1.2. Регламентирующие документы в области информационной безопасности

Привет, Вы узнаете о том , что такое регламентирующие документы в области информационной безопасности, Разберем основные их виды и особенности использования. Еще будет много подробных примеров и описаний. Для того чтобы лучше понимать что такое регламентирующие документы в области информационной безопасности , настоятельно рекомендую прочитать все из категории Криптография и криптоанализ, Стеганография и Стегоанализ.

Очевидно, что разные системы обеспечивают различную степень информационной безопасности в зависимости от стоящих перед ними задач или квалификации их разработчиков. Для того чтобы сформулировать основные требования к информационным системам, ввести их классификацию с точки зрения безопасности, различными международными и национальными институтами были разработаны стандарты в области компьютерной безопасности. В качестве примеров подобных стандартов можно привести "Критерии оценки безопасности компьютерных систем"  национального комитета компьютерной безопасности США («Оранжевая книга»), гармонизированные критерии европейских стран, международный стандарт ISO/IEC 15408, техническая спецификация X.800 и множество других. Каждый из этих документов вводит собственные требования к информационным системам, чтобы отнести их к определенному классу безопасности. Так, например, «Оранжевая книга» определяет безопасную систему как систему, которая «управляет доступом к информации так, что только авторизованные лица или процессы, действующие от их имени, получают право читать, писать и удалять информацию». Об этом говорит сайт https://intellect.icu . Надежная система определяется там же как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа". При этом политика безопасности оценивается по двум основным критериям – политике безопасности и гарантированности. Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы, она показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности.

 «Оранжевая книга» открыла путь к ранжированию информационных систем по степени доверия безопасности. В ней  определяется четыре уровня доверия - D, C, B и A. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня C к A к системам предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием степени доверия. Всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1. Чтобы в результате процедуры сертификации систему можно было отнести к некоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям по обеспечению произвольного и принудительного управления доступом, идентификации и аутентификации пользователей, аудиту, возможностям восстановления и администрирования системы и многим другим. Так, например, операционная система Windows NT разработана с тем расчетом, чтобы обеспечивать уровень безопасности C2. Основные требования, которым должна удовлетворять информационная система, чтобы ей мог быть присвоен этот уровень, следующие:

• должен обеспечиваться контроль за доступом к ресурсам на уровне как отдельных пользователей, так и групп пользователей;
• память должна быть защищена, то есть ее содержание не должно быть доступно для чтения после того, как процесс освободил память;
• в момент входа в систему пользователь должен однозначно идентифицировать себя, система должна знать, кто осуществляет те или иные действия;
• системный администратор должен иметь возможность  проверять все события, связанные с безопасностью;
• система должна предотвращать себя от внешнего воздействия или вмешательства в ее работу.

В заключение, эта статья об регламентирующие документы в области информационной безопасности подчеркивает важность того что вы тут, расширяете ваше сознание, знания, навыки и умения. Надеюсь, что теперь ты понял что такое регламентирующие документы в области информационной безопасности и для чего все это нужно, а если не понял, или есть замечания, то не стесняйся, пиши или спрашивай в комментариях, с удовольствием отвечу. Для того чтобы глубже понять настоятельно рекомендую изучить всю информацию из категории Криптография и криптоанализ, Стеганография и Стегоанализ