![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Документация. Документация — необходимое условие гарантированной надежности системы и, одновременно, — инструмент проведения политики безопасности
Документация — необходимое условие гарантированной надежности системы и, одновременно, — инструмент проведения политики безопасности. Без документации люди не будут знать, какой политике следовать и что для этого нужно делать. Согласно " Оранжевой книге", в комплект документации надежной системы должны входить следующие тома: · Руководство пользователя по средствам безопасности; · Руководство администратора по средствам безопасности; · Тестовая документация; · Описание архитектуры. Разумеется, на практике требуется еще по крайней мере одна книга — письменное изложение политики безопасности данной организации. Руководство пользователя по средствам безопасности предназначено для обычных, непривилегированных людей. Оно должно содержать сведения о механизмах безопасности и способах их использования. Руководство должно давать ответы, по крайней мере, на следующие вопросы: · Как входить в систему? Как вводить имя и пароль? Как менять пароль? Как часто это нужно делать? Как выбирать новый пароль? · Как защищать файлы и другую информацию? Как задавать права доступа к файлам? Из каких соображений это нужно делать? · Как импортировать и экспортировать информацию, не нарушая правил безопасности? · Как уживаться с системными ограничениями? Почему эти ограничения необходимы? Какой стиль работы сделает ограничения необременительными? Руководство администратора по средствам безопасности предназначено и для системного администратора, и для администратора безопасности. В Руководстве освещаются вопросы начального конфигурирования системы, перечисляются текущие обязанности администратора, анализируется соотношения между безопасностью и эффективностью функционирования. Типичное оглавление Руководства администратора включает в себя следующие пункты: · Каковы основные защитные механизмы? · Как администрировать средства идентификации и аутентификации? В частности, как заводить новых пользователей и удалять старых? · Как администрировать средства произвольного управления доступом? Как защищать системную информацию? Как обнаруживать слабые места? · Как администрировать средства протоколирования и аудита? Как выбирать регистрируемые события? Как анализировать результаты? · Как администрировать средства принудительного управления доступом? Какие уровни секретности и категории выбрать? Как назначать и менять метки безопасности? · Как генерировать новую, переконфигурированную надежную вычислительную базу? · Как безопасно запускать систему и восстанавливать ее после сбоев и отказов? Как организовать резервное копирование? · Как разделить обязанности системного администратора и оператора? Тестовая документация содержит описания тестов и их результаты. По идее она проста, но зачастую весьма пространна. Кроме того (вернее, перед тем), тестовая документация должна содержать план тестирования и условия, налагаемые на тестовое окружение. Описание архитектуры в данном контексте должно включать в себя по крайней мере сведения о внутреннем устройстве надежной вычислительной базы. Вообще говоря, это описание должно быть формальным, допускающим автоматическое сопоставление с политикой безопасности на предмет соответствия требованиям последней. Объем описания архитектуры может оказаться сопоставимым с объемом исходных текстов программной реализации системы.
|