Цели защиты информации в законодательстве
1)Предотвращение утечки, хищения, утраты, искажения, подделки информации
2)Предотвращение угроз безопасности личности, общества, государства
3)Предотвращение несанкционированного доступа и действия по уничтожению, модификации, искажению, копированию, блокированию информации
4)Предотвращение других форм незаконного вмешательства в информационные системы, обеспечение правового режима документированной информации как объектов собственности
5)Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных имеющихся в информационной системе
6)Сохранение государственной тайны, конфиденциальности информации в соответствии с законодательством
7)Обеспечение прав субъектов в информационном производстве и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения
Оценочные стандарты и технологические спецификации. *Оранжевая книга*
Существуют оценочные стандарты и технические спецификации. Оценочные стандарты направлены на классификацию информационных систем и требования по безопасности к средствам защиты.
Оценочные стандарты выделяют важнейшие аспекты в ИБ, играя роль архитектурных спецификаций. Технические спецификации определяет как строить информационную систему.
Исторически первым оценочным стандартом стал стандарт разработанный министерством обороны США *Критерии оценки доверенных компьютерных систем*. Выпущен в 1983 году иначе называют *Оранжевая книга*. В книге понятие безопасной системы поясняется как: система, которая управляет с помощью соответствующих средств доступом к информации так, что только должным образом авторизованные лица или процессы действующие от его имени могут создавать, читать, записывать и удалять информацию.
В *Оранжевой книге* доверенная система определяется как система использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разного уровня секретности группой пользователей без нарушения прав доступа.
Степень доверия оцениваются по критериям:
1) Политика безопасности – свод законов, правил и норм поведения, которая обрабатывает, защищает и распространяет информацию. Это активные аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействий
2) Уровень гарантированности – мера доверия, которая может быть оказана архитектуре и реализации информационной системы. Пассивный аспект защиты, показывающий насколько корректны механизмы отличающие за реализацию политики безопасности
Важным средством подотчетности в обеспечении безопасности являются серверы безопасности. Доверенная система должна фиксировать все события происходящие в системе (протоколирование). Ведение протоколов должно выполняться аудитом. Основной функцией доверенной вычислительной системы, является выполнение монитора обращений т.е контролирование допустимости выполнения субъектами операций над объектами
Свойства монитора обращения
1) Изолированность – монитор обращений нельзя обойти. Их невозможно извне отследить работу монитора
2) Полнота –монитор должен вызываться при каждом обращении
3) Верифицируемость – монитор должен быть компактным, чтобы его можно было протестировать и проанализировать будучи уверенным в полноте результата
Реализация монитора обращений называется ядром безопасности.
Ядро безопасности – основа на которой строятся все механизмы защиты.
Ядро безопасности должно гарантировать свою неизменность
Периметр безопасности – доверенная степень ядра