Оценочные стандарты и технические спецификации

Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США " Критерии оценки доверенных компьютерных систем".

Данный труд, называемый чаще всего по цвету обложки " Оранжевой книгой ",

"Оранжевая книга" поясняет понятие безопасной системы, которая "управляет, с помощью соответствующих средств, доступом к информации так, что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию".

Выделяют следующие сервисы безопасности и исполняемые ими роли:

Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных.

Управление доступом. Обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.

Конфиденциальность данных. Обеспечивает защиту от несанкционированного получения информации.

Целостность данных подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры - с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.

Неотказуемость (невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки. Побочным продуктом неотказуемости является аутентификация источника данных.

 

Административный уровень ИБ

Главная цель мер административного уровня - сформировать программу работ на основе политики безопасности.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Под политикой безопасности понимают совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Организационно-административные меры –связаны с тщательным учетом и соблюдением правил работы с конфиденциальной информацией:

· пропускной режим;

· кодовые замки;

· охранная сигнализация,

· средства видеопросмотра, видеозаписи и т. п.

· хранение носителей и устройств в сейфе (диски, монитор, клавиатура и т.д.);

· ограничение доступа лиц в компьютерные помещения и т.д.

Процедурный уровень ИБ

Процедурный уровень рассматривает меры безопасности, которые ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой, поэтому "человеческий фактор" заслуживает особого внимания.

На процедурном уровне можно выделить следующие классы мер:

· управление персоналом;

• физическая защита;
• поддержание работоспособности;
• реагирование на нарушения режима безопасности;

· планирование восстановительных работ.

Управление персоналом начинается с приема нового сотрудника на работу и даже раньше - с составления описания должности. Уже на данном этапе желательно подключить к работе специалиста по информационной безопасности для определения компьютерных привилегий, ассоциируемых с должностью. Существует два общих принципа, которые следует иметь в виду:

· разделение обязанностей;

· минимизация привилегий.

Физическая защита. Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры, вычислительной техники, носителей данных.

Поддержание работоспособности информационных систем. Именно здесь таится наибольшая опасность. Нечаянные ошибки системных администраторов и пользователей грозят повреждением аппаратуры, разрушением программ и данных; в лучшем случае они создают бреши в защите, которые делают возможной реализацию угроз.