Политики безопасности
Существуют критерии определения безопасности компьютерных систем (КС), составляющие основу международного стандарта Common Criteria, опубликованного в 2005 году.
«Критерии» устанавливают основные условия для оценки эффективности средств компьютерной безопасности АС.
Под политикой безопасности (ПБ) понимается совокупность норм, правил и практических рекомендаций, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от заданного множества угроз и составляет необходимое условие безопасности КС [4].
Политики безопасности должны быть подробными, четко определёнными и обязательными для КС. Есть две основных политики безопасности:
- мандатная политика безопасности — обязательные правила управления доступом, напрямую основанные на индивидуальном разрешении на доступ к информации и уровне конфиденциальности запрашиваемой информации.
- дискреционная политика безопасности — предоставляет непротиворечивый набор правил для управления и ограничения доступа, основанный на идентификации тех пользователей, которые намерены получить только необходимую им информацию.
|
|
В качестве обязательных функций сервиса управления доступом к информации в АС выделяются:
аутентификация — процесс распознавания пользователя;
авторизация – проверка ращрешения пользователю на получение
информации определенного рода;
аудит — отслеживание действий аутентифицированных пользователей, при которых затрагивается безопасность.