Стандарты информационной безопасности

       

Общие предположения безопасности


Предположения безопасности - это часть описания среды, в которой функционирует объект оценки. Они выделяют объект оценки из общего контекста и задают границы рассмотрения. При проведении оценки истинность предположений принимается без доказательства.

Перечислим общие предположения:

  • использование сервиса безопасности предусматривает наличие уполномоченного пользователя, который выполняет обязанности администратора, обладает достаточной квалификацией, отвечает за нормальное функционирование системы, осуществляет сопровождение сервиса и действует в соответствии с положениями политики безопасности;

  • предусматривается возможность удаленного администрирования сервиса;
  • политика управления данными аутентификации проводится в жизнь, и пользователи меняют эти данные должным образом и с требуемой регулярностью;
  • после лишения пользователя прав доступа к сервису (например, в связи со сменой работы) его данные аутентификации и привилегии ликвидируются;
  • предусматривается резервное копирование информации, ассоциированной с сервисом (такой, например, как значения конфигурационных параметров);
  • аппаратно-программная среда сервиса безопасности является минимально достаточной для нормального функционирования (в частности, обычно отсутствуют средства разработки, а другие возможности модификации среды сведены к минимуму);
  • предполагается физическая защищенность вычислительной установки, поддерживающей сервис безопасности;
  • не допускается возможность обхода узлов сети, на которых функционирует сервисы безопасности;
  • предполагается, что вредоносный код не может иметь подпись доверенной стороны;
  • предполагается, что пользователи должным образом сообщают о случаях нарушения информационной безопасности;
  • предполагается, что пользователи и обслуживающий персонал способны противостоять методам морально-психологического воздействия.



Содержание раздела