- •Понятие информационной безопасности. Базовые понятие.
- •Понятие государственной тайны
- •Информационная система
- •Угрозы защиты информации
- •Классы каналов несанкционированного получения информации
- •Идентификация и аутентификация
- •Парольная аутентификация
- •Одноразовые пароли
- •Сервер аутентификации Kerberos
- •Идентификация и аутентификация с использованием биометрических данных
- •Требования, предъявляемые к протоколам аутентификации
- •Виды аутентификации
- •Управление доступом
- •Ролевое управление доступом
- •Основные понятия ролевого управления доступом
- •Процедурный уровень информационной безопасности
- •Управление рисками
- •Криптографические методы
- •Методы криптографического преобразования данных
- •Вредоносные программы
- •Системы симметричного шифрования
- •Система с открытым ключом
- •Электронная подпись (ранняя электронная цифровая подпись)
- •Административный уровень информационной безопасности
- •Программа безопасности
- •Стандарты и спецификации в области информационной безопасности
- •Оранжевая книга
- •Механизмы безопасности
- •Информационная безопасность распределенных систем. Рекомендации х.800
- •Стандарт «критерии оценки безопасности информационных технологий» iso/iec 15408
- •Руководящие документы гос.Тех. Комиссии России Классификация автоматизированных систем по уровню защищенности от нсд
- •Глава 28 – преступления в сфере компьютерной безопасности:
- •Закон о государственной тайне
- •Закон об информации, информационных технологиях и о защите информации
- •Закон о лицензировании отдельных видов деятельности
- •1 Фз об электронной цифровой подписи (эцп)
- •63 Фз об электронной подписи
- •Электронная подпись юридического лица или государственного органа
- •Подтверждение принадлежности ключа эп ее владельцу
- •Федеральный закон о персональных данных 152 фз
- •Классификация атак (!!! важные 3 принципа по цели воздействия знать!!)
- •По цели воздействия
- •Классификация средств обеспечение секретности информации по уровням модели iso/osi
- •Классификация способов обнаружения атак
Основные понятия ролевого управления доступом
Пользователь, сеанс работы пользователя, роль, объект, операция, право доступа.
Ролям приписывают роли и права доступа. По сути они являются именованными отношениями между пользователями и правами. Во время сеанса работы пользователя активизируется подмножество ролей под которыми он подписан. В результате он становится обладателем объединения прав, приписанным активным ролям. Между ролями поддерживается иерархическое поддерживание ролей.
Статическое разделение обязанностей налагает ограничение на приписывание пользователям ролям.
Динамическое разделение обязанностей отличается от статического тем, что роли учитываются только в активных сеансах.
Разделение обязанностей необходимо для минимизации рисков, связанных с некорректным поведением пользователя, либо уменьшения других опасных факторов (минимизация привилегий).
Процедурный уровень информационной безопасности
Меры процедурного уровня ориентированы на людей, а не на технические средства.
На процедурном уровне можно выделить следующие классы мер:
Управление персоналом
Физическая защита
Поддержание работоспособности
Реагирование на нарушения системы безопасности
Планирование восстановительных работ
Два основных принципа, необходимых для использования для сотрудников:
Разделение обязанностей – необходимость разделять роли и обязанности, чтобы один человек не мог нарушить критически важные для организации процессы.
Минимизация привилегий
Критичность и тщательность отбора кандидатов зависит от описания должности. Нормы процедуры информационной безопасности организации выдаются вместе с должностными инструкциями.
Ограничения:
Перемещение сотрудника
Увольнение
Внешние сотрудники
Администрирование безопасности необходимо отделить от администрирования системы. Удаленный доступ к администрированию.
Второй класс процедурного уровня - Физическая защита:
Необходимо защищать здание, прилегающую территорию, поддерживающую инфраструктуру
Основной принцип физической защиты – это непрерывность защиты в пространстве и времени.
Следующий класс – поддержание работоспособности. Это класс мер, связанный с ежедневным обслуживанием информационной системы. Такие как: поддержка пользователей, ПО, конфигурационное управление, резервное копирование и другие регламентные работы.
Следующий класс: Реагирование на нарушения системы безопасности. Реакция на нарушение безопасности преследует 3 основных цели:
Локализация инцидента и уменьшение наносимого вреда
Выявление нарушителя
Предупреждение повторных нарушений
Следующий класс: Планирование восстановительных работ. Этот процесс можно разделить на следующие этапы:
Выявление критически важных функций организации, установление приоритетов
Идентификация ресурсов, необходимая для выполнение критически важных функций
Определение перечня возможных аварий
Разработка стратегии восстановительных работ
Подготовка к реализации выбранной стратегии
Критичные ресурсы разделяют на следующие категории:
Персонал
Информационная структура – компьютеры и ПО, данные, документация, информационное взаимодействие с внешними организациями.
Физическая инфраструктура – здания, инженерные коммуникации, средства связи и много другое.