Полезное:
Как сделать разговор полезным и приятным
Как сделать объемную звезду своими руками
Как сделать то, что делать не хочется?
Как сделать погремушку
Как сделать так чтобы женщины сами знакомились с вами
Как сделать идею коммерческой
Как сделать хорошую растяжку ног?
Как сделать наш разум здоровым?
Как сделать, чтобы люди обманывали меньше
Вопрос 4. Как сделать так, чтобы вас уважали и ценили?
Как сделать лучше себе и другим людям
Как сделать свидание интересным?
Категории:
АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника
|
Разграничение доступаПринято выделять два основных метода разграничения доступа - дискреционная и мандатная. Дискреционная - разграничение доступа между поименнованными субъектами и поименованными объектами. На практике реализована в виде матрицы доступа. Мандатная - обычно реализуется как разграничение доступа по уровням секретности, полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности к которому он допущен, при это все ресурсы ИС должны быть классифицированы по уровням секретности. Стандарты в ИБ 2.1 общие сведения Стандарты в области ИБ делятся: Оценочные стандарты - предназначены для оценки и классификации автоматизированных систем и средств защиты информации по требованиям безопасности (оранжевая книга, рд гос тех комиссии России (ФСТЭК), общие критерии Спецификации - регламентируют различные аспекты реализации и использования средств и методов защиты (х.509 - инфраструктура открытых ключей, гост 28-147-89 симметричный криптографический алгоритм, управленческие стандарты(iso 27001) Основные стандарты в области ИБ руководящие документ ФСТЭК России действуют и активно используются при проведении сертификации средств защиты информации в системах сертификации ФСТЭК России, минобороны России а так же в ряде добровольных систем сертификации стандарт ГОСТ-Р ИСО/МЭК 15408-2002 известны как общий критерий действуют и применяются при проведении сертификации средств защиты непредназначенных для работы с информацией составляющие гос тайну в перспективе предполагается отказ от РД ФСТЭК Россииили переход к общим критериям как к единому оценочному стандарту. Криптографические стандарты - ГОСТ 28147-89 ГОСТ 3410-2001, ГОСТ -3411-94. Все остальные имеют сугубо добровольный характер но активно используются при построении реальных систем в первую очередь в целях обеспечения их взаимной совместимости 2.2 Оранжевая книга. Стандарт. "критерии оценки доверенных компьютерных систем" более известный как оранжевая книга был разработан МО сша в 83ем году. И стал первым в истории общедоступным оценочным стандартом в области ИБ. Требования оранжевой книги имеют следующую структуру: 1. Политика безопасности 1. Система должна поддерживать точно поерделенную политику безопасности, возможность доступа субъектов к объектам должна определятьсяна основании их идентификации и набора прави управления доступом по мере необходимости должна использоваться политика мандатного управления доступом 2. С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа для реализации мандатного управления доступом система должна обеспечивать каждому объекту набор атрибутов, определяющих степень конфиденциальности объектов и режимы доступа к этому объекту 2. Подотчетность 1. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основе идентификации субъекта и объекта доступа, аутетнтификацией и правил разграничения доступа. Данные используемые для аутетнтификации и идентификации должны быть защищены от несанкционированного доступа модификаций и уничтожения 2. Для определения степени ответственности пользователя за действия в системе все происходящие в ней события, имеющие значения с точки зрения безопасности должны остлеживаться и регестрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность. Протокол событий должен быть надежно защищен от нсд, модификаций и уничтожения 3. Гарантии 1. Средства защиты должны содержать независимые аппаратные или программные аппоненты, обеспечивающие работоспособность функции защиты 2. Все средства защиты должны быть защищены от нс вмешательства и отключения п чем эта защита должна быть постоянно и непрерывной в любом режиме функционирования системы защиты и автоматизированней системы в целом. Данное требование распространяется антвесь жизненный цикл автоматизированной системы. Оранжевая книга определяет 4 группы классов защитенности А- содержит А1 B - B1, B2,B3 С1 D Требуемый уровень защищенности системы возрастает от груббы D к группе А а в пределах одной группы с увеличением одного класса Г руппа D- минимальная защита К данной категории относятся те система, которые были представлены для сертификации по требованиям одного из более высоких классов защищенности, но не прошли испытания
|