Цели защиты информации в законодательстве

1)Предотвращение утечки, хищения, утраты, искажения, подделки информации

2)Предотвращение угроз безопасности личности, общества, государства

3)Предотвращение несанкционированного доступа и действия по уничтожению, модификации, искажению, копированию, блокированию информации

4)Предотвращение других форм незаконного вмешательства в информационные системы, обеспечение правового режима документированной информации как объектов собственности

5)Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных имеющихся в информационной системе

6)Сохранение государственной тайны, конфиденциальности информации в соответствии с законодательством

7)Обеспечение прав субъектов в информационном производстве и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения

Оценочные стандарты и технологические спецификации. *Оранжевая книга*

Существуют оценочные стандарты и технические спецификации. Оценочные стандарты направлены на классификацию информационных систем и требования по безопасности к средствам защиты.

Оценочные стандарты выделяют важнейшие аспекты в ИБ, играя роль архитектурных спецификаций. Технические спецификации определяет как строить информационную систему.

Исторически первым оценочным стандартом стал стандарт разработанный министерством обороны США *Критерии оценки доверенных компьютерных систем*. Выпущен в 1983 году иначе называют *Оранжевая книга*. В книге понятие безопасной системы поясняется как: система, которая управляет с помощью соответствующих средств доступом к информации так, что только должным образом авторизованные лица или процессы действующие от его имени могут создавать, читать, записывать и удалять информацию.

В *Оранжевой книге* доверенная система определяется как система использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разного уровня секретности группой пользователей без нарушения прав доступа.

Степень доверия оцениваются по критериям:

1) Политика безопасности – свод законов, правил и норм поведения, которая обрабатывает, защищает и распространяет информацию. Это активные аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействий

2) Уровень гарантированности – мера доверия, которая может быть оказана архитектуре и реализации информационной системы. Пассивный аспект защиты, показывающий насколько корректны механизмы отличающие за реализацию политики безопасности

Важным средством подотчетности в обеспечении безопасности являются серверы безопасности. Доверенная система должна фиксировать все события происходящие в системе (протоколирование). Ведение протоколов должно выполняться аудитом. Основной функцией доверенной вычислительной системы, является выполнение монитора обращений т.е контролирование допустимости выполнения субъектами операций над объектами

Свойства монитора обращения

1) Изолированность – монитор обращений нельзя обойти. Их невозможно извне отследить работу монитора

2) Полнота –монитор должен вызываться при каждом обращении

3) Верифицируемость – монитор должен быть компактным, чтобы его можно было протестировать и проанализировать будучи уверенным в полноте результата

Реализация монитора обращений называется ядром безопасности.

Ядро безопасности – основа на которой строятся все механизмы защиты.

Ядро безопасности должно гарантировать свою неизменность

Периметр безопасности – доверенная степень ядра