Опубликован: 03.09.2003 | Доступ: свободный | Студентов: 8697 / 2417 | Оценка: 4.21 / 3.93 | Длительность: 20:03:00
ISBN: 978-5-9556-0053-6
Лекция 5:

Профили защиты, разработанные на основе "Общих критериев". Часть 1. Общие требования к сервисам безопасности

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >

Общие элементы политики и цели безопасности

Сформулируем общие положения политики безопасности организации, относящиеся к защитным сервисам:

  • идентификация и аутентификация всех субъектов доступа ;
  • управление доступом к информационным ресурсам сервиса безопасности;
  • подотчетность пользователей сервиса безопасности;
  • протоколирование и аудит функционирования сервиса безопасности;
  • обеспечение доступности коммуникационных каналов;
  • обеспечение конфиденциальности и целостности управляющей информации (в частности, при удаленном администрировании);
  • обеспечение целостности аппаратно-программной и информационной частей сервиса безопасности;
  • обеспечение невозможности обхода защитных средств.

Переходя к изложению целей безопасности для объекта оценки, отметим, что их достижение должно способствовать противостоянию угрозам безопасности и реализации предписаний политики безопасности. Для различных сервисов безопасности общими являются нижеперечисленные цели:

  • подотчетность субъектов и объектов, взаимодействующих с сервисом (необходимое условие достижения этой цели - идентификация и аутентификация взаимодействующих субъектов и объектов, а также протоколирование и аудит выполняемых действий);
  • автоматизация административных действий, наличие средств проверки корректности конфигурации, как локальной, так и распределенной, наглядный интерфейс администрирования;
  • обеспечение (прежде всего средствами пользовательского интерфейса) корректного использования функций безопасности;
  • предоставление пользователям средств для проверки аутентичности серверов и других партнеров по общению, а также открытых криптографических ключей; реальное осуществление подобных проверок;
  • выявление попыток нарушения политики безопасности, задание реакции на подобные попытки;
  • обеспечение отсутствия вредоносного кода в составе сервиса, в том числе после ликвидации нарушений информационной безопасности;
  • проверка программного кода на наличие подписи доверенной стороны перед его загрузкой в систему;
  • выполнение резервного копирования информации, необходимой для восстановления нормальной работы сервиса;
  • обеспечение безопасного восстановления после сбоев и отказов;
  • обеспечение конфиденциальности и целостности информации при удаленном администрировании сервиса;
  • обеспечение устойчивости средств идентификации и аутентификации к попыткам воспроизведения информации и другим способам реализации маскарада ; наличие средств разграничения доступа к компонентам и ресурсам сервиса безопасности;
  • наличие средств контроля целостности компонентов и ресурсов сервиса;
  • наличие средств контроля корректности функционирования сервиса;
  • обеспечение безопасности многократного использования объектов.

Цели безопасности для среды дополняют цели безопасности объекта оценки и состоят в следующем:

  • обеспечение минимальной достаточности аппаратной и программной конфигурации вычислительной установки, на которой функционирует сервис безопасности ;
  • управление физическим доступом к компонентам и ресурсам сервиса;
  • обеспечение невозможности обхода защитных средств;
  • обеспечение достаточной подготовки уполномоченных пользователей сервиса безопасности;
  • проведение в жизнь политики управления данными аутентификации: пользователи меняют эти данные должным образом и с требуемой регулярностью;
  • ликвидация данных аутентификации и привилегий пользователей, лишенных доступа к сервису безопасности;
  • разработка и реализация процедур и механизмов, предохраняющих от вторжения вредоносного программного обеспечения (ПО);
  • разработка и реализация дисциплины доклада о нарушениях информационной безопасности;
  • подготовка пользователей и обслуживающего персонала для противостояния методам морально-психологического воздействия;
  • оперативная ликвидация выявленных уязвимостей.
< Лекция 4 || Лекция 5: 123456 || Лекция 6 >
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Марина Марченкова
Марина Марченкова