2.1. Общие концепции обеспечения иб

Большинство концептуальных понятий и определений обеспечения ИБ необходимы для описания самих СЛБ и раскрывают функции (функциональ­ность) этих служб. На рис. 2.2 представлены основные концептуальные компо­ненты, понятия и определения обеспечения ИБ.

Рис. 2.2. Концепции обеспечения информационной безопасности

2.1.1. Информация, необходимая для обеспечения иб

Информация, необходимая для обеспечения ИБ, представляет собой вспо­могательную информацию (ВИ), которая востребована СЛБ и используется ею. К ВИ относятся:

• правила политики обеспечения безопасности (ПЛБ);

• информация, необходимая для функционирования определенных СЛБ, на­пример, ВИ для процедуры аутентификации (аутентификационная ин­формация, authentication information) и ВИ для процедуры управления доступом (access control information);

• информация, необходимая для реализации СПБ, например, метки безопас­ности (security labels), криптографические проверочные суммы (КПС), сертификаты безопасности (СЕРТ|ИБ) и маркеры безопасности (security tokens).

2.1.2. Сетевой сегмент безопасности

Сетевой сегмент безопасности (ССБ) представляет собой совокупность информационных (информационно-технологических) элементов, определяемых ПЛБ и находящимися под управлением единого центра безопасности (ЦБ), ко­торый осуществляет целенаправленную деятельность по обеспечению ИБ. Функциональная деятельность ССБ основана на привлечении одного или не­скольких элементов из самого ССБ и, возможно, элементов других ССБ.

Примерами такой деятельности являются:

• обеспечение доступа к элементам;

• установление или использование соединений N-го уровня ЭМВОС или Ин­тернет-архитектуры;

• процедуры, относящиеся к специфическим функциям обеспечения и управ­ления;

• процедуры обеспечения неотказуемости (ПРНТ) с привлечением нота­риуса.

Любой процесс может быть связан с обеспечением ИБ даже тогда, ко­гда он на текущий момент времени не является объектом тех СПБ, которые могли бы его «заставить» выполнять требования любой ПЛБ, хоть как-то касающейся их применения. Соответственно, процессы, выполнение которых может быть прервано (или вообще прекращено) из-за любых перестановок групп элементов, могут сами зависеть от процедур обеспечения ИБ (ПРБ), а в дальнейшем могут стать контролируемыми объектами со стороны СПБ.

В открытых системах элементами ССБ являются логические или физиче­ские элементы, например, существующие открытые системы, прикладные про­цессы, объекты N-го уровня ЭМВОС или Интернет-архитектуры, элементы протокольных данных N-го уровня ЭМВОС или Интернет-архитектуры, ретран­сляторы и пользователи существующих открытых систем. Очень часто возни­кает необходимость отделения пользователей от других элементов в ССБ. В та­ких случаях для обозначения всех элементов, не относящих к пользователям, используется термин объекты (элементы) данных (data objects).

2.1.2.1. Плб и правила плб

ПЛБ отражает требования к обеспечению ИБ в ССБ в целом. Например, ПЛБ может определять требования, которые устанавливаются, либо для всех участников ССБ при функционировании в определённых условиях, либо для всей информации, циркулирующей в ССБ. В итоге, ПЛБ будет применяться (реализовываться) СЛБ, которые, в свою очередь, будут определены в соответ­ствие с требованиями ПЛБ, а СПБ будут выбираться, исходя из применяемых СЛБ. Решение относительно применения того или иного СПБ будет прини­маться, исходя из последствий реализации возможных угроз и объема ресурсов, необходимых для парирования таких угроз.

ПЛБ формально представляется как совокупность наиболее общих прин­ципов, зафиксированных на естественном (читабельном) языке. Эти принципы отражают требования по обеспечению ИБ соответствующей организации или участников ССБ. Перед тем, как эти требования могут быть отражены в реаль­ных открытых системах, ПЛБ должна быть скорректирована, причём так, чтобы из неё можно было выделить набор правил ПЛБ. Представление таких требова­ний в форме правил ПЛБ является чисто технической задачей. ПЛБ наклады­вает ограничения на деятельность элементов, являющихся её объектами, либо путём требования точного выполнения определённого действия, либо путём наложения запрета на выполнение определённых действий. Кроме того, ПЛБ может предоставлять элементам право на выполнение (осуществление) некото­рой части определённых действий.

Правила ПЛБ для ССБ бывают дух типов, те которые затрагивают во­просы функционирования в рамках одного ССБ, и те, которые затрагивают во­просы функционального взаимодействия двух и более ССБ. Правила ПЛБ вто­рого типа называются правилами безопасного взаимодействия (ПБВ). ПЛБ, кроме того, может устанавливать правила взаимодействия между всеми ССБ, а также — правила взаимодействия определённой группы ССБ.

Правила ПЛБ для ССБ должны всегда быть актуальными, так как изменя­ется сама система, могут изменяться её функциональные аспекты и соответст­венно ПЛБ ССБ тоже может корректироваться.