- •Жизненно важные интересы Республики Беларусь в информационной сфере.
- •2. Концепция национальной безопасности Республики Беларусь.
- •3. Основные законы, регламентирующие юридические аспекты обеспечения безопасности информации.
- •4. Роль государственного регулирования в обеспечении защиты информации.
- •Глава 2 Государственное регулирование и управление в области информации, информатизации и защиты информации
- •5. Закон «Об информации, информатизации и защите информации».
- •6. Закон «о государственных секретах».
- •7. Уголовный кодекс рб.
- •8. Правовой режим информации.
- •9. Понятие об информационных ресурсах.
- •10. Лицензирование деятельности юридических и физических лиц по защите информации.
- •11. Сертификация и аттестация средств защиты информации.
- •12.Три главных составляющих информационной безопасности.
- •Доступность информации
- •Целостность информации
- •Конфиденциальность информации
- •13. История развития методологии создания защищенных систем. Оранжевая книга.
- •14. История создания и текущий статус «Общих критериев». Основные понятия и идеи «Общих критериев».
- •Принцип иерархии: класс – семейство – компонент – элемент
- •15. Концепция представления функциональных требований.
- •Требования доверия
- •16. Политика безопасности.
- •17. Структура функционального класса, функционального семейства, функционального компонента.
- •18. Концепция обеспечения гарантийных требований.
- •19. Обеспечение гарантии на этапах жизненного цикла.
- •20. Поддержка доверия. Гарантийные требования безопасности этапа разработки.
- •Требования к гарантированности Архитектура системы:
- •21. Формирование профиля защиты контролируемого доступа.
- •22. Объекты оценки. Среда безопасности объекта оценки. Цели безопасности. Требования безопасности ит.
- •Цели безопасности
- •Требования безопасности ит
- •23. Задание по безопасности. Структура и содержание.
- •24. Идентификация и аутентификация. Требования к средствам установления и верификации подлинности пользователя.
- •25. Каналы утечки информации.
- •26. Пассивные методы защиты информации от утечки по техническим каналам. Экранирование электромагнитных полей
- •Экранирование узлов радиоэлектронной аппаратуры и их соединений Экранирование высокочастотных катушек и контуров
- •Экранирование низкочастотных трансформаторов и дросселей
- •Контактные соединения и устройства экранов
- •Фильтрация
- •Согласованные нагрузки волноводных, коаксиальных и волоконно‑оптических линий
- •Звукоизоляция помещений
- •27. Активные методы защиты информации от утечки по техническим каналам объектов. Акустическая маскировка
- •Электромагнитное зашумление
- •Методы защиты проводных линий связи на энергетическом уровне
- •Поиск закладных устройств
- •29. Классификация угроз информационной безопасности.
Принцип иерархии: класс – семейство – компонент – элемент
Для структуризации пространства требований, в "Общих критериях" введена иерархия класс – семейство – компонент – элемент.
Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности).
Семейства в пределах класса различаются по строгости и другим тонкостям требований.
Компонент – минимальный набор требований, фигурирующий как целое.
Элемент – неделимое требование.
Между компонентами могут существовать зависимости, которые возникают, когда компонент сам по себе недостаточен для достижения цели безопасности.
Подобный принцип организации защиты напоминает принцип программирования с использованием библиотек, в которых содержатся стандартные (часто используемые) функции, из комбинаций которых формируется алгоритм решения.
"Общие критерии" позволяют с помощью подобных библиотек (компонент) формировать два вида нормативных документов: профиль защиты и задание по безопасности.
Профиль защиты представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях).
Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности.
Функциональный пакет – это неоднократно используемая совокупность компонентов, объединенных для достижения определенных целей безопасности.
Базовый профиль защиты должен включать требования к основным (обязательным в любом случае) возможностям. Производные профили получаются из базового путем добавления необходимых пакетов расширения, то есть подобно тому, как создаются производные классы в объектно-ориентированных языках программирования.
15. Концепция представления функциональных требований.
Все функциональные требования объединены в группы на основе выполняемой ими роли или обслуживаемой цели безопасности. Всего в "Общих критериях" представлено 11 функциональных классов, 66 семейств, 135 компонентов. Это гораздо больше, чем число аналогичных понятий в "Оранжевой книге".
"Общие критерии" включают следующие классы функциональных требований:
Идентификация и аутентификация.
Защита данных пользователя.
Защита функций безопасности (требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов).
Управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности).
Аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности).
Доступ к объекту оценки.
Приватность (защита пользователя от раскрытия и несанкционированного использования его идентификационных данных).
Использование ресурсов (требования к доступности информации).
Криптографическая поддержка (управление ключами).
Связь (аутентификация сторон, участвующих в обмене данными).
Доверенный маршрут/канал (для связи с сервисами безопасности).