Дәріс мақсаты: қорғалған ядроның концепциясын; верификация (тексеру) әдістерін; қорғалған домендерді; иерархиялық әдісті қорғалған операциялық жүйені құрғанда қолдану тәсілдерін қарастыру
Ақпараттық қауіпсіздігіндегі стандарттар
Жалпы жағдайда стандарт деп бірнеше рет еркін қолдану мақсатында өнімнің сипаттамасын, орындалу ережелерін және өндіріс, эксплуатация, сақтау, тасу, реализация және утилизация, жұмыстың орындалуын немесе қызмет көрсетуді қондыратын документті айтамыз. Стандарт басқа да талаптар қоя алады, мысалы символикаға немесе терминологияға.
Стандартты қолданудың қажеттілігінің формальды себебі - ол кейбір стандарттарды заңды түрде орындау қажеттілігі. Тағы бір себептерінің бірі - әдетте стандарт өз аймағындағы ең үздік мамандарының тәжірибесінің формалдауының нәтижесі, сол себептен оңтайлы және тексерілген шешімдердің сенімді көзі болып табылады. Сонымен қатар, стандарт өнімдердің және жүйелердің сәйкестігін қамтамасыз етудің негізгі бір механизмі болып табылады - жеке алғанда, әртүрлі өндірушілердің шешімдерін қолданушы АС.
Стандарттың ақпараттық қауіпсіздігінің аймақтарында тоқталайық.
Қазіргі кезде Ресей Федерациясында ресми дәрежедегі ақпаратық қауіпсіздік аймағындағы негізгі стандарттарды тізіп көрсетеміз.
Ресей ФСТЭК сертификация жүйелерінде, Ресей қорғаныс министрлігінде Ресейдің мемлекеттік техникалық комиссиясының басқарушы құжаттары әрекет етеді және ақпаратты қорғау құрылғыларының сертификациясы өткізілуінде, сонымен қатар, еркін жүйелер сертификация тізбектерінде белсенді қолданылады.
ГОСТ Р ИСО/ГЭК 15408-2002 стандарты, «Общие критерий» деген атпен белгілі, әрекет етеді және мемлекеттік құпиясы бар ақпараттармен жұмысқа арналмаған ақпаратты қорғау құрылғыларының сертификациясы өткізілуінде қолданылады.
Криптографиялық стандарттар (ГОСТ 28147-89, ГОСТ 3410-2001, ГОСТ 3411-94) криптографиялық қорғау құрылғылары сатыланатын ақпаратты қорғау жүйелерін қолдануда маңызды болып табылады.
Басқарушы стандарттар ISO 17799-2005 және ISO 27001-2005 қазіргі кезде Ресей Федерациясында ресми дәрежеде орын алмайды, бірақ жақын арада ГОСТ ретінде қолдану жоспарлануда.
Қалған барлық түрлері тым еркін сипатта, бірақ шынайы жүйелерді құруда белсенді қатысады, басты мақсаты - олардың өзара сәйкестігін қамтамасыз ету.
«Сенімді компьютерлік жүйелердің баға белгілері»/Trusted Computer System Evaluation Criteria стандарты, «Қызғылт кітап» деген атпен белгілі, 1983 жылы АҚШ қорғаныс министрлігінде жасалды және ақпараттық қауіпсіздік аймағында алғаш жалпыға қол жетерлік бағалы стандарт болып саналды.
«Қызғылт кітапқа» қойылатын талаптар келесідей:
1) Қауіпсіздік саясатсы.
- Жүйе дәл анықталған қауіпсіздік саясатын ұстануы тиіс. Субъектінің объектіге қолжетушілік мүмкіндігі олардың ұқсастығы және қолжетушілікпен басқару ережелерінің жиынтығы негізінде анықталуы керек. Керегінше мандатты қолжетушілікпен басқару саясаты қолданылуы қажет.
- Объектімен қолжетушілікті бақылау процедуралары үшін бастапқы ақпарат есебінде қолданылатын қауіпсіздік белгілері бір-біріне ұйқасуы керек. Мандатты қолжетушілікпен басқаруды жүзеге асыру үшін жүйе әр объектіге оның құпиялық дәрежесін және осы объектіге қолжетушілік режимін анықтайтын атрибуттар жиынтығын қамтамасыз етуі қажет.
2) Есеп беру.
- Барлық субъектілерде ерекше идентификаторлар болуы тиіс. Қолжетушілік бақылауы қолжетушіліктің объектісінің және субъектісінің ұқсастығы, айырмашылығы және қолжетушілікті бөлу ережелері негізінде жүзеге асуы қажет. Ұқсастық және айырмашылық үшін қолданатын деректер рұқсатсыз қолжетушіліктен, түрлендіру және жоюдан қорғалуы тиіс және қауіпсіздік жағынан аумалы компьютерлік жүйенің барлық белсенді компоненттерімен ұйқасуы қажет.
- Қолданушының жауапкершілік дәрежесінің жүйедегі қозғалысын анықтау үшін қауіпсіздік жағынан мағынасы бар барлық болып жатқан оқиғалар қорғалған хаттамада тіркелуі қажет. Тіркелу жүйесі оқиғаның жалпы ағынының анализін жүзеге асыруы және одан тек қауіпсіздікке әсер ететін оқиғаларды бөліп алу қажет. Оқиға хаттамасы рұқсатсыз қолжетушіліктен, түрлендіру және жоюдан сенімді қорғалған болуы тиіс.
Достарыңызбен бөлісу: |