1.7. Вопросы для самоконтроля

1. Что понимают под безопасностью автоматизированных систем обработки информации?

2. Дайте определение субъекта и объекта доступа. Приведите пример, когда некий элемент компьютерной системы в одном случае является субъектом, а в другом – объектом доступа.

3. Что понимают под санкционированным и несанкционированным доступом к информации?

4. Что понимают под конфиденциальностью, целостностью и доступностью информации? Приведите примеры нарушения данных свойств.

5. Охарактеризуйте понятия угрозы, уязвимости и атаки на компьютерную систему.

6. Перечислите основные классы угроз компьютерной системе. Кратко охарактеризуйте их.

7. Что понимают под каналом утечки информации?

8. Перечислите основные каналы утечки информации. Кратко охарактеризуйте их.

9. Перечислите основные принципы обеспечения ИБ в АСОИ. Кратко охарактеризуйте их.

10. Перечислите меры обеспечения безопасности компьютерных систем.

11. Охарактеризуйте три состава преступлений в области компьютерной информации, определенных Российским законодателем.

12. Что включают в себя организационно-административные меры защиты информации?

13. Какие основные способы защиты реализуют аппаратно-программные меры?

14. Что понимают под ценностью информации?

15. Перечислите и охарактеризуйте наиболее известные подходы к построению моделей защиты АСОИ, основанных на понятии ценности информации.

2. Разграничение доступа к ресурсам

1. Политики безопасности. Классификация политик безопасности

Под политикой безопасности (ПБ) понимается совокупность норм, правил и практических рекомендаций, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от заданного множества угроз и составляет необходимое (а иногда и достаточное) условие безопасности компьютерной системы [1].

Основная цель создания ПБ информационной системы – определение условий, которым должно подчиняться поведение подсистемы безопасности.

Наиболее исследованными на практике моделями безопасности являются модели, защищающие информацию от нарушения свойств конфиденциальности и целостности. Они могут быть на верхнем уровне подразделены на два больших класса – формальных моделей и неформальных моделей. Возможная классификация моделей политик безопасности представлена на рис. 2.1.

Рис. 2.1. Классификация моделей политик безопасности

Формальные модели политик безопасности позволяют описать поведение подсистемы безопасности в рамках строгих математических моделей, правил. С их помощью можно доказать безопасность системы, опираясь при этом на объективные и неопровержимые постулаты математической теории. Формирование данных политик предполагает выработку критерия безопасности системы и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений.

Неформальные модели политик безопасности предполагают описание поведения подсистемы безопасности в рамках вербальных (словесных) утверждений, не обладающих математической строгостью. Утверждения в неформальных моделях, как правило, формируют требования к поведению подсистемы безопасности на общем уровне без указания особенностей их реализации.

Достоинством формальных моделей является их математическая строгость и возможность формального доказательства того, что система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.

Недостатком формальных моделей является их большая абстрактность, что, зачастую, не позволяет использовать правила данных моделей ко всем субъектам и объектам компьютерной системы.