Общие элементы политики и цели безопасности
Сформулируем общие положения политики безопасности организации, относящиеся к защитным сервисам:
- идентификация и аутентификация всех субъектов доступа;
-
управление доступом к информационным ресурсам сервиса безопасности;
-
подотчетность пользователей сервиса безопасности;
- протоколирование и аудит функционирования сервиса безопасности;
- обеспечение доступности коммуникационных каналов;
- обеспечение конфиденциальности и целостности управляющей информации (в частности, при удаленном администрировании);
- обеспечение целостности аппаратно-программной и информационной частей сервиса безопасности;
- обеспечение невозможности обхода защитных средств.
Переходя к изложению целей безопасности для объекта оценки, отметим, что их достижение должно способствовать противостоянию угрозам безопасности и реализации предписаний политики безопасности. Для различных сервисов безопасности общими являются нижеперечисленные цели:
- подотчетность субъектов и объектов, взаимодействующих с сервисом (необходимое условие достижения этой цели - идентификация и аутентификация взаимодействующих субъектов и объектов, а также протоколирование и аудит выполняемых действий);
-
автоматизация административных действий, наличие средств проверки корректности конфигурации, как локальной, так и распределенной, наглядный интерфейс администрирования;
- обеспечение (прежде всего средствами пользовательского интерфейса) корректного использования функций безопасности;
- предоставление пользователям средств для проверки аутентичности серверов и других партнеров по общению, а также открытых криптографических ключей; реальное осуществление подобных проверок;
- выявление попыток нарушения политики безопасности, задание реакции на подобные попытки;
- обеспечение отсутствия вредоносного кода в составе сервиса, в том числе после ликвидации нарушений информационной безопасности;
- проверка программного кода на наличие подписи доверенной стороны перед его загрузкой в систему;
- выполнение резервного копирования информации, необходимой для восстановления нормальной работы сервиса;
- обеспечение безопасного восстановления после сбоев и отказов;
- обеспечение конфиденциальности и целостности информации при удаленном администрировании сервиса;
- обеспечение устойчивости средств идентификации и аутентификации к попыткам воспроизведения информации и другим способам реализации маскарада; наличие средств разграничения доступа к компонентам и ресурсам сервиса безопасности;
- наличие средств контроля целостности компонентов и ресурсов сервиса;
- наличие средств контроля корректности функционирования сервиса;
- обеспечение безопасности многократного использования объектов.
Цели безопасности для среды дополняют цели безопасности объекта оценки и состоят в следующем:
- обеспечение минимальной достаточности аппаратной и программной конфигурации вычислительной установки, на которой функционирует сервис безопасности;
- управление физическим доступом к компонентам и ресурсам сервиса;
- обеспечение невозможности обхода защитных средств;
- обеспечение достаточной подготовки уполномоченных пользователей сервиса безопасности;
- проведение в жизнь политики управления данными аутентификации: пользователи меняют эти данные должным образом и с требуемой регулярностью;
- ликвидация данных аутентификации и привилегий пользователей, лишенных доступа к сервису безопасности;
- разработка и реализация процедур и механизмов, предохраняющих от вторжения вредоносного программного обеспечения (ПО);
- разработка и реализация дисциплины доклада о нарушениях информационной безопасности;
- подготовка пользователей и обслуживающего персонала для противостояния методам морально-психологического воздействия;
- оперативная ликвидация выявленных уязвимостей.