Как заставить работать неработающие стандарты? Методология управления безопас...Infor-media
Совместный доклад Баскакова А. В. (АРСИБ), Алёшина В. Д., Ёрхова Е. В. на тему "Как заставить работать неработающие стандарты? Методология управления безопасностью бизнеса" на Ciso Forum 2014
Как заставить работать неработающие стандарты? Методология управления безопас...Infor-media
Совместный доклад Баскакова А. В. (АРСИБ), Алёшина В. Д., Ёрхова Е. В. на тему "Как заставить работать неработающие стандарты? Методология управления безопасностью бизнеса" на Ciso Forum 2014
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16DialogueScience
современными тенденциями в области защиты информации от внутренних угроз, комплексным подходом к защите от утечки конфиденциальной информации, а также с ведущими разработками в этой области.
Information rights management (IRM). Технологии управления правами доступа к ...КРОК
Семинар Центра компетенции «Управление идентификационными данными и доступом к информации».
Подробнее о мероприятии http://www.croc.ru/action/detail/1639/
Презентация Евгения Чугунова, эксперта группы системных инженеров компании КРОК
Why do we need ORM? The difference between ActiveRecord and DataMapper patterns. The practical appliance of Iterative deepening depth-first search algo for topological sort of ORM relations.
Review of Cycle ORM and it features.
Задачи бизнеса и эволюция DLP: какова следующая ступень?InfoWatch
Многие рассматривают DLP просто как очередное средство защиты информации. Модное, интересное, а для некоторых компаний уже и обязательное. При этом упускают саму суть и не до конца осознают все возможности и перспективы современных решений.
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...КРОК
Семинар «Совершенно секретно: эффективные методы для предотвращения утечки».
Подробнее о мероприятии http://www.croc.ru/action/detail/2711/
Презентация Андрея Заикина, технического менеджера, КРОК
3. 3
Данные и хранилища
● Данные и система организации данных
● Картотека, файловая система, индекс
– Политика доступа
– Модель доступа
– Права доступа
4. 4
Организация доступа
● По спискам
– Прямое сопоставление сущность сущность
права
– Дискреционный доступ (DAC)
● По правилам
– Ограничение прав правилами взаимодействия
– Мандатный доступ (MAC)
● По ролям
– Иерархическое совмещение
– Ролевой доступ (RBAC)
5. 5
DAC
● Основная конструкция — полная таблица
прав
● Наименования — объекты и субъекты
● В ячейках — права взаимодействия
● У всех объектов - владелец
● Суперпользователь
● Передача прав
● ACL
6. 6
MAC
● Все объекты и субъекты имеют свои метки
доступа
● При доступе метки проверяются на
«совместимость»
● Права(метки) определяются
администрацией
● Пользователи права(метки) поменять не
могут
● Каждому объекту при создании
присваивается метка
9. 9
RBAC
● Роли имеют разрешения
● Субъекты имеют роли
● Может реализовывать и DAC, и MAC
10. 10
Модели доступа
● Расширяют концепции
● Реализуют политику безопасности для
конкретной системы
● Используют концепции для соответствия
требованиям:
– Доступности
– Целостности
– Конфиденциальности
– Подотчетности
11. 11
Модель Белла-ЛаПадулы
● Одна из первых моделей
● Реализует LBAC (MAC)
● Основной принцип — информация не
распространяется вниз по уровням
секретности
– Чтение сверху запрещено (NRU, simple
security)
– Запись вниз запрещена (NWD, *-property)
● Является конечным автоматом
12. 12
Недостатки БЛП и Модель
Биба
● Запрет изменения уровня субъектов
● Не затрагивает целостность
● Модель Биба
– Добавляет целостность к БЛП
– Целостность может только понижаться или
оставаться неизменной
13. 13
Модель Кларка-Вильсона
● Разделяет процедуры проверки целостности
(IVP) и изменений (TP)
● Данные:
– CDI — упорядоченные данные
– UDI — неупорядоченные данные
● TP: CDI, UDI → CDI
● IVP: проверяют CDI на целостность
● TP: проверяются, ставятся в соотвествие
CDI, UDI и пользователям, пишутся в лог,
аутентифицируются при выполнении
16. 16
Функциональные
требования
● FAU - аудит/протоколирование;
● FIA - идентификация/аутентификация;
● FRU - использование ресурсов
● FCO - неотказуемость
● FPR - приватность
● FDP - защита данных пользователя;
● FPT - защита функций безопасности
● FCS - криптографическая поддержка;
● FMT - управление безопасностью
● FTA - управление сеансами работы пользователей
● FTP - доверенный маршрут/канал
17. 17
FDP (Защита данных
пользователя)
● Семейства:
– Политика управления доступом (FDP_ACC)
– Функции управления доступом (FDP_ACF)
– Политика управления информационными
потоками (FDP_IFC)
– Функции управления информационными
потоками (FDP_IFF)
18. 18
FDP (Защита данных
пользователя) (2)
● Семейства:
– Аутентификация данных ((FDP_DAU)
– Импорт/экспорт данных из/за пределы
действия ФБО (FDP_ITC, FDP_ETC)
– Передача в пределах ОО (FDP_ITT)
– Целостность данных (FDP_SDI)
– Защита конфиденциальности/целостности
при передаче между ФБО (FDP_UCT,
FDP_UIT)
– Защита остаточной информации(FDP_RIP)
– Откат (FDP_ROL)
21. 21
Порядок работы с классом
● FDP_ACC | FDP_IFC
● FDP_ACF | FDP_IFF
● FDP_ROL
● FDP_RIP
● FDP_ITC, FDP_ETC
● FDP_ITT
● FDP_SDI
● FDP_UCT, FDP_UIT
22. 22
FDP_ACC | FDP_IFC
● Имя политики
● Область действия политики:
– Субьекты
– Объекты (информация)
– Операции субъектов на объектах
● .2 — на все операции
23. 23
FDP_ACF
1.Управление на основании атрибутов
безопасности
– ПФБ из FDP_ACC
– Используемые атрибуты безопасности
– Правила управления доступом
– Исключения-разрешения
– Исключения-отказы
24. 24
FDP_IFF
● Простые/Иерархические атрибуты
безопасности
– Политика из FDP_IFC
– Число и тип атрибутов безопасности для
правил
– Для каждой операции — соотношение
атрибутов безопасности субъектов и
информации
– Дополнительные соотношения
– Исключения-разрешения
– Исключения-запрещения
26. 26
FDP_ROL
1. Базовый откат
1. ПФБ из FDP_ACC, FDP_IFC
2. Список операций для отката
3. Список объектов для отката
4. Ограничения отката
2. Расширенный откат — для всех операций
27. 27
FDP_RIP
1. Ограниченная защита остаточной инфы
1.Список объектов
2.Список условий (распределение,
освобождение ресурса)
2.Полная защита остаточной инфы — для всех
объектов
28. 28
FDP_ITC, FDP_ETC
1.Импорт/экспорт данных без атрибутов
безопасности
1. ПФБ из FDP_ACC, FDP_IFC
2. Правила управления импортом/экспортом
2.Импорт/экспорт данных с атрибутами
безопасности
29. 29
FDP_ITT
1. Базовая защита внутренней передачи
1. ПФБ из FDP_ACC, FDP_IFC
2. Типы ошибок/атак
2. Разделение передачи по атрибутам
+ Атрибуты безопасности, при которых
данные разделяются
3. Мониторинг целостности
1. ПФБ из FDP_ACC, FDP_IFC
2. Действия при ошибке целостности
4. Мониторинг целостности по атрибутам
30. 30
FDP_SDI
1. Мониторинг целостности хранимых данных
1. Ошибки, от которых защищаемся
2. Атрибуты данных для мониторинга
2. Мониторинг целостности хранимых данных
и предпринимаемые действия
+ Действия при обнаружении ошибки
32. 32
FDP_UIT
1. Целостность передаваемых данных
1. ПФБ из FDP_ACC, FDP_IFC
2. Отправление/Получение
3. Защита от списка ошибок
4. Обнаружение списка ошибок
2. Восстановление переданных данных
источником/получателем
1. ПФБ из FDP_ACC, FDP_IFC
2. Список ошибок, допускающих
восстановление
33. 33
FDP_DAU
1. Базовая аутентификация данных
1.Список объектов или типов инфы, которые
удостоверяем
2.Список субъектов, могущих верифицировать
2.Аутентификация с идентификацией гаранта
+ Идентификатор пользователя, задавшего
свидетельство