Александр Кришталюк - Правовые аспекты системы безопасности

Тут можно читать онлайн Александр Кришталюк - Правовые аспекты системы безопасности - бесплатно ознакомительный отрывок. Жанр: Управление, подбор персонала, издательство МАБИВ, год 2014. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Александр Кришталюк - Правовые аспекты системы безопасности краткое содержание

Правовые аспекты системы безопасности - описание и краткое содержание, автор Александр Кришталюк, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru
Обеспечение безопасной деятельности необходимо для любых предприятий и учреждений, начиная от государственных организаций и заканчивая маленькой палаткой, занимающейся розничной торговлей. Различие будет состоять лишь в том, какие средства и методы и в каком объеме требуются для обеспечения их безопасности.
Предназначено для преподавателей и студентов вузов специальностей по направлению безопасности, специалистов по безопасности, руководителей и менеджеров компаний.

Правовые аспекты системы безопасности - читать онлайн бесплатно ознакомительный отрывок

Правовые аспекты системы безопасности - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Александр Кришталюк
Тёмная тема
Сбросить

Интервал:

Закладка:

Сделать

Приведенные классы безопасности определили основные концепции безопасности и ход развития средств защиты.

Интерпретация и развитие «Оранжевой книги»

Опубликование «Оранжевой книги» стало важным этапом и сыграло значительною роль в развитии технологий обеспечения безопасности компьютерных систем. Тем не менее в ходе применения ее положений выяснилось, что часть практически важных вопросов осталась за рамками данного стандарта и, кроме того, с течением времени (с момента опубликования прошло шестнадцать лет) ряд положений устарел и потребовал пересмотра.

Круг специфических вопросов по обеспечению безопасности компьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Национальным центром компьютерной безопасности США в виде дополнений к «Оранжевой книге» – «Интерпретация «Оранжевой книги» для компьютерных сетей» («Trusted Network Interpretation» [2]) и «Интерпретация «Оранжевой книги» для систем управления базами данных» («Trusted Database Management System Interpretation» [3]). Эти документы содержат трактовку основных положений «Оранжевой книги» применительно к соответствующим классам систем обработки информации.

Потеря актуальности рядом положении «Оранжевой книги» вызвана прежде всего интенсивным развитием компьютерных технологий и переходом с мэйнфреймов (типа вычислительных комплексов IBM-360, 370; советский аналог – машины серии ЕС) к рабочим станциям, высокопроизводительным персональным компьютерам и сетевой модели вычислений. Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений «Оранжевой книги», адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана огромная работа по интерпретации и развитию положений этого стандарта. В результате возник целый ряд сопутствующих «Оранжевой книге» документов, многие их которых стали ее неотъемлемой частью. К наиболее часто упоминаемым относятся:

* Руководство по произвольному управлению доступом в безопасных системах («A guide to understanding discretionary access control in trusted systems») [4].

* Руководство по управлению паролями («Password management guideline») [5].

* Руководство по применению Критериев безопасности компьютерных систем в специфических средах («Guidance for applying the Department of Defence Trusted Computer System Evaluation Criteria in specific environment») [6].

* Руководство по аудиту в безопасных системах («Guide to Under-standing Audit in Trusted Systems») [7].

* Руководство по управлению конфигурацией в безопасных системах («Guide to understanding configuration management in trusted systems) [8].

Количество подобных вспомогательных документов, комментариев и интерпретаций значительно превысило объем первоначального документа, и в 1995 году Национальным центром компьютерной безопасности США был опубликован документ под названием «Пояснения к критериям безопасности компьютерных систем», объединяющий все дополнения и разъяснения. При его подготовке состав подлежащих рассмотрению и толкованию вопросов обсуждался на специальных конференциях разработчиков и пользователей защищенных систем обработки информации. В результате открытого обсуждения была создана база данных, включающая все спорные вопросы, которые затем в полном объеме были проработаны специально созданной рабочей группой. В итоге появился документ, объединивший все изменения и дополнения к «Оранжевой книге», сделанные с момента ее опубликования, что привело к обновлению стандарта и позволило применять его в современных условиях.

Выводы: «Критерии безопасности компьютерных систем» министерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов по сертификации компьютерных систем. В свое время этот документ явился настоящим прорывом в области безопасности информационных технологий и послужил отправной точной для многочисленных исследований и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного применения, в основном на операционные системы. Это предопределило доминирование требований, направленных на обеспечение секретности обрабатываемой информации и исключение возможностей ее разглашения. Большое внимание уделено меткам (грифам секретности) и правилам экспорта секретной информации.

При этом критерии адекватности реализации средств защиты и политики безопасности отражены слабо, соответствующий раздел ограничивается требованиями контроля целостности средств защиты и поддержания их работоспособности, чего явно недостаточно.

Высший класс безопасности, требующий осуществления верификации средств защиты, построен на доказательстве соответствия программного обеспечения его спецификациям с помощью специальных методик, однако это доказательство (очень дорогостоящее, трудоемкое и практически неосуществимое для реальных операционных систем) не подтверждает корректность и адекватность реализации политики безопасности.

«Оранжевая книга» послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации.

Вопрос 2. Европейские критерии по обеспечению ИБ

Проблемы информационной безопасности актуальны не только для Соединенных Штатов. Вслед за выходом «Оранжевой книги» страны Европы совместно разработали общие «Критерии безопасности информационных технологий» («Information Technology Security Evaluation Criteria», далее «Европейские критерии») [9]. Данный обзор основывается на версии 1.2, опубликованной в июне 1991 года от имени соответствующих органов четырех стран: Франции, Германии, Нидерландов и Великобритании.

Основные понятия

«Европейские критерии» рассматривают следующие задачи средств информационной безопасности:

• защита информации от несанкционированного доступа с целью обеспечения конфиденциальности;

• обеспечение целостности информации посредством защиты от ее несанкционированной модификации или уничтожения;

• обеспечение работоспособности систем с помощью противодействия угрозам отказа в обслуживании.

Для того чтобы удовлетворить требованиям конфиденциальности, целостности и работоспособности, необходимо реализовать соответствующий набор функций безопасности, таких, как идентификация и аутентификация, управление доступом, восстановление после сбоев и т. п. Чтобы средства защиты можно было признать эффективными, требуется определенная степень уверенности в правильности их выбора и надежности функционирования. Для решения этой проблемы в «Европейских критериях» впервые вводится понятие адекватности (assurance) средств защиты.

Читать дальше
Тёмная тема
Сбросить

Интервал:

Закладка:

Сделать


Александр Кришталюк читать все книги автора по порядку

Александр Кришталюк - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки LibKing.




Правовые аспекты системы безопасности отзывы


Отзывы читателей о книге Правовые аспекты системы безопасности, автор: Александр Кришталюк. Читайте комментарии и мнения людей о произведении.


Понравилась книга? Поделитесь впечатлениями - оставьте Ваш отзыв или расскажите друзьям

Напишите свой комментарий
x