Рубрика «напрячь математический мозг»

Пашков Юрий, Пашков Кузьма — Lead InfoSec, EMC, VMWare trainer @ training.muk.ua

Утрачиваемое искусство доказательства защищенности. Часть 1 из 2.

В первой части статьи рассмотрены возможности доказательного подхода к построению защищенных автоматизированных систем.

Краеугольный камень доказательного подхода — понятия политики безопасности, модели защиты и доказательства защищенности. При этом особое внимание уделяется понятию безопасной политики. Свойство безопасности трактуется не как количественное, а как качественное — политика в терминах конкретной модели может быть либо безопасной, либо не являться таковой.

На интуитивном уровне логика рассуждений следующая: если формальная политика для модели является безопасной, то адекватная ей реальная политика в условиях реальной автоматизированной обработки также будет безопасной.

Последовательность действий при применении доказательного подхода следующая:
— для предметной области с известным алгоритмом обработки ценной информации формулируется несколько высказываний на естественном языке, определяющих «правильный» с точки зрения владельца порядок обработки информационных ценностей; иначе говоря, формулируется политика безопасности, которая в случае ее выполнения является безопасной (не причиняющей ущерба владельцу информационной ценности);
— полученная на предыдущем этапе политика формализуется в терминах одной из хорошо изученных моделей безопасности;
— выполняется формальное доказательство выполнимости утверждений политики безопасности. При этом выявляются необходимые и достаточные условия выполнения политики в терминах используемой политики безопасности; в результате доказательства выявляются условия обработки ценной информации, при которых требования политики безопасности оказываются выполнимыми;
— эти условия выполнения политики интерпретируются для реальной автоматизированной системы и реализуются в виде настроек встроенных механизмов и средств защиты.

Таким образом, при применении доказательного подхода интерпретация выполняется дважды — сначала в терминах формальной модели защиты выражается политика безопасности, затем в терминах механизмов и служб автоматизированной системы описываются условия безопасности политики, полученные в ходе доказательства защищенности.Читать полностью »

Пашков Юрий, Пашков Кузьма — Lead InfoSec, EMC, VMWare trainer @ training.muk.ua

Многолетний опыт преподавания по направлению «Информационная безопасность» (далее ИБ) позволяет констатировать положительные тенденции в этой области:

  • Владельцы бизнеса, наконец, стали считать риски ИБ такими же значимыми как финансовые и операционные, и все чаще ищут не только доверенных, но квалифицированных советников на должности уровня CSO (Chief Security Officer)
  • Нормативный подход к построению систем защиты позволил ИБ стать массово потребляемой услугой
  • Взрывной рост рисков ИБ поддерживает стабильно высокий спрос и предложение на рынке услуг обучения по соответствующему направлению

В тоже время налицо и отрицательные:

  • Подтвердить свою квалификацию в ИБ сегодня так же сложно, в особенности если успешный опыт работы получен в странах СНГ, а потенциальный работодатель находится в СШАЕвропе
  • Массовость приводит к проблеме консьюмеризации ИБ
  • Падает качество услуг обучения и уровень квалификации специалистов

В результате появляются целые коллективы подразделений обеспечения ИБ, которые на всех уровнях иерархии, начиная с администратора безопасности и заканчивая руководителем, бездумно выполняют требования стандартов безопасности, не задумываясь о доказательстве защищенности автоматизированной системы после их выполнения.

Настоящая статья демонстрирует возможности доказательного подхода для создания защищенных автоматизированных систем и носит учебный характер. Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js