SlideShare a Scribd company logo

Организация защищенного доступа к данным

Ivan Ignatyev
Ivan Ignatyev
1 of 33
Download to read offline
1 Лекция №13 Доступ к данным
2 Рабочие данные ● Создание ● Хранение ● Обработка ● Уничтожение ● Восстановление ● Как администрировать?
3 Данные и хранилища ● Данные и система организации данных ● Картотека, файловая система, индекс – Политика доступа – Модель доступа – Права доступа
4 Организация доступа ● По спискам – Прямое сопоставление сущность сущность права – Дискреционный доступ (DAC) ● По правилам – Ограничение прав правилами взаимодействия – Мандатный доступ (MAC) ● По ролям – Иерархическое совмещение – Ролевой доступ (RBAC)
5 DAC ● Основная конструкция — полная таблица прав ● Наименования — объекты и субъекты ● В ячейках — права взаимодействия ● У всех объектов - владелец ● Суперпользователь ● Передача прав ● ACL
6 MAC ● Все объекты и субъекты имеют свои метки доступа ● При доступе метки проверяются на «совместимость» ● Права(метки) определяются администрацией ● Пользователи права(метки) поменять не могут ● Каждому объекту при создании присваивается метка
7 LBAC ● Подмножество MAC ● Уровни доступа у субъектов ● Уровни доступа у объектов ● Совпадение - доступ
8 LBAC ● Подмножество MAC ● Уровни доступа у субъектов ● Уровни доступа у объектов ● Совпадение - доступ
9 RBAC ● Роли имеют разрешения ● Субъекты имеют роли ● Может реализовывать и DAC, и MAC
10 Модели доступа ● Расширяют концепции ● Реализуют политику безопасности для конкретной системы ● Используют концепции для соответствия требованиям: – Доступности – Целостности – Конфиденциальности – Подотчетности
11 Модель Белла-ЛаПадулы ● Одна из первых моделей ● Реализует LBAC (MAC) ● Основной принцип — информация не распространяется вниз по уровням секретности – Чтение сверху запрещено (NRU, simple security) – Запись вниз запрещена (NWD, *-property) ● Является конечным автоматом
12 Недостатки БЛП и Модель Биба ● Запрет изменения уровня субъектов ● Не затрагивает целостность ● Модель Биба – Добавляет целостность к БЛП – Целостность может только понижаться или оставаться неизменной
13 Модель Кларка-Вильсона ● Разделяет процедуры проверки целостности (IVP) и изменений (TP) ● Данные: – CDI — упорядоченные данные – UDI — неупорядоченные данные ● TP: CDI, UDI → CDI ● IVP: проверяют CDI на целостность ● TP: проверяются, ставятся в соотвествие CDI, UDI и пользователям, пишутся в лог, аутентифицируются при выполнении
14 Модель Take-Grant ● Реализует DAC ● Действия: – Take – Grant – Create – Remove ● Позволяет реализовать систему для DAC
15 Классы защищенности СВТ
16 Функциональные требования ● FAU - аудит/протоколирование; ● FIA - идентификация/аутентификация; ● FRU - использование ресурсов ● FCO - неотказуемость ● FPR - приватность ● FDP - защита данных пользователя; ● FPT - защита функций безопасности ● FCS - криптографическая поддержка; ● FMT - управление безопасностью ● FTA - управление сеансами работы пользователей ● FTP - доверенный маршрут/канал
17 FDP (Защита данных пользователя) ● Семейства: – Политика управления доступом (FDP_ACC) – Функции управления доступом (FDP_ACF) – Политика управления информационными потоками (FDP_IFC) – Функции управления информационными потоками (FDP_IFF)
18 FDP (Защита данных пользователя) (2) ● Семейства: – Аутентификация данных ((FDP_DAU) – Импорт/экспорт данных из/за пределы действия ФБО (FDP_ITC, FDP_ETC) – Передача в пределах ОО (FDP_ITT) – Целостность данных (FDP_SDI) – Защита конфиденциальности/целостности при передаче между ФБО (FDP_UCT, FDP_UIT) – Защита остаточной информации(FDP_RIP) – Откат (FDP_ROL)
19 FDP — Защита данных пользователя
20 FDP — Защита данных пользователя (2)
21 Порядок работы с классом ● FDP_ACC | FDP_IFC ● FDP_ACF | FDP_IFF ● FDP_ROL ● FDP_RIP ● FDP_ITC, FDP_ETC ● FDP_ITT ● FDP_SDI ● FDP_UCT, FDP_UIT
22 FDP_ACC | FDP_IFC ● Имя политики ● Область действия политики: – Субьекты – Объекты (информация) – Операции субъектов на объектах ● .2 — на все операции
23 FDP_ACF 1.Управление на основании атрибутов безопасности – ПФБ из FDP_ACC – Используемые атрибуты безопасности – Правила управления доступом – Исключения-разрешения – Исключения-отказы
24 FDP_IFF ● Простые/Иерархические атрибуты безопасности – Политика из FDP_IFC – Число и тип атрибутов безопасности для правил – Для каждой операции — соотношение атрибутов безопасности субъектов и информации – Дополнительные соотношения – Исключения-разрешения – Исключения-запрещения
25 FDP_IFF (2) ● Ограничение/частичное устранение/мониторинг/полное утстранение неразрешенных информационных потоков – Политика из FDP_IFС – Типы информационных потоков, Максимальная интенсивность – Типы информационных потоков, устранение – Типы информационных потоков, мониторинг, максимальная интенсивность
26 FDP_ROL 1. Базовый откат 1. ПФБ из FDP_ACC, FDP_IFC 2. Список операций для отката 3. Список объектов для отката 4. Ограничения отката 2. Расширенный откат — для всех операций
27 FDP_RIP 1. Ограниченная защита остаточной инфы 1.Список объектов 2.Список условий (распределение, освобождение ресурса) 2.Полная защита остаточной инфы — для всех объектов
28 FDP_ITC, FDP_ETC 1.Импорт/экспорт данных без атрибутов безопасности 1. ПФБ из FDP_ACC, FDP_IFC 2. Правила управления импортом/экспортом 2.Импорт/экспорт данных с атрибутами безопасности
29 FDP_ITT 1. Базовая защита внутренней передачи 1. ПФБ из FDP_ACC, FDP_IFC 2. Типы ошибок/атак 2. Разделение передачи по атрибутам + Атрибуты безопасности, при которых данные разделяются 3. Мониторинг целостности 1. ПФБ из FDP_ACC, FDP_IFC 2. Действия при ошибке целостности 4. Мониторинг целостности по атрибутам
30 FDP_SDI 1. Мониторинг целостности хранимых данных 1. Ошибки, от которых защищаемся 2. Атрибуты данных для мониторинга 2. Мониторинг целостности хранимых данных и предпринимаемые действия + Действия при обнаружении ошибки
31 FDP_UCT 1. Базовая конфиденциальность обмена данными 1. ПФБ из FDP_ACC, FDP_IFC 2. Отправление/получение 3. Способ, защищающий от раскрытия
32 FDP_UIT 1. Целостность передаваемых данных 1. ПФБ из FDP_ACC, FDP_IFC 2. Отправление/Получение 3. Защита от списка ошибок 4. Обнаружение списка ошибок 2. Восстановление переданных данных источником/получателем 1. ПФБ из FDP_ACC, FDP_IFC 2. Список ошибок, допускающих восстановление
33 FDP_DAU 1. Базовая аутентификация данных 1.Список объектов или типов инфы, которые удостоверяем 2.Список субъектов, могущих верифицировать 2.Аутентификация с идентификацией гаранта + Идентификатор пользователя, задавшего свидетельство

Recommended

Транзакции и блокировки в MySql. Теория и практика
Транзакции и блокировки в MySql. Теория и практикаТранзакции и блокировки в MySql. Теория и практика
Транзакции и блокировки в MySql. Теория и практикаNikolay Gondin
 
Управление безопасностью
Управление безопасностьюУправление безопасностью
Управление безопасностьюIvan Ignatyev
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Denis Kolegov
 
Защита от отказов
Защита от отказовЗащита от отказов
Защита от отказовIvan Ignatyev
 
Вводная лекция по Защите Информации
Вводная лекция по Защите ИнформацииВводная лекция по Защите Информации
Вводная лекция по Защите Информации
Ivan Ignatyev
 
Защита информации. Вводная лекция.
Защита информации. Вводная лекция.Защита информации. Вводная лекция.
Защита информации. Вводная лекция.Ivan Ignatyev
 
Защищенные каналы связи
Защищенные каналы связиЗащищенные каналы связи
Защищенные каналы связиIvan Ignatyev
 
Приватность
ПриватностьПриватность
ПриватностьIvan Ignatyev
 

Recommended

Транзакции и блокировки в MySql. Теория и практика
Транзакции и блокировки в MySql. Теория и практикаТранзакции и блокировки в MySql. Теория и практика
Транзакции и блокировки в MySql. Теория и практикаNikolay Gondin
 
Управление безопасностью
Управление безопасностьюУправление безопасностью
Управление безопасностьюIvan Ignatyev
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Denis Kolegov
 
Защита от отказов
Защита от отказовЗащита от отказов
Защита от отказовIvan Ignatyev
 
Вводная лекция по Защите Информации
Вводная лекция по Защите ИнформацииВводная лекция по Защите Информации
Вводная лекция по Защите Информации
Ivan Ignatyev
 
Защита информации. Вводная лекция.
Защита информации. Вводная лекция.Защита информации. Вводная лекция.
Защита информации. Вводная лекция.Ivan Ignatyev
 
Защищенные каналы связи
Защищенные каналы связиЗащищенные каналы связи
Защищенные каналы связиIvan Ignatyev
 
Приватность
ПриватностьПриватность
ПриватностьIvan Ignatyev
 
Игровые методы обучения на кафедре ИКТ
Игровые методы обучения на кафедре ИКТИгровые методы обучения на кафедре ИКТ
Игровые методы обучения на кафедре ИКТ
Ivan Ignatyev
 
Административная информация по практике
Административная информация по практикеАдминистративная информация по практике
Административная информация по практике
Ivan Ignatyev
 
Введение в анализ данных
Введение в анализ данныхВведение в анализ данных
Введение в анализ данныхIvan Ignatyev
 
Защита доверия. Цифровые подписи
Защита доверия. Цифровые подписиЗащита доверия. Цифровые подписи
Защита доверия. Цифровые подписиIvan Ignatyev
 
Стандарт "Общие Критерии": Состав и взгляд на защищаемые объект
Стандарт "Общие Критерии": Состав и взгляд на защищаемые объектСтандарт "Общие Критерии": Состав и взгляд на защищаемые объект
Стандарт "Общие Критерии": Состав и взгляд на защищаемые объектIvan Ignatyev
 
Факторный анализ
Факторный анализФакторный анализ
Факторный анализIvan Ignatyev
 
Алгоритмы кластеризации. ч.3
Алгоритмы кластеризации. ч.3Алгоритмы кластеризации. ч.3
Алгоритмы кластеризации. ч.3Ivan Ignatyev
 
Идентификация, Аутентификация, Авторизация
Идентификация, Аутентификация, АвторизацияИдентификация, Аутентификация, Авторизация
Идентификация, Аутентификация, АвторизацияIvan Ignatyev
 
Алгоритмы кластеризации. ч.2
Алгоритмы кластеризации. ч.2Алгоритмы кластеризации. ч.2
Алгоритмы кластеризации. ч.2Ivan Ignatyev
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 
политика информационной безопасности организации
политика информационной безопасности организацииполитика информационной безопасности организации
политика информационной безопасности организации
trenders
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместеDmitry Evteev
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
cnpo
 
защита информации 10
защита информации 10защита информации 10
защита информации 10
aepetelin
 
профессия системный администратор
профессия системный администраторпрофессия системный администратор
профессия системный администраторBSOSH4
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
cnpo
 
защита информации 9
защита информации 9защита информации 9
защита информации 9
aepetelin
 
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
Expolink
 
Как заставить работать неработающие стандарты? Методология управления безопас...
Как заставить работать неработающие стандарты? Методология управления безопас...Как заставить работать неработающие стандарты? Методология управления безопас...
Как заставить работать неработающие стандарты? Методология управления безопас...
Infor-media
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Positive Hack Days
 
Эффективный контроль административного доступа к АСУ ТП
Эффективный контроль административного доступа к АСУ ТПЭффективный контроль административного доступа к АСУ ТП
Эффективный контроль административного доступа к АСУ ТП
Компания УЦСБ
 

More Related Content

Viewers also liked

Игровые методы обучения на кафедре ИКТ
Игровые методы обучения на кафедре ИКТИгровые методы обучения на кафедре ИКТ
Игровые методы обучения на кафедре ИКТ
Ivan Ignatyev
 
Административная информация по практике
Административная информация по практикеАдминистративная информация по практике
Административная информация по практике
Ivan Ignatyev
 
Введение в анализ данных
Введение в анализ данныхВведение в анализ данных
Введение в анализ данныхIvan Ignatyev
 
Защита доверия. Цифровые подписи
Защита доверия. Цифровые подписиЗащита доверия. Цифровые подписи
Защита доверия. Цифровые подписиIvan Ignatyev
 
Стандарт "Общие Критерии": Состав и взгляд на защищаемые объект
Стандарт "Общие Критерии": Состав и взгляд на защищаемые объектСтандарт "Общие Критерии": Состав и взгляд на защищаемые объект
Стандарт "Общие Критерии": Состав и взгляд на защищаемые объектIvan Ignatyev
 
Факторный анализ
Факторный анализФакторный анализ
Факторный анализIvan Ignatyev
 
Алгоритмы кластеризации. ч.3
Алгоритмы кластеризации. ч.3Алгоритмы кластеризации. ч.3
Алгоритмы кластеризации. ч.3Ivan Ignatyev
 
Идентификация, Аутентификация, Авторизация
Идентификация, Аутентификация, АвторизацияИдентификация, Аутентификация, Авторизация
Идентификация, Аутентификация, АвторизацияIvan Ignatyev
 
Алгоритмы кластеризации. ч.2
Алгоритмы кластеризации. ч.2Алгоритмы кластеризации. ч.2
Алгоритмы кластеризации. ч.2Ivan Ignatyev
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 
политика информационной безопасности организации
политика информационной безопасности организацииполитика информационной безопасности организации
политика информационной безопасности организации
trenders
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместеDmitry Evteev
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
cnpo
 
защита информации 10
защита информации 10защита информации 10
защита информации 10
aepetelin
 
профессия системный администратор
профессия системный администраторпрофессия системный администратор
профессия системный администраторBSOSH4
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
cnpo
 
защита информации 9
защита информации 9защита информации 9
защита информации 9
aepetelin
 
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
Expolink
 
Как заставить работать неработающие стандарты? Методология управления безопас...
Как заставить работать неработающие стандарты? Методология управления безопас...Как заставить работать неработающие стандарты? Методология управления безопас...
Как заставить работать неработающие стандарты? Методология управления безопас...
Infor-media
 

Viewers also liked (20)

Игровые методы обучения на кафедре ИКТ
Игровые методы обучения на кафедре ИКТИгровые методы обучения на кафедре ИКТ
Игровые методы обучения на кафедре ИКТ
 
Административная информация по практике
Административная информация по практикеАдминистративная информация по практике
Административная информация по практике
 
Введение в анализ данных
Введение в анализ данныхВведение в анализ данных
Введение в анализ данных
 
Защита доверия. Цифровые подписи
Защита доверия. Цифровые подписиЗащита доверия. Цифровые подписи
Защита доверия. Цифровые подписи
 
Стандарт "Общие Критерии": Состав и взгляд на защищаемые объект
Стандарт "Общие Критерии": Состав и взгляд на защищаемые объектСтандарт "Общие Критерии": Состав и взгляд на защищаемые объект
Стандарт "Общие Критерии": Состав и взгляд на защищаемые объект
 
Факторный анализ
Факторный анализФакторный анализ
Факторный анализ
 
Алгоритмы кластеризации. ч.3
Алгоритмы кластеризации. ч.3Алгоритмы кластеризации. ч.3
Алгоритмы кластеризации. ч.3
 
Идентификация, Аутентификация, Авторизация
Идентификация, Аутентификация, АвторизацияИдентификация, Аутентификация, Авторизация
Идентификация, Аутентификация, Авторизация
 
Алгоритмы кластеризации. ч.2
Алгоритмы кластеризации. ч.2Алгоритмы кластеризации. ч.2
Алгоритмы кластеризации. ч.2
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 
политика информационной безопасности организации
политика информационной безопасности организацииполитика информационной безопасности организации
политика информационной безопасности организации
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместе
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
 
защита информации 10
защита информации 10защита информации 10
защита информации 10
 
профессия системный администратор
профессия системный администраторпрофессия системный администратор
профессия системный администратор
 
Audit intro
Audit introAudit intro
Audit intro
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
 
защита информации 9
защита информации 9защита информации 9
защита информации 9
 
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
"Современные ИБ-угрозы" В. Федоров (Лаборатория Касперского)
 
Как заставить работать неработающие стандарты? Методология управления безопас...
Как заставить работать неработающие стандарты? Методология управления безопас...Как заставить работать неработающие стандарты? Методология управления безопас...
Как заставить работать неработающие стандарты? Методология управления безопас...
 

Similar to Организация защищенного доступа к данным

Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Positive Hack Days
 
Эффективный контроль административного доступа к АСУ ТП
Эффективный контроль административного доступа к АСУ ТПЭффективный контроль административного доступа к АСУ ТП
Эффективный контроль административного доступа к АСУ ТП
Компания УЦСБ
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
DialogueScience
 
MIPT Course - DAC and MAC
MIPT Course - DAC and MACMIPT Course - DAC and MAC
MIPT Course - DAC and MACAlexey Vasyukov
 
Information rights management (IRM). Технологии управления правами доступа к ...
Information rights management (IRM). Технологии управления правами доступа к ...Information rights management (IRM). Технологии управления правами доступа к ...
Information rights management (IRM). Технологии управления правами доступа к ...
КРОК
 
Anton Tsitou "Cycle ORM and Graphs"
Anton Tsitou "Cycle ORM and Graphs"Anton Tsitou "Cycle ORM and Graphs"
Anton Tsitou "Cycle ORM and Graphs"
Fwdays
 
Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?
InfoWatch
 
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
КРОК
 
Безопасность информационных систем
Безопасность информационных системБезопасность информационных систем
Безопасность информационных системyaevents
 
Организация защищенного доступа к системе
Организация защищенного доступа к системеОрганизация защищенного доступа к системе
Организация защищенного доступа к системеIvan Ignatyev
 
Список мер по обеспечению безопасности персональных данных
Список мер по обеспечению безопасности персональных данныхСписок мер по обеспечению безопасности персональных данных
Список мер по обеспечению безопасности персональных данных
SiteSecure
 
Защита информации на уровне СУБД
Защита информации на уровне СУБДЗащита информации на уровне СУБД
Защита информации на уровне СУБДAndrey Akulov
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
 
Gnevshev мониторинг
Gnevshev мониторингGnevshev мониторинг
Gnevshev мониторингkuchinskaya
 
Введение в отладку производительности MySQL приложений
Введение в отладку производительности MySQL приложенийВведение в отладку производительности MySQL приложений
Введение в отладку производительности MySQL приложений
Sveta Smirnova
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системАндрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Expolink
 
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системАндрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Expolink
 

Similar to Организация защищенного доступа к данным (20)

Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...
 
Эффективный контроль административного доступа к АСУ ТП
Эффективный контроль административного доступа к АСУ ТПЭффективный контроль административного доступа к АСУ ТП
Эффективный контроль административного доступа к АСУ ТП
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
 
MIPT Course - DAC and MAC
MIPT Course - DAC and MACMIPT Course - DAC and MAC
MIPT Course - DAC and MAC
 
Information rights management (IRM). Технологии управления правами доступа к ...
Information rights management (IRM). Технологии управления правами доступа к ...Information rights management (IRM). Технологии управления правами доступа к ...
Information rights management (IRM). Технологии управления правами доступа к ...
 
Anton Tsitou "Cycle ORM and Graphs"
Anton Tsitou "Cycle ORM and Graphs"Anton Tsitou "Cycle ORM and Graphs"
Anton Tsitou "Cycle ORM and Graphs"
 
Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?
 
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
 
Безопасность информационных систем
Безопасность информационных системБезопасность информационных систем
Безопасность информационных систем
 
Организация защищенного доступа к системе
Организация защищенного доступа к системеОрганизация защищенного доступа к системе
Организация защищенного доступа к системе
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013
 
Список мер по обеспечению безопасности персональных данных
Список мер по обеспечению безопасности персональных данныхСписок мер по обеспечению безопасности персональных данных
Список мер по обеспечению безопасности персональных данных
 
Защита информации на уровне СУБД
Защита информации на уровне СУБДЗащита информации на уровне СУБД
Защита информации на уровне СУБД
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
Gnevshev мониторинг
Gnevshev мониторингGnevshev мониторинг
Gnevshev мониторинг
 
Введение в отладку производительности MySQL приложений
Введение в отладку производительности MySQL приложенийВведение в отладку производительности MySQL приложений
Введение в отладку производительности MySQL приложений
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системАндрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
 
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-системАндрей Прозоров (InfoWatch) - Практика применения DLP-систем
Андрей Прозоров (InfoWatch) - Практика применения DLP-систем
 

More from Ivan Ignatyev

Тематические карты на LeafletJS с плагинами.
Тематические карты на LeafletJS с плагинами.Тематические карты на LeafletJS с плагинами.
Тематические карты на LeafletJS с плагинами.
Ivan Ignatyev
 
Вводная лекция. О курсе АД.
Вводная лекция. О курсе АД.Вводная лекция. О курсе АД.
Вводная лекция. О курсе АД.
Ivan Ignatyev
 
Криптография
КриптографияКриптография
КриптографияIvan Ignatyev
 
Стандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверияСтандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверияIvan Ignatyev
 
Секвенциальный анализ
Секвенциальный анализСеквенциальный анализ
Секвенциальный анализIvan Ignatyev
 
Алгоритмы кластеризации. ч.1
Алгоритмы кластеризации. ч.1Алгоритмы кластеризации. ч.1
Алгоритмы кластеризации. ч.1Ivan Ignatyev
 

More from Ivan Ignatyev (6)

Тематические карты на LeafletJS с плагинами.
Тематические карты на LeafletJS с плагинами.Тематические карты на LeafletJS с плагинами.
Тематические карты на LeafletJS с плагинами.
 
Вводная лекция. О курсе АД.
Вводная лекция. О курсе АД.Вводная лекция. О курсе АД.
Вводная лекция. О курсе АД.
 
Криптография
КриптографияКриптография
Криптография
 
Стандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверияСтандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверия
 
Секвенциальный анализ
Секвенциальный анализСеквенциальный анализ
Секвенциальный анализ
 
Алгоритмы кластеризации. ч.1
Алгоритмы кластеризации. ч.1Алгоритмы кластеризации. ч.1
Алгоритмы кластеризации. ч.1
 

Организация защищенного доступа к данным

  • 2. 2 Рабочие данные ● Создание ● Хранение ● Обработка ● Уничтожение ● Восстановление ● Как администрировать?
  • 3. 3 Данные и хранилища ● Данные и система организации данных ● Картотека, файловая система, индекс – Политика доступа – Модель доступа – Права доступа
  • 4. 4 Организация доступа ● По спискам – Прямое сопоставление сущность сущность права – Дискреционный доступ (DAC) ● По правилам – Ограничение прав правилами взаимодействия – Мандатный доступ (MAC) ● По ролям – Иерархическое совмещение – Ролевой доступ (RBAC)
  • 5. 5 DAC ● Основная конструкция — полная таблица прав ● Наименования — объекты и субъекты ● В ячейках — права взаимодействия ● У всех объектов - владелец ● Суперпользователь ● Передача прав ● ACL
  • 6. 6 MAC ● Все объекты и субъекты имеют свои метки доступа ● При доступе метки проверяются на «совместимость» ● Права(метки) определяются администрацией ● Пользователи права(метки) поменять не могут ● Каждому объекту при создании присваивается метка
  • 7. 7 LBAC ● Подмножество MAC ● Уровни доступа у субъектов ● Уровни доступа у объектов ● Совпадение - доступ
  • 8. 8 LBAC ● Подмножество MAC ● Уровни доступа у субъектов ● Уровни доступа у объектов ● Совпадение - доступ
  • 9. 9 RBAC ● Роли имеют разрешения ● Субъекты имеют роли ● Может реализовывать и DAC, и MAC
  • 10. 10 Модели доступа ● Расширяют концепции ● Реализуют политику безопасности для конкретной системы ● Используют концепции для соответствия требованиям: – Доступности – Целостности – Конфиденциальности – Подотчетности
  • 11. 11 Модель Белла-ЛаПадулы ● Одна из первых моделей ● Реализует LBAC (MAC) ● Основной принцип — информация не распространяется вниз по уровням секретности – Чтение сверху запрещено (NRU, simple security) – Запись вниз запрещена (NWD, *-property) ● Является конечным автоматом
  • 12. 12 Недостатки БЛП и Модель Биба ● Запрет изменения уровня субъектов ● Не затрагивает целостность ● Модель Биба – Добавляет целостность к БЛП – Целостность может только понижаться или оставаться неизменной
  • 13. 13 Модель Кларка-Вильсона ● Разделяет процедуры проверки целостности (IVP) и изменений (TP) ● Данные: – CDI — упорядоченные данные – UDI — неупорядоченные данные ● TP: CDI, UDI → CDI ● IVP: проверяют CDI на целостность ● TP: проверяются, ставятся в соотвествие CDI, UDI и пользователям, пишутся в лог, аутентифицируются при выполнении
  • 14. 14 Модель Take-Grant ● Реализует DAC ● Действия: – Take – Grant – Create – Remove ● Позволяет реализовать систему для DAC
  • 16. 16 Функциональные требования ● FAU - аудит/протоколирование; ● FIA - идентификация/аутентификация; ● FRU - использование ресурсов ● FCO - неотказуемость ● FPR - приватность ● FDP - защита данных пользователя; ● FPT - защита функций безопасности ● FCS - криптографическая поддержка; ● FMT - управление безопасностью ● FTA - управление сеансами работы пользователей ● FTP - доверенный маршрут/канал
  • 17. 17 FDP (Защита данных пользователя) ● Семейства: – Политика управления доступом (FDP_ACC) – Функции управления доступом (FDP_ACF) – Политика управления информационными потоками (FDP_IFC) – Функции управления информационными потоками (FDP_IFF)
  • 18. 18 FDP (Защита данных пользователя) (2) ● Семейства: – Аутентификация данных ((FDP_DAU) – Импорт/экспорт данных из/за пределы действия ФБО (FDP_ITC, FDP_ETC) – Передача в пределах ОО (FDP_ITT) – Целостность данных (FDP_SDI) – Защита конфиденциальности/целостности при передаче между ФБО (FDP_UCT, FDP_UIT) – Защита остаточной информации(FDP_RIP) – Откат (FDP_ROL)
  • 19. 19 FDP — Защита данных пользователя
  • 20. 20 FDP — Защита данных пользователя (2)
  • 21. 21 Порядок работы с классом ● FDP_ACC | FDP_IFC ● FDP_ACF | FDP_IFF ● FDP_ROL ● FDP_RIP ● FDP_ITC, FDP_ETC ● FDP_ITT ● FDP_SDI ● FDP_UCT, FDP_UIT
  • 22. 22 FDP_ACC | FDP_IFC ● Имя политики ● Область действия политики: – Субьекты – Объекты (информация) – Операции субъектов на объектах ● .2 — на все операции
  • 23. 23 FDP_ACF 1.Управление на основании атрибутов безопасности – ПФБ из FDP_ACC – Используемые атрибуты безопасности – Правила управления доступом – Исключения-разрешения – Исключения-отказы
  • 24. 24 FDP_IFF ● Простые/Иерархические атрибуты безопасности – Политика из FDP_IFC – Число и тип атрибутов безопасности для правил – Для каждой операции — соотношение атрибутов безопасности субъектов и информации – Дополнительные соотношения – Исключения-разрешения – Исключения-запрещения
  • 25. 25 FDP_IFF (2) ● Ограничение/частичное устранение/мониторинг/полное утстранение неразрешенных информационных потоков – Политика из FDP_IFС – Типы информационных потоков, Максимальная интенсивность – Типы информационных потоков, устранение – Типы информационных потоков, мониторинг, максимальная интенсивность
  • 26. 26 FDP_ROL 1. Базовый откат 1. ПФБ из FDP_ACC, FDP_IFC 2. Список операций для отката 3. Список объектов для отката 4. Ограничения отката 2. Расширенный откат — для всех операций
  • 27. 27 FDP_RIP 1. Ограниченная защита остаточной инфы 1.Список объектов 2.Список условий (распределение, освобождение ресурса) 2.Полная защита остаточной инфы — для всех объектов
  • 28. 28 FDP_ITC, FDP_ETC 1.Импорт/экспорт данных без атрибутов безопасности 1. ПФБ из FDP_ACC, FDP_IFC 2. Правила управления импортом/экспортом 2.Импорт/экспорт данных с атрибутами безопасности
  • 29. 29 FDP_ITT 1. Базовая защита внутренней передачи 1. ПФБ из FDP_ACC, FDP_IFC 2. Типы ошибок/атак 2. Разделение передачи по атрибутам + Атрибуты безопасности, при которых данные разделяются 3. Мониторинг целостности 1. ПФБ из FDP_ACC, FDP_IFC 2. Действия при ошибке целостности 4. Мониторинг целостности по атрибутам
  • 30. 30 FDP_SDI 1. Мониторинг целостности хранимых данных 1. Ошибки, от которых защищаемся 2. Атрибуты данных для мониторинга 2. Мониторинг целостности хранимых данных и предпринимаемые действия + Действия при обнаружении ошибки
  • 31. 31 FDP_UCT 1. Базовая конфиденциальность обмена данными 1. ПФБ из FDP_ACC, FDP_IFC 2. Отправление/получение 3. Способ, защищающий от раскрытия
  • 32. 32 FDP_UIT 1. Целостность передаваемых данных 1. ПФБ из FDP_ACC, FDP_IFC 2. Отправление/Получение 3. Защита от списка ошибок 4. Обнаружение списка ошибок 2. Восстановление переданных данных источником/получателем 1. ПФБ из FDP_ACC, FDP_IFC 2. Список ошибок, допускающих восстановление
  • 33. 33 FDP_DAU 1. Базовая аутентификация данных 1.Список объектов или типов инфы, которые удостоверяем 2.Список субъектов, могущих верифицировать 2.Аутентификация с идентификацией гаранта + Идентификатор пользователя, задавшего свидетельство