попадают все аппаратные, программные информационные ресурсы, входящие в локальную сеть предприятия.

ПБ ориентирована также на людей (пользователей).

3) Позиция организации

- Целью организации является обеспечение целостности, доступности и конфиденциальности данных.

- Следование экономической целесообразности в выборе защитных мер.

- Обеспечение безопасности в каждой функциональной области локальной сети

- обеспечение анализа регистрационной информации

- обеспечение подотчетности всех действий, пользователей с информацией и ресурсами.

4) Распределение ролей и обязанностей

Руководители предприятий

Администраторы локальной сети

Администраторы сервисов

Пользователи

Уровни политики безопасности

С практической точки зрения ПБ можно разделить на 3 уровня:

верхний, средний, нижний.

Верхний уровень ПБ определяет решения, затрагивающие организацию в целом. Решения носят общий характер и исходят из руководства организаций.

Пример:

- формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей.

- обеспечение материальной базы для соблюдений законов и правил.

Преследование организацией

- целостности (БД)

- Доступности (услуги)

- конфиденциальность (секрет)

Средний уровень ПБ определяет решения вопросов, касающихся отдельных аспектов ИБ, но важных для различных систем, эксплуатирующие в организации

Пример:

- отношения к доступу в Internet.

- использование домашних компьютером.

ПБ среднего уровня должна определять для каждого аспекта ИБ следующие моменты:

- описание аспекта (набор целей)

- область применения (по отношению к чему данная ПБ)

- роли и обязанности (должность лица, отвечающего за ПБ)

- санкции (описание запрещенных действий и наказание за них)

- точки контакта (куда обращаться за помощью)

Низший уровень ПБ относится к конкретным сервисам:

Эта политика включает в себя 2 аспекта:

1) цели

2) правила достижения ПБ

Пример:

- кто имеет право доступа к объектам, поддерживаемого сервиса

- при каких условиях можно читать и модифицировать данные

- как организован удаленный доступ к сервису

Лекция 3

Т: Нормативні документи з питань захисту інформації. Вимоги до сучасних засобів захисту корпоративних мереж від НСД. (2 година).

В каждой стране разработаны свои стандарты

Оранжевая книга

Разработана Министерством обороны США и принята стандарт в 1985 году.

ОК предназначена для следующих целей:

1)Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять им рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имеется в виду, прежде всего, защиту от раскрытия данных) для использования при обработки ценной инф.

2) Предоставить метрику для оценки защищенности СБ, предназначение для обработки служебной и другой ценной информации

3) Обеспечивает базу для исследований требований к выбору защищенных систем

Механизмы безопасности:

Согласно ”Оранжевой книге”, ПБ должна обязательно включить в себя следующие элементы:

- произвольное управление доступом

- безопасность повторного использования объекта

- метки безопасности

- принудительное управление доступом

1) Произвольное управление доступом (иногда назыв. дискретным) это метод разграничения доступа к объекту основанный на учете личности субъекта в которого субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта)может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.

2) Безопасность повторного использования объектов - важное дополнение средств управления доступом, предохраняющие от случайного или преднамеренного извлечения конфиденциальной информации из ”мусора” (память OЗУ, виртуальная память)

3) Метка безопасности - степень конфиденциальности содержащая в объекте информации

4) Принудительные (или мандатное) управление доступа основано на совпадении меток безопасности субъекта и объекта.

Переходя к пассивным аспектам защиты, укажем что в ”Оранжевой книге” рассматриваются два вида гарантированности:

- операционная

- технологическая

Операционная гарантированность - это способ убедится в том, что архитектура системы и её реализация действительно реализует избранную ПБ

Операционная гарантированность включает в себя проверку следующих элементов

- архитектура системы

- целостность системы

- проверка тайных каналов передачи информации

- доверенное администрирование

- доверенное восстановление после сбоев

Технологическая гарантированность - охватывает весь жизненный цикл ИС, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения

ПТ: Классы безопасности

Согласно ОК для оценки информационной системы рассматривается четыре группы безопасности: А,В,С,D. В некоторых случаях группы безопасности делятся дополнительно на классы безопасности

Группа А (гарантированная или проверяемая защита) обеспечивает гарантированный уровень безопасности. Методы защиты, реализованы в системе, могут быть проверены формальными методами. В этой группе имеется только один класс А1

Группа В (полномочная или полная защита) предоставляет полную защиту КС. В этой группе выделены классы безопасности В1, В2, В3.

Класс В1 (защита через грифы или метки) обеспечивается использованием в КС грифов секретности, определяющих доступ пользователей к частям системы.

Класс В2 (структурированная защита) достигается разделением информации на защищенные и незащищенные блоки и контролем доступа к ним пользователей.

Класс В3 (области или домены безопасности) предусматривает разделение КС на подсистемы с различным уровнем безопасности и контроля доступа к ним пользователя.

Группа С (избирательная защита) представляет избирательную защиту подсистемы с контролем доступа к ним пользователей.

В этой группе выделены классы безопасности С1 и С2.

Класс С1 (избирательная защита информации) предусматривает разделение в КС пользователей и данные

Класс С2 (защита через управляемый или контролируемый доступ) обеспечивается раздельным доступом пользователей к данным.

Группу D (минимальной безопасности) составляют КС, проверенные на безопасность, но которые не могут быть отнесены к классам А, В или С.

Такова классификация, введённая в «Оранжевой книге».Коротко ее можно сформулировать так:

- Уровень С- произвольное управление доступом

- Уровень В- принудительное управление доступом

- Уровень А- верифицируемая безопасность.

Конечно в адрес «Критериев» можно высказать ряд замечаний (например игнорирование проблем, возникающих распределенных системах) тем не менее публикации ОК, стало эпохальным событием в области ИБ. Появился общепринятый понятный базис, без которого данное обсуждение проблемы ИБ было бы затруднительным.