Политика безопасности
Технология защиты информационных систем начала развиваться относительно недавно, но уже сегодня существует значительное число теоретических моделей, позволяющих описывать различные аспекты безопасности и обеспечивать средства защиты с формальной стороны.
Под политикой безопасности понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопасности системы. Формальное выражение политики безопасности называют моделью безопасности.
Основная цель создания политики безопасности - это определение условий, которым должно подчиняться поведение системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений.
Кроме того, модели безопасности позволяют решить еще целый ряд задач, возникающих в ходе проектирования, разработки и сертификации защищенных систем, поэтому их используют не только теоретики информационной безопасности, но и другие категории специалистов, участвующих в процессе создания и эксплуатации защищенных информационных систем.
Модели безопасности обеспечивают системотехнический подход, включающий решение следующих задач:
выбор и обоснование базовых принципов архитектуры защищенных систем, определяющих механизмы реализации средств и методов защиты информации;
подтверждение свойства защищенности разрабатываемых систем путем формального доказательства соблюдения политики безопасности;
составление формальной спецификации политики безопасности как важнейшей составной части организационного и документационного обеспечения разрабатываемых защищенных систем.
Производители защищенных информационных систем используют модели безопасности в следующих случаях:
при составлении формальной спецификации политики безопасности разрабатываемой системы;
при выборе и обосновании базовых принципов архитектуры защищенной системы, определяющих механизмы реализации средств защиты;
в процессе анализа безопасности системы, при этом модель используется в качестве эталонной модели;
при подтверждении свойств разрабатываемой системы путем формального доказательства соблюдения политики безопасности.
Потребители путем составления формальных моделей безопасности получают возможность довести до сведения производителей свои требования, а также оценить соответствие защищенных систем своим потребностям.
Эксперты в ходе анализа адекватности реализации политики безопасности в защищенных системах используют модели безопасности в качестве эталонов.
По сути, модели безопасности являются связующим элементом между производителями, потребителями и экспертами.
