Курс лекций Защита Информации/Политика безопасности: различия между версиями

Нет описания правки
=== Политика безопасности ===
 
[[../Основные понятия и определения#Политика безопасности организации|Политика безопасности]] — совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которого обеспечивает защиту от определенного множества угроз и составляет необходимое (иногда и достаточное) условие безопасности системы.
 
=== Модель политики безопасности ===
* злоумышленник — внешний по отношению к системе источник нарушителя свойства "безопасность";
* объект атаки — часть, принадлежащая системе, на которую злоумышленник неожиданно производит воздействие;
* [[../Основные понятия и определения#Канал атаки|канал воздействия]] — среда переноса злоумышленного воздействия.
 
=== Подходы к политике безопасности ===
 
 
=== [[../Субъектно-объектная модель|Объекто-субъектная модель]] ===
 
Система является совокупностью взаимодействующих сущностей - ''[[../Основные понятия и определения#Субъект доступа|субъектов]]'' и ''[[../Основные понятия и определения#Объект доступа|объектов]]''. При этом ''объекты'' интуитивно можно представлять в виде контейнеров, содержащих информацию. А ''субъектами'' считать программы, которые воздействуют на ''объекты'' различными способами. При таком представлении системы безопасность обработки информации обеспечивается путем решения задачи управления доступом ''субъектов'' к ''объектам'' в соответствии с заданным набором правил и ограничений, который образует политику безопасности. Считается, что система безопасна, если субъекты не имеют возможности нарушить правила политики безопасности. Необходимо отметить, что общим подход для всех моделей является именно разделение множества сущностей, составляющих систему, на множество субъектов и объектов, хотя сами определения понятий ''объект'' и ''субъект'' в разных моделях могут существенно различаться.
 
=== Отношения между субъектами и объектами ===
Анонимный участник