Административный уровень информационной безопасности

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации. Главная цель – сформировать программу работ, обеспечить ее выполнение, выделяю ресурсы.

Основа программы является политика безопасности, отражающая стратегию (подход) организации к защите своих информационных активов.

Политика безопасности строится на основе анализа рисков и является совокупностью документированных решений, применяемых руководством организации и направленных на защиту информации.

Политику безопасности можно рассматривать не 3 уровнях детализации:

1. Верхний – затрагивает организации в целом.

2. Средний – относятся вопросы, касающиеся аспектов информационной безопасности, эксплуатируемых систем.

3. Нижний – относится к конкретному информационному сервису

Программа безопасности

После того как сформулирована политика безопасности, составляют программу по ее реализации

Стандарты и спецификации в области информационной безопасности

В области информационной безопасности принято рассматривать 2 вида нормативных документов:

1. Оценочные стандарты – направлены на классификацию информационных систем и средств защиты по требованиям безопасности

2. Технические спецификации – регламентирует различные аспекты реализации средств защиты

Оранжевая книга

Стандарт министерства обороны США критерия оценки доверия компьютерных систем, был опубликован в 1983 г.

Эта книга вводит понятие безопасные системы. Так же вводится термин доверенная система, где безопасность системы рассматривается с точки зрения управления доступом к данным.

Степень доверия расценивается по двум основным критериям:

1. Политика безопасности – набор правил, по которым обрабатывается информация.

2. Уровень гарантированности – показывается насколько корректны механизмы, отвечающие за реализацию политики безопасности

Доверенная вычислительная база – это совокупность защитных механизмов информационной системы, отвечающая за поведение политики безопасности.

Важным средством обеспечения безопасности является механизм протоколирования. Ведение протоколирования в доверенной системе, а также аудитом этой информации.

Основное назначение доверенной вычислительной базы – контроль обращений.

Требования к функции контроля:

1. Изолированность - необходимо предупредить возможность отслеживания работы функции контроля.

2. Полнота - все обращения должны проходить через функцию контроля.

3. Верифицируемость - функция должна быть проверяемой.

Реализация такого контроля включается в ядро безопасности. Ядро должно гарантировать собственную неизменность

Границу доверия вычислительной базы называют периметром безопасности.

Оранжевая книга предусматривает выборочное журналирование в отношении «подозрительных» пользователей.

В пассивных аспектах защиты рассматривается 2 вида гарантированности:

1. Операционная – относится к архитектурным аспектам системы

2. Технологическая – охватывает весь жизненный цикл информационной системы, в том числе проектирования и сопровождения.

Этот стандарт определяет 4 уровня доверия DCBA: D – предназначен для систем, признанных неудовлетворительными. По мере перехода от С к А к системе предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (С1,С2,В1,В2,В3) в порядке возрастания степени доверия. Данный стандарт определяет 6 классов безопасности.

Механизмы безопасности

Политика безопасности должна включать следующие элементы:

1. Произвольное управление доступом.

2. Безопасность повторного использования объектов.

3. Метки безопасности – для реализации принудительного управления доступом, субъектом и объектом ассоциируются метки безопасности. Метка субъекта – благонадежность, объекта – конфиденциальность

4. Принудительное управление доступом.