- •Вопросы к экзамену по защите информации.
- •Реальная эффективность Экономический аспект
- •Технический аспект
- •Основные причины проблем
- •Системность при защите информации
- •Качество и его подтверждение
- •Модели разграничения доступа
- •Снифферы пакетов
- •Отказ в обслуживании (Denial of Service - DoS)
- •Парольные атаки
- •Атаки типа Man-in-the-Middle
- •Атаки на уровне приложений
- •Сетевая разведка
- •Злоупотребление доверием
- •Переадресация портов
- •Несанкционированный доступ
- •Вирусы и приложения типа "троянский конь"
- •8.3. Обеспечение целостности информации в пэвм
- •3. Разграничение доступа к элементам защищаемой информации.
- •IpSec в работе
- •Технические средства пространственного и линейного зашумления.
- •Механизм применения разрешений
- •Порядок применения разрешений
- •Владение папкой или файлом
- •Возможности применения криптографических методов в асод
- •Основные требования к криптографическому закрытию информации в асод.
- •Методы криптографического преобразования данных.
- •Усложненные замены или подстановки (таблица Вижинера)
- •Борьба со спамом и вирусами
- •Основные методы и средства защиты от атак на электронную переписку
- •«Сильные» криптоалгоритмы
- •Защита корпоративной почтовой системы
- •Государственная система защиты информации
- •Лицензирование
- •Сертификация средств защиты и аттестование объектов информатизации
- •Аттестация
- •Основные цели планирования
- •4.1.2. Отечественная нормативно-правовая база, под действие которой подпадают ас различного назначения
- •6.2.1.2. Свойства нечетких множеств.
- •6.2.1.3 Операции над нечеткими множествами.
- •6.2.2. Нечеткие отношения
- •Оранжевая книга Национального центра защиты компьютеров сша (tcsec)
- •1. Концепция безопасности системы защиты
- •2. Гарантированность системы защиты
- •Гармонизированные критерии Европейских стран (itsec)
- •Концепция защиты от нсд Госкомиссии при Президенте рф
- •Рекомендации х.800
- •Действие 1. С чего начинать?
- •Установить перечень персональных данных, обрабатываемых на предприятии
- •Способы обработки персональных данных?
- •Определить состав и объем обрабатываемых персональных данных?
- •Провести предварительную классификацию информационных систем пДн
- •Полученные результаты и способы защиты персональных данных
- •Действие 2. Подача уведомления в уполномоченный орган Обработка персональных данных без уведомления.
- •Подача уведомления в Роскомнадзор.
- •Действие 3. Организационные меры защиты персональных данных
- •Действие 4. Техническая защита персональных данных
- •Действие 5. Выбор исполнителя
- •Выполнение работ своими силами
- •Привлечение специализированной организации
- •Асимметричные алгоритмы
Основные причины проблем
Нет сомнений, что защита критически важных для собственников информационных систем соответствует многочисленным международным, национальным, корпоративным, нормативным и методическим документам. Применяются весьма дорогостоящие технические средства и внедряются строго регламентированные организационные мероприятия. Однако нет ответа на самый важный вопрос — насколько предлагаемое или уже реализованное решение хорошо, какова его планируемая или реальная эффективность. Такому положению, сложившемуся сейчас в информатике, но невозможному в области обеспечения интегрированной безопасности объектов традиционной инженерии (например, таких, как авиация, транспорт или энергетика) есть ряд причин:
игнорирование системного подхода как методологии анализа и синтеза СЗИ;
отсутствие механизмов полного и достоверного подтверждения качества СЗИ;
недостатки нормативно-методического обеспечения информационной безопасности, прежде всего в области показателей и критериев.
Системность при защите информации
Уже в первых работах по защите информации были изложены основные постулаты, которые не утратили своей актуальности и по сей день [9]: абсолютную защиту создать нельзя; система защиты информации должна быть комплексной; СЗИ должна быть адаптируемой к изменяющимся условиям.
К этим аксиомам нужно добавить и другие суждения. Во-первых, СЗИ должна быть именно системой, а не простым, во многом случайным и хаотичным набором некоторых технических средств и организационных мероприятий, как это зачастую наблюдается на практике. Во-вторых, системный подход к защите информации должен применяться, начиная с подготовки технического задания и заканчивая оценкой эффективности и качества СЗИ в процессе ее эксплуатации.
Прежде всего, СЗИ должна иметь целевое назначение. Причем, чем более конкретно сформулирована цель защиты информации, детально уяснены имеющиеся для этого ресурсы и определен комплекс ограничений, тем в большей степени можно ожидать получение желаемого результата. Если цель обеспечения информационной безопасности проста (формулируется скалярным показателем) и принципиально достижима, то оказывается достаточно сравнительно несложных по составу и структуре СЗИ. Однако при расширении круга проблем, которые нужно решать для обеспечения интегральной информационной безопасности, содержание целевого назначения системы на формализованном уровне приобретает многомерный, векторный характер. При этом значимость свойств отдельных элементов СЗИ снижается, а на первый план выдвигаются общесистемные задачи — определение оптимальной структуры и режимов функционирования системы, организация взаимодействия между ее элементами, учет влияния внешней среды и др. При целенаправленном объединении элементов в систему последняя приобретает специфические свойства, изначально не присущие ни одной из ее составных частей. При системном подходе имеют первостепенное значение только те свойства элементов, которые определяют взаимодействие друг с другом и оказывают влияние на систему в целом, а также на достижение поставленной цели.
Результативное решение задач анализа и синтеза СЗИ не может быть обеспечено одними лишь способами умозрительного описания их поведения в различных условиях — системотехника выдвигает проблемы, требующие количественной оценки характеристик. Такие данные, полученные экспериментально или путем математического моделирования, должны раскрывать свойства СЗИ. Основным из них является эффективность, под которой, согласно [7], понимается степень соответствия результатов защиты информации поставленной цели. Последняя, в зависимости от имеющихся ресурсов, знаний разработчиков и других факторов, может быть достигнута в той или иной мере, при этом возможны альтернативные пути ее реализации. Эффективность имеет непосредственную связь с другими системными свойствами, в том числе качеством, надежностью, управляемостью, помехозащищенностью, устойчивостью. Поэтому количественная оценка эффективности позволяет измерять и объективно анализировать основные свойства систем на всех стадиях их жизненного цикла, начиная с этапа формирования требований и эскизного проектирования.