Стандарты информационной безопасности

       

Общие элементы политики и цели безопасности


Сформулируем общие положения политики безопасности организации, относящиеся к защитным сервисам:

  • идентификация и аутентификация всех субъектов доступа;
  • управление доступом к информационным ресурсам сервиса безопасности;

  • подотчетность пользователей сервиса безопасности;

  • протоколирование и аудит функционирования сервиса безопасности;
  • обеспечение доступности коммуникационных каналов;
  • обеспечение конфиденциальности и целостности управляющей информации (в частности, при удаленном администрировании);
  • обеспечение целостности аппаратно-программной и информационной частей сервиса безопасности;
  • обеспечение невозможности обхода защитных средств.

Переходя к изложению целей безопасности для объекта оценки, отметим, что их достижение должно способствовать противостоянию угрозам безопасности и реализации предписаний политики безопасности. Для различных сервисов безопасности общими являются нижеперечисленные цели:

  • подотчетность субъектов и объектов, взаимодействующих с сервисом (необходимое условие достижения этой цели - идентификация и аутентификация взаимодействующих субъектов и объектов, а также протоколирование и аудит выполняемых действий);
  • автоматизация административных действий, наличие средств проверки корректности конфигурации, как локальной, так и распределенной, наглядный интерфейс администрирования;

  • обеспечение (прежде всего средствами пользовательского интерфейса) корректного использования функций безопасности;
  • предоставление пользователям средств для проверки аутентичности серверов и других партнеров по общению, а также открытых криптографических ключей; реальное осуществление подобных проверок;
  • выявление попыток нарушения политики безопасности, задание реакции на подобные попытки;
  • обеспечение отсутствия вредоносного кода в составе сервиса, в том числе после ликвидации нарушений информационной безопасности;
  • проверка программного кода на наличие подписи доверенной стороны перед его загрузкой в систему;
  • выполнение резервного копирования информации, необходимой для восстановления нормальной работы сервиса;
  • обеспечение безопасного восстановления после сбоев и отказов;
  • обеспечение конфиденциальности и целостности информации при удаленном администрировании сервиса;
  • обеспечение устойчивости средств идентификации и аутентификации к попыткам воспроизведения информации и другим способам реализации маскарада; наличие средств разграничения доступа к компонентам и ресурсам сервиса безопасности;
  • наличие средств контроля целостности компонентов и ресурсов сервиса;
  • наличие средств контроля корректности функционирования сервиса;
  • обеспечение безопасности многократного использования объектов.


Цели безопасности для среды дополняют цели безопасности объекта оценки и состоят в следующем:

  • обеспечение минимальной достаточности аппаратной и программной конфигурации вычислительной установки, на которой функционирует сервис безопасности;
  • управление физическим доступом к компонентам и ресурсам сервиса;
  • обеспечение невозможности обхода защитных средств;
  • обеспечение достаточной подготовки уполномоченных пользователей сервиса безопасности;
  • проведение в жизнь политики управления данными аутентификации: пользователи меняют эти данные должным образом и с требуемой регулярностью;
  • ликвидация данных аутентификации и привилегий пользователей, лишенных доступа к сервису безопасности;
  • разработка и реализация процедур и механизмов, предохраняющих от вторжения вредоносного программного обеспечения (ПО);
  • разработка и реализация дисциплины доклада о нарушениях информационной безопасности;
  • подготовка пользователей и обслуживающего персонала для противостояния методам морально-психологического воздействия;
  • оперативная ликвидация выявленных уязвимостей.



Содержание раздела