АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Политика компьютерной безопасности

Политика компьютерной безопасности — это комплекс заранее определённых мер и процедур, нацеленных на поддержание определённого уровня информационной безопасности организации. Политика отражает стратегическое видение руководства предприятия, учреждения, государственной структуры или объединения стран по вопросам компьютерной безопасности.

Общие сведения

Политика компьютерной безопасности является составной частью общей политики безопасности информационной системы. Таким образом, она тесно связана с обеспечением информационной безопасности.

Политика определяет цели защиты информационных систем организации.

Определение политики может быть формальным или неформальным. На практике политики безопасности реализуются с помощью технических или организационных процедур. Техническая реализация политики определяет, считается ли компьютерная система «безопасной» или «небезопасной».

Общая концепция

Политику компьютерной безопасности часто сравнивают с цепью, прочность которой определяется самым слабым звеном. Точно так же уровень безопасности определяется наименьшей защищённостью элементов системы.

Таким образом, политика информационной безопасности должна рассматриваться в комплексном контексте:

С точки зрения некоторых специалистов, именно безопасность данных лежит в основе всей безопасности информационных систем, так как все системы используют данные и зачастую имеют дело с разнородными по формату, структуре и назначению наборами данных.

Цели

После оценки возможных рисков важно определить цели обеспечения безопасности. Эти цели формулируются как намерения по противодействию выявленным угрозам и (или) по соблюдению организационных политик защиты. Цель может касаться как самой целевой системы, так и её среды разработки либо эксплуатационной среды. Далее эти цели могут быть трансформированы в реализуемые на практике функции безопасности для системы.

Принципы

Безопасность информационных систем обычно сводится к гарантии прав доступа к данным и ресурсам посредством внедрения механизмов аутентификации и контроля. Такие механизмы позволяют удостовериться, что пользователи системы обладают только предоставленными им правами.

Однако политика компьютерной безопасности должна разрабатываться так, чтобы не препятствовать законным нуждам пользователей и их доверию к системе. Поэтому на первом этапе необходимо определить саму политику, то есть:

  • разработать правила и процедуры, внедрить технические средства в различных подразделениях организации;
  • определить порядок действий и ответственных лиц на случай обнаружения вторжений;
  • информировать пользователей о специфических проблемах, связанных с безопасностью информационных систем;
  • уточнить роли и зоны ответственности.

Таким образом, политика безопасности — это совокупность стратегических направлений, принятых организацией в области информационной безопасности. По этой причине политика должна формулироваться на уровне высшего руководства, поскольку касается всех пользователей системы.

Формальное описание

Если рассматривать компьютерную систему как автомат с конечным числом состояний и набором переходов (операций), то политику безопасности можно трактовать как механизм, разбивающий совокупность состояний на допустимые и недопустимые.

Исходя из этого определения, систему можно назвать безопасной, если она стартует в допустимом состоянии и никогда не переходит в недопустимое.

Формальные модели безопасности

Для достижения высокого уровня доверия при оценке безопасности (например, уровень E4 по TCSEC), безопасность определяют формально с помощью моделей, отражающих следующие цели:

  • точная формализация требований безопасности применительно к вычислительным системам;
  • предоставление средств для проверки логической целостности модели;
  • предоставление методов доказательства того, что требования выполнены;
  • поддержка проектирования и реализации защищённых систем.

Существуют различные формальные модели безопасности:

  • Модель Белла — ЛаПадулы (мандатный контроль доступа, конфиденциальность, статичность) — наиболее распространённая модель для проверки безопасности ИС. Её авторы доказали так называемую Основную теорему безопасности (Basic Security Theorem, BST). На основе этой модели были разработаны другие: модель Биба (мандатный контроль, интегритет, статичность), модель Диона (мандатный контроль, конфиденциальность и целостность, статичность), модель Джаджодия и Сандху (мандатный контроль доступа, конфиденциальность, статичность).
  • Модель недоказуемости (мандатный контроль, конфиденциальность, динамика) — моделирует потоки данных, используя логические конструкции. Модели этого класса полезны для контроля косвенного доступа к информации: они выявляют проблему скрытых каналов.
  • Модель HRU (дискреционный контроль), а также её производные — модель Take-Grant и модель SPM.

Рынок компьютерной безопасности

В 2011 году мировой рынок средств защиты информации оценивался в 17,7 миллиардов долларов по данным исследовательской компании Gartner. Лидером этого рынка была калифорнийская компания Symantec (20 % рынка), далее следовали McAfee (7 %), Trend Micro (6,8 %) и IBM (5 %)[1]. По данным IDC за тот же период, лидером была также Symantec ($3,6 млрд), далее — Cisco ($1,7 млрд), McAfee ($1,7 млрд), затем IBM, Check Point и Trend Micro, каждая примерно с $1,2 млрд оборота.

В 2007 году российская Kaspersky Lab занимала 38 % французского рынка антивирусов и 18 % рынка комплексных средств интернет-защиты.

Государственные расходы

Ниже приведены бюджеты ряда государственных агентств, занимающихся кибербезопасностью:

  • Киберкомандование США на 2013 год: 182 млн долларов США[2];
  • Национальное агентство по кибербезопасности Франции: 90 млн евро на 2012 год[3];
  • BSI, Германия: 70 млн евро в 2011 году[4].

Производные политики

На основе общей и комплексной политики компьютерной безопасности для компьютерных систем могут разрабатываться специальные технические политики для отдельных подразделений, видов деятельности или конкретных систем.

Таким образом, можно выделить несколько видов политик, непосредственно связанных с компьютерной безопасностью:

Примечания

  1. Gartner Says Security Software Market Grew 7.5 Percent in 2011 (англ.). Gartner (15 мая 2012). Дата обращения: 8 июня 2024. Архивировано 9 июля 2012 года.
  2. STATEMENT OF GENERAL KEITH B. ALEXANDER COMMANDER UNITED STATES CYBER COMMAND BEFORE THE HOUSE COMMITTEE ON ARMED SERVICES SUBCOMMITTEE ON EMERGING THREATS AND CAPABILITIES (англ.). Air University (20 марта 2012). Дата обращения: 8 июня 2024. Архивировано 21 июля 2012 года.
  3. Définition de l'ANSSI sur le site tayo.fr (фр.). Tayo.fr. Дата обращения: 8 июня 2024. Архивировано 2 февраля 2012 года.
  4. Bundesamt für Sicherheit in der Informationstechnik (BSI) (нем.). sicherheitsforschung-europa.de. Дата обращения: 8 июня 2024. Архивировано 2 апреля 2012 года.

Категории