3. Политика безопасности (пб): основные понятия. Способы описания пб, их преимущества и недостатки.

ПБ — Набор правовых, организационных и технических мер по обеспечению безопасности, принятых в организации.

ПБ должна быть оформлена в виде специального документа (комплекта документов), с которым должны быть ознакомлены все пользователи системы.

ПБ может быть реализована (не описана) в виде:

• Стандарта, который содержит набор правил и требований, специфичных для системы или процесса, которым она/он должна соответствовать.

• Руководства, которое содержит набор действий, которых следует придерживаться для достижения определенных целей.

Содержание ПБ определяется сферой деятельности и особенностями обработки информации.

ПБ состоит из:

1. Введение

2. Цель политики

3. Область применения

4. Требования. Требования — это, по сути, сама политика. В требованиях должны быть ответы на следующие вопросы:

·         Для каких ресурсов применяются требования?

·         Кто их должен выполнять?

·         Когда?

·         Где и на каком оборудовании?

·         Кто это будет контролировать?

·         Возможные последствия невыполнения.

·         С какими другими требованиями связано данное требование?

5.   Ответственность

6.   Термины и определения

7.    История изменений

В ПБ не должно быть деталей реализации и конкретных имен.

Любая политика должна быть полной.

Политики бывают 2-х типов:

• Разрешительная. Разрешено все, что не запрещено.

• Запретительная. Запрещено все, что не разрешено.

Естественно, эти 2 типа можно комбинировать.

Свойства политики:

• Политика должна быть выполнима

• Требования ПБ должны быть контролируемыми

• ПБ должны быть эффективна и обеспечивать достаточный уровень безопасности

• ПБ должна быть лаконичной и простой для понимания

• ПБ не должна противоречить нормативно-правовым актам

 

Политику разрабатывают следующим образом:

При разработке необходимо соблюдать следующие 2 правила:

1. Любая операция, специфицированная на высоком уровне, должна быть учтена на нижнем уровне.

2. Ни одна из спецификаций нижнего уровня не должна быть забыта на высоком уровне.

 

Способы описания ПБ:

1. Естественный язык (неформальный)

"+"       прост для понимания

"-"        противоречивость, различные интерпретации.

2. Нематематическое формальное описание.

Промежуточный вариант

3. Математический способ описания (формальный)

"+"       отсутствуют противоречия, возможность доказательства

"-"        сложность, проблема адекватности, ограниченность

В основе формального описания лежит модель безопасности

Модель безопасности — абстрактное описание комплекса программно-технических средств и/или организационных мер защиты от НСД.

Свойства МБ:

• Адекватность

• Способность к предсказанию

• Общность

4. Типы контроля доступа

Дискреционный – разграничение доступа между поименованными субъектами и поименованными объектами, основанный на матрице доступа. Матрица доступа – таблица, отображающая правила разграничения доступа.

Мандатный – разграничение доступа субъектов к объектам, основанное на информации о конфиденциальности, содержащейся в объектах и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.

Базирующийся на ролях – принятие решения о доступе на основе информации о функции, которую пользователь выполняет внутри данной организации – своей роли.