Безопасность информационных технологий

Управление политиками информационной безопасности (ИБ) для сетевых средств защиты информации (ССЗИ) является одной из основных проблем сетевой ИБ на данный момент. Ошибки конфигурирования ССЗИ могут приводить к возникновению уязвимостей и отказам систем. Кроме того, процесс управления политиками ИБ является трудоемким, что также сказывается на эффективности применения ССЗИ. В статье рассмотрен процесс управления политиками ИБ, существующие подходы к моделированию политик ИБ, а также представлена модель, позволяющая формализовать политики ИБ независимо от платформы ССЗИ и осуществить выбор наиболее эффективного ССЗИ для реализации данных политик. стемы.

политика информационной безопасности; процесс управления политиками; сетевое средство защиты информации

1. 2014 Сyberthreat Defense Report North America & Europe. CyberEdge Group. 2014.

2. SANS Survey on Network Security Results 2013. SANS 2013.

3. The State of Network Security 2013: Attitudes and Opinions. AlgoSec 2013.

4. Chapple M. J., D’Arcy J., Striegel A. An Analysis of Firewall Rulebase (Mis)Management Practices // ISSA Journal. February
2009. P. 12–18.

5. Wool A. Trends in Firewall Configuration Errors: Measuring the Holes in Swiss Cheese // IEEE Internet Computing. 2010. Vol. 14. Issue 4. P. 58–65.

6. Rees J., Bandyopadhyay S., Spafford E. H. PFIRES: a policy framework for information security // Communications of the
ACM. 2003. Vol. 46. Issue 7. P. 101–106.

7. Wahsheh L. A., Alves-Foss J. Security Policy Development: Towards a Life-Cycle and Logic-Based Verification Model // American Journal of Applied Sciences. 2008. 5 (9). P. 1117–1126.

8. Knapp K. J., Morris R. F. Jr., Marshall T. E., Byrd T. A. Information security policy: An organizational-level process model // Computers & Security. 2009. 28. P. 493–508.

9. Tuyikeze T., Pottas D. An Information Security Policy Development Life Cycle // Proceedings of the South African Information Security Multi-Conference (SAISMC). 2010. P. 241–266.

10. Laborde R., Kamel M., Barrère F., Benzekri A. Implementation of a formal security policy refinement process in WBEM architecture // Proceeding of 4th Latin American Network Operations and Management Symposium. 2005. P. 241–266.

11. Cuppens F., Cuppens-Boulahia N., Sans T., Miège A. A Formal Approach to Specify and Deploy a Network Security Policy // Proceeding of Second Workshop on Formal Aspects in Security and Trust. 2004. P. 203–218.

12. Preda S., Cuppens-Boulahia N., Cuppens N., Garcia-Alfaro J., Toutain L. Model-Driven Security Policy Deployment: Property Oriented Approach // Proceedings of the Second International Symposium on Engineering Secure Software and Systems. 2010. P. 123–139.

13. Preda S., Cuppens-Boulahia N., Cuppens F., Toutain L. Architecture-Aware Adaptive Deployment of Contextual Security Policies // Proceedings of International Conference on Availability, Reliability, and Security. 2010. P. 87–95.

14. Garcia-Alfaro J., Cuppens F., Cuppens-Boulahia N., Preda S. MIRAGE: A Management Tool for the Analysis and Deployment
of Network Security Policies // Proceedings of the 5th International Workshop on Data Privacy Management and 3rd International Conference on Autonomous Spontaneous Security. 2010. P. 203–215.

15. Craven R., Lobo J., Lupu E., Russo A., Sloman M. Security Policy Refinement Using Data Integration: a position paper //
Proceedings of the 2nd ACM workshop on Assurable and Usable Security Configuration. 2009. P. 25–28.

16. Craven R., Lobo J., Lupu E., Russo A., Sloman M. Decomposition Techniques for Policy Refinement // Proceedings of the 6th International Conference on Network and Service Management. 2010. P. 72–79.

17. Zhao H., Lobo J., Roy A., Bellovin S. M. Policy Refinement of Network Services for MANETs // Proceedings of the IFIP/
IEEE International Symposium on Integrated Network Management. 2011. P. 113–120.

18. Sonnenbichler A., Geyer-Schulz A. ADQL: A Flexible Access Definition and Query Language to Define Access Control Models // Proceedings of the 9th International Conference on Security and Cryptography. 2012. P. 379–386.

19. Crampton J., Morisset C. Towards a generic formal framework for access control systems // The Computing Research Repository. Vol. abs/1204.2342. 2012.

20. Casalino M. M., Thion R. Refactoring Multi-layered Access Control Policies Through (De)composition // Proceedings of the 9th International Conference on Network and Service Management. 2013. P. 243–250.