Законодательный уровень информационной безопасности. Международные стандарты и спецификации.
Будем различать на законодательном уровне две группы мер:
3) Меры, направленные на создания и поддержания в обществе негативного отношения к нарушениям и нарушителям иб – мерами ограничительной направленности
4) Направляющие и координирующие меры, способствующие повышения образованности общества в области иб, помогающие в разработке и распространения средств обеспечения иб – меры созидательного
2.1.3 международные стандарты и спецификации
Стандарты и спецификации бывают двух видов:
1) Оценочные стандарты, направленные на классификацию inf систем и средств защиты по требованиям безопасности
2) Технические спецификации – регламентирующие различные аспекты реализации средств защиты
2.1.3.1 оранжевая книга
Стандарт Министерства обороны США: Критерий оценки доверенных компьютерных систем (1983 г.)
Оранжевая книга проясняет понятие безопасной системы.
В оранжевой книге доверенная система определяется как система, использующая аппаратные и программные средства, чтобы обеспечить одновременную обработку inf разной степени секретности, группы пользователей без нарушения прав доступа.
Степень доверия оценивается по двум основным критериям:
1) Политика безопасности – набор законов, правил и норм поведения, определяющих как организация обрабатывает, защищает, распространения эту inf. Аспект защиты – это активный аспект защиты, включающий в себя анализ возможных угроз и мер противодействия.
2) Уровень гарантированности – мера доверия, которая может быть оказана в архитектуре и реализации inf системе. Это пассивный аспект защиты.
Доверенная вычислительная база – совокупность защитных механизмов системы, отвечающих за проведения в жизнь политики безопасности.
Основное назначение базы – выполнять функции монитора обращения, то есть контролировать допустимость субъектами определенных операций над объектами.
Монитор обращения должен обладать следующими качествами:
1) Изолированность
2) Полнота
3) Верефицируемость
Границу доверенной вычислительной базы называют периметром безопасности.
2.1.3.2 Х.800
Рекомендации выделяют след сервисы безопасности и исполняемые ими роли:
1) Аутентификация
2) Управление доступом
3) Конфиденциальность inf
4) Целостность данных
5) Неотказуемость
2.1.3.3 общие критерии
Официально называется – критерий оценки безопасности inf технологий (1999 г.)
Содержит два основных вида безопасности:
1) Функциональный - соответствует активному аспекту защиты, предъявляется к функциями безопасности и реализующий механизмов
2) Требуемых доверий – предъявляется к технологии и процессу разработки и эксплуатации
Угрозы характеризуются следующими параметрами:
1) Источник угрозы
2) Метод воздействия
3) Уязвимые места, которые могут быть использованы (возникают при проектировании, эксплуатации)
4) Ресурсы, которые могут пострадать
Введено….
Или обслуживаемой цели безопасности. Представлено 11 классов, 66 семейств и 135 компонентов.
Специфика представлений требований доверия состоит в том что каждый элемент требований пренадлежит одному из типов:
1) Действие разработчиков
2) Представления и содержания свидетельств
3) Действия оценщиков
Для структуризации управления введено 7 оценочных.
2.1.3.4 горманизированные критерии в европейский странах (91 г.)
Европейские критерии рассматривают все основные составляющие inf безопасности: целостность, доступность, конфиденциальность.
Система – это конкретная программная конфигурация, построенная с определенными целями и функционирующая в не ..известном окружении. Продукт или программный пакет, который можно купить и по своему усмотрению встроен в ту или иную систему.