Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Дополнительный материал
Свойства информации.
Информация - это результат отражения и обработки в человеческом сознании многообразия окружающего мира. Это сведения об окружающих человека предметах, явлениях природы, деятельности других людей. Сведения, которыми обменивается человек через машину с другим человеком или машиной и являются предметом защиты. Однако, защите подлежит та информация, которая имеет цену. Для оценки требуется распределение информации на категории не только в соответствии с ее ценностью, но и важностью. Известно следующее распределение информации по уровню важности:
Несущественная информация.
В соответствии с описанными принципами деления, информацию, обрабатываемую в автоматизированных системах обработки данных (АСОД) для иллюстрации можно представить по категориям важности и секретности в виде пирамиды, состоящей из нескольких слоев по вертикали. Вершиной пирамиды является наиболее важная информация, а фундаментом - несущественная информация, но связанная с обработкой более важной информации. Каждый слой данной пирамиды, поделенный на части по горизонтали, отражает принцип деления информации по функциональному признаку и полномочиям ее пользователей.
Безопасность информации в АСО интерпретируется как опасность ее несанкционированного получения за все время нахождения в АСО, а также безопасность действий, для осуществления которых используется информация.
У информации в АСО есть свой жизненный цикл:
Виды воздействия на информацию:
Термин "политика безопасности" является не совсем точным переводом английского словосочетания "security policy". Здесь имеются в виду не отдельные правила или их наборы (это процедурный уровень), а стратегию организации в области ИБ. Под политикой безопасности понимают совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.
Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы на основе объектно-ориентированного подхода, с возможностью варьировать не только уровень детализации, но и видимые грани объектов.
На практике политику безопасности рассматривают на трех уровнях детализации.
К верхнему уровню можно отнести решения, затрагивающие организацию в целом, носящие общий характер и исходящие от руководства организации. Для политики верхнего уровня цели организации в области ИБ формулируются в терминах целостности, доступности и конфиденциальности.
Примерный список подобных решений может содержать:
решение сформировать или пересмотреть комплексную программу обеспечения ИБ, назначение ответственных за продвижение программы;
формулировка целей, которые преследует организация в области ИБ, определение общих направлений в достижении этих целей;
обеспечение базы для соблюдения законов и правил;
формулировка административных решений по вопросам реализации программы безопасности, рассматриваемые на уровне организации в целом.
На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности. В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.
В документ, характеризующий политику безопасности, организации рекомендуется включать следующие разделы: вводный (подтверждающий озабоченность высшего руководства проблемами ИБ); организационный (содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области ИБ); классификационный (описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты); штатный (характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения ИБ, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.)); раздел вопросов физической защиты; управляющий(описывающий подход к управлению ЭВМ и компьютерными сетями); раздел правил разграничения доступа к производственной информации; раздел порядка разработки и сопровождения систем; раздел мер, направленных на обеспечение непрерывной работы организации; юридический раздел (подтверждающий соответствие политики безопасности действующему законодательству).
К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов ИБ, но важные для различных эксплуатируемых организацией систем. Политика среднего уровня должна освещать для каждого аспекта следующие темы: описание аспекта (например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации); область применения (следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности); позиция организации по данному аспекту (позиция может быть сформулирована как в наиболее общем виде, как набор целей, которые преследует организация в данном аспекте, так и конкретизирована); роли и обязанности (В документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить); законопослушность (политика должна содержать общее описание запрещенных действий и наказаний за них); точки контакта (куда следует обращаться за разъяснениями, помощью и дополнительной информацией).
Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта – цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Вот несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:
кто имеет право доступа к объектам, поддерживаемым сервисом?
при каких условиях можно читать и модифицировать данные?
как организован удаленный доступ к сервису?
При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться.
Избирательное управление доступом (англ. Discretionary access control, DAC) — управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.
Также называется Дискреционное управление доступом, Контролируемое управление доступом и Разграничительное управление доступом.
Схема дискреционной модели управления доступом
Субъект доступа «Пользователь № 1» имеет право доступа только к объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется. Субъект "Пользователь «№ 2» имеет право доступа как к объекту доступа № 1, так и к объекту доступа № 2, поэтому его запросы к данным объектам не отклоняются.
Для каждой пары (субъект — объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту).
Пример настройки матрицы доступа при организации дискреционной модели управления к объектам файловой системы, используемой в дополнение к мандатному механизму
Возможны несколько подходов к построению дискреционного управления доступом:
Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и (или) изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем, например, в классических UNIX-системах или в системах Windows семейства NT.
Избирательное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации.
Мандатное управление доступом (англ. Mandatory access control, MAC) — разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности. Также иногда переводится как Принудительный контроль доступа. Это способ, сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования.
Мандатная модель управления доступом, помимо дискреционной и ролевой, является основой реализации разграничительной политики доступа к ресурсам при защите информации ограниченного доступа. При этом данная модель доступа практически не используется «в чистом виде», обычно на практике она дополняется элементами других моделей доступа.
Для файловых систем, оно может расширять или заменять дискреционный контроль доступа и концепцию пользователей и групп.
Самое важное достоинство заключается в том, что пользователь не может полностью управлять доступом к ресурсам, которые он создаёт.
Политика безопасности системы, установленная администратором, полностью определяет доступ, и обычно пользователю не разрешается устанавливать более свободный доступ к его ресурсам чем тот, который установлен администратором пользователю. Системы с дискреционным контролем доступа разрешают пользователям полностью определять доступность их ресурсов, что означает, что они могут случайно или преднамеренно передать доступ неавторизованным пользователям.
Такая система запрещает пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня. Тем самым обеспечивается изоляция пользователей и процессов, как известных, так и неизвестных системе (неизвестная программа должна быть максимально лишена доверия, и её доступ к устройствам и файлам должен ограничиваться сильнее).
Очевидно, что система, которая обеспечивает разделение данных и операций в компьютере, должна быть построена таким образом, чтобы её нельзя было «обойти». Она также должна давать возможность оценивать полезность и эффективность используемых правил и быть защищённой от постороннего вмешательства.
http://depositfiles.com/ru/files/2082610 - книга П. Н. ДЕВЯНИН МОДЕЛИ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ