Лисенко О.Д., Гафіяк А.М.
Полтавський національний технічний університет
імені Юрія Кондратюка
СТАНДАРТИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
В умовах сучасних
реалій конкурентоспроможність бізнесу
залежить від рівня інформаційних технологій і тому виникає питання захисту
інформації при автоматизації процесів.
Класичні
моделі захисту моделі не здатні врахувати усі можливі та неможливі погрози,
атаки, витоки інформації, їх впливи на зміни властивостей інформації і
промоделювати їх наслідки.
Інформаційна
безпека – це проблема номер один для всіх цивілізованих країн. Кожна країна має
свої нормативи та закони в політиці розробки інформаційної безпеки. Проведення
аудиту інформаційної безпеки ґрунтується на використанні численних
рекомендацій, які викладені переважно в міжнародних стандартах ІБ.
Оціночні
стандарти виділяють найважливіші, з точки зору ІБ, аспекти ІС, граючи роль
архітектурних специфікацій. Слід зауважити, що розробка інформаційної безпеки
повинна розроблятися паралельно з архітектурою самої ІС, щоб у майбутньому не
було функціональних протиріч. Історично першим оціночним стандартом, який
отримав широке поширення і що зробив величезний вплив на базу стандартизації ІБ
у багатьох країнах, став стандарт Міністерства оборони США «Критерії оцінки
довірених комп'ютерних систем». Мандатне управління доступом засноване на
зіставленні міток безпеки суб'єкта й об'єкта, тобто рівень доступу - рівень
секретності. Суб'єкт може читати інформацію з об'єкта, якщо рівень секретності
суб'єкта не нижче, ніж в об'єкта, а всі категорії, перераховані в мітці безпеки
об'єкта, присутні в мітці суб'єкта. У такому випадку говорять, що мітка
суб'єкта домінує над міткою об'єкта.
Сенс
сформульованого правила - читати можна тільки те, що належить. Суб'єкт може
записувати інформацію в об'єкт, якщо мітка безпеки об'єкта домінує над міткою
суб'єкта. Ми бачимо мандатну модель безпеки, яка не дає можливості використовувати властивості матриці доступу і звичайно, ролевої моделі доступу.
Слід відмітити в комутації людства таке поняття, як ступінь довіри.
Ступінь довіри оцінюється за
двома основними ознаками:
1. В залежності від
сформульованої політики можна вибирати конкретні механізми забезпечення
безпеки. Політика безпеки - це активний аспект захисту, що включає в себе
аналіз можливих загроз і вибір заходів протидії.
2. Рівень гарантованості - міра
довіри, яка може бути надана архітектурі й реалізації ІС. Рівень гарантованості
показує, наскільки коректні механізми, що відповідають за реалізацію політики
безпеки. Це пасивний аспект захисту.
Основне
призначення довіреної обчислювальної бази - виконувати функції монітора
звернень, тобто контролювати допустимість виконання суб'єктами (користувачами)
певних операцій над об'єктами (пасивними сутностями). Слідуючи по шляху
інтеграції, європейські країни прийняли погоджені критерії оцінки безпеки
інформаційних технологій (Information Technology Security Evaluation Criteria,
ITSEC). Європейські критерії включають такі основні складові інформаційної
безпеки:
конфіденційність, тобто захист
від несанкціонованого отримання інформації;
цілісність, тобто захист від
несанкціонованоі зміни інформації;
доступність, тобто захист від
несанкціонованого утримання інформації та ресурсів.
У критеріях
проводиться різниця між системами й продуктами. Система - це конкретна
апаратно-програмна конфігурація, побудована з цілком певними цілями і
функціонуюча у відомому оточенні. Продукт - це апаратно-програмний
"пакет", який можна купити і за своїм розсудом вбудувати в ту чи іншу
систему. Таким чином, з точки зору інформаційної безпеки, основна відмінність
між системою і продуктом полягає в тому, що система має конкретне оточення, яке
можна визначити й вивчити як завгодно детально, а продукт повинен бути
розрахований на використання в різних умовах.
В даний час Британський стандарт
BS 7799 підтримується в різних країнах
світу, в числі яких країни Британської Співдружності, а також Швеція й
Нідерланди. Названа служба виробляє акредитацію організацій на право аудиту
інформаційною безпекою.
Надійна
обчислювальна база повинна управляти доступом іменованих користувачів до
іменованих об'єктів. Механізм управління повинен дозволяти користувачам
специфікувати поділ файлів між індивідами або групами. Функції надійності
обслуговування повинні гарантувати, що дії, критичні за часом, будуть виконані саме
тоді, коли потрібно - не раніше і не пізніше, та що некритичні дії не можна
перевести в розряд критичних. Повинна бути гарантія, що авторизовані
користувачі за конкретний час отримають запитувані ресурси. Сюди ж відносяться
функції для виявлення й нейтралізації помилок, необхідні для мінімізації
простоїв, а також функції планування, що дозволяють гарантувати час реакції на
зовнішні події.
В нашій
країні прийняті закони, щодо захисту
інформації, персональних даних, про захист АС,
каналів передачі інформації,
правила комунікацій між людьми, захист та контроль інформаційного простору, захист
електронних документів, національний стандарт із шифрування, але реалії сучасного світу – це кіберзлочинність,
яка немає границь.
Література:
1.
Інформаційна безпека України: проблеми та шляхи їх вирішення // Національна
безпека і оборона. - 2001. - № 1. - C. 60-69
2.
Система забезпечення інформаційної безпеки України // Національна безпека і
оборона. - 2001. - № 1. - C. 16-28