Ақпарыттық қауіпсіздік стандарттары мен спецификациясы

                                                    Мазмұны

Кіріспе..............................................................................................................................2

Негізгі бөлім:

1.  Ақпараттық қауіпсіздіктің стандарттары мен спецификациясы...........................3

1.1. «Қызыл сары кітапқа» сәйкес қауіпсіздік..............................................................3

1.2. «Қызыл сары кітапқа» сәйкес қауіпсіздік механизмі..........................................6   

1.3.  «Қызыл сары кітапқа» сәйкес қауіпсіздік кластары............................................8

2. «Қызыл сары кітап» Х.800 нұсқаулығы.................................................................11

2.1  Сенімді қауіпсіздік талаптары мен қызметтері .................................................16

2.2  Желілік конфигурация үшін «Қызыл сары кітаптың» интерпретациясы......18

Қорытынды..................................................................................................................22

Қолданылған әдебиеттер тізімі.................................................................................22

Кіріспе

Ақпарыттық қауіпсіздік стандарттары мен спецификациясы

1.1.           «Қызыл сары кітапқа» сәйкес қауіпсіздік саясаты

Бағалау стандарттары мен техникалық спецификациялар. «Қызыл сары кітап» бағалау стандарты.

            Ақпараттық қауіпсіздіктің стандарттары мен спецификациялары екі түрлі жолмен жүзеге асады:

      Бағалау стандарттары, классификациялық ақпарат жүйесіне бағытталған және ақпараттық қауіпсіздіктен қорғау міндеткерлігі;

      Техникалық спецификация, регламентті әртүрлі аспектілерді қорғау құралымен дамыту.

       Айталық, екі түрмен жолмен жүзеге асырылатын нормативтік мәліметтер, үнсіздік қабырғасында көрсетілмеген. Бағалау стандарттары ақпарат жүйесінің базалық көз қарасымен, ақпарат жүйесінің аспектісімен, архитектуралық спецификацияда маңызды орын алады.

       Бірінші тарихи бағалау стандарттары кең көлемді алып және көп елдердің ақпараттық жүйе базасында стандартизациялық базаға үлкен әсерін тигізіп, Қорғаныс Министрі АҚШ тың «Бағалау компьютер жүйесінің сенімділік критериі» орын алды.

         Бұл критери алғаш рет 1983 жылы тамыз айында жарық көрінді. Мұнда қауіпсіздік жайлы емес, сенімділік жүйесі жайлы, яғни жүйе, белгілі бір жүйеде көрсетілген сенім жайлы айтылмақ.

          Қауіпсіздік жүйесі – басқару құрамдары, ақпарат қолжетімжілігі, авторизациялық процесс арқылы ақпаратты оқуға, жазуға, құруға және өшіруге мүмкіндік береді.

         Бірақ қауіпсіздік жүйесі мүлдем жүзеге аспайды, себебі ол абстракция. Тек бағалау жүйесінің сенімділігін осы және келесі жүйеде жүзеге асыруға болады.

        Сенімділік жүйесі жүйені және қажетті аппараттарды қолдануға, программалық құралдар арқылы уақыт аралығында әр түрлі жүйеде құпия ақпараттарын өндеу арқылы және кез келген қолданушыға қолжетімділік құзырынан айырылмауы қажет.

Сенімділік бағалау жүйесі екі критеримен жүзеге асады:

1.      Қауіпсіздік саясаты – заң жүйесі мен іс-әрекет нормасын, ережесін қадағалау, ұйымдар ұйымдастырған және кең көлемде дамыған ақпарат көздерін қорғау. Ережелерде қорғау үшін қолданушы қолданатын нақты мәліметтер жүйесін ұйымдастыру қажет. Жоғары дамыған сенімділік жүйесі қымбат және әр түрлі саясат қорғанысы арқылы атқарылады. Құрылымдалынған саясат жүйесі нақты қорғалынған механизмдер арқылы жүзеге асады. Қауіпсіздік саясаты – бұл белсенді қорғаныс аспектісі, өзіне қауіп төндіруші анализ және қарсы іс-әрекет түрлері.

2.      Кепілдік деңгейі – архитектурада көзделген және ақпарат жүйесін дамытудағы сенім мөлшері. Қорғаныс сенімділік тестілеу анализ қорытындысы және жалпы тексеру жүйесін дамыту арқылы толық және жеке компоненттерді тестілеуге мүмкіндік береді. Кепілдік жүйесі нақты дұрыс механизмдер мен қауіпсіздік саясатының дамуын қамтамасыз етеді. Бұл пассивті қорғаныс аспектісі.

                        Механизм нақтыламасы қауіпсіздік қатерден қорғау маңыздылығы. Сенімділік жүйесі қауіпсіздікке байланысты барлық оқиғаларды қадағалайды. Көрсетілген хаттамалар аудитта ақпараттық анализ тіркеу жүйесін толықтырады.

          Концепциялық сенім есептеу базасы орталық бағалау жүйесінің қауіпсіздік сенімділігін арттырады. Сенімділік есептеу базасы – ақпарат жүйесінің механизмдерін қорғау жиынтығы (аппараттық және программалық қамтамасыз ету), қауіпсіздік саясатының өміріне жауап береді. Есептеу базасының сапасы, оның даму мен администрация жүйесіне кіретін кіріс коррекцияларынан тұрады.

          Жалпы есептеу жүйесінде сыртқы компоненттер сенімділікті жоюға үлес қосады, бірақ бұл қорғаныс жүйесіне әсер етпеуі қажет. Қорытындылай келе, қауіпсіздік сенімділік бағалау жүйесі ақпараттық жүйенің қажетінше есептеу базасында керек компактілерді ңана қарастырады.

         Сенімді есептеу базасының негізгі қызметі – айналым мониторының функцияларын орындау, яғни объектінің (пассивті мазмұны) белгілі бір операциялық субъектілерінің (пайдаланушылардың атынан қызмет ететін ақпараттық жүйенің активті мазмұны) орындалу мүмкінділігін қадағалау.

         Монитор пайдаланушылар үшін қол жетімді қызметтерінің жиынтығымен сәйкес пәндердің мәліметтерін немесе программаларға пайдаланушылардың әрбір үндеуін тексереді.

          Бұл монитордың үш маңызды сапасы болуы қажет:

1.      Оқшаулылық. Монитордың жұмысын қадағалау мүмкіндігін алдын-ала хабарлау қажет.

2.      Толықтылық. Монитор әрбір үндеуге шақырылуы қажет, оны қажет етпейтін тәсіл болмауы қажет.

3.      Шағындылық. Монитор болашақта тестілеудің толықтылығына сенімді болуы үшін, оны талдап және тесттен өткізуге болатындай шағын болуы керек.

                 Монитор қарым-қатынас «қауіпсіздіктің ядросы» деп аталады. Ядро қауіпсіздігі – барлық қорғау механизмнің құрылу негізі болып табылады. Жоғарыда келтірілген монитор қарым-қатынасның сапасынан басқа ядро өзінің өзгеріссіз екендігін сенімді етпеуі қажет.

             Сенімді есептеу базасының шекарасын қауіпсіздік қашықтығы деп аталады. жоғарыда атап өткендей, қауіпсіздіктің шекарасына кірмейтін компоненттер сенімсіз болуы мүмкін. Бөлінген жүйелердің дамуы мен байланысты, «қауіпсіздік қашықтығы» көбнесе басқа мағынада қолданылады, яғни белгілі бір ұйымдардың иемділік шекарасын айтады. Иемділіктің ішінднгінің барлығы сенімді, ал сыртындағысы керсінше болып табылады.

1.2.           «Қызыл сары кітапқа» сәйкес қауіпсіздік механизмі  

Қауіпсіздік механизмі

      «Қызыл сары кітапқа» сәйкес қауіпсіздік саясаты міндетті түрде келесідей элементтерден тұрады:

      Қол жетімділікті еркін басқару;

      Объектіні қайта пайдалану қауіпсіздігі;

      Қауіпсіздік белгілері;

      Қол жетімділікті еріксіз басқару.

           Қол жетімділікті еркін басқару (кейде дискрециондық деп те атайды) – топтық немесе жеке субъектінің есебіне негізделген, объектінің қол жетімділігін бөлу әдісі. Басқарудың еркінділігі кей тұлғалардың (көбнесе объектінің иелері) өз қалауынша басқа субъектілерге ұсынылуынан немесе олардың объектіге өол жеткізу құқығынан айыруынан тұрады.

          Объектіні қайта пайдаланудың қауіпсіздігі – «қоқыстан» құпиялы ақпаратты әдейі немесе кездейсоқ шығарудан сақтайтын қол жетімділікті басқарудың қосымша құралы. Қайта пайдаланудың қауіпсіздігі оперативті ес обылысы (көбіне, экран бейнесі мен буфер үшін, кілтті шешу және т.б.), дисктік блоктар мен жалпы магнитті тасушылар үшін кепілдендірілуі керек.

             Жоғарыда айтқанымыздай, жаңа заманғы объекті – бағытты әдіс бұл элемент қауіпсіздігінің қызметін қысқартып, оның өткізілуін қиындатады. Және мәліметтердің үлкен көлемін буферлендіретін интеллектуалды құрылғы үшін де қиыншылық тудырады.

            Субъектілер мен объектілерге қол жетімділікті еріксіз басқаруды орындау үшін қауіпсіздік белгісі құрылады. Субъектінің белгісі оның сенімділігін көрсетеді, ал объектінің белгісі – ондағы ақпараттың қауіпсіздік мөлшерін білдіреді.

           «Сары қызыл кітапқа» сәйкес қауіпсіздік белгісі екі бөлімнен құрылады – құпиялылық деңгейі мен категориялық тізімі. Құпиялылық деңгей тәртіптің көптігін пайда болғызады, категориялар мәліметтерге тиісті пәндердің облысын суреттейді.

          Қол жетімділікті еріксіз басқару субъекті мен объектінің қауіпсіздік белгісінің орындалуына негізделген.

         Субъект өзінің құпиялық деңгейі объектіден төмен болмаған жағдайда ған сол объектідегі мәліметтерді оқи алады, ал объектінің қауіпсіздік белгісіндегі барлық категориялар субъектінің белгісінде болады. Осындай жағдайда, субъектінің белгісі объектінің белгісін басқарады деп атайды. Белгіленген ережелердің (талаптардың) мағынасы түсінікті – тек тиісті нәрсені ғана оқуға болады.

             Субъект объектінің қауіпсіздік белгісі субъектінің белгісінен жоғары болған жағдайда мәліметті объектіге жаза алады. Негізінен, «құпиялы» субъект мәліметтерін құпиялы файлға жаза алады, бірақ басқа файлдарға жазуға мүмкіндік жоқ.

             Қол жетімділікті басқарудың бұл тәсілі еріксіз деп аталады, себебі ол субъектінің (жүйе администраторы болса да) еркіне тәуелсіз болып табылады.

            Егер қауіпсіздік саясатын тек қол жетімділіктің шекарасы ретінде түсінетін болсақ, онда есептілік механизмі бұндай саясатты толықтырушы болып табылады. Есептеудің мақсаты – кез келген кезде жүйеде кім және қалай жұмыс істеп жатқанын біліп отыруға керек.

Есептеу құралы үш категорияға бөлінеді:

      Идентификация және аудинтификация;

      Сенімді жолды көрсету;

      Тіркелетін ақпаратты талдау.

        Идентификацияның қарапайым тәсілі – жүйеге кіретін кездегі пайдаланушының атын енгізу. Пайдаланушының шыңайлылығын (аудентификация) стандартты тексеру құралы – кілт.

           Сенімді жол пайдаланушыны міндетті түрде сенімді есептеу базасымен байланыстырады. Ал басқа ақпараттық жүйенің қауіпті компоненттерін қоспайды.

            Тіркелетін ақпаратты талдау (аудит) жүйенің қауіпсіздігіне қатысты жағдайлар мен (оқиғалармен) жұмыс істейді.

              Егер барлық оқиғаларды тіркесек, тіркелетін ақпараттың көлемі тым тез өседі де, ал оның талдауы сапалы болмайды. «Қызыл сары кітап» оқиғалардың да, пайдаланушылардың (тек күмәнділерді ерекше қадағалайды) да қатынасын тандамалы хаттамадан өткізу құралдарының сонын алдын ала біліп отырады.

            Қорғаудың пассивті аспектілеріне қатысты «Қызыл сары кітапта» кепілдіктің екі түрі көрсетіледі операциондық және технологиялық. Операциондық кепілдеме жүйенің архитектуралық және реализациялық аспектілеріне жатады, ал технологиялық кепілдеме – құрастыру және шығарып салу әдістеріне тиесілі болып табылады.

            Операциондық кепілдеме келесідей элементтерді тексеруден тұрады:

      Жүйенің архитектурасы;

      Жүйенің толықтылығы;

      Ақпаратты басқарудың құпиялы каналдарын тексеру;

      Сенімді басқару;

      Кедергілерден кейінгі қалыптастырудың сенімділігі.

           Операциондық кепілеме – бұл жүйенің архитектурасы мен оны өткізу қызметтерінің таңдалынған қауіпсіздік саясатын жүргізетіндігіне көз жеткізу әдісі болып табылады.

           Технологиялық кепілдеме – ақпарат жүйесінің барлық өмірлік циклін құрайды, яғни құрастыру, өткізу, тестілеу, сату және бірге шығару кезеңдерінен тұрады. Барлық әрекеттер ақпараттың бұзылуынан және қатерлі «закладкалардан» қорғау үшін қатаң стандарттарға сәйкес жүргізілуі типі.