Абстрактные модели защиты информации

Требования к информационной безопасности, их определение с помощью систематической оценки рисков. Оценка риска с помощью систематического анализа в области информационной безопасности и внедренных мероприятий по управлению информационной безопасностью.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 22.03.2019
Размер файла 16,8 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Башкирский государственный университет

Абстрактные модели защиты информации

Бахтеев И.Р., Валиев М.М.

Основное содержание исследования

В наше время роль информации заметно растет. С информационными технологиями мы сталкиваемся почти каждый день. Информационная инфраструктура стремительно развивается и проникает во все сферы деятельности. На сегодняшний день информация и информационные технологи являются очень важными ВЕЩАМИ влияющими на экономику. В каждой стране экономика не идеальна и присутствие низкого заработка у людей сподвигает их на незаконные действия в сфере информации для получения "легких" денег. Всё чаще в средства массовой информации появляются сообщения об атаках на информационные объекты. Кража информации может понести за собой огромные экономические потери, а также моральный ущерб, а информация особой важности попав в руки злоумышленников может привести к катастрофическим последствиям. Именно поэтому её нужно защищать и постоянно работать над средствами обеспечивающими состояние защищённости информации. Состояние защищенности информации принято оценивать по трем критериям: целостность, доступность и конфиденциальность. Для принятия решения по обеспечению этих критериев нужно учитывать ценность информации.

Требования к информационной безопасности определяются с помощью систематической оценки рисков. Решения о расходах на мероприятия по управлению информационной безопасностью должны приниматься, исходя из возможного ущерба, нанесенного бизнесу в результате нарушений информационной безопасности. Методы оценки риска могут применяться как для всей организации, так и для какой-либо ее части, отдельных информационных систем, определенных компонентов систем или услуг, а именно там, где это практически выполнимо и целесообразно.

Оценка риска - это систематический анализ:

- вероятного ущерба, наносимого бизнесу в результате нарушений информационной безопасности с учетом возможных последствий от потери конфиденциальности, целостности или доступности информации и других активов;

- вероятности наступления такого нарушения с учетом существующих угроз и уязвимостей, а также внедренных мероприятий по управлению информационной безопасностью.

Может потребоваться неоднократное проведение оценки рисков и выбора мероприятий по управлению информационной безопасностью для того, чтобы охватить различные подразделения организации или отдельные информационные системы.

Важно периодически проводить анализ рисков в области информационной безопасности и внедренных мероприятий по управлению информационной безопасностью для того, чтобы учесть:

- изменения требований и приоритетов бизнеса;

- появление новых угроз и уязвимостей;

- снижение эффективности существующих мероприятий по управлению информационной безопасностью. Уровень детализации такого анализа следует определять в зависимости от результатов предыдущих проверок и изменяющегося уровня приемлемого риска. Оценка рисков обычно проводится сначала на верхнем уровне, при этом ресурсы направляются в области наибольшего риска, а затем на более детальном уровне, что позволяет рассмотреть специфические риски [1].

Помимо набора таких требований как доступность, целостность, конфиденциальность одним из важнейших атрибутов модели, непосредственно влияющих на её реализацию, являются предусмотренные в модели методы контроля за доступом к системе. Большинство защищенных методов контроля за доступом к системе делятся на два класса:

Свободный (самостоятельный) контроль за доступом в систему (Discretionary Access Control) является свободным в том смысле, что владелец или распорядитель информации может самостоятельно менять возможности доступа к своей информации. Характерен для моделей, предназначенных для реализации в коммерческих и научных целях.

Мандатный контроль за доступом (Mandatory Access Control) в систему означает независимость доступности информации от её владельца. Как правило в подобных случаях контроль за доступом реализуется исходя из свойств самой информации и свойств желающего получить к ней доступ согласно независимым от них обоих правилам. Характерен для моделей, предназначенных для реализации в военных и государственных системах защиты.

Строго говоря критерии определения того, к какому классу относится тот или иной метод контроля за доступом, далеко не всегда дают определенный результат, но являются весьма точными для большинства классических моделей политики безопасности.

Механизм управления доступом реализует на практике некоторую абстрактную (или формальную) модель, определяющую правила задания разграничительной политики доступа к защищаемым ресурсам и правила обработки запросов доступа к защищаемым ресурсам [2].

Одной из первых моделей была опубликованная в 1977 модель Биба. Согласно ей все субъекты и объекты предварительно разделяются по нескольким уровням доступа, а затем на их взаимодействия накладываются следующие ограничения:

1) субъект не может вызывать на исполнение субъекты с более низким уровнем доступа;

2) субъект не может модифицировать объекты с более высоким уровнем доступа. Как видим, эта модель очень напоминает ограничения, введенные в защищенном режиме микропроцессоров Intel 80386+ относительно уровней привилегий [3].

Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими в 1982 году, основана на теории автоматов. Согласно этой модели система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы - домены.

Переход системы из одного состояния в другое выполняется только в соответствии с так называемой таблицей разрешений, в которой указано, какие операции может выполнять субъект, например, из домена С над объектом из домена D. В данной модели при переходе системы из одного разрешенного состояния в другое используются транзакции, что обеспечивает общую целостность системы.

Модель защиты Кларка-Вильсона которая играет важную роль в теории защиты информации, опубликована в 1987 году и модифицирована в 1989. Основной областью применения данной модели является коммерция, в частности банковское дело.

В основе концепции модели стоят 2 принципа:

Внутренняя целостность - свойства внутреннего состояния системы, достигаемые посредством “Правильных соглашений”.

Внешняя целостность - взаимодействие внутреннего состояния системы с внешнем миром, реализуемая посредством разделение обязанностей.

Модель реализована посредством набора правил, и, в отличие от предыдущих моделей, не является математически формализованной моделью. Также субъекты теперь не имеют прямого доступа к объектам, между субъектом и объектом находится “слой" программ, которые обладает доступом к объектам. Контроль за доступом к системе является свободным.

Контроль за доступом к данным разделен на 2 группы:

Определяются операции доступа, которые можно производить над каждым типом данных

Определяются операции доступа, которые могут быть произведены определенным субъектом.

Все данные в модели Кларка-Вилсона разделены на 2 класса:

Необходимый элемент данных (CDI).

Спонтанный элемент данных (UDI).

Далее устанавливается набор правил, регулирующих взаимодействие с обоими типами данных (Certification Rules):

Все начальные процедуры проверки (IVP) должны убедиться в том, что все CDI находятся в достоверном состоянии во время работы IVP.

Все процедуры изменения (TP) должны быть сертифицированы, чтобы быть достоверными, т.е. все достоверные CDI должны переходить в достоверные CDI, причем каждая процедура изменения имеют право на доступ только к определенному набору CDI.

Правила доступа должны удовлетворять всем требованиям разделения обязанностей.

Все процедуры изменения должны быть записаны в доступный только-на-добавление журнал.

Любая процедура изменения, получившая на вход UDI должна либо преобразовать его в CDI, либо отменить операцию.

Этот набор правил позволяет обеспечить работу с данными в таком режиме, когда полностью обеспечена безопасность и подотчетность переходов в системе. Главное достижение этих правил по сравнению с моделью Биба - разделение процедур по проверке целостности и процедур изменения. Позволяет предотвратить или исправить большинство нелегальных действий, совершаемых изнутри коммерческой организации.

Для усиления защиты в модель Кларка-Вилсона был введен еще один набор правил (Enforcements Rules):

• Система должна поддерживать и защищать список (Tpi: CDIa,CDIb,.), сопоставляющий TP и CDI и сертифицирующий доступ к ним.

• Система должна поддерживать и защищать список (UserID,Tpi: CDIa,CDIb,.), определяющий, какие TP пользователь может выполнять.

• Система должна аутентифицировать каждого пользователя, запрашивающего исполнение процедуры изменения.

защита информация информационная безопасность

• Только допущенный к сертификации правил доступа для TP субъект может изменять соответствующие записи в списке. Этот субъект не долен иметь прав на исполнение данного TP.

Сазерлендская модель защиты, опубликованная в 1986 году, делает акцент на взаимодействии субъектов и потоков информации. Так же как и в предыдущей модели, здесь используется машина состояний со множеством разрешенных комбинаций состояний и некоторым набором начальных позиций. В данной модели исследуется поведение множественных композиций функций перехода из одного состояния в другое [4].

Опираясь на изученную литературу можно сделать вывод что не существует такой модели защиты информации, которая гарантирует полую защищенность информации. Для повышения степени защищенности нужно постоянно изучать новые угрозы и создавать новые средства защиты.

Список литературы

1. ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью // [электронный ресурс].: - Режим доступа: http://docs. cntd.ru/document/1200044724 - (10.12.16)

2. Абстрактные модели защиты информации // [электронный ресурс].: - Режим доступа: http://coolreferat.com/399905 - (10.12.16)

3. Лекции "МСЗИ": Абстрактные модели защиты информации // [электронный ресурс].: - Режим доступа: http://imcs. dvfu.ru/lib. int/citforum/internet/infsecure/its2000_05. shtml (10.12.16)

4. Модели Политики Безопасности // [электронный ресурс].: - Режим доступа: http://re. mipt.ru/infsec/2004/essay/2004_Security_Policy_Models__Kozin. pdf- (10.12.16)

Размещено на Allbest.ru

...

Подобные документы

  • Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

    дипломная работа [4,5 M], добавлен 19.12.2012

  • Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.

    курсовая работа [28,2 K], добавлен 17.05.2016

  • Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

    реферат [30,0 K], добавлен 15.11.2011

  • Существенные признаки понятия конфиденциальности. Понятие информационной безопасности государства. Нормативные документы в данной области. Органы, обеспечивающие ИБ. Направления защиты информационной системы. Этапы создания средств защиты информации.

    презентация [63,6 K], добавлен 21.05.2015

  • Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.

    курсовая работа [190,1 K], добавлен 25.11.2013

  • Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.

    дипломная работа [207,4 K], добавлен 02.08.2012

  • Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.

    реферат [51,5 K], добавлен 20.01.2014

  • Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.

    курсовая работа [57,4 K], добавлен 13.11.2009

  • Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.

    контрольная работа [30,5 K], добавлен 18.09.2016

  • Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.

    контрольная работа [27,8 K], добавлен 26.02.2016

  • Основные понятия, методы и технологии управления рисками информационной безопасности. Идентификация риска, активов, угроз, уязвимостей, существующих контролей, последствий. Оценка и снижение риска. Примеры типичных угроз информационной безопасности.

    презентация [223,8 K], добавлен 11.04.2018

  • Анализ рисков информационной безопасности. Идентификация уязвимостей активов. Оценка существующих и планируемых средств защиты. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности.

    дипломная работа [1,1 M], добавлен 03.04.2013

  • Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.

    курсовая работа [269,0 K], добавлен 24.04.2015

  • Структурная и пространственная модели банка. Условные цены единицы информации. Моделирование угроз безопасности. Система рангов наиболее опасных технических каналов утечки информации. Требования к организации информационной безопасности на предприятии.

    контрольная работа [48,6 K], добавлен 24.04.2014

  • Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.

    статья [15,9 K], добавлен 24.09.2010

  • Постоянный рост темпов развития и распространения информационных технологий. Концепции информационной безопасности. Объектами защиты на предприятии. Структура, состав и принципы обеспечения информационной безопасности. Постоянный визуальный мониторинг.

    реферат [78,4 K], добавлен 23.07.2013

  • Критерии определения безопасности компьютерных систем и механизмы их реализации. Содержание международного стандарта управления информационной безопасностью ISO 17799. Критерии оценки защищенности информационных систем и практика прохождения аудита.

    реферат [336,8 K], добавлен 03.11.2010

  • Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

    курсовая работа [319,1 K], добавлен 07.10.2016

  • Категории действий, способных нанести вред информационной безопасности, методы её обеспечения. Сфера деятельности фирмы и анализ финансовых показателей. Система информационной безопасности фирмы и разработка комплекса мероприятий по её модернизации.

    дипломная работа [1,1 M], добавлен 15.09.2012

  • Понятие и основные принципы обеспечения информационной безопасности. Понятие защищенности в автоматизированных системах. Основы законодательства РФ в области информационной безопасности и защиты информации, процессы лицензирования и сертификации.

    курс лекций [52,7 K], добавлен 17.04.2012

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.