Обеспечение информационной безопасности компьютерных систем
Начиная с 1999 года специалисты по компьютерным технологиям пытаются обратить внимание общественности и государственных органов на новый международный стандарт ISO/IEC 15408 «Единые критерии оценки безопасности информационных технологий» и группу поддерживающих его нормативных документов. Активность организаций по стандартизации ведущих государств, реально произошедшие изменения во взглядах специалистов к проблеме информационной безопасности (ИБ) и явились предостережением, что Украина может упустить реальный шанс вовремя освоить новейшее технологическое обеспечение информационной безопасности. Актуальность решения задачи гармонизации отечественной нормативной базы с международными стандартами, а также вопросов применения международных стандартов в отечественной практике очень велика. Отрицательное решение данных задач может не только затормозить развитие отечественных систем информационной безопасности, но и откинуть Украину с достигнутых на сегодняшний день позиций в данной области. В мире произошло переосмысление подходов к решению проблемы обеспечения информационной безопасности. С момента принятия международного стандарта ISO/IEC 15408 начался новый этап развития теории и практики обеспечения информационной безопасности. До недавнего времени нормативной основой решения задач защиты информации являлись стандарты ISO 7498-2:1989 «Архитектура безопасности ВОС» и ISO/IEC 10181:1996 «Основы положения безопасности открытых систем». Эти документы определяли взгляды специалистов на теоретические подходы обеспечения защиты информации. Общую логику построения систем защиты информации можно представить следующим образом:
Сфера действий стандарта ISO 7498-2 ограничивалась компьютерными системами, построенными на основе семиуровневой модели ВОС. Однако предложенный подход к построению систем защиты информации был обобщен на все открытые системы обработки, передачи и хранения информации принятием в 1996 году международного стандарта ISO/IEC 10181. Одновременно с трансформацией взглядов на процессы обработки происходит и изменение взглядов на подходы к обеспечению безопасности информации. Широкая сфера применения информационных технологий, расширение функциональных возможностей систем информационных технологий и другие причины привели к тому, что существующая модель обеспечения информационной безопасности «Угроза безопасности Þ услуга безопасности Þ механизм безопасности» перестала удовлетворять как потребителя ИТ-систем, так и их разработчика. По типу основных классов угроз выделяют пять основных целевых задач безопасности ИТ-систем. 1. Обеспечение доступности предполагает, что обладающий соответствующими правами пользователь может использовать ресурс в соответствии с правилами установленными политикой безопасности. Эта задача направлена на предотвращение преднамеренных или непреднамеренных угроз неавторизованного удаления данных или необоснованного отказа в доступе к услуге, попыток использования системы и данных в неразрешенных целях. 2. Обеспечение целостности системы и данных рассматривается в двух аспектах. Во-первых, это целостность данных означает, что данные не могут быть модифицированы неавторизованным пользователем или процессом во время их хранения, передачи и обработки. Во-вторых, целостность заключается в том, что ни один компонент системы не может быть удален, модифицирован или добавлен. 3. Обеспечение конфедициальности данных и системной информации предполагает, что информация не может быть получена неавторизованным пользователем во время её хранения, обработки и передачи. 4. Обеспечение наблюдаемости направлено на обеспечение возможности ИТ-системы фиксировать любую деятельность пользователей и процессов, использовании пассивных объектов, устанавливать идентификаторы причастных к событиям пользователей и процессов с целью предотвращения нарушения безопасности и обеспечения ответственности пользователей за выполненные действия. 5. Обеспечение гарантий – это совокупность требований, составляющих некоторую шкалу оценки для определения степени уверенности в том, что: o функциональные требования действительно сформулированы и корректно реализованы; o принятые меры защиты обеспечивают адекватную защиту ИТ-системы; o обеспечена достаточная стойкость от преднамеренного проникновения и использования обходных путей. Пять основных задач тесно взаимосвязаны и взаимозависимы друг от друга:
Популярное: Почему человек чувствует себя несчастным?: Для начала определим, что такое несчастье. Несчастьем мы будем считать психологическое состояние... Личность ребенка как объект и субъект в образовательной технологии: В настоящее время в России идет становление новой системы образования, ориентированного на вхождение... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (184)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |