 |
|
Комплекс засобів захисту та об'єкти комп'ютерної системи
Комплекс засобів захисту (КЗЗ) — це сукупність усіх програмно-апаратних засобів, зокрема програм ПЗП, задіяних під час реалізації політики безпеки. Частина КС, що складає КЗЗ, визначається розробником.
Будь-який компонент КС, який внаслідок якого-небудь впливу здатний спричинити порушення політики безпеки, повинен розглядатися як частина КЗЗ.
Комплекс засобів захисту розглядає ресурси КС як об'єкти і керує взаємодією цих об'єктів відповідно до політики безпеки інформації, що реалізується.
Як об'єкти ресурси характеризуються двома аспектами: логічне подання (зміст, семантика, значення) і фізичне (форма, синтаксис).
Об'єкт характеризується своїм станом, що, в свою чергу, характеризується атрибутами і поводженням, яке визначає способи зміни стану.
Для різних КС об'єкти можуть бути різні. Наприклад, для СУБД в якості об'єктів можна розглядати записи БД, а для операційної системи — процеси, файли, кластери, сектори дисків, сегменти пам'яті і т.ін. Все, що підлягає захисту відповідно до політики безпеки, має бути визначено як об'єкт.
При розгляді взаємодії двох об'єктів КС, що виступають як приймальники або джерела інформації, слід виділити пасивний об'єкт, над яким виконується операція, і активний об'єкт, який виконує або ініціює цю операцію.
Далі розглядаються такі типи об'єктів КС:
• об'єкти-користувачі,
• об'єкти-процеси і пасивні об'єкти.
Прийнятий у деяких зарубіжних документах термін «суб'єкт» є суперпозицією об'єкта-користувача і об'єкта-процеса.
Об'єкти-користувачі та об'єкти-процеси є такими тільки всередині конкретного домену — ізольованої логічної області, всередині якої об'єкти володіють певними властивостями, повноваженнями і зберігають певні відносини.
Планування захисту і керування системою захисту
Для забезпечення безпеки інформації під час її опрацювання в КС Підприємства створюється комплексна система захисту інформації (КСЗІ), процес управління якою повинен підтримуватися протягом всього життєвого циклу КС.
На стадії розробки метою процесу управління КСЗІ є створення засобів захисту, які могли б ефективно протистояти ймовірним загрозам і забезпечували б у подальшому дотримання політики безпеки під час опрацювання інформації.
На стадії експлуатації КС метою процесу управління КСЗІ є оцінка ефективності створеної КСЗІ і вироблення додаткових (уточнюючих) вимог для доробки КСЗІ з метою забезпечення її адекватності при зміні початкових умов (характеристик ОС, опрацьовуваної інформації, фізичного середовища, персоналу, призначення КС, політики безпеки і т.ін.).
На кожному етапі мають бути виконані збирання і підготовка даних, аналіз їх і прийняття рішення. При цьому результати виконаного на певному етапі аналізу і прийняті на підставі їх рішення нарівні з уточненими вимогами є вихідними даними для аналізу на наступному етапі.
На будь-якій стадії або на будь-якому етапі може постати необхідність уточнення початкових умов і повернення на більш ранні етапи.
Створення КСЗІ має починатися з аналізу об'єкта захисту і можливих загроз. Передусім мають бути визначені ресурси КС, що підлягають захисту.
Загрози мають бути визначені в термінах імовірності реалізації їх і величини можливих збитків.
На підставі аналізу загроз, існуючих в системі вразливостей, ефективності вже реалізованих заходів захисту для всіх ресурсів, що підлягають захисту, мають бути оцінені ризики.
Ризик являє собою функцію ймовірності реалізації певної загрози, виду і величини завданих збитків. Величина ризику може бути виражена в грошовому вимірі або у вигляді формальної оцінки (високий, низький і т.ін.).
На підставі виконаної роботи мають бути вироблені заходи захисту, перетворення яких в життя дозволило б знизити рівень остаточного ризику до прийнятного рівня. Підсумком даного етапу робіт повинна стати сформульована або скоригована політика безпеки.
На підставі проведеного аналізу ризиків сформульованої політики безпеки розробляється план захисту, який містить опис послідовності та змісту всіх стадій і етапів життєвого циклу КСЗІ, що мають відповідати стадіям і етапам життєвого циклу КС. Вартість заходів щодо захисту інформації має бути адекватною розміру можливих збитків.