Опубликован: 03.09.2003 | Уровень: специалист | Доступ: платный
Лекция 5:

Профили защиты, разработанные на основе "Общих критериев". Часть 1. Общие требования к сервисам безопасности

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >

Общие элементы политики и цели безопасности

Сформулируем общие положения политики безопасности организации, относящиеся к защитным сервисам:

  • идентификация и аутентификация всех субъектов доступа ;
  • управление доступом к информационным ресурсам сервиса безопасности;
  • подотчетность пользователей сервиса безопасности;
  • протоколирование и аудит функционирования сервиса безопасности;
  • обеспечение доступности коммуникационных каналов;
  • обеспечение конфиденциальности и целостности управляющей информации (в частности, при удаленном администрировании);
  • обеспечение целостности аппаратно-программной и информационной частей сервиса безопасности;
  • обеспечение невозможности обхода защитных средств.

Переходя к изложению целей безопасности для объекта оценки, отметим, что их достижение должно способствовать противостоянию угрозам безопасности и реализации предписаний политики безопасности. Для различных сервисов безопасности общими являются нижеперечисленные цели:

  • подотчетность субъектов и объектов, взаимодействующих с сервисом (необходимое условие достижения этой цели - идентификация и аутентификация взаимодействующих субъектов и объектов, а также протоколирование и аудит выполняемых действий);
  • автоматизация административных действий, наличие средств проверки корректности конфигурации, как локальной, так и распределенной, наглядный интерфейс администрирования;
  • обеспечение (прежде всего средствами пользовательского интерфейса) корректного использования функций безопасности;
  • предоставление пользователям средств для проверки аутентичности серверов и других партнеров по общению, а также открытых криптографических ключей; реальное осуществление подобных проверок;
  • выявление попыток нарушения политики безопасности, задание реакции на подобные попытки;
  • обеспечение отсутствия вредоносного кода в составе сервиса, в том числе после ликвидации нарушений информационной безопасности;
  • проверка программного кода на наличие подписи доверенной стороны перед его загрузкой в систему;
  • выполнение резервного копирования информации, необходимой для восстановления нормальной работы сервиса;
  • обеспечение безопасного восстановления после сбоев и отказов;
  • обеспечение конфиденциальности и целостности информации при удаленном администрировании сервиса;
  • обеспечение устойчивости средств идентификации и аутентификации к попыткам воспроизведения информации и другим способам реализации маскарада ; наличие средств разграничения доступа к компонентам и ресурсам сервиса безопасности;
  • наличие средств контроля целостности компонентов и ресурсов сервиса;
  • наличие средств контроля корректности функционирования сервиса;
  • обеспечение безопасности многократного использования объектов.

Цели безопасности для среды дополняют цели безопасности объекта оценки и состоят в следующем:

  • обеспечение минимальной достаточности аппаратной и программной конфигурации вычислительной установки, на которой функционирует сервис безопасности ;
  • управление физическим доступом к компонентам и ресурсам сервиса;
  • обеспечение невозможности обхода защитных средств;
  • обеспечение достаточной подготовки уполномоченных пользователей сервиса безопасности;
  • проведение в жизнь политики управления данными аутентификации: пользователи меняют эти данные должным образом и с требуемой регулярностью;
  • ликвидация данных аутентификации и привилегий пользователей, лишенных доступа к сервису безопасности;
  • разработка и реализация процедур и механизмов, предохраняющих от вторжения вредоносного программного обеспечения (ПО);
  • разработка и реализация дисциплины доклада о нарушениях информационной безопасности;
  • подготовка пользователей и обслуживающего персонала для противостояния методам морально-психологического воздействия;
  • оперативная ликвидация выявленных уязвимостей.
< Лекция 4 || Лекция 5: 123456 || Лекция 6 >
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Мария Архипова
Мария Архипова
Алексей Хохлов
Алексей Хохлов
Россия, Балашиха
Валентина Конюхова
Валентина Конюхова
Россия, Казань, КГТУ им.А.Н.Туполева (КАИ), 2008