24415

Четыре условия возможности возникновения тупика

Контрольная

Информатика, кибернетика и программирование

Политика безопасности. Процедуры управления безопасностью также важны как и политики безопасности. Если политики безопасности определяют что должно быть защищено то процедуры безопасности определяют как защитить информационные ресурсы компании. Нескольких важных процедур безопасности: 1.

Русский

2013-08-09

77 KB

1 чел.

1. Четыре условия возможности возникновения тупика.

Коффман, Элфик и Шошани сформулировали следующие необходимые условия наличия тупика:

- Процессы требуют предоставления им права монопольного управления ресурсами, которые им выделяются (условие взаимоисключения).

- Процессы удерживают за собой ресурсы, уже выделенные им, ожидая в то же время выделения дополнительных ресурсов (условие ожидания ресурсов).

- Ресурсы нельзя отобрать у процессов, удерживающих их, пока эти ресурсы не будут использованы для завершения работы (условие неперераспределяемости).

- Существует кольцевая цепь процессов, в которой каждый процесс удерживает за собой один или более ресурсов, требующихся следующему процессу цепи (условие кругового ожидания).

2. Процедуры управления безопасностью. Политика безопасности. Стандарты.

Процедуры управления безопасностью также важны, как и политики безопасности. Если политики безопасности определяют "что" должно быть защищено, то процедуры безопасности определяют "как" защитить информационные ресурсы компании. Нескольких важных процедур безопасности:

1. Процедура управления конфигурацией обычно определяется на уровне отдела или на уровне компании.

2. Процедуры резервного копирования и хранения информации вне офиса могут потребоваться из-за требований клиентов и партнеров по бизнесу.

3. Процедура обработки инцидентов определяет порядок обработки и расследования инцидентов. Процедура обработки инцидентов должна быть в любой компании.

Политика безопасности – это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности:

  •  определение какие данные и насколько серьезно необходимо защищать,
  •  определение кто и какой ущерб может нанести фирме в информационном аспекте,
  •  вычисление рисков и определение схемы уменьшения их до приемлемой величины.

В настоящее время ряд ведущих компаний в области безопасности рекомендует разрабатывать политики:

1. Допустимого шифрования.

2. Допустимого использования.

3. Аудита безопасности.

4. Оценки рисков.

5. Классификации данных.

6. Определения паролей.

7. Использования ноутбуков.

8. Построения демилитаризованной зоны, DMZ.

9. Построения экстранет.

10. Безопасности рабочих станций и серверов.

11. Антивирусной защиты.

12. Безопасности маршрутизаторов и коммутаторов.

13. Безопасности беспроводного доступа.

14. Организации удаленного доступа.

15. Построения виртуальных частных сетей, VPN и пр.

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: "Вы – злоумышленник. Ваши действия?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.

Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии.

Стандарты информационной безопасности подразумевают собой исполнение следующих критериев при обеспечении конфиденциальности информации:

1. Организационные  меры защиты, сводящиеся к регламентации

- допуска к использованию информационных ресурсов;

- процессов проведения технологических операций с информационными ресурсами информационной системы;

- процессов эксплуатации, обслуживания и модификации аппаратных и программных ресурсов.

2. Технические меры и методы защиты, заключающиеся в применении средств

- идентификации и аутентификации;

- разграничение доступа;

- обеспечение контроля целостности;

- антивирусной защиты;

- контроля электронной почты;

- контроля и регистрации событий безопасности;

- криптографической защиты;

- централизованного управления системой информационной безопасности.

Стандарты безопасности Гостехкомиссии.

РД Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.

Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".

1. РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации"

РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

Первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;

Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

Четвертая группа характеризуется верифицированной защитой содержит только первый класс.

2. РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации"

РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

  •  наличие в АС информации различного уровня конфиденциальности;
  •  уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
  •  режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

3. РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации"

При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

  •  Управление доступом;
  •  Идентификация и аутентификация;
  •  Регистрация событий и оповещение;
  •  Контроль целостности;
  •  Восстановление работоспособности.

На основании показателей защищенности определяются следующие пять классов защищенности МЭ:

  •  Простейшие фильтрующие маршрутизаторы - 5 класс;
  •  Пакетные фильтры сетевого уровня - 4 класс;
  •  Простейшие МЭ прикладного уровня - 3 класс;
  •  МЭ базового уровня - 2 класс;
  •  Продвинутые МЭ - 1 класс.

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.

Также к стандартам России в области информационной безопасности относятся:

  •  Гост 28147-89 – блочный шифр с 256-битным ключом;
  •  Гост Р 34.11-94 –функция хэширования;
  •  Гост Р 34.10-94 –алгоритм цифровой подписи.

4. Европейские стандарты безопасности.

ISO 15408: Common Criteria for Information Technology Security Evaluation

Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

Общие критерии оценки безопасности информационных технологий (далее "Общие критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

Хотя применимость "Общих критериев" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Первая часть "Общих критериев" содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части "Общих критериев" и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.

Третья часть "Общих критериев" содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

  •  Наличие побочных каналов утечки информации;
  •  Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;
  •  Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;
  •  Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.

5. ISO 17799: Code of Practice for Information Security Management

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.

ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на следующие 10 разделов:

  •  Политика безопасности;
  •  Организация защиты;
  •  Классификация ресурсов и их контроль;
  •  Безопасность персонала;
  •  Физическая безопасность;
  •  Администрирование компьютерных систем и вычислительных сетей;
  •  Управление доступом;
  •  Разработка и сопровождение информационных систем;
  •  Планирование бесперебойной работы организации;
  •  Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира.

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

Ключевыми являются следующие средства контроля:

  •  Документ о политике информационной безопасности;
  •  Распределение обязанностей по обеспечению информационной безопасности;
  •  Обучение и подготовка персонала к поддержанию режима информационной безопасности;
  •  Уведомление о случаях нарушения защиты;
  •  Средства защиты от вирусов;
  •  Планирование бесперебойной работы организации;
  •  Контроль над копированием программного обеспечения, защищенного законом об авторском праве;
  •  Защита документации организации;
  •  Защита данных;
  •  Контроль соответствия политике безопасности.

Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.

6. Стандарт безопасности США.

1. "Оранжевая книга "

"Department of Defense Trusted Computer System Evaluation Criteria"

OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное

название документа "Department of Defense Trusted Computer System Evaluation Criteria".

OK предназначается для следующих целей:

  •  Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации;
  •  Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации;
  •  Обеспечить базу для исследования требований к выбору защищенных систем.

Рассматривают два типа оценки:

  •  без учета среды, в которой работает техника;
  •  в конкретной среде (эта процедура называется аттестованием).

Во всех документах DOD, связанных с ОК, принято одно понимание фразы       обеспечение безопасности информации. Это понимание принимается как аксиома и формулируется следующим образом: безопасность = контроль за доступом.

Классы систем, распознаваемые при помощи критериев оценки гарантированно       защищенных вычислительных систем, определяются следующим образом. Они       представлены в порядке нарастания требований с точки зрения обеспечения       безопасности ЭВМ.

  1.  Класс (D): Минимальная защита
  2.  Класс (C1): Защита, основанная на разграничении доступа (DAC)
  3.  Класс (С2): Защита, основанная на управляемом контроле доступом
  4.  Класс(B1): Мандатная защита, основанная на присваивании меток объектам и       субъектам, находящимся под контролем ТСВ
  5.  Класс (B2): Структурированная защита
  6.  Класс (ВЗ): Домены безопасности
  7.  Класс (A1): Верифицированный проект

2. FIPS 140-2 "Требования безопасности для криптографических модулей"

В федеральном стандарте США FIPS 140-2 "Требования безопасности для криптографических модулей" под криптографическим модулем понимается набор аппаратных и/или программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.

В стандарте FIPS 140-2 рассматриваются криптографические модули, предназначенные для защиты информации ограниченного доступа, не являющейся секретной. То есть речь идет о промышленных изделиях, представляющих интерес для основной массы организаций. Наличие подобного модуля — необходимое условие обеспечения защищенности сколько-нибудь развитой информационной системы; однако, чтобы выполнять предназначенную ему роль, сам модуль также нуждается в защите, как собственными средствами, так и средствами окружения (например, операционной системы).

3. Стандарт шифрования DES

Также к стандартам информационной безопасности США относится алгоритм шифрования DES, который был разработан в 1970-х годах, и который базируется на алгоритме DEA.

Исходные идеи алгоритма шифрования данных DEA (data encryption algorithm) были предложены компанией IBM еще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-х годах. Первоначально эта методика шифрования называлась lucifer (разработчик Хорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первым блочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовый ключ. По существу этот алгоритм являлся прототипом DEA.


 

А также другие работы, которые могут Вас заинтересовать

58591. Этика и наука 44.5 KB
  Рассказывается миф о царе Эдипе: Царь Лаий и его жена Иокаста получили страшное предсказание от дельфиского оракула: Если в вашей семье родится сын то отец погибнет от его руки. Царь усыновил младенца и назвал Эдипом. Эдип вырос умным и сильным мужчиной. Эдип отправился за ответом к дельфийскому оракулу.
58592. Значение и организация нервной системы 59.5 KB
  Цель урока: Рассмотреть общий план строения нервной системы и определить ее значение в системе всего организма Основные вопросы урока: Общая характеристика нервной системы Этапы развития нервной системы Общий план строения нервной системы человека.
58593. Оur university 344.5 KB
  The families of the words: to arrange, arrangement; to teach, teacher; to instruct, instruction, instructor; to prepare, preparation, preparatory; stomatology, stomatological, stomatologist; medicine, medical, medicinal...
58594. Основы рационального питания 75 KB
  И поэтому нам хочется чтобы вы узнали зачем мы едим из чего состоят продукты какие продукты полезные а какие вредные и что лучше есть чтобы быть здоровым хорошо расти учиться и быть в хорошем настроении.
58595. Телепередачи 49 KB
  Цель: Повторение и закрепление материала по теме «Простое прошедшее время», введение нового лексического материала по теме Задачи: Практические: Тренировка произносительных навыков учащихся...
58596. Безударная гласная корня. Способы словообразования Конспекты уроков 127 KB
  Повторить правописание безударных гласных в корне, отработать умение классифицировать данную орфограмму. Оборудование: карточки с заданиями, варианты тестовых заданий.