
- •1. Понятие «информационная безопасность». Основные термины и определения
- •2. Понятия целостности, конфиденциальности и доступности информации
- •3. Составляющие информационной безопасности, системы обеспечения
- •4. Основные нормативные документы в области информационной безопасности
- •5. Органы (подразделения), обеспечивающие информационную безопасность
- •6. Службы, организующие защиту информации на уровне предприятия
- •7. Организационно-технические и режимные меры и методы (политика безопасности информации в организации).
- •8. Организационно-технические и режимные меры и методы
- •9. Программно-технические способы и средства обеспечения информационной безопасности
- •10. Исторические аспекты возникновения и развития информационной безопасности
- •11. Понятия угрозы, уязвимости, атаки. Базовые угрозы
- •12. Критерии определения безопасности компьютерных систем.
- •13. Политики безопасности – мандатная и дискреционная политики безопасности
- •14. Понятия аутентификации, авторизации и аудита
- •15. Метки безопасности и принудительное управление доступом
- •16. Разделы и классы безопасности. «Оранжевая книга», международные и
- •17. Криптографическая защита информации. Правило Керхгоффа
- •18. Симметричные и асимметричные криптографические системы
- •19. Инфраструктура открытых ключей
- •20. Электронная подпись, электронная цифровая подпись
- •21. Виды электронной подписи
- •22. Процедура подписания документа с помощью эцп
- •23. Программные средства работы с эцп
- •24. Обеспечение безопасности автономной рабочей станции
- •25. Модели управления безопасностью: модель «Рабочая группа» и централизованная доменная модель
- •26. Службы каталогов Active Directory
- •27. Локализация трафика и изоляция сетей
- •28. Безопасность в Wi-Fi сетях
11. Понятия угрозы, уязвимости, атаки. Базовые угрозы
Под угрозой ИС будем понимать потенциально возможное событие, действие или процесс, которое посредством воздействия на компоненты информационной системы (ИС) может привести к нанесению ущерба как техническим средствам так и информационно-программному обеспечению ИС. Обычно различают угрозы случайного и преднамеренного характера. К случайным относятся угрозы потерь данных и нарушений работоспособности ИС, возникающие вследствие:
ошибок и сбоев в работе программных и технических средств ИС;
стихийных бедствий;
ошибок в работе пользователей и т.п
Угрозы преднамеренного характера исходят со стороны нарушителей (злоумышленников), т. е. лиц, которые сознательно стремятся получить несанкционированный доступ к ресурсам ИС или нарушить ее работоспособность. К такого рода угрозам можно отнести:
внесение изменений в финансовые документы;
незаконное копирование компонентов информационного, программного обеспечения;
нарушение работоспособности ИС с целью нанесения ущерба компании.
Под уязвимостью ИС будем понимать любую характеристику или свойство системы, использование которой нарушителем может привести к реализации угрозы.
Под атакой будем понимать любое действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей ИС.
Наиболее ценным и критичным ресурсом ИС является информационное обеспечение (ИО). В общем случае имеется широкий спектр угроз информационному обеспечению от различных стихийных бедствий до неправильных действий законных пользователей. Все эти многочисленные угрозы можно свести к нескольким базовым угрозам.
К хранящимся в ИС данным в общем случае возможны только два вида доступа: чтение или запись. Этот доступ может быть санкционированным - осуществляться по желанию владельца соответствующего информационного ресурса и в соответствии с установленными им правилами разграничения доступа к нему, или несанкционированным - в противном случае.
Существуют следующие три базовых угрозы:
угроза несанкционированного чтения данных;
угроза несанкционированной записи данных;
угроза отказа в обслуживании.
12. Критерии определения безопасности компьютерных систем.
Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria) — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе. «Критерии» используются для определения, классификации и выбора компьютерных систем предназначенных для обработки, хранения и поиска важной или секретной информации.
«Критерии», часто упоминающиеся как Оранжевая книга, занимают центральное место среди публикаций «Радужной серии» Министерства обороны США. Изначально выпущенные Центром национальной компьютерной безопасности США в качестве пособия для Агентства национальной безопасности в 1983 году и потом обновлённые в 1985, «Критерии» были заменены Common Criteria, международным стандартом опубликованным в 2005 году.
Критерии оценки доверенных компьютерных систем — стандарт Министерства обороны США (англ. Department of Defense Trusted Computer System Evaliation Criteria, TCSEC, DoD 5200.28-STD, December 26, 1985), более известный под именем «Оранжевая книга» (англ. "Orange Book") из-за цвета обложки.
Данный стандарт, получил международное признание и оказал исключительно сильное влияние на последующие разработки в области информационной безопасности (ИБ).
Данный стандарт относится к оценочным стандартам (классификация информационных систем и средств защиты) и речь в нём идет не о безопасных, а о доверенных системах.
Каких-либо абсолютных систем (в том числе и безопасных) в нашей жизни не существует. Поэтому и было предложено оценивать лишь степень доверия, которое можно оказать той или иной системе.
В стандарте заложен понятийный базис ИБ (безопасная система, доверенная система, политика безопасности, уровень гарантированности, подотчетность, доверенная вычислительная база, монитор обращений, ядро безопасности, периметр безопасности).
Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности.
Вслед за «Оранжевой книгой» появилась целая «Радужная серия». Наиболее значимой в ней явилась интерпретация «Оранжевой книги» для сетевых конфигураций (англ. National Computer Security Center. Trusted Network Interpretation, NCSC-TG-005, 1987), где в первой части интерпретируется «Оранжевая книга», а во второй части описываются сервисы безопасности, специфичные для сетевых конфигураций.