Презентация на тему: Информационная безопасность

Информационная безопасность
Роль стандартов
Стандарты в области ИБ
Стандарты в области ИБ
«Оранжевая книга»
«Оранжевая книга»
«Оранжевая книга»
«Оранжевая книга»
«Оранжевая книга»
«Оранжевая книга»
«Оранжевая книга»
«Оранжевая книга» (политика безопасности)
«Оранжевая книга» (политика безопасности)
«Оранжевая книга» (политика безопасности)
«Оранжевая книга» (политика безопасности)
«Оранжевая книга» (политика безопасности)
«Оранжевая книга» (политика безопасности)
«Оранжевая книга» (политика безопасности)
«Оранжевая книга» (политика безопасности)
«Оранжевая книга» (политика безопасности)
«Оранжевая книга» (политика безопасности)
«Оранжевая книга» (уровень гарантированности )
«Оранжевая книга» (уровень гарантированности )
«Оранжевая книга» (уровень гарантированности )
«Оранжевая книга» (классы безопасности)
Информационная безопасность распределенных систем. Рекомендации Х.800
Современные документы
ГОСТ Р ИСО/МЭК 15408–2002 требования безопасности
ГОСТ Р ИСО/МЭК 15408–2002 функциональные требования
ГОСТ Р ИСО/МЭК 15408–2002 требования доверия
ГОСТ Р ИСО/МЭК 15408–2002 требования по анализу уязвимостей средств и механизмов защиты
Практические правила управления информационной безопасностью ( ISO 17799) - разделы
1/32
Средняя оценка: 4.5/5 (всего оценок: 7)
Код скопирован в буфер обмена
Скачать (82 Кб)
1

Первый слайд презентации: Информационная безопасность

стандарты

Изображение слайда
2

Слайд 2: Роль стандартов

Роль стандартов не ограничивается формированием только доказательной базы соблюдения технических регламентов Одной из целей стандартизации, установленных законом, является повышение конкурентоспособности продукции, работ и услуг

Изображение слайда
3

Слайд 3: Стандарты в области ИБ

Два вида спецификаций и стандартов: оценочных стандартов, направленных на классификацию информационных систем и средств защиты по требованиям безопасности; технических спецификаций, регламентирующих различные аспекты реализации средств зашиты.

Изображение слайда
4

Слайд 4: Стандарты в области ИБ

Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Технические спецификации определяют, как строить ИС предписанной архитектуры.

Изображение слайда
5

Слайд 5: Оранжевая книга»

Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем».

Изображение слайда
6

Слайд 6: Оранжевая книга»

Данный труд, называемый чаще всего по цвету обложки «Оранжевой книгой», был впервые опубликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах, то есть системах, которым можно оказать определенную степень доверия.

Изображение слайда
7

Слайд 7: Оранжевая книга»

«Оранжевая книга» поясняет понятие безопасной системы, которая «управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию». Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.

Изображение слайда
8

Слайд 8: Оранжевая книга»

В «Оранжевой книге» доверенная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа». Обратим внимание, что в рассматриваемых Критериях и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности (статической). Вопросы доступности «Оранжевая книга» не затрагивает.

Изображение слайда
9

Слайд 9: Оранжевая книга»

Степень доверия оценивается по двум основным критериям. Политика безопасности Уровень гарантированности

Изображение слайда
10

Слайд 10: Оранжевая книга»

Степень доверия оценивается по двум основным критериям. Политика безопасности — набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь может оперировать конкретными наборами данных. Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности - это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.

Изображение слайда
11

Слайд 11: Оранжевая книга»

Уровень гарантированности - мера доверия, которая может быть оказана архитектуре и реализации ИС. Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки (формальной или нет) общего замысла и реализации системы в целом и отдельных ее компонентов. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты.

Изображение слайда
12

Слайд 12: Оранжевая книга» (политика безопасности)

Важным средством обеспечения безопасности является механизм подотчетности (протоколирования). Доверенная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации. Концепция доверенной вычислительной базы является центральной при оценке степени доверия безопасности. Доверенная вычислительная база - это совокупность защитных механизмов ИС (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Качество вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит системный администратор.

Изображение слайда
13

Слайд 13: Оранжевая книга» (политика безопасности)

Вообще говоря, компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС достаточно рассмотреть только ее вычислительную базу. Основное назначение доверенной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами (активными сущностями ИС, действующими от имени пользователей) определенных операций над объектами (пассивными сущностями). Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности с набором действий, допустимых для пользователя.

Изображение слайда
14

Слайд 14: Оранжевая книга» (политика безопасности)

Монитор обращений должен обладать тремя качествами: Изолированность. Необходимо предупредить возможность отслеживания работы монитора. Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его. Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования. Реализация монитора обращений называется ядром безопасности. Ядро безопасности - это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность. Границу доверенной вычислительной базы называют периметром безопасности. Компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными. С развитием распределенных систем понятию «периметр безопасности» все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, - нет.

Изображение слайда
15

Слайд 15: Оранжевая книга» (политика безопасности)

Согласно «Оранжевой книге», политика безопасности должна обязательно включать в себя следующие элементы: произвольное управление доступом; безопасность повторного использования объектов; метки безопасности; принудительное управление доступом

Изображение слайда
16

Слайд 16: Оранжевая книга» (политика безопасности)

Произвольное управление доступом - это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.

Изображение слайда
17

Слайд 17: Оранжевая книга» (политика безопасности)

Безопасность повторного использования объектов — важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

Изображение слайда
18

Слайд 18: Оранжевая книга» (политика безопасности)

Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень конфиденциальности содержащейся в нем информации. Согласно «Оранжевой книге», метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни секретности образуют упорядоченное множество, категории - неупорядоченное. Назначение последних - описать предметную область, к которой относятся данные.

Изображение слайда
19

Слайд 19: Оранжевая книга» (политика безопасности)

Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта.

Изображение слайда
20

Слайд 20: Оранжевая книга» (политика безопасности)

Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен - читать можно только то, что положено. Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, «конфиденциальный» субъект может записывать данные в секретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий). Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных адмиистраторов). После того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа.

Изображение слайда
21

Слайд 21: Оранжевая книга» (политика безопасности)

Если понимать политику безопасности узко, то есть как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что делает. Средства подотчетности делятся на три категории: идентификация и аутентификация; предоставление доверенного пути; анализ регистрационной информации.

Изображение слайда
22

Слайд 22: Оранжевая книга» (уровень гарантированности )

Пассивные аспекты защиты - два вида гарантированности — операционная и технологическая. Операционная гарантированность относится к архитектурным и реализационным аспектам системы, в то время как технологическая - к методам построения и сопровождения.

Изображение слайда
23

Слайд 23: Оранжевая книга» (уровень гарантированности )

Операционная гарантированность включает в себя проверку следующих элементов: архитектура системы; целостность системы; проверка тайных каналов передачи информации; доверенное администрирование; доверенное восстановление после сбоев. Операционная гарантированность — это способ убедиться в том, что архитектура системы и ее реализация действительно реализуют избранную политику безопасности.

Изображение слайда
24

Слайд 24: Оранжевая книга» (уровень гарантированности )

Технологическая гарантированность охватывает весь жизненный цикл системы, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы исключить утечку информации и нелегальные «закладки».

Изображение слайда
25

Слайд 25: Оранжевая книга» (классы безопасности)

«Критерии...» Министерства обороны США открыли путь к ранжированию информационных систем по степени доверия безопасности. В «Оранжевой книге» определяется четыре уровня доверия — D, С, В и А. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня С к А к системам предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (С1/С2, Bl, B 2, ВЗ) с постепенным возрастанием степени доверия. Всего имеется шесть классов безопасности — С1, С2, В1, В2, ВЗ, А1. Чтобы в результате процедуры сертификации систему можно было отнести к некоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям.

Изображение слайда
26

Слайд 26: Информационная безопасность распределенных систем. Рекомендации Х.800

Аутентификация. Управление доступом Конфиденциальность данных. Целостность данных

Изображение слайда
27

Слайд 27: Современные документы

«Общие критерии оценки безопасности информационных технологий» (The Common Criteria for Information Technology Security Evaluation/ISO 15408) - ГОСТ Р ИСО/МЭК 15408–2002 «Практические правила управления информационной безопасностью» (Code of practice for Information security management/ISO 17799).

Изображение слайда
28

Слайд 28: ГОСТ Р ИСО/МЭК 15408–2002 требования безопасности

функциональные требования требования доверия

Изображение слайда
29

Слайд 29: ГОСТ Р ИСО/МЭК 15408–2002 функциональные требования

доступность, целостность, конфиденциальность, идентификация, аутентификация, авторизация, аудит безопасности, неотказуемость источника.

Изображение слайда
30

Слайд 30: ГОСТ Р ИСО/МЭК 15408–2002 требования доверия

уверенность в корректности реализации функций безопасности, т.е. оценки того, правильно ли они реализованы; уверенности в эффективности функций безопасности, т.е. оценки того, действительно ли они отвечают изложенным целям безопасности.

Изображение слайда
31

Слайд 31: ГОСТ Р ИСО/МЭК 15408–2002 требования по анализу уязвимостей средств и механизмов защиты

наличие побочных каналов утечки информации; ошибки в конфигурации, либо неправильное использование системы, приводящее к ее переходу в небезопасное состояние; недостаточная стойкости механизмов безопасности, реализующих соответствующие функции; наличие уязвимостей в средствах защиты информации, позволяющих пользователям получать доступ к информации в обход существующих механизмов защиты.

Изображение слайда
32

Последний слайд презентации: Информационная безопасность: Практические правила управления информационной безопасностью ( ISO 17799) - разделы

Политика безопасности. Организация защиты. Классификация ресурсов и их контроль. Безопасность персонала. Физическая безопасность. Администрирование компьютерных систем и сетей. Управление доступом. Разработка и сопровождение информационных систем. Планирование бесперебойной работы организации. Контроль выполнения требований политики безопасности.

Изображение слайда