Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности


         

Формирование политики безопасности


Одним из ключевых элементов уже на этапе проектирования любого объекта1 -- продукта или системы информационных технологий (в нотации, принятой, например, в общеизвестных критериях [1,2,3,4]), который затем трансформируется в требования к моделям и сценариям его защиты, а также сервисам и механизмам их реализации в аппаратуре или программном обеспечении, является политика безопасности этого объекта. Здесь и далее под политикой безопасности (ПБ) будем понимать только аспекты, связанные с политикой информационной безопасности или защитой информационных ресурсов и поддерживающей их сетевой инфраструктуры, принимая справедливость тезиса "компьютер -- это сеть", впрочем, также как и тезиса "сеть -- это компьютер".

Формирование ПБ объекта происходит поэтапно, как минимум на двух взаимообуславливающих друг друга уровнях. На верхнем уровне она связана положениями, затрагивающими отношение к объекту организации, ведомства или корпорации, которым этот объект принадлежит (которая его разрабатывает или эксплуатирует). Эти положения носят общий характер, отражая цели деятельности, отношение к потенциальным угрозам, включают анализ рисков, способы и формы работы с информацией, административные акты и программу ИБ, регламентирующие деятельность персонала на этом направлении, а также ряд других аспектов.

На нижнем уровне формируется собственно ПБ объекта, как набор норм, правил и практических приемов, которые регулируют управление объектом (информацией), обеспечивая его защиту от потенциальных (внешних, внутренних, злоумышленных или других) угроз. Это может быть, например, набор правил управления доступом к объекту, практическая реализация которых осуществляется как на операционном (например, отдельные комнаты со средствами доступа к сетевым ресурсам и прямым контролем за действиями пользователя) или программно-техническом (с учетом идентификации и аутентификации пользователя, авторизации, квотирования ресурсов и т. п.) уровне. Управление доступом к ресурсам современных систем должно эффективно сочетать преимущества произвольного (на основе учета личности субъекта или группы) и принудительного (на основе меток безопасности) начал, а также их совместимость с элементами обеспечения безопасности повторного использования объектов.



Содержание    Вперед