h1

Security Management Concepts

Listopad 2, 2006

The C. I. A. triad…
Confidentiality, Integrity, and Availability… czyli wielkie drzewko zarządzania bezpieczeństwem.
Poufność. W bezpieczeństwie informacji pojęcie poufności związane jest z próbą zapobiegania zamierzonego lub nieumyślnego nieuatoryzowanego ujawnienia ważnych dla nas danych. Strata poufności może się wydarzyć na wiele sposobów takich jak umyślne opublikowanie prywatnych informacji firmy lub admin dupa i sami wiemy jak jest :)
Integralność. Co zapewnia nam integralność w bezpieczeństwie firmy ? :

  • Modyfikacje do poufnych danych nie są dokonywane przez nieautoryzowany personel lub „proces”
  • Nieautoryzowane modyfikacje do poufnych danych nie są dokonywane przez autoryzowany personel lub „proces”
  • Dane są wewnętrznie i zewnętrznie zgodne, i.e.

Dostępność. W bezpieczeństwie informacji pojęcie „dostępności” gwarantuje że systemy pracują i są dostępne wtedy gdy są potrzebne.

odwrotnością CIA jest DAD czyli disclosure, alteration, and destruction…. proste i logiczne :)

Pozostałe ważne pojęcia :

  • Identyfikacja (identification) – sposób w jaki użytkownik przedstawia dowód na swoją tożsamość systemowi.
  • Autentykacja(authentication) – sposób w jaki system sprawdza dowód tożsamości użytkownika. Ustalenie tożsamości użytkownika i potwierdzenie lub nie czy jest tym za kogo się podaje.
  • Accountability – umiejętność systemu do indywidualnego obsługiwania pojedynczego usera. Audyt logów umozliwia przejzenie konkretnych userów.
  • Autoryzacja (authorization) – Prawa i zezwolenia nadane pojedynczym ludziom (procesom), które dają dostęp do zasobów komputera. Po autentykacji tożsamości, poziom autoryzacji ustala jakie prawa zostaną nadane.
  • Prywatność (privacy) – poziom poufności i prywatności dany użytkownikowi w systemie.


Oglądaliście film „The Hackers” ? Sure you did. Pamiętacie scenę w knajpie kiedy rozmawiają o Red Book, Green Book, Black Book itd ? A wiecie ze takie knigi naprawdę istnieją ? (tj nie do końca pamiętam jak je nazwali w filmie ale pomyślałem że się z Wami podzielę tym co wiem o tym jak jest in real life :P bo wiecie…to był tylko film… they’re not real…well… that’s what they’ve told me…ups…)…

Książki zostały wydane w „Rainbow Series” przez Narodowy Ośrodek Bezpieczeństwa Komputerowego USA (NCSC- National Computer Security Center).

  • Orange BookTrusted Computer System Evaluation Criteria (TCSEC). Dokument w którym NCSC zdefiniowało siedem poziomów bezpieczeństwa komputerowego systemu operacyjnego. Każdy z poziomów wyżej zawiera ten poniżej. Wymienie je poniżej (za jakiś czas chwilowo mi się nie chce :] )
  • Red BookTrusted Networking Interpretation. Zawiera informacje odnośnie oceny bezpieczeństwa sieci.
  • Green Book – (znalazłem kilka wersji tej…) – jak i w jaki sposob i jakie używać hasełka :)

Orange Book :

  • D1Minimal Protection – zero :P tj bezpieczeństwo na poziomie ujemnym… totalny brak bezpieczeństwa..
  • C1Discretionary Protection – najniższy poziom bezpieczeństwa. Mamy tu uprawnienia read/write, autoryzacje. Brak logowania przebiegu pracy usera.
  • C2Controlled Access Protection -Dodana opcja logowania (w sensie prowadzenia dziennika zdarzeń w systemie ) i zapewniona silniejsza ochrona tych ważniejszych danych.
  • B1 – wprowadzone kilka poziomów bezpieczeństwa (tajne tajniejsze :P ).
  • B2Labeled Security Protection – wprowadzenie etykietek określających prawa do pliku w odniesieniu do aktualnie przyjętej polityki bezpieczeństwa. Etykietki mogą się zmieniać dynamicznie w zależności od tego jakie zasoby będą w danej chwili używane.
  • B3 – dodatkowe skupienie na bezpieczeństwie sprzętu.
  • A1Verified Design – Najwyższy poziom . Wszystko tu musi być zapięte na ostatni guziczek (potwierdzone matematycznie wręcz).

ps. przypominam że każdy poziom zawiera wszystkie niższe… tj kiedy patrzysz na A1 bierzesz pod uwagę że w sieci/firmie zostały już wzięte pod uwagę poprzednie podpunkty…

cdn…

One comment

  1. Authentication to po polsku Uwierzytelnianie. Termin znany jeszcze przed narodzinami autora tego blogu. Kalka językowa z angielskiego wprowadzona przez niedouczonych autorów z piśmidła „Security”, którzy musieli termin jakoś przetłumaczyć i w swojej pysze i ograniczeniu nie zdawali sobie sprawy, że ktoś to wcześniej zrobił przed nimi. Termin ochoczo podchwycony przez im podobnych, ale to nie znaczy, że należy go zawsze i wszędzie stosować.

    Accountability to Rozliczalność. Równie stare.

    Autor w .myCreations się przyznaje do jakichś tłumaczeń – ciekawe czy są na takim samym poziomie jak terminologia i język powyżej.



Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

%d bloggers like this: