CC BY
15Решетневские чтения
Библиографический список
1. Anti-Malware Test Lab [Electronic resource] Access mode: http://www.anti-malware-test.com/? q=taxonomy/term/17. Title from a dyplay.
2. Larkin. E. Software Review/ PC World [Electronic resource] E. Larkin. Access mode: http://www.pcworld.com/article/158178/top_internet _security_suites.html/. Title from a dyplay.
M. A. Bazanov
Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
THE DEVELOPMENT OF A SELECTION METHOD OF INTERNET SECURITY PROGRAM DECISION FOR PROTECTION OF THE AUTOMATED SYSTEMS
In the present work the choice method of the Internet Security program solution applied to complex protection of automated systems is developed. Various tests of the program efficiency by the chosen criteria are carried out, influencing on a final user's choice. By results of the analysis the selection method of the Internet Security program solution on the basis of the chosen criteria is developed and programmed.
© Ea3aH0B M. A., 2009
УДК 65.012.810(075.8)
С. В. Белим, С. В. Усов Омский государственный университет имени Ф. М. Достоевского, Россия, Омск
ОБЪЕКТНО-ОРИЕНТИРОВАННАЯ МОДЕЛЬ КОМПЬЮТЕРНОЙ СИСТЕМЫ
Приведены исходные предпосылки построения объектно-ориентированной модели компьютерных систем. Проведена модификация модели дискреционного разделения доступа HRU.
Традиционно описание системы безопасности компьютерных систем проводится опираясь на субъектно-объектный подход, в котором все сущности компьютерной системы разделены на пассивные, называемые объектами, и активные, называемые субъектами. Анализ безопасности строится исходя из доступов субъектов к объектам на основе постулата, сформулированного в «Оранжевой книге». В рамках данного подхода доказательство безопасности компьютерной системы основывается на соответствии доступов некоторому набору ограничений, называемому политикой безопасности. На сегодняшний день разработан ряд моделей, позволяющих проводить анализ каналов утечки информации. Одной из наиболее разработанных является модель HRU, построенная на примитивных операторах преобразования матрицы доступов. В рамках этой модели показано, что не для всех систем с дискреционным разделением доступа возможно построение алгоритма, производящего проверку безопасности состояния системы. В частности, невозможен такой алгоритм для произвольной системы.
В последнее время в связи с широким распространением объектно-ориентированного подхода в построении программного обеспечения компьютерных систем возникают трудности в разделении компьютерной системы на активные и пас-
сивные части. Складывается двойственная ситуация, когда один и тот же набор данных в одном случае интерпретируется как объект пассивный, в другом случае - как субъект активный. Более того, все объекты современных операционных систем построены на основе объектно-ориентированной модели и кроме полей данных содержат методы их обработки. В связи с этим для более адекватного описания компьютерных систем необходимо применять объектно-ориентированный подход и соответствующую модификацию моделей политик безопасности.
В частности, минимальной единицей, с которой работают сервисы операционной системы Windows, являются объекты со сложной структурой. Кроме данных каждый объект также содержит методы доступа к данным. Дискреционная политика безопасности в операционных системах семейства Windows реализована в виде разделительных списков контроля доступа DACL.
В данной работе вводятся необходимые определения и понятия, позволяющие моделировать компьютерные системы, построе,нные на основе объектно-ориентированного подхода. Также построена модель, аналогичная HRU для объектно-ориентированного случая. Введены примитивные операторы и выявлены случаи, допускающие проверку безопасности системы.
Методы и средства защиты информации
S. V. Belim, S. V. Usov Omsk F. M. Dostoyevsky State University, Russia, Omsk
OBJECT ORIENTED MODEL OF COMPUTER SYSTEM
The work is presenting the initial assumptions for constructing object-oriented model of computer system and describing modified HRU model of discretionary access separation.
© Белим С. В., Усов С. В., 2009
УДК 004.056
И. В. Бондарь
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
МЕТОДИКА ОЦЕНКИ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПО ТРЕБОВАНИЯМ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассматриваются международные стандарты информационной безопасности. Приведена модель представления системы защиты, используемая в качестве инструмента оценки защищенности информационной системы. Разработана методика оценки защищенности информационной системы.
Задача обеспечения информационной безопасности характерна неполнотой и неопределенностью исходной информации, многокритериально-стью, невозможностью применения классических методов оптимизации [1].
Для представления процесса обеспечения ИБ рассмотрен комплекс стандартов.
ГОСТ ИСО/МЭК 15408 целесообразно применять для оценки полноты системы защиты с технической точки зрения. Вывод о состоянии защищенности ИС необходимо делать на основе состояния защищенности всех ее составляющих, реализация уязвимостей которых способна привести ИС в недопустимое состояние.
Стандарты ГОСТ ИСО/МЭК 17799, 27001 и 13335 рассматривают преимущественно организационно правовые меры в качестве элементов управления. В соответствии со стандартом ГОСТ ИСО/МЭК 27001 к управлению системой защиты применяется процессный подход. Роль и место процесса обеспечения информационной безопасности в системе управления непрерывностью бизнеса устанавливает стандарт BS 25999.
Стандарты BSI предлагают достаточно гибкий инструмент адаптации информационных технологий к постоянно изменяющимся требованиями ИТ-безопасности.
Существующие на сегодняшний день методики оценки защищенности ИС направлены на определенный стандарт, необдуманное применение которого сопровождается ложным чувством защищенности. Внедрение должно осуществляться с непременным учетом специфики организации.
Нет информации о том, какой подход применять к построению системы защиты информации (СЗИ). Пробел между подходами «сверху вниз» и «снизу вверх» к построению системы защиты информации связан с отставанием процесса математизации информационной безопасности от ее потребностей к поверхностному освещению материала на верхних уровнях менеджмента.
Безопасность ИС - это неотделимый от целей бизнеса процесс защиты всех составляющих ИС. Практическая задача обеспечения информационной безопасности состоит в разработке модели представления системы (процессов) ИБ, которая на основе научно-методического аппарата позволяла бы решать задачи создания, использования и оценки эффективности СЗИ для проектируемых и существующих ИС [2].
Разработанная модель представления основана на 3-х измерениях:
1) состоянии классического цикла менеджмента (цикла Деминга) РСБЛ (серия БОЛБС 27000);
2) основных уровнях иерархии информационной инфраструктуры (СТО БР ИББС);
3) определении пользователем анклавов, состава и последствий незащищенных состояний.
Градиент цвета в программной реализации модели СЗИ предоставляет качественную оценку степени выполнения/невыполнения требований безопасности для каждого анклава на каждом из семи основных уровней иерархии информационной инфраструктуры, надлежащему/ненадлежащему управлению ресурсами во всех состояниях цикла Деминга.
