Security Management Concepts

The C. I. A. triad…
Confidentiality, Integrity, and Availability… czyli wielkie drzewko zarządzania bezpieczeństwem.
Poufność. W bezpieczeństwie informacji pojęcie poufności związane jest z próbą zapobiegania zamierzonego lub nieumyślnego nieuatoryzowanego ujawnienia ważnych dla nas danych. Strata poufności może się wydarzyć na wiele sposobów takich jak umyślne opublikowanie prywatnych informacji firmy lub admin dupa i sami wiemy jak jest :)
Integralność. Co zapewnia nam integralność w bezpieczeństwie firmy ? :

• Modyfikacje do poufnych danych nie są dokonywane przez nieautoryzowany personel lub “proces”
• Nieautoryzowane modyfikacje do poufnych danych nie są dokonywane przez autoryzowany personel lub “proces”
• Dane są wewnętrznie i zewnętrznie zgodne, i.e.

Dostępność. W bezpieczeństwie informacji pojęcie “dostępności” gwarantuje że systemy pracują i są dostępne wtedy gdy są potrzebne.

odwrotnością CIA jest DAD czyli disclosure, alteration, and destruction…. proste i logiczne :)

Pozostałe ważne pojęcia :

• Identyfikacja (identification) – sposób w jaki użytkownik przedstawia dowód na swoją tożsamość systemowi.
• Autentykacja(authentication) – sposób w jaki system sprawdza dowód tożsamości użytkownika. Ustalenie tożsamości użytkownika i potwierdzenie lub nie czy jest tym za kogo się podaje.
• Accountability – umiejętność systemu do indywidualnego obsługiwania pojedynczego usera. Audyt logów umozliwia przejzenie konkretnych userów.
• Autoryzacja (authorization) – Prawa i zezwolenia nadane pojedynczym ludziom (procesom), które dają dostęp do zasobów komputera. Po autentykacji tożsamości, poziom autoryzacji ustala jakie prawa zostaną nadane.
• Prywatność (privacy) – poziom poufności i prywatności dany użytkownikowi w systemie.

Oglądaliście film “The Hackers” ? Sure you did. Pamiętacie scenę w knajpie kiedy rozmawiają o Red Book, Green Book, Black Book itd ? A wiecie ze takie knigi naprawdę istnieją ? (tj nie do końca pamiętam jak je nazwali w filmie ale pomyślałem że się z Wami podzielę tym co wiem o tym jak jest in real life :P bo wiecie…to był tylko film… they’re not real…well… that’s what they’ve told me…ups…)…

Książki zostały wydane w “Rainbow Series” przez Narodowy Ośrodek Bezpieczeństwa Komputerowego USA (NCSC- National Computer Security Center).

• Orange Book – Trusted Computer System Evaluation Criteria (TCSEC). Dokument w którym NCSC zdefiniowało siedem poziomów bezpieczeństwa komputerowego systemu operacyjnego. Każdy z poziomów wyżej zawiera ten poniżej. Wymienie je poniżej (za jakiś czas chwilowo mi się nie chce :] )
• Red Book – Trusted Networking Interpretation. Zawiera informacje odnośnie oceny bezpieczeństwa sieci.
• Green Book – (znalazłem kilka wersji tej…) – jak i w jaki sposob i jakie używać hasełka :)

Orange Book :

• D1 – Minimal Protection – zero :P tj bezpieczeństwo na poziomie ujemnym… totalny brak bezpieczeństwa..
• C1 – Discretionary Protection - najniższy poziom bezpieczeństwa. Mamy tu uprawnienia read/write, autoryzacje. Brak logowania przebiegu pracy usera.
• C2 – Controlled Access Protection -Dodana opcja logowania (w sensie prowadzenia dziennika zdarzeń w systemie ) i zapewniona silniejsza ochrona tych ważniejszych danych.
• B1 – wprowadzone kilka poziomów bezpieczeństwa (tajne tajniejsze :P ).
• B2 – Labeled Security Protection – wprowadzenie etykietek określających prawa do pliku w odniesieniu do aktualnie przyjętej polityki bezpieczeństwa. Etykietki mogą się zmieniać dynamicznie w zależności od tego jakie zasoby będą w danej chwili używane.
• B3 – dodatkowe skupienie na bezpieczeństwie sprzętu.
• A1 -Verified Design – Najwyższy poziom . Wszystko tu musi być zapięte na ostatni guziczek (potwierdzone matematycznie wręcz).

ps. przypominam że każdy poziom zawiera wszystkie niższe… tj kiedy patrzysz na A1 bierzesz pod uwagę że w sieci/firmie zostały już wzięte pod uwagę poprzednie podpunkty…

cdn…