Сервисы безопасности и исполняемые ими роли:
- Аутентификация
- Управление доступом
- Конфиденциальность данных
- Целостность данных
- Неотказуемость (невозможность отказаться от совершенных действий)
| Уровни модели OSI | |||||||
| Аутентификация | — | — | + | + | — | — | + |
| Управление доступом | — | — | + | + | — | — | + |
| Конфиденциальность соединения | + | + | + | + | — | + | + |
| Конфиденциальность вне соединения | — | + | + | + | — | + | + |
| Избирательная конфиденциальность | — | — | — | — | — | + | + |
| Конфиденциальность трафика | + | — | + | — | — | — | + |
| Целостность с восстановлением | — | — | — | + | — | — | + |
| Целостность без восстановления | — | — | + | + | — | — | + |
| Избирательная целостность | — | — | — | — | — | — | + |
| Целостность вне соединения | — | — | + | + | — | — | + |
| Неотказуемость | — | — | — | — | — | — | + |
Для реализации сетевых сервисов используются механизмы:
— шифрования
— электронной цифровой подписи
— управления доступом
— контроля целостности данных
— аутентификации
— дополнения трафика
— управления маршрутизацией
— нотаризации (заверение целостности, времени, личности отправителя и получателя)
Взаимосвязь функций и механизмов безопасности
ISO/IEC 15408
«Критерии оценки безопасности информационных технологий»
Издан 1 декабря 1999 г.
Часто называют как «Общие критерии»
Определяет инструменты оценки безопасности ИС и порядок их использования
В отличие от «Оранжевой книги» не содержит предопределённых «классов безопасности»
Как и «Оранжевая книга» содержит два основных вида требований безопасности, соответствующие:
— активному аспекту защиты (предъявляются к функциям безопасности и реализующим их механизмам)
— пассивному аспекту защиты (предъявляются к технологии и процессу разработки и эксплуатации)
Безопасность рассматривается в привязке к жизненному циклу объекта оценки:
— определения назначения, условий применения, целей и требований безопасности
— проектирование и разработка
— испытания, оценка и сертификация
— внедрение и эксплуатация
Классы функциональных требований:
- идентификация и аутентификация
- защита данных пользователя
- защита функций безопасности
- управление безопасностью (атрибуты и параметры безопасности)
- аудит безопасности
- доступ к объекту оценки
— приватность
— использование ресурсов
— криптографическая поддержка (управление ключами)
— связь
— доверенный маршрут
Руководящие документы Гостехкомиссии России
- Классификация автоматизированных систем по уровню защищенности от несанкционированного доступа
- Классификация межсетевых экранов по уровню защищенности от несанкционированного доступа
Административный уровень информационной безопасности.
Главная задача:Сформировать программу работ в области ИБ и обеспечить её выполнение, выделяя необходимые ресурсы и осуществляя контроль состояний.
Основа программы: Политика безопасности.
Разработка политики безопасности начинается с анализа рисков.
Политика безопасности
Статьи к прочтению:
Настройкаресивера Openbox X 800
Похожие статьи:
-
Стандарты и спецификации в области информационной безопасности
Оранжевая книга как оценочный стандарт Основные понятия Мы приступаем к обзору стандартов и спецификаций двух разных видов: § оценочных стандартов,…
-
Техническое обеспечение защиты процессов переработки информации
1. К техническим комплексам информационной безопасности относятся: Специальные технические устройства (специальные маршрутизаторы, которые обеспечивают…