Назвіть охарактерні особливості стандартів, орієнтованих на застосування військовими та спецслужбами? Які вони мають переваги та недоліки?

Згідно з документом TCSEC, безпечна комп'ютерна система — це система, що підтримує таке керування доступом до інформації, що в ній обробляється, за якого лише відповідним чином авторизованим користувачам або процесам, що діють від їхнього імені, надається можливість читати, записувати, створювати, а також видаляти інформацію.

Виходячи з визначення безпечної системи, до неї ставиться низка вимог:

· безпечна система має бути здатною розрізняти користувачів;

· кожний процес у системі має діяти від імені певного користувача;

· система має підтримувати розмежування доступу суб'єктів до об'єктів, які містять інформацію;

· до об'єктів системи можна застосовувати такі дії: читання, записування, ство­рення і видалення.

У TCSEC запропоновано три категорії вимог безпеки — політика безпеки, аудит і коректність, у рамках яких сформульовано шість базових вимог безпеки. Перші чотири спрямовані безпосередньо на забезпечення безпеки інформації, а дві останні — на якість засобів захисту.

Недоліки:

У документі найбільше уваги приділено міткам конфіденційності (грифам таємності) та правилам експорту секретної інформації, менше — забезпеченню цілісності інформації і майже не розглянуто її доступність.

Вимоги забезпечення політики безпеки в документі також відображено доволі поверхово (відповідний розділ містить лише вимоги контролю цілісності засобів захисту і підтримки їх працездатності, які наразі є недостатніми).

Найвищий клас безпеки (А1) надають ПЗ, яке відповідає своїм специфікаціям, хоча це ще не є доказом коректності та адекватності реалізації політики безпеки.

Єдина ієрархічна шкала класів безпеки КС дає змогу порівнювати рівні захищеності різних систем, але не є такою гнучкою, щоб враховувати переваги окремих систем. Часто у сертифікатах відповідності вимогам TCSEC окрім основного класу безпеки системи визначають додаткові рівні безпеки для окремих її компонентів, наприклад: сама ОС може належати до класу С2, дискреційне керування доступом у ній — до класу ВЗ, керування безпекою — до класу В2. Це новий підхід в оцінюванні, який відходить від концепції оцінювання систем TCSEC.

Завдяки інтенсивному розвитку комп'ютерних технологій і внаслідок переходу від централізованих обчислювальних комплексів на основі мейнфреймів до робочих станцій, персональних комп'ютерів і розподіленого оброблення інформації, деякі положення TCSEC застаріли.

Керівні документи Державної технічної комісії при Президенті Російської Федерації мають ті самі недоліки і обмеження, що й TCSEC: їх орієнтовано на системи військового застосування, у стандарті використано єдину універсальну шкалу для визначення рівня захищеності, ранжирування вимог по класах максимально спрощене, поняття «політика безпеки» у цих документах трактують виключно як підтримку режиму таємності та відсутність НСД. Стандарт не за­безпечує весь спектр вимог:

· засоби захисту орієнтовано лише на протидію зовнішнім загрозам;

· відсутні вимоги до захисту від загроз роботоздатності;

· відсутні вимоги до адекватності реалізації політики безпеки;

· не висунуто вимог до структури самої системи та її функціонування.

Охарактеризуйте основні положення, що стосуються галузі захисту інформації, які викладені у НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу».


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



double arrow
Сейчас читают про: