- •Основные международные стандарты в области информационной безопасности План лекции
- •1. Предпосылки создания международных стандартов иб
- •1.1. Общие вопросы
- •1.2. Состояние международной нормативно-методической базы
- •1.3. Назначение и цели международной стандартизации
- •1.4. Международная организация по стандартизации, isо
- •1.5. Основные международные стандарты информационной безопасности
- •2.1.Основные сведения
- •2.2 Основные требования и средства
- •2.2.1. Политики
- •2.2.2. Ответственность
- •2.2.3. Гарантии
- •2.2.4. Документирование
- •Руководство пользователя по средствам безопасности
- •Руководство администратора по средствам безопасности
- •Тестовая документация
- •Описание архитектуры
- •3. Основные понятия
- •3.1. Безопасная система
- •3.2. Доверенная система
- •3.5.1. Идентификация и учёт
- •3.5.2. Предоставление доверенного пути
- •3.5.3. Регистрация и учёт
- •3.5.4. Анализ регистрационной информации (Аудит)
- •3.7. . Монитор обращений
- •3.8. Ядро безопасности
- •3.9. Периметр безопасности
- •4.Механизмы реализации безопасности
- •4.1. Произвольное управление доступом
- •4.2. Безопасность повторного использования объектов
- •4.3. Метки безопасности
- •4.4. Принудительное управление доступом
- •5.1. Разделы безопасности
- •5.2. Классы безопасности
- •6. Краткая классификация
2.2.2. Ответственность
Индивидуальная ответственность за безопасность информации в ИС в независимости от политики должна быть обязательной.
Существует три требования по условиям ответственности:
Аутентификация — процесс используемый для распознавания индивидуального пользователя.
Авторизация — проверка разрешения индивидуальному пользователю на получение информации определённого рода.
Аудит — контролируемая информация должна избирательно храниться и защищаться в мере, достаточной для отслеживания действий аутентифицированного пользователя, затрагивающих безопасность.
2.2.3. Гарантии
Компьютерная система должна содержать аппаратные и/или программные механизмы, которые могут независимо определять обеспечивается ли достаточная уверенность в том, что система исполняет указанные выше требования. В добавок, уверенность должна включать гарантию того, что безопасная часть системы работает только так, как запланировано.
Для достижения этих целей необходимо два типа гарантий и соответствующих им элементов:
• Механизмы гарантий:
- Операционная гарантия — уверенность в том, что реализация спроектированной системы обеспечивает осуществление принятой стратегии защиты системы. Сюда относятся системная архитектура, целостность системы, анализ скрытых каналов, безопасное управление возможностями и безопасное восстановление.
- Гарантия жизненного цикла — уверенность в том, что система разработана и поддерживается в соответствии с формализованными и жестко контролируемыми критериями функционирования. Сюда относятся тестирование безопасности, задание на проектирование и его проверка, управление настройками и соответствие параметров системы заявленным.
• Гарантии непрерывной защиты — надёжные механизмы, обеспечивающие непрерывную защиту основных средств от преступных и/или несанкционированных изменений.
2.2.4. Документирование
Оформление документации является необходимым условием для подтверждения гарантии надежности ИС и одновременно – инструмент проведения политики безопасности.
Без документации пользователи не будут знать, какой политике следовать и что для этого нужно делать.
Согласно "Оранжевой книге", в комплект документации надежной системы должны входить следующие основные тома:
Руководство пользователя по средствам безопасности.
Руководство администратора по средствам безопасности.
Тестовая документация.
Описание архитектуры.
На практике требуется еще по крайней мере один том - Письменное изложение политики безопасности данной организации.
Руководство пользователя по средствам безопасности
Руководство пользователя по средствам безопасности предназначено для обычных, непривилегированных людей. Оно должно содержать сведения о механизмах безопасности и способах их использования.
Руководство должно давать ответы по крайней мере на следующие вопросы:
Как входить в систему? Как вводить имя и пароль? Как менять пароль? Как часто это нужно делать? Как выбирать новый пароль?
Как защищать файлы и другую информацию? Как задавать права доступа к файлам? Из каких соображений это нужно делать?
Как импортировать и экспортировать информацию, не нарушая правил безопасности?
Как уживаться с системными ограничениями? Почему эти ограничения необходимы? Какой стиль работы сделает ограничения необременительными?