Сервисы безопасности и исполняемые ими роли:
- Аутентификация
- Управление доступом
- Конфиденциальность данных
- Целостность данных
- Неотказуемость (невозможность отказаться от совершенных действий)
| Уровни модели OSI | |||||||
| Аутентификация | - | - | + | + | - | - | + |
| Управление доступом | - | - | + | + | - | - | + |
| Конфиденциальность соединения | + | + | + | + | - | + | + |
| Конфиденциальность вне соединения | - | + | + | + | - | + | + |
| Избирательная конфиденциальность | - | - | - | - | - | + | + |
| Конфиденциальность трафика | + | - | + | - | - | - | + |
| Целостность с восстановлением | - | - | - | + | - | - | + |
| Целостность без восстановления | - | - | + | + | - | - | + |
| Избирательная целостность | - | - | - | - | - | - | + |
| Целостность вне соединения | - | - | + | + | - | - | + |
| Неотказуемость | - | - | - | - | - | - | + |
Для реализации сетевых сервисов используются механизмы:
- шифрования
- электронной цифровой подписи
- управления доступом
- контроля целостности данных
- аутентификации
- дополнения трафика
- управления маршрутизацией
- нотаризации (заверение целостности, времени, личности отправителя и получателя)
Взаимосвязь функций и механизмов безопасности
ISO/IEC 15408
«Критерии оценки безопасности информационных технологий»
Издан 1 декабря 1999 г.
Часто называют как «Общие критерии»
Определяет инструменты оценки безопасности ИС и порядок их использования
В отличие от «Оранжевой книги» не содержит предопределённых «классов безопасности»
Как и «Оранжевая книга» содержит два основных вида требований безопасности, соответствующие:
- активному аспекту защиты (предъявляются к функциям безопасности и реализующим их механизмам)
- пассивному аспекту защиты (предъявляются к технологии и процессу разработки и эксплуатации)
Безопасность рассматривается в привязке к жизненному циклу объекта оценки:
- определения назначения, условий применения, целей и требований безопасности
- проектирование и разработка
- испытания, оценка и сертификация
- внедрение и эксплуатация
Классы функциональных требований:
- идентификация и аутентификация
- защита данных пользователя
- защита функций безопасности
- управление безопасностью (атрибуты и параметры безопасности)
- аудит безопасности
- доступ к объекту оценки
- приватность
- использование ресурсов
- криптографическая поддержка (управление ключами)
- связь
- доверенный маршрут
Руководящие документы Гостехкомиссии России
- Классификация автоматизированных систем по уровню защищенности от несанкционированного доступа
- Классификация межсетевых экранов по уровню защищенности от несанкционированного доступа
Административный уровень информационной безопасности.
Главная задача: Сформировать программу работ в области ИБ и обеспечить её выполнение, выделяя необходимые ресурсы и осуществляя контроль состояний.
Основа программы: Политика безопасности.
Разработка политики безопасности начинается с анализа рисков.
Политика безопасности
- совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов
- средство реализации деятельности в компьютерной информационной системе организации
- определяется компьютерной средой и потребностями организации
- в частности, включает:
- установку доступа к данным и сервисам
- обязанности должностных лиц
- процедуры безопасности
- выполнение конкретных задач безопасности
- строится на основе анализа рисков
- разработка программы, реализация которой обеспечивает информационную безопасность
- имеет структуру краткого, легкопонимаемого документа высокоуровневой политики, который подкрепляется конкретными документами специализированных политик и процедур безопасности
- обновление политики безопасности с учётом текущих потребностей организации
