Информационна сигурност

information security bisoft


Информационна сигурност е процес , насочен към достигане състояние на защитеност на информационната среда.

Осигуряването на информационна сигурност по същество е управление на риска в информационните технологиите и средствата за защита на информационните системи. Този процес протича под формата на непрекъснат цикъл: от появата на нова заплаха през етапа на нейното откриване и етапа на поява на нова защита до създаване на актуализирана версия на продукта.
Основната цел на информационната сигурност е да обезопаси и защити информацията или да намали до минимум нейната загуба.
Класификацията на направленията в информационната сигурност може да се разгледат като два основни типа - административна и IT сигурност (сигурност на информацията и комуникационна сигурност):

  • антивирусна (антималуер) защита;
  • защита на приложенията;
  • продукти за автентикация (удостоверяване);
  • предотвратяване загубата на данни;
  • управление на идентичността и достъпа;
  • откриване и предотвратяване на проникване;
  • мобилна сигурност;
  • контрол на достъпа до мрежа;
  • мрежови защитни стени;
  • управление на риска и политиките;
  • защита на отдалечен достъп;
  • управление на уязвимостите;
  • уеб защита;
  • безжична сигурност;

Съществуват 6 класа сигурност-C1,C2,B1,B2,B3,A1.

Клас C1:
  • доверената изчислителна база трябва да управлява достъпа на именувани потребители към неименувани обекти;
  • потребителите трябва да се идентифицират,преди да изпълняват каквито и да е действия, контролирани от доверената изчислителна база;
  • доверената изчислителна база трябва да поддържа областта за собственото изпълнение, защитена от външни въздействия и от опити за следене по време на работа;
  • в наличност трябва да има апаратни и/или програмни средства, които позволяват периодично да се проверява коректността на функциониране на апаратните компоненти на доверената изчислителна база;
  • защитните механизми трябва да са тествани относно съответствието им спрямо системната документация;
Клас C2:
  • правата на достъп трябва да са съвсем ясни за потребителите. Всички обекти трябва да се подлагат на контрол на достъпа;
  • при отстраняването на даден обект от ресурсите на доверената изчислителна база трябва да се ликвидират всички следи от използването му;
  • всеки потребител на системата трябва да се идентифицира по уникален начин. Всяко действие, което се регистрира,трябва да се асоциира с конкретен потребител;
  • доверената изчислителна база трябва да се създава, поддържа и защитава дневника с регистрационна информация, която се отнася за достъпа към обектите от контролираната база;
  • тестването трябва да потвърди отсъствието на очевидни недостатъци в механизмите на изолация на ресурсите и защита на регистрационната информация;
Клас B1:
  • доверената изчислителна база трябва да управлява маркерите на сигурността, които се асоциират с всеки субект и обект;
  • доверената изчислителна база трябва да осигури реализацията на принудителното управление на достъпа на всички субекти към всички обекти;
  • доверената изчислителна база трябва да осигурява взаимната изолация на процесите по пътя на разделяне на адресните им пространства;
  • група от специалисти, компетентни по реализацията на доверената изчислителна база, трябва да подложат на щателен анализ и тестване описанието на архитектурата, изходните обектни кодове;
  • трябва да съществува формален или неформален модел на политика по сигурността, който се поддържа от доверената изчислителна база;
Клас B2:
  • към доверената изчислителна база трябва да се поддържа доверен комуникационен път за потребителя, който изпълнява началните операции по идентификация и автентикация;
  • трябва да се предвиди възможност за регистрация на събития, свързани с организацията на тайни канали за момент на информацията от паметта;
  • доверената изчислителна база трябва да бъде вътрешно структурирана на добре разграничени сравнително независими модули;
Клас B3:
  • при произволно управление на достъпа, трябва задължително да се използват списъци за управлението на достъпа с разрешените режими;
  • временните тайни канали трябва да се подложат на анализ;
  • трябва да се специфицира ролята на администратора по сигурността;
  • трябва да се демонстрира устойчивост на доверената изчислителна база към опитите за проникване в нея;
Клас A1:
  • тестването трябва да покаже, че реализацията на доверената изчислителна база съответства на формалните спецификации от високо ниво.
  • механизмът на конфигурационното управление трябва да се разпространява през целия жизнен цикъл и върху всички компоненти на системата, имащи отношение към обезпечаването на сигурността;
  • трябва да е описано съответствието между формалните спецификации на горното ниво и изходните текстове;
Следната класификацията е съгласно текста в „Оранжевата книга“. В „Оранжевата книга“ доверена система се дефинира като система,използваща достатъчно апаратни и програмни средства за обезпечаването на едновременната обработка на информация с различна степен на секретност от група потребители, без нарушаване на правата на достъп. Накратко класификацията може да се формулира така:
• ниво C- избирателно управление на достъпа
• ниво B- принудително управление на достъпа
• ниво А-верифицируема сигурност