Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ekzamen_voprosy-otvety.docx
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
100.6 Кб
Скачать

11. Понятия угрозы, уязвимости, атаки. Базовые угрозы

Под угрозой ИС будем понимать потенциально возможное событие, действие или процесс, которое посредством воздействия на компоненты информационной системы (ИС) может привести к нанесению ущерба как техническим средствам так и информационно-программному обеспечению ИС. Обычно различают угрозы случайного и преднамеренного характера. К случайным относятся угрозы потерь данных и нарушений работоспособности ИС, возникающие вследствие:

ошибок и сбоев в работе программных и технических средств ИС;

стихийных бедствий;

ошибок в работе пользователей и т.п

Угрозы преднамеренного характера исходят со стороны нарушителей (злоумышленников), т. е. лиц, которые сознательно стремятся получить несанкционированный доступ к ресурсам ИС или нарушить ее работоспособность. К такого рода угрозам можно отнести:

внесение изменений в финансовые документы;

незаконное копирование компонентов информационного, программного обеспечения;

нарушение работоспособности ИС с целью нанесения ущерба компании.

Под уязвимостью ИС будем понимать любую характеристику или свойство системы, использование которой нарушителем может привести к реализации угрозы.

Под атакой будем понимать любое действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей ИС.

Наиболее ценным и критичным ресурсом ИС является информационное обеспечение (ИО). В общем случае имеется широкий спектр угроз информационному обеспечению от различных стихийных бедствий до неправильных действий законных пользователей. Все эти многочисленные угрозы можно свести к нескольким базовым угрозам.

К хранящимся в ИС данным в общем случае возможны только два вида доступа: чтение или запись. Этот доступ может быть санкционированным - осуществляться по желанию владельца соответствующего информационного ресурса и в соответствии с установленными им правилами разграничения доступа к нему, или несанкционированным - в противном случае.

Существуют следующие три базовых угрозы:

угроза несанкционированного чтения данных;

угроза несанкционированной записи данных;

угроза отказа в обслуживании.

12. Критерии определения безопасности компьютерных систем.

Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria) — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе. «Критерии» используются для определения, классификации и выбора компьютерных систем предназначенных для обработки, хранения и поиска важной или секретной информации.

«Критерии», часто упоминающиеся как Оранжевая книга, занимают центральное место среди публикаций «Радужной серии» Министерства обороны США. Изначально выпущенные Центром национальной компьютерной безопасности США в качестве пособия для Агентства национальной безопасности в 1983 году и потом обновлённые в 1985, «Критерии» были заменены Common Criteria, международным стандартом опубликованным в 2005 году.

Критерии оценки доверенных компьютерных систем — стандарт Министерства обороны США (англ. Department of Defense Trusted Computer System Evaliation Criteria, TCSEC, DoD 5200.28-STD, December 26, 1985), более известный под именем «Оранжевая книга» (англ. "Orange Book") из-за цвета обложки.

Данный стандарт, получил международное признание и оказал исключительно сильное влияние на последующие разработки в области информационной безопасности (ИБ).

Данный стандарт относится к оценочным стандартам (классификация информационных систем и средств защиты) и речь в нём идет не о безопасных, а о доверенных системах.

Каких-либо абсолютных систем (в том числе и безопасных) в нашей жизни не существует. Поэтому и было предложено оценивать лишь степень доверия, которое можно оказать той или иной системе.

В стандарте заложен понятийный базис ИБ (безопасная система, доверенная система, политика безопасности, уровень гарантированности, подотчетность, доверенная вычислительная база, монитор обращений, ядро безопасности, периметр безопасности).

Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности.

Вслед за «Оранжевой книгой» появилась целая «Радужная серия». Наиболее значимой в ней явилась интерпретация «Оранжевой книги» для сетевых конфигураций (англ. National Computer Security Center. Trusted Network Interpretation, NCSC-TG-005, 1987), где в первой части интерпретируется «Оранжевая книга», а во второй части описываются сервисы безопасности, специфичные для сетевых конфигураций.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]