Басқару жүйелеріндегі ақпаратты қОРҒау әдістері


Дәріс №5-6. Халықаралық стандарттар мен техникалық шарттар



бет7/16
Дата08.02.2022
өлшемі496,19 Kb.
#98583
1   2   3   4   5   6   7   8   9   10   ...   16
Байланысты:
Kea5ilW4GV3qDMTB7JhbtHZCfUINY8

Дәріс №5-6. Халықаралық стандарттар мен техникалық шарттар


Мақсаты: Европалық стандартарымен таңысу.


Мазмұны:


  1. «Еуропалық елдердің үйлестірілген критерийлері».

  2. «Үйлестірілген критерийлер».

  3. «Ашық жүйелердің өзара әрекеттесуі үшін қауіпсіздік архитектурасы».

  4. «Желілік аутентификация қызметі Kerberos (V5)».

  5. FIPS 140-2 стандарты.

  6. «Жалпы қауіпсіздікті қамтамасыз ету қызметтік бағдарлама интерфейсі (GSS- API)».

«Еуропалық елдердің үйлестірілген критерийлері» ақпараттық жүйе жұмыс істеу үшін тиіс жағдайларды белгілемейді. Алдымен бағалау мақсаты қойылады, сертификаттаушы орган бұл мақсат қаншалықты толықтай орындалатының анықтайды, яғни архитектураның және нақты жағдайда қауіпсіздіктің механизмдерін енгізу қаншалықты дұрыс және тиімді екенін анықтайды. Бағалаудың мақсатын тұжырымдауды жеңілдету үшін стандартта мемлекеттік және коммерциялық жүйелерге тән он типтік функционалдық класстардың сипаттамалары бар.


«Үйлестірілген критерийлер» ақпараттық технологиялардың жүйелері мен өнімдері арасындағы айырмашылықты есепке ала отырып, бірақ қойылатын шарттарды жалпылау ушін бірыңғай тұжырымдаманы – «бағалау объектісі» енгізді.
Техникалық сипаттамалар қатарында X.800 «Ашық жүйелердің өзара әрекеттесуі үшін қауіпсіздік архитектурасы» құжаты бірінші орынға орналастырылуы керек. Мұнда ең маңызды желілік қауіпсіздік қызметтері анықталады: аутентификация, қол жеткізуді бақылау, құпиялылықты және/ немесе деректердің тұтастығын қамтамасыз ету, сондай-ақ жасалған іс- әрекеттерден бас тартудын мүмкін емесі. Қызметтерді іске асыру үшін келесі желілік қауіпсіздік механизмдері және олардың комбинациясы қарастырылған: шифрлау, электрондық цифрлық қолтаңба (ЭЦҚ), қол жеткізуді бақылау, мәліметтердің тұтастығын бақылау, аутентификация, трафикті қосу, маршруттауды басқару, нотариалдық растау. Қауіпсіздік қызметтері мен механизмдерін іске асыруға мүмкіндік беретін жеті деңгейлі моделдін эталонддық деңгейлері таңдалған.
Сонымен бірге, үлестірілген конфигурацияларға арналған қауіпсіздік құралдарын басқару туралы мәселелері қарастырылған.
«Желілік аутентификация қызметі Kerberos (V5)» RFC 1510 Интернет- қоғамдастық спецификациясы неғұрлым жеке, бірақ өте маңызды және өзекті мәселені көтереді- желіге бір кіру концепциясын қолдайтын түрлі, үлектірілген ортада аутентификация
Kerberos аутентификацияны растайтын сервер - қызмет көрсетілетін субъектілердің құпия кілттеріне ие және оларды бір бірін аутентификациялауға көмектесетін сенімді үшінші жақ. Бұл
спецификацияның маңыздылығын заманауі операциялық жүйелердің әр қайсысында Kerberos клиент компоненттері бар екені дәлелдейді.
Жалпы критерийлер қауіпсіздік талаптарының екі негізгі түрін қамтиды:

  • функционалды, белсенді аспектісіне сәйкес, қорғау функцияларына (қызметтеріне) және олардың іске асыру механизмдеріне ұсынылады;

  • сенім талаптары, пассивті аспектісіне сәйкес, олар технологияға және құру үдерісіне және пайдалануға беріледі.

Қауіпсіздік талаптары белгілі бір бағалау объектісі үшін тұжырымдалады және орындалады - аппараттық-бағдарламалық өнім немесе ақпараттық жүйе.
«Жалпы критерийлер» іс жүзінде қолданылатын нормативтік құжаттардың екі негізгі түрін қалыптастыруға ықпал етеді - бұл қорғаныс профилі және қауіпсіздік тасырмасы.
Қорғаныс профилі - бұл белгілі бір өнімдермен және/немесенақты типті жүйелерге қойылатын талаптар жиынтығы.
Қауіпсіздік тапсырмасы белгілі бір конструкцияға қойылатын талаптар жиынтығын қамтиды, оларды іске асыру қауіпсіздік тапсырмаларың шешеді.
Криптографияның қауіпсіздік архитектурасында алатын орнын және криптографиялық бөлімдерге қойылатын талаптарды түсіну үшін (Криптографиялық модульдері үшін қауіпсіздік талаптары) АҚШ федералдық стандарты FIPS 140-2 (Security Requirements for Cryptographic Modules) танысу ұсынылады. Ол ұйымдастырушы функцияны орындайды, криптографиялық модульдін сыртқы интерфейсін, модульдерге қойлатын жалпы талаптар сипаттайды. Осындай стандарттың бар болуы қауіпсіздік қызметтерді және қауіпсіздік профильдерді құру жұмысын жеңілдетеді.
Криптография қауіпсіздік қызметтерін жүзеге асыру құралы ретінде екі жақты: алгоритмдік және интерфейстік. Біз интерфейстің аспектісіне ғана қызығушылық танытамыз, сондықтан FIPS 140-2 стандартымен қатар, Интернет-қоғамдастықта ұсынылған «Жалпы қауіпсіздікті қамтамасыз ету қызметтік бағдарлама интерфейсі (GSS-API)» техникалық ерекшелігін қарастырамыз.
GSS-API қауіпсіздік интерфейсі клиент / сервер архитектурасында орнатылған бағдарламалық жасақтама компоненттерінің арасындағы байланысты қорғау үшін жасалған. Бұл өзара байланысқан серіктестердің өзара аутентификациясы үшін жағдайлар жасайды, жіберілген хабарлардың тұтастығын бақылайды және олардың құпиялылық кепілі ретінде қызмет етеді. GSS-API қауіпсіздік интерфейсін пайдаланушылары болып байланыс хаттамалары (әдетте қолданбалы деңгейдің) немесе деректерді дербес жүзеге асыратын басқа бағдарламалық жүйелер.
IPsec [IPsec] желі деңгейінде құпиялылық пен тұтастығын қамтамасыз ету үшін құралдардың толық жиынтығын сипаттайтын іргелі құнды техникалық спецификация болып табылады. IPsec негізіндегі жоғары деңгейден бастап қолданбалы деңгейіне дейін хаттамалардың қорғау механизмдері, сонымен бірге виртуалды жеке желілері құрылады.
Ақпараттық қауіпсіздікті қамтамасыз ету - заңнамалық, әкімшілік, процедуралық және бағдарламалық-техникалық деңгейде үйлестірілген әрекеттерді талап ететін күрделі мәселе.
Әкімшілік деңгейдегі негізгі құжатты - ұйымның қауіпсіздік саясаты құрылып және іске асырылған кезде Интернет-қоғамдастығының ұсыныстарын «Кәсіпорынның ақпараттық қауіпсіздік жөніндегі нұсқаулығы» (Site Security Handbook) пайдалана аласыз. Мұнда қауіпсіздік саясаты мен процедураларын қалыптастырудың практикалық аспектілерін айқындайды, әкімшілік және іс жүргізу деңгейлерінің негізгі ұғымдарын түсіндіреді, өткізілуге қажет іс-әрекеттерге уәждеме беріледі, тәуекелдерді талдау мәселелеріне, құқық бұзушылықты жауап беруге, ақпараттық қауіпсіздік қажет деңгейге келтіру әрекеттеріне қөңіл бөлінген.
Корпоративтік ақпараттық жүйелерді дамыту немесе қайта құру кезінде
«Интернет-провайдерлерді қалай таңдауға болады» деген ұсыныс (Site Security Handbook Addendum for ISPs) пайдалы болады. Ең алдымен, оның ережелерін ұйымдастырушылық және архитектуралық қауіпсіздігін қалыптастыру процесінде қолдау керек, онда процедуралық және бағдарламалық-техникалық деңгейлердің шаралары сипатталған.
Әкімшілік және процедуралық деңгейлерін реттеуші ретінде ақпараттық қауіпсіздік режимін практикалық тұрғызу және жүргізу үшін BS 7799
«Ақпараттық қауіпсіздікті басқару. Тәжірибелік ережелер» (Code of practice for information security management) британиялық стандарты пайдалы, яғни оның екінші бөлімі BS 7799-2:2002 «Ақпараттық қауіпсіздікті басқару жүйелері - пайдалану нұсқауларымен спецификация» (Information security management systems- Specification with guidance for use).
Қауіпсіздік саясаты, қорғауды ұйымдастырудың жалпы қағидаттары, ресурстарды топтастыру және басқару, қызметкерлердің қауіпсіздігі, физикалық қауіпсіздік, жүйе мен желіні басқару қағидаттары, қол жеткізуді бақылау, ақпараттық жүйелерді құру және сүйемелдеу, сондай-ақ ұйымның үздіксіз жұмыс жасауын жоспарлау сияқты түсініктер мен рәсімдер келтірілген.




  1. Достарыңызбен бөлісу:
1   2   3   4   5   6   7   8   9   10   ...   16




©engime.org 2024
әкімшілігінің қараңыз

    Басты бет