Політика безпеки ІНФОРМАЦІЇ
При розробці політики безпеки ІНФОРМАЦІЇ, у загально випадка, спочатку візначають об'єкти, Які треба захістіті, и їх Функції. Потім оцінюють ступінь інтересу потенційного супротивника до ціх об'єктів, ймовірні види нападу я и спрічіненій ними збиток. Нарешті, візначають вразліві для впліву области, в якіх наявні засоби протідії НЕ Забезпечують Достатньо захисту. При цьом, розробка політики безпеки ІНФОРМАЦІЇ винна проводитись з урахуванням завдань, решение якіх забезпечен реальний захист даного об'єкта (рис. 1.3).
Автоматизований комплекс можна вважаті захіщенім, ЯКЩО ВСІ Операції віконуються у відповідності з чітко визначеними правилами (рис. 1.4), что Забезпечують безпосередній захист об'єктів, ресурсів и операцій. Основу для Формування вимог до захисту складає список Загроза. Колі Такі вимоги відомі, могут буті візначені відповідні правила забезпечення захисту. Ці правила, в свою черго, візначають необхідні Функції и заходь захисту. Чім суворіші вимоги до захисту и больше відповідніх правил, тім ефектівніші его Механізми и тім більш захіщенім віявляється Автоматизований комплекс.
Отже, захист інформації в комп'ютерній мережі ефектівнішій в тому випадка, коли Проектування і реалізація системи захисту відбувається в три етапи:
В· аналіз ризику;
В· реалізація політики безпеки;
В· підтримка політики безпеки.
На первом етапі аналізуються вразліві елєменти комп'ютерної мережі, візначаються ї оцінюються Загрози и підбіраються оптімальні засоби захисту. Аналіз ризику закінчується Прийняття політики безпеки. Політікою безпеки (Security Policy) назівається комплекс взаємозалежніх ЗАСОБІВ, спрямованостей на забезпечення високого уровня безопасности. У Теорії ЗАХИСТУ ІНФОРМАЦІЇ вважається, что ці засоби повінні буті спрямовані на Досягнення Наступний цілей:
В· конфіденційність (Засекречена інформація винна буті доступна Тільки тому, кому вона Призначено);
В· цілісність (Інформація, на Основі Якої пріймаються решение, винна буті достовірною и ПОВНЕ, а такоже захищено від можливости ненавмісного и злочинного перекручувань);
В· Готовність (Інформація и відповідні Автоматизовані служби повінні буті Доступні та, у разі спожи, Готові до обслуговування).
Визначення об'єктів, Які захіщаються:
призначення; ВАРТІСТЬ заміні; можлівість Зміни.
↓ ↓
Визначення крітічності:
аналіз призначення; стан в Певний момент; простота Зміни.
↓ ↓
Визначення Загроза:
шпіонаж; саботаж; тероризму; Кримінальні Злочинці; незадоволені Робітники. p> Враховується:
ВАРТІСТЬ об'єкта; мета агресій; заходь усування НАСЛІДКІВ; ризико.
↓ ↓
Визначення возможности нападу я:
так; ні.
↓ ↓
Визначення Видів нападу я:
таємний вхід; підрів; розвідка; Демонстрація; напад з Повітря; напад з Зони недосяжності; крадіжка; руйнування; засмічення; несанкціонованій доступ.
↓ ↓
Визначення Загрози нападу я:
інструмент; зброя.
↓ ↓
Визначення вразлівості:
возможности сил захисту; захист від проникнення; возможности ОЦІНКИ; возможности Виявлення; контроль доступу; контроль процедур; вимоги до Будівлі; таємність Дій.
↓ ↓
Визначення обмежень:
фінансові; Оперативні.
↓ ↓
Визначення вимог захисту:
де?
зовнішній периметр; внутрішній периметр; на об'єкті.
що? як?
Перешкоди; затримка; Виявлення; оцінка; контроль доступу; управління и контроль; Людські возможности; процедури
Рис. 1.3 Комплекс завдань при розробці політики безпеки
В
Рис. 1.4 Основні правила забезпечення політики безпеки ІНФОРМАЦІЇ
Вразлівість означає невиконання хочай б однієї з ціх властівостей. Для комп'ютерних мереж можна віділіті нас...
