Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Информационная безопасность распределенных систем. Рекомендации Х.800




Сетевые сервисы безопасности

Следуя скорее исторической, чем предметной логике, мы переходим к рассмотрению технической спецификации Х.800, появившейся немно­гим позднее «Оранжевой книги», но весьма полно и глубоко трактующей вопросы информационной безопасности распределенных систем.

Рекомендации Х.800 — документ довольно обширный. Мы остано­вимся на специфических сетевых функциях (сервисах) безопасности, а также на необходимых для их реализации защитных механизмах.

Выделяют следующие сервисы безопасности и исполняемые ими роли:

Аутентификация. Данный сервис обеспечивает проверку подлиннос­ти партнеров по общению и проверку подлинности источника данных. Аутентификация партнеров по общению используется при установлении соединения и, быть может, периодически во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего се­анса связи. Аутентификация бывает односторонней (обычно клиент до­казывает свою подлинность серверу) и двусторонней (взаимной).

Управление доступом. Обеспечивает защиту от несанкционирован­ного использования ресурсов, доступных по сети.

Конфиденциальность данных. Обеспечивает защиту от несанкциони­рованного получения информации. Отдельно упомянем конфиденциаль­ность трафика (это защита информации, которую можно получить, ана­лизируя сетевые потоки данных).

Целостность данных подразделяется на подвиды в зависимости от то­го, какой тип общения используют партнеры — с установлением соедине­ния или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.

Неотказуемость (невозможность отказаться от совершенных дейст­вий) обеспечивает два вида услуг: неотказуемость с подтверждением под­линности источника данных и неотказуемость с подтверждением достав­ки. Побочным продуктом неотказуемости является аутентификация ис­точника данных.

В следующей таблице указаны уровни эталонной семиуровневой мо­дели OSI, на которых могут быть реализованы функции безопасности. Отметим, что прикладные процессы, в принципе, могут взять на себя поддержку всех защитных сервисов.

Функции безопасности Уровень
Аутентификация - - + + - +
Управление доступом _ _ + + _ _ +
Конфиденциальность соединения + + + + _ + +
Конфиденциальность вне соединения __ + + + _ + +
Избирательная конфиденциальность + +
Конфиденциальность трафика   _ + _ _ _ +
Целостность с восстановлением _ _ _ + _ _ +
Целостность без восстановления _ _ + + _   +
Избирательная целостность _ _   _ _   +
Целостность вне соединения __ _ + + _   +
Неотказуемость - - - - - - +
«+» данный уровень может предоставить функцию безопасности; «—» данный уровень не подходит для предоставления функции безопасности.

Табл. 5.1. Распределение функций безопасности по уровням эталонной семиуровневой модели OSI.

Лекция 6. Административный уровень информационной безопасности

Вводятся ключевые понятия — политика безопасности и программа безопас­ности. Описывается структура соответствующих документов, меры по их разработке и сопровождению. Меры безопасности увязываются с этапами жизненного цикла информационных систем.

Ключевые слова: административный уровень ИБ, политика безопас­ности, программа безопасности, анализ рисков, уровень детализа­ции, карта ИС, классификация ресурсов, физическая защита, пра­вила разграничения доступа, порядок разработки, непрерывная ра­бота, оценка рисков, координация, стратегическое планирование, контроль, жизненный цикл, инициация, закупка, установка, экс­плуатация, выведение из эксплуатации.

Основные понятия

К административному уровню информационной безопасности от­носятся действия общего характера, предпринимаемые руководством ор­ганизации.

Главная цель мер административного уровня — сформировать про­грамму работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руковод­ство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, состав­ляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определя­ется порядок контроля выполнения программы и т.п.

Термин «политика безопасности» является не совсем точным пере­водом английского словосочетания «security policy», однако в данном слу­чае калька лучше отражает смысл этого понятия, чем лингвистически бо­лее верные «правила безопасности». Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области ин­формационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.

Под политикой безопасности мы будем понимать совокупность до­кументированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Такая трактовка, конечно, гораздо шире, чем набор правил разгра­ничения доступа (именно это означал термин «security policy» в «Оранже­вой книге» и в построенных на ее основе нормативных документах других стран).

ИС организации и связанные с ней интересы субъектов — это слож­ная система, для рассмотрения которой необходимо применять объект­но-ориентированный подход и понятие уровня детализации. Целесооб­разно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сделаем еще раз далее.

Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном сти­ле, с возможностью варьировать не только уровень детализации, но и ви­димые грани объектов. Техническим средством составления, сопровожде­ния и визуализации подобных карт может служить свободно распростра­няемый каркас какой-либо системы управления.

Политика безопасности

С практической точки зрения политику безопасности целесообраз­но рассматривать на трех уровнях детализации. К верхнему уровню мож­но отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организа­ции. Примерный список подобных решений может включать в себя сле­дующие элементы:

• решение сформировать или пересмотреть комплексную про­грамму обеспечения информационной безопасности, назначе­ние ответственных за продвижение программы;

• формулировка целей, которые преследует организация в облас­ти информационной безопасности, определение общих на­правлений в достижении этих целей;

• обеспечение базы для соблюдения законов и правил;

• формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассма­триваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области инфор­мационной безопасности формулируются в терминах целостности, дос­тупности и конфиденциальности. Если организация отвечает за поддер­жание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для ор­ганизации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руко­водство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими ре­жим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты ис­пользования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наи­более важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопо­слушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контроли­ровать действия лиц, ответственных за выработку программы безопасно­сти. Наконец, необходимо обеспечить определенную степень исполни­тельности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум во­просов. Подобное вынесение целесообразно, когда оно сулит значитель­ную экономию средств или когда иначе поступить просто невозможно.

Британский стандарт BS 7799:1995 рекомендует включать в доку­мент, характеризующий политику безопасности организации, следующие разделы:

• вводный, подтверждающий озабоченность высшего руководст­ва проблемами информационной безопасности;

• организационный, содержащий описание подразделений, ко­миссий, групп и т.д., отвечающих за работы в области информа­ционной безопасности;

• классификационный, описывающий имеющиеся в организа­ции материальные и информационные ресурсы и необходимый уровень их защиты;

• штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информаци­онной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безо­пасности и т.п.);

• раздел, освещающий вопросы физической защиты;

• управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;

• раздел, описывающий правила разграничения доступа к произ­водственной информации;

• раздел, характеризующий порядок разработки и сопровожде­ния систем;

• раздел, описывающий меры, направленные на обеспечение не­прерывной работы организации;

• юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных экс­плуатируемых организацией систем. Примеры таких вопросов — отноше­ние к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

Описание аспекта. Например, если рассмотреть применение пользо­вателями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уров­не организации.

Область применения. Следует определить, где, когда, как, по отноше­нию к кому и чему применяется данная политика безопасности. Напри­мер, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними ком­пьютерами и вынужденных переносить информацию на производствен­ные машины?

Позиция организации по данному аспекту. Продолжая пример с нео­фициальным программным обеспечением, можно представить себе пози­ции полного запрета, выработки процедуры приемки подобного ПО и т.п.

Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их пере­чень), в разных организациях может сильно отличаться.

Роли и обязанности. В «политический» документ необходимо вклю­чить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофици­ального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Ес­ли неофициальное программное обеспечение использовать нельзя, сле­дует знать, кто следит за выполнением данного правила.





Рекомендуемые страницы:

Воспользуйтесь поиском по сайту:



©2015- 2021 megalektsii.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.