Студопедия
Новини освіти і науки:
Контакти
 


Тлумачний словник






Аудит інформаційних систем.

Держави і організації вживають низку заходів з розроблення систем захисту інформації, що вимагають істотних інтелектуальних зусиль і матеріальних витрат. У США ці витрати досягають 10 % від обсягу виробництва обчислювальної техніки. Організації не шкодують засобів на захист комерційної інформації, оскільки сьогодні у світі, власне кажучи, вже відбувається інтелектуальна війна в сфері інформації, від якої застерігав експерт. Хто має необхідний обсяг сучасної інформації, передової технології, той конкурентоспроможний на ринку. Витрати на фінансування робіт із захисту ІС несе як приватний сектор, так і держава (у співвідношенні, що дорівнює 70 % і 30 %). Щоб оцінити таку надійність, установлюються відповідні критерії безпеки. Вони звичайно розробляються на урядовому рівні у вигляді спеціальних нормативних документів.

У США, наприклад, з цією метою виданий збірник нормативних документів (відомий під назвою “райдужна серія”), який розроблений в Національному центрі комп’ютерної безпеки Міністерства оборони США.З цієї серії найбільш відомі “Оранжева книга” для КІС і “Червона книга” для комп’ютерних мереж. Початкова назва “Оранжевої книги” – “Критерії оцінки безпеки комп’ютерних систем (TCSEC)”. Вона введена як урядовий стандарт в США та містить основні вимоги і специфікації класифікацій оцінювання рівня безпеки КІС (табл. 10.4).

Таблиця 10.4

Класи безпеки ІС

Рівень Клас Характеристика ІС
Вищий клас А1: верифікація ІС задовольняють вимогам класу В3 та додатково для перевірки специфікацій застосовуються методи формальної верифікації – аналізу специфікацій системи щодо неповноти або суперечності, що може привести до появи проривів у безпеці
Проміжний клас В1: захист мітками ІС з цілком контрольованим доступом, в якій всі суб’єкти і об’єкти забезпечуються мітками (рівнями) конфіденційності і рішення на доступу суб’єкта до об’єкта приймається за заздалегідь визначеним правилом
В2: структурований захист Додатково до вимог класу В1 вимагається наявність добре визначеної і задокументованої формальної моделі політики безпеки, яка потребує дії вибіркового і повноважного керування доступом до всіх об’єктів системи. Вводяться вимоги керування інформаційними потоками відповідно до політики безпеки.
В3: сфери безпеки. У ІС визначаються сфери безпеки, які будуються за ієрархічною структурою і захищені одна від одної за допомогою спеціальних механізмів. Усі взаємодії суб’єктів з об’єктами жорстко контролюються спеціальним монітором. Система контролю сповіщає адміністратора безпеки і користувача про порушення безпеки
Нижчий клас С1: вибірковий захист ІС, що задовольняють вимогам вибіркового керування доступом, забезпечуючи розділення користувачів і даних. Для кожного об’єкта і суб’єкта задається перелік допустимих типів доступу (читання, запис, друкування тощо). Обов’язкова ідентифікація і аутентифікація суб’єкта доступу, а також підтримка обладнання
С2: керований доступ ІС типу С1, в яких додаються вимоги унікальної ідентифікації суб’єкта доступу, захисту з умовчання і реєстрації подій. Унікальна ідентифікація означає, що будь-який користувач системи повинен мати унікальне ім’я. Захист за замовчуванням передбачає призначення повноважень доступу користувачам за принципом “все, що не дозволено, заборонено”. У цих ІС обов’язкове ведення системного журналу, в якому відмічаються події, пов’язані з безпекою системи
Клас незадовільного стану систем D ІС, що не пройшли випробування на вищий рівень захищеності, а також ті, які використовують для захисту лише окремі заходи або функції (підсистеми) безпеки

 

Відповідно до цих стандартів ІС вважається захищеною, якщо всі операції в системі управління організацією виконуються згідно з строго визначеними правилами, що забезпечує безпосередній захист об’єктів, ресурсів і операцій. Аналіз класів захищеності показує, що чим він вищий, тим жорсткіші вимоги висуваються до ІС.


Читайте також:

  1. А/. Форми здійснення народовладдя та види виборчих систем.
  2. Адреса аудитора.
  3. Алгоритм проведення внутрішнього аудиту.
  4. Аналіз, звітність і аудит у сфері праці
  5. Аналітичні пройцедури в комп,ютерному аудиті
  6. Аналітичні процедури внутрішнього аудиту та їх класифікація.
  7. Аспекти незалежності аудиторської професії
  8. Аспекти незалежності аудиторської професії.
  9. Атестація аудиторів та порядок скасування атестата
  10. Аудит банківських та кредитних операцій
  11. Аудит валових витрат і валового доходу підприємства
  12. Аудит використання трудових ресурсів і розрахунків з оплати праці




Переглядів: 585

<== попередня сторінка | наступна сторінка ==>
Основні вигоди мультисервісних Web-порталів | Питання безпеки та контролю інформаційних систем. Контроль введення, обробки та збереження інформації.

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

 

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.002 сек.