Модели безопасности систем для аналитиков

Модель безопасности — формальное (математическое, алгоритмическое, схематическое) описание требований к тому, как система защищается от угроз

Виды моделей безопасности:
🛡 Обеспечение безопасности информационных потоков
🛡 Обеспечение безопасности выполнения кода
🛡 Управление доступом

Обеспечение безопасности информационных потоков
📄 Система безопасности ведет список разрешенных информационных потоков или проверяет потоки по запрограммированным правилам
❌ Если информационный поток не соответствует правилам, система безопасности запрещает передачу данных или отсылает уведомление эксперту безопасности

Пример:
• CRM-система запрашивает в кадровой системе данные о сотруднике для того, чтобы дополнить заявку от клиента контактными данными ответственного сотрудника
• Все вызовы между системами организации проверяются системой безопасности
• Кадровая система отдает все имеющиеся данные — не только контактные, но и паспортные данные
• Система безопасности запрещает передачу данных

Обеспечение безопасности выполнения кода
🥅 Система безопасности проверяет, что набор сетевых объектов системы и их параметров не меняется
⚙️ Система безопасности проверяет, что никто не вносил изменений в исполняемые файлы после их компиляции
📩 Если одно из условий не выполняется, система безопасности запрещает исполнение кода и отсылает уведомление эксперту безопасности

Пример:
• Система безопасности раз в 15 минут проверяет время изменения файла и сравнивает со временем последнего официально оформленного релиза
• Хакер взломал сервер организации и подменил исполняемый файл
• Система безопасности увидела, что файл изменился уже после релиза, и запретила его выполнение

Управление доступом
Существует 3 политики управления доступом:
1️⃣ Дискреционная — выдается доступ на каждый объект системы отдельно
2️⃣ Мандатная — у объектов есть уровень конфиденциальности, права выдаются на уровень
3️⃣ Ролевая — пользователям выдается одна или несколько ролей, роли дают право на доступ к заданному заранее списку объектов

Зачем нужны модели безопасности?
По закону, описание моделей безопасности обязательно для:
• Критической информационной инфраструктуры — систем, которые обеспечивают деятельность гос.органов, банков, здравоохранения, транспорта, связи, энергетики, оборонной, ракетно-космической, металлургической и химической промышленности
• Для систем, в которых хранятся персональные данные пользователей или сотрудников