24415

Четыре условия возможности возникновения тупика

Контрольная

Информатика, кибернетика и программирование

Политика безопасности. Процедуры управления безопасностью также важны как и политики безопасности. Если политики безопасности определяют что должно быть защищено то процедуры безопасности определяют как защитить информационные ресурсы компании. Нескольких важных процедур безопасности: 1.

Русский

2013-08-09

77 KB

1 чел.

1. Четыре условия возможности возникновения тупика.

Коффман, Элфик и Шошани сформулировали следующие необходимые условия наличия тупика:

- Процессы требуют предоставления им права монопольного управления ресурсами, которые им выделяются (условие взаимоисключения).

- Процессы удерживают за собой ресурсы, уже выделенные им, ожидая в то же время выделения дополнительных ресурсов (условие ожидания ресурсов).

- Ресурсы нельзя отобрать у процессов, удерживающих их, пока эти ресурсы не будут использованы для завершения работы (условие неперераспределяемости).

- Существует кольцевая цепь процессов, в которой каждый процесс удерживает за собой один или более ресурсов, требующихся следующему процессу цепи (условие кругового ожидания).

2. Процедуры управления безопасностью. Политика безопасности. Стандарты.

Процедуры управления безопасностью также важны, как и политики безопасности. Если политики безопасности определяют "что" должно быть защищено, то процедуры безопасности определяют "как" защитить информационные ресурсы компании. Нескольких важных процедур безопасности:

1. Процедура управления конфигурацией обычно определяется на уровне отдела или на уровне компании.

2. Процедуры резервного копирования и хранения информации вне офиса могут потребоваться из-за требований клиентов и партнеров по бизнесу.

3. Процедура обработки инцидентов определяет порядок обработки и расследования инцидентов. Процедура обработки инцидентов должна быть в любой компании.

Политика безопасности – это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности:

  •  определение какие данные и насколько серьезно необходимо защищать,
  •  определение кто и какой ущерб может нанести фирме в информационном аспекте,
  •  вычисление рисков и определение схемы уменьшения их до приемлемой величины.

В настоящее время ряд ведущих компаний в области безопасности рекомендует разрабатывать политики:

1. Допустимого шифрования.

2. Допустимого использования.

3. Аудита безопасности.

4. Оценки рисков.

5. Классификации данных.

6. Определения паролей.

7. Использования ноутбуков.

8. Построения демилитаризованной зоны, DMZ.

9. Построения экстранет.

10. Безопасности рабочих станций и серверов.

11. Антивирусной защиты.

12. Безопасности маршрутизаторов и коммутаторов.

13. Безопасности беспроводного доступа.

14. Организации удаленного доступа.

15. Построения виртуальных частных сетей, VPN и пр.

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: "Вы – злоумышленник. Ваши действия?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.

Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии.

Стандарты информационной безопасности подразумевают собой исполнение следующих критериев при обеспечении конфиденциальности информации:

1. Организационные  меры защиты, сводящиеся к регламентации

- допуска к использованию информационных ресурсов;

- процессов проведения технологических операций с информационными ресурсами информационной системы;

- процессов эксплуатации, обслуживания и модификации аппаратных и программных ресурсов.

2. Технические меры и методы защиты, заключающиеся в применении средств

- идентификации и аутентификации;

- разграничение доступа;

- обеспечение контроля целостности;

- антивирусной защиты;

- контроля электронной почты;

- контроля и регистрации событий безопасности;

- криптографической защиты;

- централизованного управления системой информационной безопасности.

Стандарты безопасности Гостехкомиссии.

РД Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.

Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".

1. РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации"

РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

Первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;

Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

Четвертая группа характеризуется верифицированной защитой содержит только первый класс.

2. РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации"

РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

  •  наличие в АС информации различного уровня конфиденциальности;
  •  уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
  •  режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

3. РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации"

При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

  •  Управление доступом;
  •  Идентификация и аутентификация;
  •  Регистрация событий и оповещение;
  •  Контроль целостности;
  •  Восстановление работоспособности.

На основании показателей защищенности определяются следующие пять классов защищенности МЭ:

  •  Простейшие фильтрующие маршрутизаторы - 5 класс;
  •  Пакетные фильтры сетевого уровня - 4 класс;
  •  Простейшие МЭ прикладного уровня - 3 класс;
  •  МЭ базового уровня - 2 класс;
  •  Продвинутые МЭ - 1 класс.

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.

Также к стандартам России в области информационной безопасности относятся:

  •  Гост 28147-89 – блочный шифр с 256-битным ключом;
  •  Гост Р 34.11-94 –функция хэширования;
  •  Гост Р 34.10-94 –алгоритм цифровой подписи.

4. Европейские стандарты безопасности.

ISO 15408: Common Criteria for Information Technology Security Evaluation

Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

Общие критерии оценки безопасности информационных технологий (далее "Общие критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

Хотя применимость "Общих критериев" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Первая часть "Общих критериев" содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части "Общих критериев" и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.

Третья часть "Общих критериев" содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

  •  Наличие побочных каналов утечки информации;
  •  Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;
  •  Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;
  •  Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.

5. ISO 17799: Code of Practice for Information Security Management

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.

ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на следующие 10 разделов:

  •  Политика безопасности;
  •  Организация защиты;
  •  Классификация ресурсов и их контроль;
  •  Безопасность персонала;
  •  Физическая безопасность;
  •  Администрирование компьютерных систем и вычислительных сетей;
  •  Управление доступом;
  •  Разработка и сопровождение информационных систем;
  •  Планирование бесперебойной работы организации;
  •  Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира.

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

Ключевыми являются следующие средства контроля:

  •  Документ о политике информационной безопасности;
  •  Распределение обязанностей по обеспечению информационной безопасности;
  •  Обучение и подготовка персонала к поддержанию режима информационной безопасности;
  •  Уведомление о случаях нарушения защиты;
  •  Средства защиты от вирусов;
  •  Планирование бесперебойной работы организации;
  •  Контроль над копированием программного обеспечения, защищенного законом об авторском праве;
  •  Защита документации организации;
  •  Защита данных;
  •  Контроль соответствия политике безопасности.

Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.

6. Стандарт безопасности США.

1. "Оранжевая книга "

"Department of Defense Trusted Computer System Evaluation Criteria"

OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное

название документа "Department of Defense Trusted Computer System Evaluation Criteria".

OK предназначается для следующих целей:

  •  Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;
  •  Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;
  •  Обеспечить базу для исследования требований к выбору защищенных систем.

Рассматривают два типа оценки:

  •  без учета среды, в которой работает техника;
  •  в конкретной среде (эта процедура называется аттестованием).

Во всех документах DOD, связанных с ОК, принято одно понимание фразы       обеспечение безопасности информации. Это понимание принимается как аксиома и формулируется следующим образом: безопасность = контроль за доступом.

Классы систем, распознаваемые при помощи критериев оценки гарантированно       защищенных вычислительных систем, определяются следующим образом. Они       представлены в порядке нарастания требований с точки зрения обеспечения       безопасности ЭВМ.

  1.  Класс (D): Минимальная защита
  2.  Класс (C1): Защита, основанная на разграничении доступа (DAC)
  3.  Класс (С2): Защита, основанная на управляемом контроле доступом
  4.  Класс(B1): Мандатная защита, основанная на присваивании меток объектам и       субъектам, находящимся под контролем ТСВ
  5.  Класс (B2): Структурированная защита
  6.  Класс (ВЗ): Домены безопасности
  7.  Класс (A1): Верифицированный проект

2. FIPS 140-2 "Требования безопасности для криптографических модулей"

В федеральном стандарте США FIPS 140-2 "Требования безопасности для криптографических модулей" под криптографическим модулем понимается набор аппаратных и/или программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.

В стандарте FIPS 140-2 рассматриваются криптографические модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной. То есть речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. Наличие подобного модуля — необходимое условие обеспечения защищенности сколько-нибудь развитой информационной системы; однако, чтобы выполнять предназначенную ему роль, сам модуль также нуждается в защите, как собственными средствами, так и средствами окружения (например, операционной системы).

3. Стандарт шифрования DES

Также к стандартам информационной безопасности США относится алгоритм шифрования DES, который был разработан в 1970-х годах, и который базируется на алгоритме DEA.

Исходные идеи алгоритма шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-х годах. Первоначально эта методика шифрования называлась lucifer (разработчик Хорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первым блочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовый ключ. По существу этот алгоритм являлся прототипом DEA.


 

А также другие работы, которые могут Вас заинтересовать

39972. Процесс деятельности предприятия, в области управления персоналом, отраженный на диаграммах нотации IDEF0 692.17 KB
  В рамках деятельности по управлению персоналом возникает закономерная потребность оценки состояния человеческого ресурса. Соответственно основной целью является не только проведение процедуры оценки но и процесс использования результатов. В рамках данной темы планируется рассмотреть в теоретической части: привязка процесса оценки к конкретной категории персонала или подразделению организации; установление взаимосвязи деловой оценки с другими направлениями деятельности службы управления персоналом: обучением управлением карьерой...
39973. Классификация причин уязвимости Windows NT 36.89 KB
  Классификация пользователей Unix Суперпользователь Обычные пользователи Специальные пользователи Псевдопользователи Классификация пользователей Windows Администраторы Обычные пользователи Специальные пользователи Псевдопользователи Анонимный пользователь Уязвимости Unix Наличие демонов Механизм SUID SGIDпроцессов Излишнее доверие Человеческий фактор Уязвимости Windows Серверы Системные процессы Анонимный пользователь Человеческий фактор Совместимость с другими ОС Классификация причин уязвимости Windows...
39976. Сравнение средств разграничения доступа к файлам в Unix и Windows 194.26 KB
  Они включают в себя начальную интерактивную процедуру отображающую начальный диалог с пользователем на экране и удаленные процедуры входа которые позволяют удаленным пользователям получить доступ с рабочей станции сети к серверным процессам Windows. Угрозы безопасности в сети Интернет: анализ сетевого трафика и шторм ложных TCPзапросов 4. Анализ сетевого трафика сети Internet В сети Internet основными базовыми протоколами удаленного доступа являются TELNET и FTP File Trnsfer Protocol. Особенностью протоколов FTP и TELNET является то что...
39977. Различия между семействами операционных систем Windows для рабочих станций 200.82 KB
  Различия между семействами операционных систем Windows для рабочих станций Рабочая станция Рабо́чая ста́нция англ. Microsoft Windows Все версии традиционно делятся на 4 группы: 16ти разрядные расширения MSDOS – 1.0 windows 2.11 с 1986 по 1997 Windows9x с остатками MSDOS – win95 98 ME с 1995 по 2003 WindowsNT современная линейка для ПК – NT3.
39978. Методы увеличения вычислительной производительности 92.37 KB
  Однако процесс обработки команд и данных нельзя нашинковать в произвольных местах на любое число кусков хотя авторы последних модификаций Pentium 4 сделали такую попытку получив в результате очень горячий и высокочастотный но умеренно производительный процессор. При возникновении в программе любого ветвления что по статистике происходит каждые 710 команд специальная схема предсказатель переходов первая стадия конвейера должна за 1 такт сообразить сработает ли этот переход и если да то куда при том что данные для...
39979. Сервер (аппаратное обеспечение) 56.21 KB
  Консоль обычно монитор клавиатура мышь и участие человека необходимы серверам только на стадии первичной настройки при аппаратнотехническом обслуживании и управлении в нештатных ситуациях штатно большинство серверов управляются удаленно. Надёжность Серверное оборудование зачастую предназначено для обеспечения работы сервисов в режиме 24 7 поэтому часто комплектуется дублирующими элементами позволяющими обеспечить пять девяток 99999 ; время недоступности сервера или простой системы составляет менее 6 минут в год. Повышение...
39980. Общие средства повышения надежности 22.51 KB
  Общие средства повышения надежности Надежность это вероятность безотказной работы какоголибо устройства в течение заданного срока службы. Эту вероятность они называют надежностью. Для оценки важности понятия надежность нам придется вести довольно тривиальный разговор о сложности мира машин и приборов. Надежность машин зависит от множества причин: и от материалов используемых для их изготовления и от станочного оборудования и от условий эксплуатации и от заводского контроля и от мастерства рабочих и конечно от конструкторских идей...