Техническая спецификация X.800. Сервисы безопасности и исполняемые ими роли: Аутентификация Управление доступом Конфиденциальность данных Целостность данных Неотказуемость (невозможность

Сервисы безопасности и исполняемые ими роли:

• Аутентификация
• Управление доступом
• Конфиденциальность данных
• Целостность данных
• Неотказуемость (невозможность отказаться от совершенных действий)

	Уровни модели OSI
Аутентификация	-	-	+	+	-	-	+
Управление доступом	-	-	+	+	-	-	+
Конфиденциальность соединения	+	+	+	+	-	+	+
Конфиденциальность вне соединения	-	+	+	+	-	+	+
Избирательная конфиденциальность	-	-	-	-	-	+	+
Конфиденциальность трафика	+	-	+	-	-	-	+
Целостность с восстановлением	-	-	-	+	-	-	+
Целостность без восстановления	-	-	+	+	-	-	+
Избирательная целостность	-	-	-	-	-	-	+
Целостность вне соединения	-	-	+	+	-	-	+
Неотказуемость	-	-	-	-	-	-	+

Для реализации сетевых сервисов используются механизмы:

- шифрования

- электронной цифровой подписи

- управления доступом

- контроля целостности данных

- аутентификации

- дополнения трафика

- управления маршрутизацией

- нотаризации (заверение целостности, времени, личности отправителя и получателя)

 

Взаимосвязь функций и механизмов безопасности

ISO/IEC 15408
«Критерии оценки безопасности информационных технологий»

Издан 1 декабря 1999 г.

Часто называют как «Общие критерии»

Определяет инструменты оценки безопасности ИС и порядок их использования

В отличие от «Оранжевой книги» не содержит предопределённых «классов безопасности»

Как и «Оранжевая книга» содержит два основных вида требований безопасности, соответствующие:

- активному аспекту защиты (предъявляются к функциям безопасности и реализующим их механизмам)

- пассивному аспекту защиты (предъявляются к технологии и процессу разработки и эксплуатации)

Безопасность рассматривается в привязке к жизненному циклу объекта оценки:

- определения назначения, условий применения, целей и требований безопасности

- проектирование и разработка

- испытания, оценка и сертификация

- внедрение и эксплуатация

Классы функциональных требований:

• идентификация и аутентификация
• защита данных пользователя
• защита функций безопасности
• управление безопасностью (атрибуты и параметры безопасности)
• аудит безопасности
• доступ к объекту оценки

- приватность

- использование ресурсов

- криптографическая поддержка (управление ключами)

- связь

- доверенный маршрут

Руководящие документы Гостехкомиссии России

• Классификация автоматизированных систем по уровню защищенности от несанкционированного доступа
• Классификация межсетевых экранов по уровню защищенности от несанкционированного доступа

Административный уровень информационной безопасности.

Главная задача: Сформировать программу работ в области ИБ и обеспечить её выполнение, выделяя необходимые ресурсы и осуществляя контроль состояний.

Основа программы: Политика безопасности.

Разработка политики безопасности начинается с анализа рисков.

Политика безопасности

• совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов
• средство реализации деятельности в компьютерной информационной системе организации
• определяется компьютерной средой и потребностями организации
• в частности, включает:
• установку доступа к данным и сервисам
• обязанности должностных лиц
• процедуры безопасности
• выполнение конкретных задач безопасности
• строится на основе анализа рисков
• разработка программы, реализация которой обеспечивает информационную безопасность
• имеет структуру краткого, легкопонимаемого документа высокоуровневой политики, который подкрепляется конкретными документами специализированных политик и процедур безопасности
• обновление политики безопасности с учётом текущих потребностей организации