30534

Политика информационной безопасности

Доклад

Математика и математический анализ

На основе ПИБ строится управление защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации определяя поведение ИС в различных ситуациях. Основными целями политики информационной безопасности является: обеспечение сохранности целостности информационных ресурсов и предоставление доступа к ним в строгом соответствии с установленными приоритетами и правилами разграничения доступа; обеспечение защиты подсистем задач и технологических процессов от угроз информационной...

Русский

2013-08-24

32.99 KB

29 чел.

Доска.

Выступление.

Политика информационной безопасности  — набор законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проектные решения в области ЗИ. На основе ПИБ строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.

Основными целями политики информационной безопасности является:

  1. обеспечение сохранности, целостности информационных ресурсов и предоставление доступа к ним в строгом соответствии с установленными приоритетами и правилами разграничения доступа;
  2. обеспечение защиты подсистем, задач и технологических процессов, от угроз информационной безопасности, описанных выше в настоящем документе;
  3. обеспечение защиты управляющей информации от угроз информационной безопасности;
  4. обеспечение защиты каналов связи от угроз со стороны каналов связи.

Политика информационной безопасности должна представлять совокупность требований, правил, положений и принятых решений, определяющих:

  1. порядок доступа к информационным ресурсам;
  2. необходимый уровень (класс и категорию) защищенности объектов информатизации;
  3. организацию защиты информации в целом;
  4. дополнительные требования по защите отдельных компонент;
  5. основные направления и способы защиты информации.

Политика информационной безопасности направлена на обеспечение:

  1. конфиденциальности (секретности) информации, циркулирующей в системе, субъективно определяемой характеристике информации, указывающей на необходимость введения ограничений на круг субъектов информационных отношений, имеющих доступ к данной информации, и обеспечиваемую способность среды обработки сохранять информацию втайне от субъектов, не имеющих полномочий на доступ к ней;
  2. целостности информации и среды её обработки, то есть предотвращение несанкционированной модификации, реконфигурации или уничтожения информации, программных средств её обработки, а также предотвращения несанкционированного изменения структуры и её объектов информатизации;
  3. доступности информации, то есть способности информационной среды, средств и технологий обработки информации обеспечить санкционированный доступ субъектов к информации, программным и аппаратным средствам.

Основными направлениями обеспечения информационной безопасности при работе пользователей с конфиденциальной (служебной) информацией, являются:

  1. контроль и управление доступом на объекты, в помещения, в контуры обработки информации;
  2. защита информации от несанкционированного доступа (НСД);
  3. защита от разрушающих программных компонент (РПК) и контроль целостности;
  4. защита информации при передаче по внешним (открытым) каналам связи;
  5. защита информации от утечки по техническим каналам;
  6. выявление и противодействие возможным атакам по каналам связи и техническим каналам;
  7. регистрация и учет работы аппаратно-программных средств и пользователей;
  8. контроль и управление доступом к ресурсам;
  9. поддержание доступности информации.

Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

1. Невозможность миновать защитные средства;

2. Усиление самого слабого звена;

3. Недопустимость перехода в открытое состояние;

4. Минимизация привилегий;

5. Разделение обязанностей;

6. Многоуровневая защита;

7. Разнообразие защитных средств;

8. Простота и управляемость информационной системы;

9. Обеспечение всеобщей поддержки мер безопасности.

Принцип невозможности миновать защитные средства означает, что все информационные потоки в защищаемую сеть и из нее должны проходить через СЗИ. Не должно быть “тайных” модемных входов или тестовых линий, идущих в обход экрана.

Надежность любой СЗИ определяется самым слабым звеном. Часто таким звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер.

Принцип недопустимости перехода в открытое состояние означает, что при любых обстоятельствах (в том числе нештатных), СЗИ либо полностью выполняет свои функции, либо должна полностью блокировать доступ.

Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.

Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это особенно важно для предотвращения злонамеренных или неквалифицированных действий системного администратора.

Принцип многоуровневой защиты предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией — управление доступом и, как последний рубеж, — протоколирование и аудит. Эшелонированная оборона способна по крайней мере задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий.

Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками преодоления СЗИ.

Принцип простоты и управляемости информационной системы  в целом и СЗИ в особенности определяет возможность формального или неформального доказательства корректности реализации механизмов защиты. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование.

Принцип всеобщей поддержки мер безопасности носит нетехнический характер. Рекомендуется с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.

Виды политик безопасности.

В настоящее время лучше всего изучены два вида политики безопасности: избирательная и полномочная, основанные, соответственно на избирательном и полномочном способах управления доступом.

Избирательная политика безопасности.

Основой избирательной политики безопасности является избирательное управление доступом, которое подразумевает, что:

  1. все субъекты и объекты системы должны быть идентифицированы;
  2. права доступа субъекта к объекту системы определяются на основании некоторого   правила (свойство избирательности).

Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа (МД), иногда ее называют матрицей контроля доступа. Такая модель получила название матричной.

Матрица доступа представляет собой прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту столбец. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как “доступ на чтение”, “доступ на запись”, “доступ на исполнение” и др.

Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей МД.

Решение на доступ субъекта к объекту принимается в соответствии с типом доступа, указанным в соответствующей ячейке матрицы доступа. Обычно избирательное управление доступом реализует принцип “что не разрешено, то запрещено”, предполагающий явное разрешение доступа субъекта к объекту. Матрица доступа — наиболее простой подход к моделированию систем доступа.

Избирательная политика безопасности наиболее широко применяется в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость и небольшие накладные расходы.

Полномочная политика безопасности.

Основу полномочной политики безопасности составляет полномочное управление доступом, которое подразумевает, что:

  1. все субъекты и объекты системы должны быть однозначно идентифицированы;
  2. каждому объекту системы присвоена метка критичности, определяющая ценность содержащейся в нем информации;
  3. каждому субъекту системы присвоен уровень прозрачности, определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ.

Когда совокупность меток имеет одинаковые значения, говорят, что они принадлежат к одному уровню безопасности. Организация меток имеет иерархическую структуру и, таким образом, в системе можно реализовать иерархически восходящий поток информации (например, от рядовых исполнителей к руководству). Чем важнее объект или субъект, тем выше его метка критичности. Поэтому наиболее защищенными оказываются объекты с наиболее высокими значениями метки критичности.

Каждый субъект, кроме уровня прозрачности, имеет текущее значение уровня безопасности, которое может изменяться от некоторого минимального значения до значения его уровня прозрачности.

Основное назначение полномочной политики безопасности  — регулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращение утечки информации с верхних уровней должностной иерархии в нижние, а также блокирование возможного  проникновения с нижних уровней в верхние. При этом она функционирует на фоне избирательной политики, придавая ее требованиям иерархически упорядоченный характер (в соответствии с уровнями безопасности).

http://www.dataved.ru/2009/03/blog-post_30.html#sec_goal


 

А также другие работы, которые могут Вас заинтересовать

39413. Реализация и исследование быстрого алгоритма двумерного вещественного ДПФ по основанию 4 представлением данных в гиперкомплексной алгебре 294.73 KB
  Заданный алгоритм был реализован программно с помощью технологии Microsoft. NET Framework на языке программирования C++. Написанное приложение состоит из двух сборок: библиотеки классов FFT, содержащей все необходимое для вычисления ДПФ по формуле и БПФ.
39414. Реализация и исследование быстрого алгоритма двумерного вещественного ДПФ с расщеплением основания с представлением данных в алгебре кватернионов 308.5 KB
  ЗАДАНИЕ Реализация и исследование быстрого алгоритма двумерного вещественного ДПФ с расщеплением основания с представлением данных в алгебре кватернионов. Текст программы 1 Постановка задачи Нахождение спектра квадратной матрицы размера с помощью быстрого алгоритма двумерного вещественного ДПФ с расщеплением основания с представлением данных в алгебре кватернионов. Тестирование полученной реализации алгоритма ее исследование и сравнение с обычным алгоритмом двумерного ДПФ. Рассмотрим...
39415. РАСЧЕТ И КОНСТРУИРОВАНИЕ ОДНОСТУПЕНЧАТОГО ЗУБЧАТОГО РЕДУКТОРА 4.1 MB
  Проектный расчёт закрытой цилиндрической зубчатой передачи . Геометрический расчет закрытой цилиндрической передачи.5 Проверочный расчет закрытой цилиндрической передачи . Расчет открытой цилиндрической зубчатой передачи .
39416. Детали машин и основы конструирования 1007.43 KB
  2 РАСЧЕТ КРУТЯЩИХ МОМЕНТОВ НА ВАЛАХ И ЧАСТОТ ВРАЩЕНИЯ Быстроходный вал: n1б=nа=1455 об мин. 3 РАСЧЕТ ЗУБЧАТЫХ ПЕРЕДАЧ 3.2 Проверочный расчет на прочность закрытой цилиндрической зубчатой передачи 3.170; t – расчетный срок службы передачи t =12000 ч; n – частота вращения вала; Nk1 = 60 ∙ с ∙ n1 ∙ t =60 ∙ 1 ∙ 28088 ∙ 12000=2022∙106 циклов; Nk2 = 60 ∙ с ∙ n2 ∙ t =60 ∙ 1∙ 70 ∙ 12000=504∙106 циклов.
39417. Устройство сбора данных 368.5 KB
  В радиотехнических системах и в технике связи УСД используются для обработки сигналов функционального контроля каналов связи диагностирования состояния аппаратуры. Имеется F аналоговых каналов. Необходимо опрашивая их согласно заданной последовательности получаемые из каналов аналоговые величины с помощью АЦП преобразовывать в цифровую форму двоичные слова стандартной длины 1 байт = 8 бит и помещать в последовательные ячейки некоторой области ЗУ начиная с ячейки имеющей адрес G. Разработать системы формирования адресов ячеек ОЗУ и...
39418. Система передачи 262.5 KB
  В состав аппаратуры ИКМ120У входят: аналогоцифровое оборудование формирования стандартных потоков АЦО оборудование вторичного временного группообразования ВВГ оконечное оборудование линейного тракта ОЛТ необслуживаемые регенерационные пункты НРП комплекс измерительного оборудования. Максимальное число НРП между ОРП 48 Максимальное число НРП в полу секции ДП 24 1 1 1 0 0 1 1 0 1с 2с 3с 4с 1с 1с 2с 3с 4с 1с 2с 3с 4с 1с 2с 3с 4с 1с 2с 3с 4с 1с 2с 3с 4с 1с 2с 3с 4с 1с...
39419. Составление программы тренировки силовой подготовки для юношей начинающих заниматься силовым троеборьем 365 KB
  В тяжелоатлетическом спорте, как и в любом виде спорта, для достижения результатов мирового класса требуется многолетняя, в высшей степени целенаправленная, с максимальной отдачей сил подготовка, начиная с детского возраста
39420. Ортопедическая стоматология 471.5 KB
  Роль учёных бывшего СССР и РБ в развитии ортопедической стоматологии и совершенствование оказания ортопедической помощи населению. Полное отсутствие коронки зуба. Клиника, функциональные нарушения, методы протезирования. Восстановительные штифтовые конструкции, их разновидности. Показания к применению штифтовых зубов по Ричмонду, по Ильиной-Маркосян, простого штифтового зуба, культевой штифтовой вкладки.
39421. РАЗРАБОТКА СХЕМЫ ОРГАНИЗАЦИИ СВЯЗИ 1.03 MB
  Размещение необслуживаемых регенерационных пунктов НРП вдоль кабельной линии передачи осуществляется в соответствии с номинальной длиной регенерационного участка РУ для проектируемой ЦСП. При необходимости допускается проектирование укороченных относительно номинального значения РУ которые следует располагать прилегающими к ОП или ПВ так как блоки линейных регенераторов в НРП не содержат искусственных линий ИЛ. Необходимое число НРП определить по формуле: N = n 1; 8 Количество НРП на секциях ОП1 ПВ и ОП2 ПВ определить из...