- •Лекция 3. Политика безопасности
- •3.1.1. Основные понятия
- •3.1.2. Основные элементы политики безопасности
- •3.1.3. Подотчетность
- •3.1.4. Гарантированность
- •3.1.4.1. Операционная гарантированность
- •3.1.4.2. Технологическая гарантированность
- •3.1.5. Документация
- •3.2. Руководящие документы по защите от несанкционированного доступа гостехкомиссии при президенте рф
- •3.2.1. Концепция защиты от несанкционированного доступа к информации
- •3.3. Защита ас обеспечивается комплексом программно - технических средств и поддерживающих их организационных мер.
- •3.2.2. Классификация автоматизированных систем по уровню защищенности от нсд
- •3.2.3. Информационная безопасность в России: опыт составления карты (новое 2000)
3.1.4.2. Технологическая гарантированность
Технологическая гарантированность охватывает весь жизненный цикл системы, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы обезопаситься от утечки информации и нелегальных "закладок".
Первое, на что обычно обращают внимание, это тестирование. Тесты должны показать, что защитные механизмы функционируют в соответствии со своим описанием и что не существует очевидных способов обхода или разрушения защиты. Должна быть уверенность, что надежную вычислительную базу нельзя привести в состояние, когда она перестанет обслуживать пользовательские запросы.
3.1.5. Документация
Документация - необходимое условие гарантированной надежности системы и, одновременно, - инструмент проведения политики безопасности. Без документации люди не будут знать, какой политике следовать и что для этого нужно делать.
Согласно "Оранжевой книге", в комплект документации надежной системы должны входить следующие тома:
Руководство пользователя по средствам безопасности.
Руководство администратора по средствам безопасности.
Тестовая документация.
Описание архитектуры.
Разумеется, на практике требуется еще по крайней мере одна книга - письменное изложение политики безопасности данной организации.
Руководство пользователя по средствам безопасности предназначено для обычных, непривилегированных людей. Оно должно содержать сведения о механизмах безопасности и способах их использования. Руководство должно давать ответы по крайней мере на следующие вопросы:
Как входить в систему? Как вводить имя и пароль? Как менять пароль? Как часто это нужно делать? Как выбирать новый пароль?
Как защищать файлы и другую информацию? Как задавать права доступа к файлам? Из каких соображений это нужно делать?
Как импортировать и экспортировать информацию, не нарушая правил безопасности? Как уживаться с системными ограничениями? Почему эти ограничения необходимы?
Какой стиль работы сделает ограничения необременительными?
3.2. Руководящие документы по защите от несанкционированного доступа гостехкомиссии при президенте рф
В 1992 году Гостехкомиссия при Президенте РФ опубликовала пять Руководящих документов, посвященных проблеме защиты от несанкционированного доступа (НСД) к информации. Мы рассмотрим важнейшие из них.
3.2.1. Концепция защиты от несанкционированного доступа к информации
Идейной основой набора Руководящих документов является "Концепция защиты (Средств Вычислительной Техники) СВТ и (Автоматизированных Систем) АС от НСД к информации".
В Концепции различаются понятия средств вычислительной техники (СВТ) и автоматизированной системы (АС).
Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации.
В Концепции формулируются следующие основные принципы защиты от НСД к информации: