- •Основные международные стандарты в области информационной безопасности План лекции
- •1. Предпосылки создания международных стандартов иб
- •1.1. Общие вопросы
- •1.2. Состояние международной нормативно-методической базы
- •1.3. Назначение и цели международной стандартизации
- •1.4. Международная организация по стандартизации, isо
- •1.5. Основные международные стандарты информационной безопасности
- •2.1.Основные сведения
- •2.2 Основные требования и средства
- •2.2.1. Политики
- •2.2.2. Ответственность
- •2.2.3. Гарантии
- •2.2.4. Документирование
- •Руководство пользователя по средствам безопасности
- •Руководство администратора по средствам безопасности
- •Тестовая документация
- •Описание архитектуры
- •3. Основные понятия
- •3.1. Безопасная система
- •3.2. Доверенная система
- •3.5.1. Идентификация и учёт
- •3.5.2. Предоставление доверенного пути
- •3.5.3. Регистрация и учёт
- •3.5.4. Анализ регистрационной информации (Аудит)
- •3.7. . Монитор обращений
- •3.8. Ядро безопасности
- •3.9. Периметр безопасности
- •4.Механизмы реализации безопасности
- •4.1. Произвольное управление доступом
- •4.2. Безопасность повторного использования объектов
- •4.3. Метки безопасности
- •4.4. Принудительное управление доступом
- •5.1. Разделы безопасности
- •5.2. Классы безопасности
- •6. Краткая классификация
3.2. Доверенная система
Под доверенной системой в стандарте понимается система, использующая аппаратные и программные средства для обеспечения одновременной обработки информации разной категории секретности группой пользователей без нарушения прав доступа.
Степень доверия оценивается по двум основным критериям :
- политика безопасности;
- уровень гарантированности.
3.3. Политика безопасности – набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию.
Политика безопасности — это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.
В частности, правила определяют, в каких случаях пользователь может оперировать конкретными наборами данных.
Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности.
Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки, аудита, (формальной или нет) общего замысла и реализации системы в целом и отдельных ее компонентов.
В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности.
3.4. Уровень гарантированности – мера доверия, которая может быть оказана архитектуре и реализации ИС .
Уровень гарантированности - это пассивный аспект защиты, показывающий, насколько корректны механизмы, отвечающие за реализацию политики безопасности.
В «Оранжевой книге» рассматривается два вида гарантированности:
- операционная;
- технологическая.
Гарантированность – это мера уверенности с которой можно утверждать, что для воплощения в жизнь сформулированной политики безопасности выбран подходящий набор средств, и что каждое из этих средств правильно исполняет отведенную ему роль.
3.4.1. Операционная гарантированность - архитектурные и реализационные аспекты ИС. Она показывает, что архитектура системы и ее реализация действительно реализуют избранную политику безопасности.
Операционная гарантированность включает в себя проверку следующих элементов:
архитектура системы;
целостность системы;
проверка тайных каналов передачи информации;
доверенное администрирование;
доверенное восстановление после сбоев.
3.4.2. Технологическая гарантированность – методы построения и сопровождения ИС. Она охватывает весь жизненный цикл системы, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Все действия в ИС должны выполняться в соответствии с жесткими стандартами, чтобы исключить утечку информации и нелегальные «закладки».
Подотчетность
Если понимать политику безопасности как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики.
Цель подотчетности - в каждый момент времени знать, кто работает в системе и что делает.
Средства подотчетности делятся на три категории:
идентификация и аутентификация;
предоставление доверенного пути;
регистрация и учёт;
анализ регистрационной информации (аудит).
3.5.1. Идентификация и учёт
Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности.
Обычный способ идентификации – ввод имени пользователя при входе в систему. Стандартное средство проверки подлинности (аутентификации) пользователя - пароль.