- •1. Понятие «информационная безопасность». Основные термины и определения
- •2. Понятия целостности, конфиденциальности и доступности информации
- •3. Составляющие информационной безопасности, системы обеспечения
- •4. Основные нормативные документы в области информационной безопасности
- •5. Органы (подразделения), обеспечивающие информационную безопасность
- •6. Службы, организующие защиту информации на уровне предприятия
- •7. Организационно-технические и режимные меры и методы (политика безопасности информации в организации).
- •8. Организационно-технические и режимные меры и методы
- •9. Программно-технические способы и средства обеспечения информационной безопасности
- •10. Исторические аспекты возникновения и развития информационной безопасности
- •11. Понятия угрозы, уязвимости, атаки. Базовые угрозы
- •12. Критерии определения безопасности компьютерных систем.
- •13. Политики безопасности – мандатная и дискреционная политики безопасности
- •14. Понятия аутентификации, авторизации и аудита
- •15. Метки безопасности и принудительное управление доступом
- •16. Разделы и классы безопасности. «Оранжевая книга», международные и
- •17. Криптографическая защита информации. Правило Керхгоффа
- •18. Симметричные и асимметричные криптографические системы
- •19. Инфраструктура открытых ключей
- •20. Электронная подпись, электронная цифровая подпись
- •21. Виды электронной подписи
- •22. Процедура подписания документа с помощью эцп
- •23. Программные средства работы с эцп
- •24. Обеспечение безопасности автономной рабочей станции
- •25. Модели управления безопасностью: модель «Рабочая группа» и централизованная доменная модель
- •26. Службы каталогов Active Directory
- •27. Локализация трафика и изоляция сетей
- •28. Безопасность в Wi-Fi сетях
16. Разделы и классы безопасности. «Оранжевая книга», международные и
отечественные стандарты информационной безопасности
B — Мандатная защита
B1
Мандатное управление доступом к выбранными субъектам и объектам.
Все обнаруженные недостатки должны быть устранены или убраны каким-либо другим способом.
B2 — Структурная защита
Чётко определённая и документированная модель правил безопасности.
Применение расширенного дискреционного и мандатного управления доступом ко всем объектам и субъектам.
Скрытые каналы хранения.
B3 — Защищённые области
Соответствие требованиям монитора обращений.
Структурирование для исключения кода не отвечающего требованиям обязательной политики безопасности.
Поддержка администратора системы безопасности.
A — Проверенная защита
По функциям идентично B3.
Формализованные процедуры управления и распространения.
В критериях впервые введены четыре уровня доверия — D, C, B и A, которые подразделяются на классы. Классов безопасности всего шесть — C1, C2, B1, B2, B3, A1 (перечислены в порядке ужесточения требований).
Уровень D
Данный уровень предназначен для систем, признанных неудовлетворительными.
Уровень C
произвольное управление доступом.
Классификация «Оранжевой книге»:
уровень C — произвольное управление доступом;
уровень B — принудительное управление доступом;
уровень A — верифицируемая безопасность.
17. Криптографическая защита информации. Правило Керхгоффа
Термин "криптография" в переводе с греческого языка означает "тайнопись", что вполне отражает ее первоначальное предназначение.
Задачей криптографии является обратимое преобразование некоторого понятного исходного текста (открытого текста) в кажущуюся случайной последовательность некоторых знаков, называемую шифртекстом или криптограммой. При этом шифтекст может содержать как новые, так и имеющиеся в открытом сообщении знаки. Количество знаков в криптограмме и в исходном тексте в общем случае может различаться. Непременным требованием является то, что, используя некоторые логические замены символов в шифртексте, можно однозначно и в полном объеме восстановить исходную информацию.
В соответствии с правилом Керкхоффа стойкость шифра должна определяться ТОЛЬКО секретностью ключа. Это правило полагает, что АЛГОРИТМ шифрования НЕ ЯВЛЯЕТСЯ СЕКРЕТНЫМ, а значит, можно вести открытое обсуждение достоинств и недостатков алгоритма. Таким образом, это правило переводит работы по криптологии в разряд ОТКРЫТЫХ научных работ, допускающих дискуссии, публикации и т. п.
18. Симметричные и асимметричные криптографические системы
Методы построения криптографических систем защиты информации можно разделить по характеру применения ключей шифрования:
симметричные (одноключевые, с секретным ключом);
несимметричные (двухключевые, с открытым и закрытым ключом);
составные (комбинация симметричных и несимметричных).
Криптография делится на два класса: с симметричными ключами и с открытыми ключами. В криптографии с симметричными ключами отправитель и получатель информации используют один и тот же общий ключ для шифровки и дешифрации сообщений. Криптография с симметричными ключами отличается высокой стойкостью, т.е. невозможностью несанкционированной дешифрации, но имеет ограниченную область применения, так как изначально предназначена для целей ограничения доступа посторонних лиц к передаваемой информации.