Совместное использование моделей безопасности. Примеры совместного использования моделей Белла-ЛаПадулы и Биба.

Рассмотрим в качестве примера возможные варианты совместного использования моделей Белла-ЛаПадулы и Биба.

1. Две модели могут быть реализованы в системе независимо друг от друга. В этом случае субъектам и объектам независимо присваиваются уровни секретности и уровни целостности.

2. Возможно логическое объединение моделей за счёт выделения общих компонентов. В случае моделей Биба и Белла-ЛаПадулы таким общим компонентом является порядок разграничения доступа в пределах одного уровня секретности (рис.).

 3. Возможно использование одной и той же решётки уровней как для секретности, так и для целостности. При этом субъекты и объекты с высоким уровнем целостности будут располагаться на низких уровнях секретности, а субъекты и объекты с низким уровнем целостности – на высоких уровнях секретности:

Скрытые каналы передачи информации.

Неформально под скрытым каналом передачи информации понимают любой канал связи, изначально для передачи информации не предназначенный. Для нас будут представлять интерес скрытые каналы, реализуемые за счёт особенностей формальных моделей управления доступом. Пусть имеется модель мандатного управления доступом M и её реализация I(M). Тогда любая потенциальная связь между двумя субъектами I(sh) и I(si) называется скрытым каналом передачи информации, если эта связь не разрешена в модели M.

Выделяют следующие типы скрытых каналов:

1. Скрытые каналы по памяти, в которых информация передаётся через доступ отправителя на запись и получателя на чтение к одним и тем же ресурсам или объектам;

2. Скрытые каналы по времени, которые характеризуются доступом отправителя и получателя к одному и тому же процессу или изменяемому во времени атрибуту.

Стандарты информационной безопасности. Общие положения. Классификация стандартов. Статус основных стандартов ИБ в Российской Федерации.

Стандарты РФ:

Руководящие документы (РД) Гостехкомиссии России действуют и активно используются при проведении сертификации средств защиты информации в системах сертификации ФСТЭК России, Минобороны России, а также в ряде добровольных систем сертификации.

- Стандарт ГОСТ Р ИСО/МЭК 15408-2002, более известный как «Общие критерии», действует и применяется при проведении сертификации средств защиты, не предназначенных для работы с информацией, составляющей государственную тайну. В перспективе предполагается отказ от РД Гостехкомиссии России и полноценный переход к «Общим критериям» как единому оценочному стандарту.

- Криптографические стандарты (ГОСТ 28147-89, ГОСТ 3410-2001, ГОСТ 3411-94) являются обязательными для применения в системах защиты информации, позиционируемых как средства криптографической защиты.

- Управленческие стандарты ISO 17799-2005 и ISO 27001-2005 в настоящее время не имеют в РФ официального статуса, однако планируются к принятию в качестве ГОСТ в ближайшее время

Все остальные спецификации носят сугубо добровольный характер, однако активно используются при построении реальных систем, в первую очередь в целях обеспечения их взаимной совместимости.