Административный уровень информационной безопасности
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации. Главная цель – сформировать программу работ, обеспечить ее выполнение, выделяю ресурсы.
Основа программы является политика безопасности, отражающая стратегию (подход) организации к защите своих информационных активов.
Политика безопасности строится на основе анализа рисков и является совокупностью документированных решений, применяемых руководством организации и направленных на защиту информации.
Политику безопасности можно рассматривать не 3 уровнях детализации:
1. Верхний – затрагивает организации в целом.
2. Средний – относятся вопросы, касающиеся аспектов информационной безопасности, эксплуатируемых систем.
3. Нижний – относится к конкретному информационному сервису
Программа безопасности
После того как сформулирована политика безопасности, составляют программу по ее реализации
Стандарты и спецификации в области информационной безопасности
В области информационной безопасности принято рассматривать 2 вида нормативных документов:
1. Оценочные стандарты – направлены на классификацию информационных систем и средств защиты по требованиям безопасности
2. Технические спецификации – регламентирует различные аспекты реализации средств защиты
Оранжевая книга
Стандарт министерства обороны США критерия оценки доверия компьютерных систем, был опубликован в 1983 г.
Эта книга вводит понятие безопасные системы. Так же вводится термин доверенная система, где безопасность системы рассматривается с точки зрения управления доступом к данным.
Степень доверия расценивается по двум основным критериям:
1. Политика безопасности – набор правил, по которым обрабатывается информация.
2. Уровень гарантированности – показывается насколько корректны механизмы, отвечающие за реализацию политики безопасности
Доверенная вычислительная база – это совокупность защитных механизмов информационной системы, отвечающая за поведение политики безопасности.
Важным средством обеспечения безопасности является механизм протоколирования. Ведение протоколирования в доверенной системе, а также аудитом этой информации.
Основное назначение доверенной вычислительной базы – контроль обращений.
Требования к функции контроля:
1. Изолированность - необходимо предупредить возможность отслеживания работы функции контроля.
2. Полнота - все обращения должны проходить через функцию контроля.
3. Верифицируемость - функция должна быть проверяемой.
Реализация такого контроля включается в ядро безопасности. Ядро должно гарантировать собственную неизменность
Границу доверия вычислительной базы называют периметром безопасности.
Оранжевая книга предусматривает выборочное журналирование в отношении «подозрительных» пользователей.
В пассивных аспектах защиты рассматривается 2 вида гарантированности:
1. Операционная – относится к архитектурным аспектам системы
2. Технологическая – охватывает весь жизненный цикл информационной системы, в том числе проектирования и сопровождения.
Этот стандарт определяет 4 уровня доверия DCBA: D – предназначен для систем, признанных неудовлетворительными. По мере перехода от С к А к системе предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (С1,С2,В1,В2,В3) в порядке возрастания степени доверия. Данный стандарт определяет 6 классов безопасности.
Механизмы безопасности
Политика безопасности должна включать следующие элементы:
1. Произвольное управление доступом.
2. Безопасность повторного использования объектов.
3. Метки безопасности – для реализации принудительного управления доступом, субъектом и объектом ассоциируются метки безопасности. Метка субъекта – благонадежность, объекта – конфиденциальность
4. Принудительное управление доступом.