- •Информационная безопасность компьютерных систем, основные понятия и определения. Основные угрозы безопасности.
- •1. Основные понятия и определения
- •2. Основные угрозы безопасности асои
- •2. Программные средства воздействия на асои
- •3. Основные подходы и меры обеспечения безопасности асои.
- •Меры обеспечения безопасности.
- •Глава 28 ук рф:
- •4. Этапы построения и принципы проектирования систем защиты
- •Принципы проектирования системы защиты.
- •Идентификация и аутентификация. Организация парольной защиты.
- •Длина пароля
- •Правила выбора паролей что не надо делать:
- •Что надо делать:
- •Меры повышения парольной защиты
- •Действия вс, выполняемые при отказе в доступе
- •Методы управления доступом. Протоколирование и аудит.
- •Произвольное управление доступом
- •Принудительное управление доступом
- •Протоколирование и аудит
- •Криптографическое преобразование информации. Требования, предъявляемые к алгоритмам шифрования.
- •Криптографическое закрытие информации
- •1. Шифрование
- •2. Кодирование
- •3. Другие виды
- •Шифрование подстановкой и перестановкой. Частотный анализ. Шифрование подстановкой (заменой)
- •Абвгдеёжзийклмнопрстуфхцчшщъыьэюя превращается в гдеёжзийклмнопрстуфхцчшщъыьэюяабв
- •Сегодня прекрасная погода
- •Многоалфавитные подстановки
- •Сегодня прекрасная погода
- •Бвгдеёжзийклмнопрстуфхцчшщъыьэюяа
- •Ж##д#дмпы#иоо###рг##уяо##
- •Частотный анализ
- •9. Методы шифрования ориентированные на эвм.
- •4)Методы побитовой шифрации
- •10.Симметричное шифрование.Блочные шифры.
- •Центр генерации ключей
- •Работа с ключами
- •11.Ассиметричное шифрование. Совместное использование симметричных и асимметричных методов.
- •Эффективное шифрование сообщения
- •Расшифровка эффективно зашифрованного сообщения
- •12.Цифровая подпись.
- •4. Использование однонаправленных хэш-функций для подписания документов.
- •Аппаратные шифровальные устройства
- •13.CriptoApi: архитектура, провайдеры криптографических услуг.
- •14.CryptoApi: ключи, хэши, сертификаты
- •15. CryptoApi работа с сообщениями
- •16. Распределенные вс. Стек протоколов tcp/ip. Угрозы, характерные для распределенных систем.
- •17. Распределенные вс. Протоколы управления сетями.
- •19. Протокол http и средства разработки серверных Интернет приложений.
- •20. Типовые ошибки при написании серверных приложений.
- •21. Средства сетевой защиты. Межсетевые экраны.
- •Основные схемы сетевой защиты на базе межсетевых экранов
- •1. Межсетевой экран - Фильтрующий маршрутизатор
- •Межсетевой экран на основе экранированного шлюза
- •Межсетевой экран – экранированная подсеть
- •Системы обнаружения атак в процессе их реализации.
- •4. Обманные системы.
- •23.Системы анализа защищенности, обманные системы, системы обнаружения совершенных атак.
- •24. Построение защищенных виртуальных систем. Понятие туннелирования.
- •25. Протоколы аутентификации. Централизованный контроль доступа к сетевым ресурсам.
- •26. Этапы развития систем защиты информации. Стандарты информационной безопасности.
- •27. Практические подходы к созданию и поддержанию систем безопасности. Управленческие и организационные мероприятия.
- •II.1. Управление персоналом
- •II.2. Физическая защита
- •II.3. Поддержание работоспособности.
- •II.4. Реакция на нарушение режима безопасности
- •II.5. Планирование восстановительных работ
- •18. Безопасность клиентских прилож. Анонимность в Internet.
- •Информационная безопасность компьютерных систем, основные понятия и определения. Основные угрозы безопасности.
27. Практические подходы к созданию и поддержанию систем безопасности. Управленческие и организационные мероприятия.
Информационные стандарты и рекомендации, рассмотренные ранее, образуют базис, на котором строятся все работы по обеспечению информационной безопасности. Однако, стандарты статичны, они не учитывают постоянной перестройки защищаемых систем и их окружения. Во-вторых, стандарты не содержат практических рекомендаций по формированию режима безопасности. В-третьих, стандарты ориентированы на производителей и организации, занимающиеся сертификацией систем.
Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер.
Программно-технические меры включают следующие механизмы безопасности: идентификация и аутентификация; управление доступом; протоколирование и аудит; криптография; экранирование.
Создание системы безопасности организация должна начать с выработки политики безопасности. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов.
С практической точки зрения политику безопасности делят на три уровня:
1. К верхнему уровню относят решения, затрагивающие организацию в целом. Они носят общий характер и исходят от руководства организации.
2. К среднему уровню относят вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией.
3. Политика безопасности нижнего уровня относится к конкретным информационным сервисам.
После завершения формирования политики безопасности, переходят к составлению программы ее реализации. Проведение политики безопасности в жизнь требует использования трех видов регуляторов - управленческих, операционных (организационных) и программно-технических.
I. Управленческие мероприятия
Для реализации программы безопасности, ее целесообразно разделить на уровни, обычно в соответствии со структурой организации. В простом и самом распространенном случае достаточно двух уровней: верхнего и нижнего (сервисного), который относится к отдельным сервисам или группе однородных сервисов.
Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. Программа должна занимать четко определенное место в деятельности организации, она должны официально приниматься и поддерживаться руководством, у нее должны быть определенные штаты и бюджет. У программы следующие главные цели:
- управление рисками. Деятельность любой организации подвержена множеству рисков. Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные меры по их уменьшению и убедиться, что риски заключены в приемлемые рамки;
- координация деятельности. Управление должно быть организовано так, чтобы исключить дублирование в деятельности сотрудников и в максимальной степени использовать их знания. Однако, отсутствие дублирования противоречит надежности. Если в организации есть специалист, знания которого уникальны, его временное отсутствие или увольнение могут привести к затруднительной ситуации. Поэтому целесообразно документировать накопленные знания и освоенные процедуры.
- стратегическое планирование. На верхнем уровне принимаются стратегические решения по безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.
- контроль деятельности. Контроль деятельности имеет два направления:
1. Надо гарантировать, что действия организации не противоречат законам. Обязательны при этом контакты с внешними контролирующими организациями;
2. Нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений, дорабатывать защитные меры с учетом изменения обстановки.
Цель программы нижнего уровня - обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие механизмы защиты использовать, закупаются и устанавливаются технические средства, выполняется повседневное администрирование, отслеживается состояние слабых мест. Обычно за программу нижнего уровня отвечают администраторы сервисов.
II. Организационные мероприятия
При выработке политики безопасности большое значение имеют меры безопасности, ориентированные на людей. Именно люди формируют режим информационной безопасности и они же оказываются главной угрозой для нее. К вопросам, связанными с людьми, относится:
- управление персоналом;
- организация физической защиты;
- поддержание работоспособности;
- реагирование на нарушение режима безопасности;
- планирование восстановительных работ.