38.Основные документы, регламентирующие информационную безопасность (ИБ)

  1. Рекомендации X.800 (дата издания август 1983г)
    Функции (сервисы) безопасности
    Перечислим сервисы безопасности, характерные для распределенных систем, и роли, которые они могут играть.
  2. Гармонизированные критерии Европейских стран (дата издания июнь 1991г)
    Основные понятия
    Европейские Критерии рассматривают следующие составляющие информационной безопасности:
    1. конфиденциальность, то есть защиту от несанкционированного получения информации;
    2. целостность, то есть защиту от несанкционированного изменения информации;
    3. доступность, то есть защиту от несанкционированного удержания информации и ресурсов.
    В Критериях проводится различие между системами и продуктами. Система — это конкретная аппаратно-программная конфигурация, построенная с вполне определенными целями и функционирующая в известном окружении. Продукт — это аппаратно-программный "пакет", который можно купить и по своему усмотрению встроить в ту или иную систему. Таким образом, с точки зрения информационной безопасности основное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое можно определить и изучить сколь угодно детально, а продукт должен быть рассчитан на использование в различных условиях.
  3. Руководящие документы по защите от несанкционированного доступа Гостехкомиссии при Президенте РФ
    В 1992 году Гостехкомиссия при Президенте РФ опубликовала пять Руководящих документов.
    Концепция защиты от несанкционированного доступа к информации
    Концепция предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от НСД. Это — направление, связанное с СВТ, и направление, связанное с АС.
    Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации.
    Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации.
    В качестве главного средства защиты от НСД к информации в Концепции рассматривается система разграничения доступа (СРД) субъектов к объектам доступа.
    Классификация средств вычислительной техники по уровню защищенности от НСД
    Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий — первый.
    Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты: Классификация автоматизированных систем по уровню защищенности от НСД
    Устанавливается девять классов защищенности АС от НСД к информации.
    Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
    Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
    В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
    Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности.
    Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности.
    Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности, и не все пользователи имеют право доступа ко всей информации АС.
  4. Стандарт ISO/IEC 15408
    "Критерии оценки безопасности информационных технологий"
    Данный стандарт часто называют "Общими критериями" (ОК).
    ОК содержат два основных вида требований безопасности:
    1. функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам;
    2. требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.
    Всего в ОК 10 классов, 44 семейства, 93 компонента требований доверия безопасности.
    Перечислим классы: Применительно к требованиям доверия в "Общих критериях" сделана весьма полезная вещь, не реализованная, к сожалению, для функциональных требований. А именно, введены так называемые оценочные уровни доверия (их семь), содержащие осмысленные комбинации компонентов.
  5. «Оранжевая книга» министерства обороны США
    Согласно "Оранжевой книге", политика безопасности должна включать в себя следующие элементы: Произвольное управление доступом
    Это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.
    Безопасность повторного использования объектов
    Безопасность повторного использования объектов — важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора".
    Метки безопасности
    Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта — степень закрытости содержащейся в нем информации.
    Принудительное управление доступом
    Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта — читать можно только то, что положено.
    В частности, "конфиденциальный" субъект может писать в секретные файлы, но не может — в несекретные. Ни при каких операциях уровень секретности информации не должен понижаться, хотя обратный процесс вполне возможен.
Hosted by uCoz