- •1. Основные понятия и анализ угроз информационной безопасности Определение безопасной системы.
- •2. Анализ угроз информационной безопасности. Типы и примеры атак
- •3. Типы и примеры атак. Атаки отказа в обслуживании.
- •4. Типы и примеры атак. Перехват и перенаправление трафика.
- •5. Типы и примеры атак. Внедрение в компьютеры вредоносных программ
- •7. Типы и примеры атак. Шпионские программы. Спам
- •6. Типы и примеры атак. Троянские программы. Сетевые черви. Вирусы.
- •8. Основы информационной безопасности. Сетевые угрозы
- •9. Методы атак. Социотехника и фишинг.
- •10. Методы атак. Отказ в обслуживании и атаки методом грубой силы
- •11. Методы атак. Шпионское по, отслеживание файлов cookie, рекламное по и всплывающие окна.
- •12. Политика безопасности вычислительных сетей. Общие меры обеспечения безопасности сети.
- •13. Меры обеспечения безопасности. Исправления и обновления
- •14. Меры обеспечения безопасности. Антивирусное по. Антиспам. Программы защиты от шпионского по
- •15. Технологии аутентификации. Аутентификация, авторизация и администрирование действий пользователей
- •Технологии аутентификации. Методы аутентификации, использующие пароли и pin-коды.
- •Технологии аутентификации. Аутентификация на основе многоразовых паролей.
- •Технологии аутентификации. Биометрическая аутентификация пользователя
- •Аутентификация, авторизация, аудит.
- •Обеспечение безопасности операционных систем. Угрозы безопасности ос
- •Понятие защищенной ос. Архитектура подсистемы защиты ос
- •Основные функции подсистемы защиты ос. Разграничение доступа к объектам ос.
- •Политика безопасности. Основные понятия политики безопасности
- •Политика безопасности. Структура политики безопасности организации
- •Политика безопасности. Базовая политика безопасности
- •Политика безопасности. Специализированные политики безопасности
- •Политика безопасности. Процедуры безопасности
- •Проблемы информационной безопасности сетей. Введение в сетевой информационный обмен
- •Проблемы информационной безопасности сетей. Использование сети Интернет
Политика безопасности. Структура политики безопасности организации
Под политикой безопасности организации понимают совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности является тем средством, с помощью которого реализуется деятельность в компьютерной информационной системе организации. Вообще политика безопасности определяется используемой компьютерной средой и отражает специфические потребности организации.
Политику безопасности можно построить таким образом, чтобы она устанавливала, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, которые четко предписывают, как должны выполняться конкретные задачи безопасности. Особенности работы конкретного сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам.
Политика безопасности определяет позицию организации по рациональному использованию компьютеров и сети, а также процедуры по предотвращению и реагированию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик — от бизнес-политик до специфичных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации
Структура политики безопасности организации
Для большинства организаций политика безопасности абсолютно необходима. Она определяет отношение организации к обеспечению безопасности и необходимые действия организации по защите своих ресурсов и активов. На основе политики безопасности устанавливаются необходимые средства и процедуры безопасности, а также определяются роли и ответственность сотрудников организации в обеспечении безопасности.
Обычно политика безопасности организации включает:
• базовую политику безопасности;
• специализированные политики безопасности;
• процедуры безопасности.
Основные положения политики безопасности организации описываются в следующих документах:
• обзор политики безопасности — раскрывает цель политики безопасности, описывает структуру политики безопасности, подробно излагает, кто и за что отвечает, устанавливает процедуры и предполагаемые временные рамки для внесения изменений. В зависимости от масштаба организации политика безопасности может содержать больше или меньше разделов;
• описание базовой политики безопасности — определяет разрешенные и запрещенные действия, а также необходимые средства управления в рамках реализуемой архитектуры безопасности;
• руководство по архитектуре безопасности — описывает реализацию механизмов безопасности в компонентах архитектуры, используемых в сети организации (рис. 3.1).
Базовая политика безопасности устанавливает, как организация обрабатывает информацию, кто может получить к ней доступ и как это можно сделать.
Потенциально существуют десятки специализированных политик, которые могут применяться большинством организаций среднего и большого размера. Некоторые политики предназначаются для каждой организации, другие — специфичны для определенных компьютерных окружений.
С учетом особенностей применения специализированные политики безопасности можно разделить на две группы:
• политики, затрагивающие значительное число пользователей;
• политики, связанные с конкретными техническими областями.
К специализированным политикам, затрагивающим значительное число пользователей, относятся:
• политика допустимого использования;
• политика удаленного доступа к ресурсам сети;
• политика защиты информации;
• политика защиты паролей и др.
К специализированным политикам, связанным с конкретными техническими областями, относятся:
• политика конфигурации межсетевых экранов;
• политика по шифрованию и управлению криптоключами;
• политика безопасности виртуальных защищенных сетей VPN;
• политика по оборудованию беспроводной сети и др. Рассмотрим подробнее некоторые из ключевых специализированных политик.
Процедуры безопасности определяют, как защитить ресурсы и каковы механизмы исполнения политики, т. е. как реализовывать политики безопасности.
