Выработка политики безопасности




Политика безопасности (информации в организации) - совокупность документированных правил, процедур, практических приемов или руководящих принципов в области 6езопасности информации, которыми руководствуется организация в своей деятельности. Она должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Политика безопасности реализуется помощью организационных мер и программно-технических средств, определяющих архитектуру системы защиты, а также с помощью средств управления механизмами защиты. Для конкретной организации политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, расположения организации и т. д.

Организационно политика безопасности описывает порядок представления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система защиты информации окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот.

Этапы построения организационной политики безопасности — это внесение в описание объекта структуры ценностей и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. Прежде всего необходимо составить детализированное описание общей цели построения системы безопасности объекта, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе.

Факторы безопасности, в свою очередь, могут разделяться на правовые, технологические, технические и организационные.

Можно выделить следующие процессы, связанные с разработкой и реализацией политики безопасности.

Комплекс мероприятий, связанных с проведением анализа

рисков. К этой группе можно отнести:

* учет материальных или информационных ценностей;

* моделирование угроз информации системы:

 

* собственно анализ рисков с использованием того или иного подхода, например стоимостной анализ рисков

2. Мероприятия по оценке соответствия мер по обеспечению

защиты информации системы некоторому эталонному образцу

3. Действия, связанные с разработкой разного рода документов, в частности отчетов, диаграмм, профилей защиты, заданной по безопасности.

4. Действия, связанные со сбором, хранением и обработкой статистики по событиям безопасности для организации.

Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название этого способа, как правило, определяет название политики безопасности.

Для изучения свойств способа управления доступом создается его формальное описание — математическая модель. При этом модель должна отражать состояние всей системы, ее переходы из одного состояния в другое, а также учитывать, какие состояния и переходы можно считать безопасными в смысле данного управления. Без этого говорить о каких-либо свойствах

системы и тем более гарантировать их, по меньшей мере некорректно. Отметим лишь, что для разработки моделей применяется широкий спектр математических метолов.

В настоящее время лучше всего изучены два вида политики безопасности: избирательная и полномочная, основанные соответственно на избирательном и полномочном способах управления доступом.

Кроме того, существует набор требований, усиливающих действие этих политик и предназначенный для управления информационными потоками в системе. Следует отметить, что средства защиты, предназначенные для реализации какого-либо из названных способов управления доступом, только предоставляют возможности надежного управления доступом или информационными потоками.

Основой избирательной политики безопасности является избирательное управление доступом, которое подразумевает, что:

* все субъекты и объекты системы должны быть идентифицированы;

+ права доступа субъекта к объекту системы определяются на

основании некоторого правила (свойство избирательности).

 

Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа, иногда се называют матрицей контроля доступа. Такая модель получила название матричной. Матрица доступа представляет собой

прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту — столбец. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта

к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как «доступ на чтение», «доступ на запись», «доступ на исполнение» и др.

Множество объектов и типов доступа к ним субъекта может

изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей матрицы доступа.

Решение на доступ субъекта к объекту принимается в соответствии с типом доступа, указанным в соответствующей ячейке

матрицы доступа. Обычно избирательное управление доступом

реализует принцип «что не разрешено, то запрещено», предполагающий явное разрешение доступа субъекта к объекту. Матрица

доступа — наиболее простой подход к моделированию систем доступа.

Избирательная политика безопасности наиболее широко

применяется в коммерческом секторе, так как ее реализация на

практике отвечает требованиям коммерческих организаций по

разграничению доступа и подотчетности, а также имеет приемлемую стоимость и небольшие накладные расходы.

Основу полномочной политики безопасности составляет

полномочное управление доступом, которое подразумевает, что:

* все субъекты и объекты системы должны быть однозначно

идентифицированы;

* каждому объекту системы присвоена метка критичности,

определяющая ценность содержащейся в нем информации;

к каждому субъекту системы присвоен уровень прозрачности, определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ. Когда совокупность меток имеет одинаковые значения, говорят, что они принадлежат к одному уровню безопасности. Организация меток имеет иерархическую структуру и, таким образом, в системе можно реализовать иерархически восходящий поток информации (например, от рядовых исполнителей к руководству). Чем важнее объект или субъект, тем выше его метка критичности. Поэтому наиболее защищенными оказываются объекты с наиболее высокими значениями метки критичности.

Каждый субъект, кроме уровня прозрачности, имеет текущее

значение уровня безопасности, которое может изменяться от некоторого минимального значения до значения его уровня прозрачности.

Основное назначение полномочной политики безопасности — регулирование доступа субъектов системы к объектам с

различным уровнем критичности и предотвращение утечки ин-

формации с верхних уровней должностной иерархии в нижние,

а также блокирование возможного проникновения с нижних

уровней в верхние. При этом она функционирует на фоне избирательной политики, придавая се требованиям иерархически

упорядоченный характер (в соответствии с уровнями безопасности).

Выбор политики безопасности — это прерогатива руководи-

теля системы защиты информации. Но какой бы она ни была,

важно, чтобы внедренная система защиты информации отвечала

ряду требований, которые будут рассмотрены в следующем параграфе

Поскольку система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:

+ она должна быть привязана к целям и задачам зашиты ин-

формации на конкретном предприятии;

* должна быть целостной: содержать все се составляющие,

иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование

* должна быть всеохватывающей, учитывающей все объекты

и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;

 

* должна быть достаточной для решения поставленных задач

и надежной во всех элементах защиты, т. е. базироваться

на принципе гарантированного результата

* должна быть «вмонтированной» в технологические схемы

сбора, хранения, обработки, передачи и использования ин-

формации;

* должна быть компонентно, логически, технологически и

экономически обоснованной;

* должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;

* должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;

* должна быть непрерывной;

* должна быть достаточно гибкой, способной к перенаправленному приспособлению при изменении компонентов ее

составных частей, технологии обработки информации, условий защиты.

Таким образом, обеспечение безопасности информации — непрерывный процесс, который заключается в контроле защищенности, выявлении «узких мест» в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты.

Безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств зашиты; никакая система зашиты не обеспечит безопасность информации без специальной

подготовки пользователей и соблюдения ими всех правил защиты и никакую систему защиты нельзя считать абсолютно надежной, так как всегда может найтись злоумышленник, который найдет лазейку для доступа к информации.



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2022-11-13 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: