- •Жизненно важные интересы Республики Беларусь в информационной сфере.
- •2. Концепция национальной безопасности Республики Беларусь.
- •3. Основные законы, регламентирующие юридические аспекты обеспечения безопасности информации.
- •4. Роль государственного регулирования в обеспечении защиты информации.
- •Глава 2 Государственное регулирование и управление в области информации, информатизации и защиты информации
- •5. Закон «Об информации, информатизации и защите информации».
- •6. Закон «о государственных секретах».
- •7. Уголовный кодекс рб.
- •8. Правовой режим информации.
- •9. Понятие об информационных ресурсах.
- •10. Лицензирование деятельности юридических и физических лиц по защите информации.
- •11. Сертификация и аттестация средств защиты информации.
- •12.Три главных составляющих информационной безопасности.
- •Доступность информации
- •Целостность информации
- •Конфиденциальность информации
- •13. История развития методологии создания защищенных систем. Оранжевая книга.
- •14. История создания и текущий статус «Общих критериев». Основные понятия и идеи «Общих критериев».
- •Принцип иерархии: класс – семейство – компонент – элемент
- •15. Концепция представления функциональных требований.
- •Требования доверия
- •16. Политика безопасности.
- •17. Структура функционального класса, функционального семейства, функционального компонента.
- •18. Концепция обеспечения гарантийных требований.
- •19. Обеспечение гарантии на этапах жизненного цикла.
- •20. Поддержка доверия. Гарантийные требования безопасности этапа разработки.
- •Требования к гарантированности Архитектура системы:
- •21. Формирование профиля защиты контролируемого доступа.
- •22. Объекты оценки. Среда безопасности объекта оценки. Цели безопасности. Требования безопасности ит.
- •Цели безопасности
- •Требования безопасности ит
- •23. Задание по безопасности. Структура и содержание.
- •24. Идентификация и аутентификация. Требования к средствам установления и верификации подлинности пользователя.
- •25. Каналы утечки информации.
- •26. Пассивные методы защиты информации от утечки по техническим каналам. Экранирование электромагнитных полей
- •Экранирование узлов радиоэлектронной аппаратуры и их соединений Экранирование высокочастотных катушек и контуров
- •Экранирование низкочастотных трансформаторов и дросселей
- •Контактные соединения и устройства экранов
- •Фильтрация
- •Согласованные нагрузки волноводных, коаксиальных и волоконно‑оптических линий
- •Звукоизоляция помещений
- •27. Активные методы защиты информации от утечки по техническим каналам объектов. Акустическая маскировка
- •Электромагнитное зашумление
- •Методы защиты проводных линий связи на энергетическом уровне
- •Поиск закладных устройств
- •29. Классификация угроз информационной безопасности.
22. Объекты оценки. Среда безопасности объекта оценки. Цели безопасности. Требования безопасности ит.
Объект оценки: Подлежащий оценке продукт ИТ или система с руководствами администратора и пользователя.
Среда безопасности
Среда безопасности включает все законы, политики безопасности организаций, опыт, специальные навыки и знания, для которых решено, что они имеют отношение к безопасности. Таким образом, она определяет контекст предполагаемого применения ОО. Среда безопасности включает также угрозы безопасности, присутствие которых в этой среде установлено или предполагается.
При установлении среды безопасности автор ПЗ или ЗБ должен принять во внимание:
а) физическую среду ОО в той ее части, которая определяет все аспекты эксплуатационной среды ОО, касающиеся его безопасности, включая известные мероприятия, относящиеся к физической защите и персоналу;
б) активы, которые требуют защиты элементами ОО и к которым применяются требования или политики безопасности; они могут включать активы, к которым это относится непосредственно, типа файлов и баз данных, а также активы, которые косвенно подчинены требованиям безопасности, типа данных авторизации и собственно реализации ИТ;
в) предназначение ОО, включая тип продукта и предполагаемую сферу его применения.
На основании исследования политик безопасности, угроз и рисков следует сформировать материалы, относящиеся к безопасности ОО:
г) изложение предположений, которым удовлетворяла бы среда ОО для того, чтобы он считался безопасным. Это изложение может быть принято без доказательства при оценке ОО;
д) изложение угроз безопасности активов, в котором были бы идентифицированы все угрозы, прогнозируемые на основе анализа безопасности как относящиеся к ОО. В ОК угрозы раскрываются через понятия источника угрозы, предполагаемого метода нападения, любых уязвимостей, которые являются предпосылкой для нападения, и идентификации активов, которые являются целью нападения. При оценке рисков безопасности будет квалифицирована каждая угроза безопасности с оценкой возможности ее перерастания в фактическое нападение, вероятности успешного проведения такого нападения и последствий любого возможного ущерба;
е) изложение политики безопасности, применяемой в организации, в котором были бы идентифицированы политики и правила, относящиеся к ОО. Для системы ИТ такая политика может быть описана достаточно точно, тогда как для продуктов ИТ общего предназначения или класса продуктов о политике безопасности организации могут быть сделаны, при необходимости, только рабочие предположения.
Цели безопасности
Результаты анализа среды безопасности могут затем использоваться для установления целей безопасности, которые направлены на противостояние установленным угрозам, а также проистекают из установленной политики безопасности организации и сделанных предположений. Необходимо, чтобы цели безопасности были согласованы с определенными ранее целями применения или предназначением ОО как продукта, а также со всеми известными сведениями о физической среде ОО.
Смысл определения целей безопасности заключается в том, чтобы соотнести их со всеми поставленными ранее вопросами безопасности и декларировать, какие аспекты безопасности связаны непосредственно с ОО, а какие – с его средой. Такое разделение основано на совокупном учете инженерного опыта, политики безопасности, экономических факторов и решения о приемлемости рисков.
Цели безопасности для среды ОО достигаются как в рамках ИТ, так и нетехническими или процедурными способами.
Требования безопасности ИТ проистекают только из целей безопасности ОО и целей безопасности его среды, относящихся к ИТ