- •Понятие информационной безопасности. Базовые понятие.
- •Понятие государственной тайны
- •Информационная система
- •Угрозы защиты информации
- •Классы каналов несанкционированного получения информации
- •Идентификация и аутентификация
- •Парольная аутентификация
- •Одноразовые пароли
- •Сервер аутентификации Kerberos
- •Идентификация и аутентификация с использованием биометрических данных
- •Требования, предъявляемые к протоколам аутентификации
- •Виды аутентификации
- •Управление доступом
- •Ролевое управление доступом
- •Основные понятия ролевого управления доступом
- •Процедурный уровень информационной безопасности
- •Управление рисками
- •Криптографические методы
- •Методы криптографического преобразования данных
- •Вредоносные программы
- •Системы симметричного шифрования
- •Система с открытым ключом
- •Электронная подпись (ранняя электронная цифровая подпись)
- •Административный уровень информационной безопасности
- •Программа безопасности
- •Стандарты и спецификации в области информационной безопасности
- •Оранжевая книга
- •Механизмы безопасности
- •Информационная безопасность распределенных систем. Рекомендации х.800
- •Стандарт «критерии оценки безопасности информационных технологий» iso/iec 15408
- •Руководящие документы гос.Тех. Комиссии России Классификация автоматизированных систем по уровню защищенности от нсд
- •Глава 28 – преступления в сфере компьютерной безопасности:
- •Закон о государственной тайне
- •Закон об информации, информационных технологиях и о защите информации
- •Закон о лицензировании отдельных видов деятельности
- •1 Фз об электронной цифровой подписи (эцп)
- •63 Фз об электронной подписи
- •Электронная подпись юридического лица или государственного органа
- •Подтверждение принадлежности ключа эп ее владельцу
- •Федеральный закон о персональных данных 152 фз
- •Классификация атак (!!! важные 3 принципа по цели воздействия знать!!)
- •По цели воздействия
- •Классификация средств обеспечение секретности информации по уровням модели iso/osi
- •Классификация способов обнаружения атак
Механизмы безопасности
Политика безопасности должна включать следующие элементы:
Произвольное управление доступом.
Безопасность повторного использования объектов.
Метки безопасности – для реализации принудительного управления доступом, субъектом и объектом ассоциируются метки безопасности. Метка субъекта – благонадежность, объекта – конфиденциальность
Принудительное управление доступом.
Информационная безопасность распределенных систем. Рекомендации х.800
В соответствии с рекомендациями Х.800 выделяют следующие сервисы безопасности и исполняемые ими роли:
Аутентификация – проверка подлинности партнеров по общение
Управление доступом – защита от НСД по сети
Конфиденциальность данных – защита от НСД без доступа к источнику
Целостность данных
Неотказуемость (аутентификация источников данных). Обеспечивает 2 вида услуг:
Подтверждение подлинности источника
Подтверждение доставки
Данная международная рекомендация описывает распределение функции безопасности по уровням эталонной 7ми уровневой модели OSI.
Для реализации сервисов безопасности могут использоваться следующие механизмы и их комбинации:
Шифрование
Электронная подпись
Механизмы управления доступом
Механизмы контроля целостности (целостность отдельного сообщения и целостность потока
Механизмы аутентификации
Механизмы дополнении трафика
Механизмы управления маршрутизацией
Механизмы нотаризации – механизм заверения 3ей стороной, опирающейся на электронную подпись
Стандарт «критерии оценки безопасности информационных технологий» iso/iec 15408
Это оценочный стандарт, определяющий инструменты оценки безопасности информационных систем и порядок их использования. В этом документе нет предопределенных классов безопасности. Классы строятся исходя из требований безопасности, существующей для конкретной информационной системы.
В документе содержится 2 основных требования безопасности :
Функциональные
Требование доверия
Термин объект оценки – это аппаратно-программный продукт или информационная система.
Безопасность рассматривается привязкой к жизненному циклу объекта оценки, а также в контексте среды безопасности, которая характеризуется особыми условиями и угрозами.
Угроза характеризуется следующими параметрами:
Источник угрозы
Метод воздействия
Уязвимые места
Ресурсы, которые могут пострадать
Уязвимые места могут возникать из-за недостатка:
К требованию безопасности
К проектированию
К эксплуатации
Пространство требований структурируется в иерархию:
Класс – предметная группировка требований
Семейство – различается по строгости требований
Компонент – минимальный набор требований, фигурирующий как целое
Элемент – это не делимое требование
На основании критериев формируется 2 вида нормативных документов:
Профиль защиты – типовой набор требований, которому должны удовлетворять продукты и системы определенного класса
Задание по безопасности – совокупность требований конкретной разработки, выполнение которых обеспечивает достижение поставленных целей безопасности
В качестве механизма достижения целей безопасности используется совокупность компонентов, объединенных в функциональный пакет.
Классы функциональных требований:
Идентификация и аутентификация
Защита данных пользователя
Защита функций безопасности
Управление безопасностью
Аудит безопасности
Приватность
Использование ресурсов (доступность)
Связь
Доверенный канал для связи с сервисами безопасности