Политика безопасности

Политика безопасности – набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в системе.

Политика безопасности представляет собой некоторый набор требований, прошедших соответствующую проверку, реализуемых при помощи организационных мер и программно-технических средств и определяющих архитектуру системы защиты. Ее реализация для конкретной АСОИ осуществляется при помощи средств управления механизмами защиты.

Для конкретной организации политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, расположения организации т. д.

Под «системой» мы будем понимать некоторую совокупность субъектов и объектов и их отношений между ними.

Субъект – активный компонент системы, который может явиться причиной потока информации от объекта к объекту или изменения состояния системы.

Объект – пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту подразумевает доступ к содержащейся в нем информации.

Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название этого способа, как правило, определяет название политики безопасности.

Для изучения свойств способа управления доступом создается его формальное описание – математическая модель. При этом модель должна отражать состояния всей системы, ее переходы из одного состояния в другое, а также учитывать, какие состояния и переходы можно считать безопасными в смысле данного управления.

В настоящее время лучше всего изучены два вида политики безопасности – избирательная и полномочная – основанные, соответственно, на избирательном и полномочном способах управления доступом.

Кроме того, существует набор требований, усиливающий действие этих политик и предназначенный для управления информационными потоками в системе.

Необходимо отметить, что средства защиты, предназначенные для реализации какого-либо из названных выше способов управления доступом, только предоставляют возможности надежного управления доступом или информационными потоками. Определение прав доступа субъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутов объектов, присвоение меток критичности и т. д.) входит в компетенцию администрации системы.