Информационная безопасность. Макаренко С.И. - 78 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

78
6. СТАНДАРТЫ И СПЕЦИФИКАЦИИ В ОБЛАСТИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Стандарты и спецификации бывают двух разных видов:
- оценочных стандартов, направленных на классификацию
информационных систем и средств защиты по требованиям
безопасности;
- технических спецификаций, регламентирующих различные
аспекты реализации средств защиты.
6.1 Оценочные стандарты и технические спецификации.
«Оранжевая книга» как оценочный стандарт
6.1.1 Основные понятия
Оценочные стандарты выделяют важнейшие, с точки зрения ИБ,
аспекты ИС, играя роль архитектурных спецификаций. Другие технические
спецификации определяют, как строить ИС предписанной архитектуры.
Исторически первым оценочным стандартом, получившим широкое
распространение и оказавшим огромное влияние на базу стандартизации ИБ
во многих странах, стал стандарт Министерства обороны США «Критерии
оценки доверенных компьютерных систем». Данный труд, называемый чаще
всего по цвету обложки «Оранжевой книгой», был впервые опубликован в
августе 1983 года. «Оранжевая книга» поясняет понятие безопасной системы,
которая «управляет, с помощью соответствующих средств, доступом к
информации, так что только должным образом авторизованные лица или
процессы, действующие от их имени, получают право читать, записывать,
создавать и удалять информацию».
Очевидно, однако, что абсолютно безопасных систем не существует,
это абстракция. Оценивается лишь степень доверия, которое можно
оказать той или иной системе.
Степень доверия оценивается по двум основным критериям.
- Политика безопасности - набор законов, правил и норм поведения,
определяющих, как организация обрабатывает, защищает и
распространяет информацию. Политика безопасности - это
активный аспект защиты, включающий в себя анализ возможных
угроз и выбор мер противодействия. В частности, правила
определяют, в каких случаях пользователь может оперировать
конкретными наборами данных. Чем выше степень доверия системе,
тем строже и многообразнее должна быть политика безопасности.
- Уровень гарантированности - мера доверия, которая может
быть оказана архитектуре и реализации ИС. Это пассивный
аспект защиты. Уровень гарантированности показывает, насколько 
          6. СТАНДАРТЫ И СПЕЦИФИКАЦИИ В ОБЛАСТИ
               ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

     Стандарты и спецификации бывают двух разных видов:
     - оценочных стандартов, направленных на классификацию
       информационных систем и средств защиты по требованиям
       безопасности;
     - технических спецификаций, регламентирующих различные
       аспекты реализации средств защиты.

    6.1 Оценочные стандарты и технические спецификации.
          «Оранжевая книга» как оценочный стандарт

                        6.1.1 Основные понятия

      Оценочные стандарты выделяют важнейшие, с точки зрения ИБ,
аспекты ИС, играя роль архитектурных спецификаций. Другие технические
спецификации определяют, как строить ИС предписанной архитектуры.
      Исторически первым оценочным стандартом, получившим широкое
распространение и оказавшим огромное влияние на базу стандартизации ИБ
во многих странах, стал стандарт Министерства обороны США «Критерии
оценки доверенных компьютерных систем». Данный труд, называемый чаще
всего по цвету обложки «Оранжевой книгой», был впервые опубликован в
августе 1983 года. «Оранжевая книга» поясняет понятие безопасной системы,
которая «управляет, с помощью соответствующих средств, доступом к
информации, так что только должным образом авторизованные лица или
процессы, действующие от их имени, получают право читать, записывать,
создавать и удалять информацию».
      Очевидно, однако, что абсолютно безопасных систем не существует,
это абстракция. Оценивается лишь степень доверия, которое можно
оказать той или иной системе.
      Степень доверия оценивается по двум основным критериям.
      - Политика безопасности - набор законов, правил и норм поведения,
         определяющих, как организация обрабатывает, защищает и
         распространяет информацию. Политика безопасности - это
         активный аспект защиты, включающий в себя анализ возможных
         угроз и выбор мер противодействия. В частности, правила
         определяют, в каких случаях пользователь может оперировать
         конкретными наборами данных. Чем выше степень доверия системе,
         тем строже и многообразнее должна быть политика безопасности.
      - Уровень гарантированности - мера доверия, которая может
         быть оказана архитектуре и реализации ИС. Это пассивный
         аспект защиты. Уровень гарантированности показывает, насколько

                                   78

Страницы