Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Стратегии обеспечения ИБ фирм

Читайте также:
  1. III. Цель, стратегические направления и основные задачи Национальной стратегии
  2. IV. Основные направления реализации Национальной стратегии
  3. VII. ФОНДЫ УЧРЕЖДЕНИЙ ТРУДА И СОЦИАЛЬНОГО ОБЕСПЕЧЕНИЯ
  4. VIII. МЕХАНИЗМ РЕАЛИЗАЦИИ НАЦИОНАЛЬНОЙ СТРАТЕГИИ
  5. Анализ конкурентовявляется необходимым этапом при разработке маркетинговой стратегии.
  6. Возможности самообеспечения топливно-энергетического комплекса Республики Беларусь. Взаимосвязь с аналогичными комплексами других государств
  7. Возможные стратегии, технологии и приемы

Обеспечение ИБ на уровне деятельности фирм и систем опре­деляется нормативно-правовыми основами и доктриной ИБ РФ. Но построение стратегий ИБ и моделей ее реализации зависит от самой фирмы. При этом стратегия безопасности подразумевает множество условий, при которых пользователи системы могут получить доступ к информации и ресурсам, и определяет требо­вания, которые должны быть выполнены при разработке конк­ретной системы. Для реализации желаемой стратегии безопасно­сти (СБ) в системе должны присутствовать соответствующие ме­ханизмы. В большинстве случаев они содержат автоматизирован­ные компоненты, являющиеся частью базового вычислительного окружения (операционной системы), с соответствующим числом процедур пользователя и администратора.

Если стратегия безопасности — это множество процедур, тех­нологий и требований к конкретной системе, то модель безопасно­сти (МБ) — это абстрактное описание поведения целого класса систем без рассмотрения конкретных деталей их реализации. Моде­ли безопасности являются полезным инструментарием при разра­ботке определенных стратегий.

Стратегия безопасности КС или автоматизированной управлен­ческой системы может быть представлена в неформальном и фор­мальном виде.

Для неформальных стратегий широкое распространение получи­ло описание правил доступа субъектов к объектам в виде таблиц. Такие таблицы подразумевают, что субъекты и объекты, а также типы доступа для данной системы определены. Это позволяет со­ставить таблицу в виде отдельных колонок для различных типов доступа и для соответствующих отношений, которые должны со­блюдаться между субъектом и объектом по данному типу доступа.

Преимуществом такого способа представления СБ является то, что она гораздо легче для понимания малоквалифицированными пользователями и разработчиками, чем формальное описание, так как для ее восприятия не требуется специальных математических знаний. Это снижает уровень помех, создаваемых безопасностью в использовании данной системы. Основным недостатком является то, что при такой форме представления СБ гораздо легче допустить ло­гические ошибки, а более сложные выражения будет затруднитель­но представить в табличной форме. Использование неформальных примечаний для разрешения такого рода проблем только увеличивает вероятность появления ошибки. Особенно это справедливо для политик безопасности нетривиальных систем, подобных многополь­зовательским операционным системам. В результате разработчики (а в дальнейшем и пользователи) безопасных компьютерных систем начали применять формальные средства для описания СБ.

Чаще всего в основе формальных СБ лежат модели безопасно­сти. Преимуществом формального описания является отсутствие противоречий в СБ и возможность теоретического доказательства безопасности системы при соблюдении всех условий СБ. Модели безопасности могут быть разделены на группы:

разграничения доступа и мандатные модели;

контроля целостности;

отказа в обслуживании;

анализа безопасности программного обеспечения (ПО);

взаимодействия объектов вычислительной сети (ВС). При этом необходимо учесть, что СБ предприятия (организа­ции) должна охватывать весь жизненный цикл фирмы и, в пер­вую очередь, должна быть построена по многоуровневому прин­ципу защиты, начиная от охранной системы территории до за­щиты аппаратных средств, особенно внешних коммуникаций. Но наиболее актуально для фирмы решение проблемы защиты КС.

Одним из важнейших аспектов проблемы ИБ компьютерных систем является противодействие разрушающим программным средствам (РПС). Существуют несколько подходов к решению этой задачи:

1)создание специальных программных средств, предназначенных исключительно для поиска и ликвидации конкретных видов РПС (типа антивирусных программ);

2)проектирование ВС, архитектура и МБ которых либо в принципе не допускает существование РПС, либо ограничивает область их активности и возможный ущерб;

3)создание и применение методов и средств анализа ПО на предмет наличия в них угроз информационной безопасности ВС и элементов РПС.

Первый подход не может привести к удовлетворительным ре­зультатам, так как борется только с частными проявлениями сложной проблемы. Второй подход имеет определенные перспективы, но требует серьезной переработки концепции ОС и их безопасно­сти, что связано с огромными затратами. Поэтому наиболее эф­фективным является третий подход, позволяющий путем введе­ния обязательной процедуры анализа безопасности программ до­статочно надежно защитить наиболее важные системы от РПС. Процедуру анализа ПО на наличие в них угроз ИБ ВС будем назы­вать анализом безопасности программного обеспечения. Данный под­ход требует разработки соответствующих теоретических моделей программ, ВС и РПС, создания методов анализа безопасности и методик их применения.

 

Дата добавления: 2015-12-08; просмотров: 58 | Нарушение авторских прав

mybiblioteka.su - 2015-2024 год. (0.006 сек.)