- •Классификация информации по её виду.
- •Классификация информации по уровню ценности.
- •Информационная безопасность, схема обеспечения информационной безопасности.
- •Комплексная система защиты информации. Основные свойства информации. Процесс реализации угрозы.
- •Составляющие элементы комплексной системы защиты информации. Организационный элемент.
- •Составляющие элементы комплексной системы защиты информации. Правовой и инженерно технический элементы.
- •Составляющие элементы комплексной системы защиты информации. Программно-аппаратный и криптографический элементы.
- •Этапы проектирования комплексной системы защиты информации (ксзи).
- •1.Разработка технико-экономического обоснования, создание комплексной системы (кс) обеспечения информационной безопасности (иб) информационной системы (ис).
- •2.Формирование требований по обеспечению безопасности конфиденциальной информации.
- •Уязвимости. Классификация уязвимостей в соответствии с техническими отчетами проекта risos и pa Report (отчет “Анализ защиты”).
- •См. Вопрос 3
- •Уязвимости. Классификация уязвимостей ос Landwehr`a: по возникновению, по времени проявления, по местонахождению.
- •См. Вопрос 3
- •Классификация по местонахождению:
- •Уязвимости. Обобщенная классификация уязвимостей.
- •Угрозы. Классификация по источнику.
- •Способы защиты информации.
- •Средства защиты информации.
- •Аттестация объектов информатизации. Цель проведения аттестации отсс и втсс, категории объектов информатизации.
- •Порядок проведения аттестации.
- •18. Этапы работ по обеспечению режима информационной безопасности организации (краткое описание содержания всех этапов).
- •19. Последовательность определения политики безопасности.
- •20. Способы управления рисками.
- •21. Шкалы и критерии измерения информационных рисков.
- •22. Объективные и субъективные вероятности. Способы получения субъективных вероятностей.
- •23. Оценка рисков по двум факторам.
- •24. Оценка рисков по трем факторам.
- •25. Технологии оценки угроз и уязвимостей.
- •26. Подходы к выбору допустимого уровня риска.
Уязвимости. Классификация уязвимостей ос Landwehr`a: по возникновению, по времени проявления, по местонахождению.
Уязвимость системы защиты – это возможность возникновения на каком либо этапе жизненного цикла ИС такого её состояния, при котором создаются условия для реализации угроз безопасности её информации.
См. Вопрос 3
Классиф-ция Landwehr рассм-т уязвимости ИС по 3 различным параметрам:
1 Классификация по возникновению:
Преднамеренные
1.1.1 Вредоносные (Трояны, потайные ходы, логические/временные бомбы)
1.1.2 Не вредоносные (Скрытые каналы, остальные)
Непреднамеренные
1.2.1 Ошибки проверки;
1.2.2 Некорректные значения;
1.2.3 Сериализация/совмещение имен;
1.2.4 Некорректная идентификация/аутентификация;
1.2.5 Нарушение допустимых границ;
1.2.6 Другие логические ошибки.
2 Классификация по времени проявления:
2.1 Во время разработки
2.1.1 Во время формирования требований/технического задания;
2.1.2 В исходном коде;
2.1.3 В объектном коде;
Во время эксплуатации (ошибки в патчах);
Во время функционирования.
Классификация по местонахождению:
3.1 ПО
3.1.1 ОС;
3.1.2 Поддерживающее ПО (драйвера);
3.1.3 Прикладное ПО;
3.2 Аппаратное обеспечение.
Уязвимости. Обобщенная классификация уязвимостей.
Уязвимость системы защиты – это возможность возникновения на каком либо этапе жизненного цикла ИС такого её состояния, при котором создаются условия для реализации угроз безопасности её информации.
Для классификации уязвимостей используются следующие ключевые параметры:
Этап жизненного цикла информационной системы, на котором внедряется уязвимость;
Уровень в инфраструктуре информационной системы;
Уровень опасности уязвимости;
Причина возникновения;
Особенности уязвимости;
Местонахождения.
Также необходимо отметить, что основными критериями сравнения классификаций уязвимостей, с практической точки зрения, служат:
максимальный охват классификацией уязвимостей ИС;
атомарность классификации, т.е. уязвимость принадлежит одному классу или подклассу классификации.
1 При классификации с использованием в качестве классификационного параметра этапа жизненного цикла ИС все уязвимости делятся на три категории, в зависимости от этапа жизненного цикла ИС на котором возникла уязвимость. Выделяются уязвимости этапа проектирования, этапа реализации, этапа функционирования ИС.
Наиболее опасными уязвимостями, в данном случае являются уязвимости этапа проектирования, т.е. уязвимости архитектуры, алгоритмов и т.д.
Уязвимости этапа реализации представляют собой ошибки в программном или аппаратном обеспечении при реализации корректного с точки зрения безопасности проекта.
Уязвимости этапа функционирования представляют собой некорректную настройку тех или иных параметров ИС.
Данная классификация затрагивает все возможные уязвимости ИС, однако ее практическое применение может быть затруднительным, т.к. она является чрезмерно обобщенной.
2 По уровню в инфраструктуре выделяют уязвимости уровня сети, уровня операционной системы, уровня базы данных и уровня программного обеспечения. Как следствие данная классификация сосредотачивается на программных и программно-аппаратных средствах защиты и игнорирует организационные и технические средства защиты и их уязвимости.
3 По уровню риска уязвимости могут быть разделены на произвольное количество категорий (чаще всего, 3 или 5). При выделении 3 уровней: высокий (для уязвимостей позволяющих получить доступ в ИС с правами суперпользователя), средний (для уязвимостей раскрывающих информацию, которая может привести к доступу злоумышленника в ИС с высокими привилегиями) и низкий (для уязвимостей раскрывающих критическую информацию о системе).
По причине возникновения (они, как правило, затрагивают только уязвимости ПО). К подобным классификациям относятся: классификация проекта RISOS, «Анализ защиты» (PA report), рассматривающий уязвимость БД и приложений; список CWE организации MITRE и ряд других работ.
Все классификации, как правило, сосредотачиваются на конкретной стороне функционирования ИС поэтому была создана обобщенная классификация:
По типу уязвимостей
Уязвимости в программно-аппаратном обеспечении
По типу обеспечения ИС, в котором содержится уязвимость
Уязвимости Аппаратного обеспечения
Уязвимости общесистемного ПО
Уязвимости прикладного ПО
По типу компонента ИС, в котором содержится уязвимость
1.1.2.1) Уязвимости рабочих станций
1.1.2.2) Уязвимости сервера
1.1.2.3) Уязвимости коммуникационного оборудования и каналов связи
1.2) Уязвимости в организационно-правовом обеспечении
По этапу жизненного цикла
2.1) Уязвимости технологического этапа
2.2) Уязвимости эксплуатационного этапа
По степени преднамеренности
3.1) Преднамеренные
3.2) Непреднамеренные
По уровню модели сетевого взаимодействия, на котором присутствует уязвимость
4.1) уязвимость физического уровня
4.2) уязвимость канального уровня
4.3) уязвимость сетевого уровня
4.4) уязвимость транспортного уровня
4.5) уязвимость прикладного уровня