Классы безопасности. Стандарты информационной безопасности.



Первый критерий оценки безопасности компьютерных систем был разработан в США в 1988 г. Национальным центром - «Критерий оценки безопасности компьютерных систем» или стандарты TCSEC (Trusted Computer System Evalution Criteria) для министерства обороны США. В нем выделены общие требования к обеспечению безопасности обрабатываемой информации и определен перечень показателей защищенности. Было вы­делено шесть основных требований.

-класс D - подсистема безопасности. Она присваивается тем сис­темам, которые не прошли испытаний на более высокий уровень защи­щенности, а также системам, которые для своей защиты используют лишь отдельные функции безопасности;

-класс С1 - избирательная защита. Средства защиты данного клас­са отвечают требованиям избирательного управления доступом. При этом обеспечивается разделение пользователей и данных. Каждый субъ­ект идентифицируется и аутентифицируется в этом классе и ему задает­ся перечень допустимых типов доступа;

-класс С2 - управляемый доступ. Требования данного класса такие же, что и в классе С1. При этом добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий;

-класс В1 - меточная защита. Метки конфиденциальности при­сваиваются всем субъектам и объектам системы, которые содержат кон­фиденциальную информацию. Доступ к объектам внутри системы раз­решается только тем субъектам, чья метка отвечает определенному кри­терию относительно метки объекта;

-класс В2 - структурированная защита. Требования данного клас­са включают в себя требования класса В1 и наличие требований хорошо определенной и документированной формальной модели политики безопасности и управления информационными потоками (контроль скрытых каналов) и предъявление дополнительного требования к защите механизмов аутентификации;

-класс ВЗ - область безопасности. В оборудовании систем данного класса реализована концепция монитора ссылок. Все взаимодействия субъектов с объектами должны контролироваться этим монитором. Дей­ствия должны выполняться в рамках областей безопасности, которые имеют иерархическую структуру и защищены друг от друга с помощью специальных механизмов/Механизм регистрации событий безопасности оповещает администратора и пользователя о нарушении безопасности;

-класс А1 - верифицированная разработка.

Для проверки специфи­каций применяются методы формальной верификации - анализа специ­фикаций систем на предмет неполноты или противоречивости.

Международны стандарты: BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management Практические правила управления информационной безопасностью описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью СУИБ организации, определённых на основе лучших примеров мирового опыта best practices в данной области. Этот документ служит практическим руководством по созданию СУИБ                       BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems Спецификация системы управления информационной безопасностью определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации. BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности ISOIEC 17799:2005 — Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности. ISOIEC 27000 — Словарь и определения. ISOIEC 27001:2005 — Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования.

 

Информационная безопасность корпоративной сети.

Сегодня все более значимой становится проблема обеспечения внутренней информационной безопасности в организациях. Угрозы:

 1. Защита от утечек информации

 Вопрос защиты информации от утечек становится все более актуальным, принимая во внимание следующие тенденции развития IT-сферы:

 Рост мобильности бизнеса:Ноутбуки постепенно вытесняют настольные компьютеры Ёмкость съемных носителей растет, в то время, как их стоимость — уменьшается Увеличение количества утечек вследствие большей мобильности данных: Пользователи склонны сохранять всё подряд Мобильность повышает риск утечки данных

 2. Защита электронной корпоративной почты от спама и вирусов

 Следующая проблема, решать которую приходится любой фирме, является защита сети и корпоративной почты от вирусных атак и спама. Количество спама возрастает практически экспоненциально каждый год! Согласно последним исследованиям, спам составляет около 93-97% от общего почтового трафика в мире.В этом случае средствами защиты являются антивирусно-антиспамовые системы. Они занимаются фильтрацией спама и обеспечиваютзащиту от вредоносного кода и нежелательной рекламы.

3. Защита, контроль и оптимизация Веб — трафика

 Следующая задача для обеспечения защиты информации внутри организации — контроль потребляемого трафика и защита от внешних атак из сети интернет. Здесь существуют преимущественно два направления защиты:

 Система качественной защиты от атак извне, отслеживающая попытки сетевых атак и защищающая от раскрытия информации с корпоративных серверов.

 Система распределения доступа в Интернет с возможностью контроля объема информации, ее характера, ограничения доступа к конкретным ресурсам и скачиванию информации.

 4. Контроль доступа к сети

 Еще одно направление защиты — мониторинг за использованием и подключением компьютеров и устройств внутри сети. Сегодня этот аспект информационной безопасности становится актуальным по следующим причинам:

 Несанкционированный доступ в корпоративную сеть приводит к риску потери конфиденциальной информации

 Устройства постоянно добавляют и удаляют из корпоративной сети без уведомления IT персонала

 Санкционированный доступ устройств, не удовлетворяющих политике безопасности, может привести к негативным последствиям

 5. Контроль и запись действий администраторов на серверах

 Следующей актуальной для многих организаций проблемой является мониторинг действий системных администраторов, имеющих фактически неограниченные полномочия в системах. Ведь зачастую для взлома системы достаточно просто найти общий язык с администратором или же заинтересовать его материально. В тоже время и сами системные администраторы нередко являются источниками утечек.

 Заключение

 Руководителям, ответственным за информационную безопасность в организации приходится учитывать очень много аспектов защиты информации, а также знать, с помощью каких средств может обеспечиваться реализация тех или иных задач безопасности. Только комплексный подход к решению проблем внутренней информационной безопасности организации позволяет быть уверенным, что информация не уйдет к злоумышленнику и не нанесет вред Вашей организации.


Дата добавления: 2018-02-18; просмотров: 167; ЗАКАЗАТЬ РАБОТУ