Информационная безопасность. Макаренко С.И. - 93 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

93
Для конкретной организации политика безопасности должна носить
индивидуальный характер и зависеть от конкретной технологии обработки
информации и используемых программных и технических средств.
Политика безопасности определяется способом управления доступом,
определяющим порядок доступа к объектам системы.
Различают два основных вида политики безопасности.
- Избирательная политика безопасности основана на
избирательном способе управления доступом и характеризуется
заданным администратором множеством разрешенных
отношений доступа (например, в виде троек «объект, субъект, тип
доступа»). Обычно для описания свойств избирательного
управления доступом применяют математическую модель на основе
матрицы доступа.
- Полномочная политика безопасности основана на полномочном
(мандатном) способе управления доступом и характеризуется
совокупностью правил предоставления доступа, определенных на
множестве атрибутов безопасности субъектов и объектов,
например, в зависимости от метки конфиденциальности
информации и уровня допуска пользователя. Полномочное
управление доступом подразумевает, что:
- все субъекты и объекты системы однозначно идентифицированы;
- каждому объекту системы присвоена метка конфиденциальности
информации, определяющая ценность содержащейся в нем
информации;
- каждому субъекту системы присвоен определенный уровень
допуска, определяющий максимальное значение метки
конфиденциальности информации объектов, к которым субъект
имеет доступ.
С практической точки зрения политику безопасности
целесообразно рассматривать на трех уровнях детализации.
1. Верхний уровень. К верхнему уровню можно отнести решения,
затрагивающие организацию в целом. Примерный список подобных решений
может включать в себя следующие элементы:
- решение сформировать или пересмотреть комплексную программу
обеспечения информационной безопасности, назначение
ответственных за продвижение программы;
- формулировка целей, которые преследует организация в области
информационной безопасности, определение общих направлений в
достижении этих целей;
- обеспечение базы для соблюдения законов и правил; 
     Для конкретной организации политика безопасности должна носить
индивидуальный характер и зависеть от конкретной технологии обработки
информации и используемых программных и технических средств.
     Политика безопасности определяется способом управления доступом,
определяющим порядок доступа к объектам системы.

     Различают два основных вида политики безопасности.
     - Избирательная       политика    безопасности     основана     на
        избирательном способе управления доступом и характеризуется
        заданным     администратором      множеством      разрешенных
        отношений доступа (например, в виде троек «объект, субъект, тип
        доступа»). Обычно для описания свойств избирательного
        управления доступом применяют математическую модель на основе
        матрицы доступа.
     - Полномочная политика безопасности основана на полномочном
        (мандатном) способе управления доступом и характеризуется
        совокупностью правил предоставления доступа, определенных на
        множестве атрибутов безопасности субъектов и объектов,
        например, в зависимости от метки конфиденциальности
        информации и уровня допуска пользователя. Полномочное
        управление доступом подразумевает, что:
        - все субъекты и объекты системы однозначно идентифицированы;
        - каждому объекту системы присвоена метка конфиденциальности
           информации, определяющая ценность содержащейся в нем
           информации;
        - каждому субъекту системы присвоен определенный уровень
           допуска, определяющий максимальное значение метки
           конфиденциальности информации объектов, к которым субъект
           имеет доступ.

    С    практической    точки   зрения    политику    безопасности
целесообразно рассматривать на трех уровнях детализации.

    1. Верхний уровень. К верхнему уровню можно отнести решения,
затрагивающие организацию в целом. Примерный список подобных решений
может включать в себя следующие элементы:
     - решение сформировать или пересмотреть комплексную программу
        обеспечения     информационной     безопасности,   назначение
        ответственных за продвижение программы;
     - формулировка целей, которые преследует организация в области
        информационной безопасности, определение общих направлений в
        достижении этих целей;
     - обеспечение базы для соблюдения законов и правил;



                                  93

Страницы