Политика безопасности

Основополагающие документы содержат определения многих ключевых понятий связанных с информационной безопасностью. Так, например, важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на следующие вопросы [29]:

• Какую информацию защищать?
• Какого рода атаки на безопасность системы могут быть предприняты?
• Какие средства использовать для защиты каждого вида информации?

В дальнейшем мы будем оперировать понятиями субъект и объект безопасности. Субъект безопасности - активная, а объект - пассивная системные составляющие, к которым применяется политика безопасности. Примерами субъектов могут служить пользователи и группы пользователей, а объектов - файлы, системные таблицы, принтер и т.п. Политика безопасности состоит в присвоении субъектам и объектам идентификаторов и фиксации набора правил, используемых для определения, имеет ли данный субъект авторизацию, достаточную для получения к данному объекту данного типа доступа.

Формируя политику безопасности необходимо учитывать несколько базовых принципов. Так, Saltzer и Schroeder (1975) на основе своего опыта работы с MULTICS сформулировали следующие принципы разработки ОС:

• Проектирование системы должно быть открытым. Hарушитель и так все знает. (криптографические алгоритмы открыты)
• Не должно быть доступа по умолчанию. Ошибки с отклонением легитимного доступа могут быть выявлены скорее, чем ошибки, там, где разрешен неавторизованный доступ
• В третьих. Тщательно проверять текущее авторство. Так, многие системе проверяют привилегии доступа при открытии файла и не делают этого после. В результате пользователь может открыть файл и держать его открытым в течение недели и иметь к нему доступ, хотя владелец уже сменил защиту.
• Давать каждому процессу минимум возможных привилегий. ...
• Защитные механизмы должны быть просты, постоянны и встроены в нижний слой системы, это не аддитивные добавки. (Известно много неудачных попыток улучшения защиты слабо приспособленной для этого ОС MS-DOS).
• Физиологическая приемлемость. Если пользователь видит, что защита требует слишком много усилий, он от нее откажется.

Можно добавить еще ряд, например [30]:

• Принцип комплексного подхода, баланс надежности защиты всех уровней
• Принцип единого контрольно-пропускного пункта
• Принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение
• И ряд других.

Приведенные соображения показывают необходимость продумывания и встраивания защитных механизмов на ранних стадиях проектирования системы.